CVSS(Common Vulerability Scoring System, 通用漏洞評估方法)，是由NIAC 發布、FITST維護的開放式行業標準，CVSS 的發布為信息安全產業從業人員交流網絡中所存在的系統漏洞的特點與影響提供了一個開放式的評價方法。

1.度量（Metrics）

CVSS3.0由三個基本尺度組成,

基本（Base）：代表著漏洞的原始屬性，不受時間與環境的影響，又由Exploitability可執行性與影響程度Impact?度量。

時間（Temporal）：反應漏洞隨著時間推移的影響而不受環境影響，舉個簡單的例子，隨著一個漏洞軟件的補丁不斷增加，該漏洞的CVSS分數會隨之減少。

環境（Environmental）：代表特定環境下執行漏洞的分數，允許根據相應業務需求提高或者降低該分值。

2.分數（Scoring）

Base分值由專業的分析人員給出，分數在0.0-10.0之間，可以在美國國家漏洞數據庫官網上搜到相應CVE漏洞的分值

https://nvd.nist.gov/vuln/search

計算方法可見下表：

?

對于時間與環境的分值是一種可選項，可根據具體的商業環境來選擇。

3.Base Merics具體計算方法

3.1?Exploitability可執行性塊

攻擊向量（AV）	網絡（N）/鄰居（A）/本地（L）/物理（P）	0.85 / 0.62 / 0.55 / 0.2
攻擊復雜度（AC）	低（L）/高（H）	0.77 / 0.44
權限要求（PR）	無（N）/低（L）/高（H）	0.85 / 0.62(0.68) / 0.27(0.50)
用戶交互（UI）	不需要（N）/需要（R）	0.85 / 0.62
影響范圍（UI）	不改變（U）/改變（C）	根據Impact sub score和ISC取值

3.2?Impact影響指標

機密性（C）	無（N）/低（L）/高（H）	0 / 0.22 /?0.56
完整性（I）	無（N）/低（L）/高（H）	0 / 0.22 /?0.56
可用性（A）	無（N）/低（L）/高（H）	0 / 0.22 /?0.56

4.Time具體計算方法

利用代碼的成熟度（E）	未驗證（U）/PoC（P）/EXP（F）/自動化利用（H）	0.91 / 0.94 / 0.97 / 1
修復方案（RL）	正式補丁（O）/臨時補丁（T）/緩解措施（W）/不可用（U）	0.95 / 0.96 / 0.97 / 1
來源可信度（RC）	未知（U）/未完全確認（R）/已確認（C）	0.92 / 0.96 / 1

5.Environmental具體計算方法

環境分數（可選）

機密性要求(CR)	未定義(X) 低(L) 中(M) 高(H)
完整性要求(IR)	未定義(X) 低(L) 中(M) 高(H)
可用性要求(AR)	未定義(X) 低(L) 中(M) 高(H)
修改基礎度量指標 ? (Modified Base Metrics)	Modified Attack Vector (MAV) Modified Attack Complexity (MAC) Modified Privileges Required (MPR) Modified User Interaction (MUI) Modified Scope (MS) Modified Confidentiality (MC) Modified Integrity (MI) Modified Availability (MA)

CVSS 3.0 官方文檔：https://www.first.org/cvss/specification-document

?

總結

以上是生活随笔為你收集整理的通用漏洞评估方法CVSS3.0介绍的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。