NVD国家漏洞库评分标准

wen 网络安全 2

本文目录导读:

NVD国家漏洞库评分标准

  1. 评分等级(Severity Category)
  2. 评分向量(Vector String)核心组成
  3. NVD 评分的工作流程
  4. 实际使用中的注意事项
  5. 一个简化的判断逻辑

NVD(National Vulnerability Database,美国国家漏洞数据库)的评分主要依据 CVSS(Common Vulnerability Scoring System,通用漏洞评分系统) 标准,目前主流使用的是 CVSS v3.x 版本(通常是 v3.1),虽然仍可见到 v2.0 的历史数据。

NVD 本身并不创造评分标准,而是 CVSS 标准的管理者(如 FIRST 组织)制定评分体系,NVD 负责分析每个 CVE(Common Vulnerabilities and Exposures,通用漏洞和暴露)并为其分配 CVSS 评分。

以下是 NVD 基于 CVSS v3.x 的评分标准和关键要素:

评分等级(Severity Category)

NVD 将漏洞的严重性分为五个等级,基于最终的 基础分

严重性等级 基础分数范围
无 (None) 0
低 (Low) 1 - 3.9
中 (Medium) 0 - 6.9
高 (High) 0 - 8.9
严重 (Critical) 0 - 10.0

评分向量(Vector String)核心组成

CVSS v3.x 的评分由三组指标构成,最终综合计算出基础分:

基础指标(Base Metrics)—— NVD 主要评定的部分

这是漏洞固有的、不随时间或环境改变的特性,分为两个子类:

  • 可利用性指标(如何被攻击):

    • AV(攻击途径):网络(Network,无需物理/逻辑访问)> 相邻网络(Adjacent)> 本地(Local)> 物理(Physical)
    • AC(攻击复杂度):低(Low,容易利用)> 高(High,需要特定条件或时间)
    • PR(权限要求):无(None,无需登录)> 低(Low,需访客权限)> 高(High,需管理员权限)
    • UI(用户交互):无(None,无需受害者操作)> 需交互(Required,如点击链接)
    • S(范围):未变化(Unchanged,影响仅限于被攻击组件)> 已变化(Changed,攻击可影响超出组件范围的安全域)
  • 影响指标(造成的后果):

    • C(机密性)I(完整性)A(可用性)
    • 每个指标评估:高(High,完全丧失)、低(Low,部分影响)、无(None)

时间指标(Temporal Metrics)—— NVD 通常发布基准值

  • E(利用代码成熟度):未证实 (Unproven) -> PoC (Proof of Concept) -> 功能可用 (Functional) -> 已成熟 (High,已发布完整武器化利用)
  • RL(修复级别):官方补丁 (Official Fix) -> 临时缓解 (Temporary Fix) -> 变通方案 (Workaround) -> 不可用 (Unavailable)
  • RC(报告置信度):未知 (Unknown) -> 合理 (Reasonable) -> 已确认 (Confirmed)

环境指标(Environmental Metrics)—— 由用户自行评估

  • 根据自身组织的 安全需求(如对机密性、完整性、可用性的重视程度)以及 资产价值(如代码在代码库中的位置、该模块是否暴露于外网)进行加权。

NVD 评分的工作流程

  1. 状态分析
    • 保留 (Reserved):CVE ID 已分配但细节未公开。
    • 分析中 (Under Analysis):NVD 正在评估并计算评分。
    • 已修改 (Modified):已发布评分,但后续细节或参考信息有更新。
    • 已拒绝 (Rejected):该 CVE 被撤回或无效。
  2. 自动与人工结合:NVD 会通过自动化工具解析 CVE 描述和参考链接(如安全公告、GitHub patch),初步抽取向量;然后由分析师人工审核、修正向量,最终计算出基础分。
  3. 发布:评分(含向量字符串)会出现在 NVD 网站、API 以及各安全工具的内置数据库中。

实际使用中的注意事项

  • NVD 评分的局限性

    • 非实时性:从 CVE 发布到 NVD 完成评分通常需要数天甚至数周,恶意利用可能在评分出来之前已经成熟。
    • 通用性:NVD 的“基础分”假设最坏情况(默认配置、攻击方式相对标准),不一定反映你的特定环境,一个在 NVD 中被评为“中”的漏洞,在你公网暴露的财务系统上可能实际威胁极高(需要通过环境指标调整)。
    • 无上下文:不评估漏洞被利用的经济/政治动机、攻击者能力等。
  • Epss评分 与 NVD 评分的互补:除了 CVSS 评分,建议同时参考 Epss(Exploit Prediction Scoring System,利用预测评分系统),它预测漏洞在未来 30 天内被利用的可能性,与 CVSS(评估严重性)形成互补。

一个简化的判断逻辑

如果你在看一个漏洞的 NVD 描述:

  1. 看底层:是否通过浏览器/网络无需任何操作即可被触发(AV:N,AC:L,PR:N,UI:N)? -> 极可能是 Critical(9.0+)High
  2. 看影响:是否导致完全数据泄露、系统崩溃或完全控制? -> High 或 Critical
  3. 看组合:需要低权限、需要用户交互、或只能非网络范围? -> Medium 或 Low

NVD 的评分标准以 CVSS v3.x 为基础,核心是 Base Metrics,通过攻击难易度与后果严重程度的组合来计算一个0-10的数值,但它需要结合时间与环境因素才是对特定资产最有效的风险评估,建议在实践中将 NVD 评分视为 “该漏洞在默认配置下的潜在危害上限” ,而不是决策的唯一依据。

抱歉,评论功能暂时关闭!