安全漏洞评分系统CVSS

目录

安全漏洞评分系统CVSS

CVSS的指标构成

（1）基准指标

（2）时间指标

（3）环境指标

CVSS评分算法

---

安全漏洞评分系统CVSS

通用漏洞评分系统（Common Vulnerability Scoring System，CVSS）是由FIRST（Forum of Incident Response and Security Teams）提出的漏洞严重性评分算法，现在已成为ITU-T（b-ITU-T X.1521）和NIST（NISTIR 7435）的推荐标准，被广泛应用于软件安全、漏洞管理等领域，受到eBay、(Symantec)、思科(Cisco)、甲古文(Oracle)等众多厂商支援。

CVSS得分基于一系列维度上的测量结果，这些测量维度被称为量度（Metrics）。漏洞的最终得分最大为10，最小为0。得分7~10的漏洞通常被认为比较严重，得分在4~6.9之间的是中级漏洞，0~3.9的则是低级漏洞。

下面以CVSS 3.1为例，介绍其主要内容。CVSS主要包含以下3组评估指标：

▶ 基准类指标。 用于计算基准评分，主要从漏洞的内在特性（不会随时间的推移或环境的改变而变化），来评价漏洞的严重性。

▶ 时间类指标。 用于计算时间评分，主要根据与时间相关的因素（如漏洞利用工具的研制进展），对基准评分进行调整。

▶ 环境类指标。 用于计算环境评分，主要根据特定的系统环境（如保护措施的部署），对基准评分和时间评分进行调整。

 

CVSS的指标构成

（1）基准指标

CVSS基准指标组包含三个指标集：

“可利用性（Exploitability）”指标主要考虑与攻击成功直接相关的那些漏洞特性，

“影响性（Impact）”指标从机密性、完整性和可用性方面，衡量漏洞被成功利用后对目标产生的直接最坏影响，

“范围（Scope）”指标主要考虑漏洞是否会影响其安全范围以外的资源。

“可利用性”指标集中的指标包括：

▶ “攻击向量Attack Vector（AV）”反映漏洞被利用的可能性。

按攻击（逻辑/物理）距离度量指标值，距离越远（潜在的攻击者越多）则值越大，可能值包括网络（N）、邻接（A）、本地（L）、物理（P）。

▶“攻击复杂度Attack Complexity（AC）”反映成功攻击所依赖的外部条件（不包括用户交互），

攻击越复杂则值越大，可能值包括高（H）、低（L）。

▶“特权要求Privileges Required（PR）”描述在成功利用漏洞之前，攻击者需要拥有的权限。

如果没有特权要求，则基准评分越高，可能值包括高（H）、低（L）、无（N）。

▶“用户交互User Interaction（UI）”描述成功攻击是否需要用户（攻击者除外）参与。

如果没有用户参与的要求，则基准评分越高，可能值包括要求（R）、无（N）。

“影响性”指标在度量时，只考虑漏洞成功利用后，访问方式、权限等方面的提升情况，具体指标包括：

▶ “机密性Confidentiality（C）”反映漏洞对信息资源机密性的影响，

影响程度越高则值越大，可能值包括高（H）、低（L）、无（N）。

▶ “完整性Integrity（I）”反映漏洞对信息资源完整性的影响，

影响程度越高则值越大，可能值包括高（H）、低（L）、无（N）。

▶ “可用性Availability（A）”反映漏洞对信息资源/系统的可用性影响，

影响程度越高则值越大，可能值包括高（H）、低（L）、无（N）。

“范围”指标主要衡量漏洞的影响是否跨越了不同的安全区域。 

在信息安全中，一个安全控制机制下的所有主、体被视为属于一个安全区域。

如果漏洞会影响与自身所在区域之外的组件，则会发生范围更改，此时基准评分更高。

该指标的可能值包括改变（C）、未改变（U）。

（2）时间指标

此类指标主要反映漏洞利用技术和工具的进展情况、漏洞解决办法和补丁发布情况，以及漏洞相关资料的可信度。具体指标包括：

▶“工具成熟度Exploit Code Maturity（E）”反映漏洞被用于攻击的可能性。

公开的漏洞利用工具增加了潜在攻击者数量，漏洞也更容易被利用，其严重性评分也更高。

该指标的可能值包括未定义（X）、高（H）、有效（F）、验证（P）、未验证（U）。

▶“修复级别Remediation Level（RL）”反映在漏洞公开、解决办法和补丁发布等不同阶段，漏洞严重性的变化。

对应方案越非官方，严重性越高，该指标的可能值包括未定义（X）、不可用（U）、变通方法（W）、临时补丁（T）、官方补丁（O）。

▶“报告可信度Report Confidence（RC）”反映漏洞存在信息的可信程度，漏洞信息来源的信誉度越高（如厂商），漏洞严重性评分越高。

该指标的可能值包括未定义（X）、确认（C）、合理（R）、未知（U）。

（3）环境指标

此类指标是基准评分的变形，根据受影响的IT资产对企业组织的重要性，根据已有的安全控制措施，从机密性、完整性和可用性方面修正CVSS评分。具体指标包括：

▶“安全需求（CR（Confidentiality Requirement），IR（Integrity Requirement），AR（Availability Requirement））”通过修改“调整基准”指标的权重从机密性、完整性和可用性3方面修正CVSS评分。例如，如果CR设置为高，则MC指标的权重将会相应增大。

每个安全需求均存在未定义（X）、低（L）、中（M）、高（H）4种可能值。

▶“基准调校”通过优先使用“安全需求”指标，使“环境指标”替代“基准指标”参与评分计算，以反映企业实际环境中漏洞的严重性。对应基准指标类中的8项指标，也存在8项“基准调校”指标，分别为：“攻击向量调校（MAV）”、“攻击复杂度调校（MAC）”、“特权要求调校（MPR）”、“用户交互调校（MUI）”、“机密性调校（MC）”、“完整性调校（MI）”、“可用性调校（MA）”，每项指标的可能值则增加一种“未定义”。

CVSS评分算法

CVSS针对上述各项评估指标给出了相应的量化数据，属于定量的严重性评估方法。在评估漏洞严重性时，使用者只需提供相应指标的评标值，CVSS算法根据该指标配置自动计算漏洞评分（值域[0,10.0]）。