CVSS评分如何计算严重程度

wen 网络安全 2

本文目录导读:

CVSS评分如何计算严重程度

  1. 核心计算流程
  2. 严重程度等级映射
  3. 一个简易示例(模拟计算)
  4. 其他影响分数的因素(可选)

CVSS(通用漏洞评分系统,Common Vulnerability Scoring System)目前最新版本是 CVSS v3.1(v4.0 已发布但仍在过渡期),其严重程度评定分为两步:计算基础分数,然后映射为等级

核心计算流程

CVSS 分数由三个指标组构成,但最常见的 基础分(Base Score) 就决定了漏洞的固有严重性,你日常看到的漏洞评分(如 7.8、9.8)指的就是基础分。

基础分由两个子分数决定:

  1. 可利用性(Exploitability):攻击者利用漏洞的难易程度,由网络、复杂度、权限、交互等指标计算(分数越高越容易利用)。
  2. 影响(Impact):漏洞成功利用后对机密性、完整性、可用性的损害程度(分数越高损害越重)。

核心计算公式(简化理解):

  • 影响子分数 <= 0:基础分 = 0
  • 影响子分数 > 0:基础分 = min(影响子分数 + 可利用性子分数, 10)

(实际计算涉及更复杂的边界条件处理,例如对“范围改变 Scope Changed”的特殊加权。)


严重程度等级映射

计算出 0 ~ 10.0 的基础分后,按照以下表映射为定性等级:

严重程度等级 基础分数范围
无(None) 0
低(Low) 1 – 3.9
中(Medium) 0 – 6.9
高(High) 0 – 8.9
严重(Critical) 0 – 10.0

注意: CVSS v4.0 将分数段划分做了微调,但 v3.1 目前仍是业界主流标准。


一个简易示例(模拟计算)

假设某漏洞:

  • 攻击向量:网络(可利用性得分高,如 0.85)
  • 攻击复杂度:低(得分高,如 0.77)
  • 权限要求:无(得分高,如 0.85)
  • 用户交互:无(得分高,如 0.85)
  • 影响(机密性/完整性/可用性):全部为(得分极高)
  • 范围:未改变(无额外加权)

最终基础分8

严重程度严重(Critical)


其他影响分数的因素(可选)

虽然日常看基础分,但完整 CVSS 还包括:

  • 时间分(Temporal):考虑漏洞是否已公开、是否有补丁、是否有可用利用代码,随时间变化。
  • 环境分(Environmental):根据你自身系统环境(如资产重要性、安全配置)进行微调,决定应优先修复哪个。

先根据 CVSS 公式算出 0~10 的分数,然后套入上表看落在哪个区间。0+ Critical,7.0 ~ 8.9 是 High,4.0 ~ 6.9 是 Medium,3.9 以下 Low。

抱歉,评论功能暂时关闭!