漏洞分级该如何判定标准?——从CVSS到业务场景的完整指南
目录导读
- 漏洞分级为什么重要?
- 主流分级标准:CVSS详解
- 企业级分级如何落地?
- 常见分级误区与纠正
- 问答:你最关心的5个问题
- 分级不是终点,是管理起点
漏洞分级为什么重要?
在网络安全领域,每天都有大量新漏洞被发现,如果没有一个统一的分级标准,安全团队会陷入“每个漏洞都紧急”的困境——这本质上等于没有优先级。
核心矛盾: 漏洞数量远超修复资源。
一个中型企业平均每月需处理50-200个漏洞,而安全工程师可能只有3-5人,分级标准决定了:
- 哪个漏洞今晚必须修复?
- 哪个可以放到下个版本?
- 哪个甚至只需要记录,无需处理?
一个真实案例:
某金融公司曾因未对内部CMS系统的一个“中危”漏洞进行及时修复,导致攻击者利用该漏洞作为跳板,最终获取了核心数据库权限,事后复盘发现,该漏洞虽然CVSS评分不高,但因为它位于网络边界且具有远程执行能力,实际风险极高,这就是“标准分数”与“业务风险”脱节的典型。
主流分级标准:CVSS详解
目前全球最通用的漏洞分级体系是 CVSS(通用漏洞评分系统),当前版本为v3.1。
CVSS的核心三要素
| 维度 | 指标 | 举例说明 |
|---|---|---|
| 基础分 | 攻击向量、攻击复杂度、权限要求、用户交互、影响范围、机密性/完整性/可用性影响 | 远程未授权可执行任意代码 → 基础分接近10 |
| 环境分 | 资产价值、缓解措施、修复紧迫性 | 核心业务系统 vs 测试服务器,环境分差异显著 |
| 时间分 | 漏洞是否公开、是否有POC、是否有在野利用 | 已出现勒索软件利用的漏洞,时间分提升 |
CVSS的等级划分
| 等级 | 分数范围 | 典型特征 |
|---|---|---|
| 严重 | 0-10.0 | 远程、无需认证、可导致完全控制,如Log4Shell |
| 高危 | 0-8.9 | 远程但需特定条件,或本地提升权限,如某些SQL注入 |
| 中危 | 0-6.9 | 需交互或权限要求高,如跨站请求伪造 |
| 低危 | 1-3.9 | 影响极小或需复杂前提,如信息泄露但不涉及敏感数据 |
但CVSS有三大致命短板
- 不考虑业务上下文:一个CVSS 9.8的漏洞如果打在内网测试机上,实际风险远低于CVSS 7.5但暴露在公网的核心交易系统。
- 静态评分:漏洞被利用后,实际危害可能随时间急剧变化。
- 忽略攻击链:单个低危漏洞可能成为高危攻击链的起点。
企业级分级如何落地?——基于风险的动态判定
结合搜索引擎中主流安全厂商(如Tenable、Qualys、绿盟、奇安信)的实践,以及NIST SP 800-115标准,推荐采用 “三因素综合评估模型”:
步骤1:技术维度——CVSS为基础
直接使用CVSS v3.1基础分,但需要做减法:
- 如果漏洞利用需要用户交互,且交互对象是经过安全意识培训的员工,基础分可降1-2级。
- 如果漏洞影响的是容器化环境且无法逃逸,基础分可考虑降级。
步骤2:资产维度——四象限分类
| 资产等级 | 定义 | 示例 | 漏洞分级权重 |
|---|---|---|---|
| P0 | 核心业务系统,无替代 | 交易系统、核心数据库 | 权重×2 |
| P1 | 重要业务但可临时降级 | 邮件系统、OA | 权重×1.5 |
| P2 | 支持性系统 | 监控平台、日志系统 | 权重×1 |
| P3 | 非关键系统 | 测试环境、历史遗留系统 | 权重×0.5 |
步骤3:威胁维度——现实利用情况
将威胁情报纳入分级:
- 在野利用:已观测到实际攻击 → 无论CVSS多少,直接提级为“紧急”
- POC已公开:攻击者可能随时利用 → 提升1级
- 无公开利用:维持原分级
最终判定矩阵(简化版)
| CVSS等级 | 资产P0 | 资产P1 | 资产P2 | 资产P3 |
|---|---|---|---|---|
| 严重(9+) | 紧急 | 紧急 | 高危 | 高危 |
| 高危(7-8.9) | 紧急 | 高危 | 高危 | 中危 |
| 中危(4-6.9) | 高危 | 中危 | 中危 | 低危 |
| 低危(0-3.9) | 中危 | 低危 | 低危 | 忽略 |
注意:如果在野利用,则所有等级向右移动一列。
常见分级误区与纠正
误区1:CVSS越高越优先处理
纠正:2017年WannaCry利用的MS17-010漏洞,CVSS仅8.5(当时标准),但因为它针对的是开放445端口的内网资产,实际影响面极广,相反,某些CVSS 9.8的漏洞可能只有理论利用价值。
误区2:只看严重/高危,忽略中危组合
纠正:一次真实的攻防演练中,攻击者通过“中危”的目录遍历漏洞获取了配置文件,再结合“低危”的默认口令漏洞,最终成功突破。建议对中危漏洞进行“攻击链分析”。
误区3:修复所有漏洞才安全
纠正:Google Project Zero研究显示,90%的被利用漏洞已有CVE编号,但只有不到10%的0day被实际利用。安全不是追求“零漏洞”,而是管理“暴露风险”。
误区4:环境分不参与初始评定
纠正:很多企业只检查CVSS基础分,忽略环境分,一个CVSS 5.0的漏洞,如果资产是公网API网关,环境分调整后可能达到7.5。务必在漏洞管理平台启用资产分类权重。
问答:你最关心的5个问题
Q1:CVSS 10分的漏洞就一定比9分更紧急吗?
不一定。 两个CVSS 10的漏洞,如果一个是影响内部打印服务器,另一个是影响公网核心数据库,显然数据库的响应优先级更高。建议使用“紧急度 = CVSS × 资产权重 × 威胁系数”的公式动态计算。
Q2:开源组件的漏洞和自研代码的漏洞,分级标准一样吗?
有差异。 开源组件漏洞通常有现成的POC,攻击门槛低,因此建议在基础分上上浮0.5-1分,自研代码漏洞需评估是否触及核心业务逻辑,如果是边缘功能,可适当降级。
Q3:我们的资产有800个系统,如何快速定义P0/P1/P2?
三步法:
- 列出所有业务,标记“断掉后直接影响收入或合规”的为P0(5%)
- 标记“断掉后导致流程中断但能人工补救”的为P1(约15%)
- 其余自动归为P2/P3。P0资产每季度复审。
Q4:漏洞分级后,修复SLA应该是多少?
| 漏洞等级 | 修复时限 | 备注 |
|---|---|---|
| 紧急 | 24小时内 | 含临时缓解措施(如WAF规则) |
| 高危 | 7天内 | 含永久修复 |
| 中危 | 30天内 | 可进入下一个迭代 |
| 低危 | 90天内 | 可累计批量修复 |
Q5:遇到“民科分级”(如某些安全厂商自创的ABCD等级)怎么办?
坚持采用行业标准。 如果外部审计要求使用特定分级,可以在内部保留CVSS+业务场景的双轨制,对外展示时转换为对方要求的格式。切忌直接用自定义等级替代标准化评分。
分级不是终点,是管理起点
漏洞分级的本质,不是给安全团队增加文书工作,而是为了在有限的资源下 做最正确的取舍,一个优秀的分级体系,应该让每个人——从CTO到一线运维——都能理解:为什么这个漏洞今天必须修,那个可以缓缓。
最后三条建议:
- 每年重新校准分级标准:随着资产变化和威胁环境演进,权重需动态调整。
- 建立“分级申诉机制”:允许业务负责人对漏洞分级提出异议,防止误判。
- 可视化分级决策过程:在漏洞工单中记录“CVSS原始分+资产权重+威胁情报”的推导链,方便审计和复盘。
没有完美的分级标准,只有不断迭代的管理体系,当你的安全团队能清晰说出“这次漏洞定紧急,是因为它在公网P0系统且有在野利用”,分级就已经成功了一半。
本文参考了NIST SP 800-115、CVSS v3.1官方文档、奇安信漏洞管理白皮书以及多位CISO的实战分享,内容经过综合提炼与去重优化。
