2.2 系统漏洞评分标准——CVSS

通用弱点评价体系(CVSS, Common Vulnerability Scoring System)是由NIAC开发、FIRST维护的一个开放且能够被产品厂商免费采用的标准。利用该标准,可以对弱点进行评分,进而帮助我们判断修复不同弱点的优先等级。

2.2.1 CVSS简介

CVSS是一个行业公开标准,可以帮助用户建立衡量漏洞严重程度的标准,比较漏洞的严重程度,从而确定处理它们的优先级。

CVSS得分基于一系列维度上的测量结果,这些测量维度被称为量度(Metrics)。漏洞的最终得分最大为10,最小为0。得分在7~10的漏洞通常被认为比较严重,得分在4~6.9的是中级漏洞,0~3.9的则是低级漏洞。CVSS包括3种类型的分数:基本分数、暂时分数和环境分数。其中,基本分数和暂时分数通常由安全产品卖主、供应商给出,因为他们能够更加清楚地了解漏洞的详细信息;环境分数通常由用户给出,因为他们能够在自己的使用环境下更好地评价漏洞存在的潜在影响。

2.2.2 CVSS计算方法

CVSS有一整套漏洞评分计算方法,但也有一些指标具有不确定性和复杂性,会导致完全的定量分析困难。它采用了3个客观性指标和11个主观性指标。

1. 基本评价

基本评价是指该漏洞本身固有的一些特点,以及这些特点可能造成的影响评价分值。

(1)攻击途径(AccessVector):本地攻击得分为0.7,远程攻击得分为1.0。

(2)攻击复杂度(AccessComplexity):分为低、中、高3个标准,给出的分值分别为0.6、0.8、1.0。

(3)认证(Authentication):需要认证得分为0.6、不需要认证得分为1.0。

(4)机密性(ConfImpact):不受影响得分为0、部分影响得分为0.7、完全影响得分为1.0。

(5)完整性(IntegImpact):不受影响得分为0、部分影响得分为0.7、完全影响得分为1.0。

(6)可用性(AvailImpact):不受影响得分为0、部分影响得分为0.7、完全影响得分为1.0。

(7)权值倾向:平均、机密性、完整性、可用性得分分别为0.333、0.5、0.25和0.25。

计算公式为:基本评价=(10×攻击途径×攻击复杂度×认证×(机密性×机密性权重+完整性×完整性权重+可用性×可用性权重))

2. 生命周期评价

生命周期评价是针对较新类型漏洞(如0day漏洞)设置的评分项,因此SQL注入漏洞不用考虑。这里列举出3个与时间紧密关联的要素及其得分,具体介绍如下。

(1)可利用性:未证明得分为0.85、概念证明得分为0.9、功能性得分为0.95、完全代码得分为1.0。

(2)修复措施:官方补丁得分为0.87、临时补丁得分为0.9、临时解决方案得分为0.95、无措施得分为1.0。

(3)确认程度:不确认得分为0.9、未经确认得分为0.95、已确认得分为1.0。

计算公式为:生命周期评价=基本评价×可利用性×修复措施×未经确认

3. 环境评价

每个漏洞会造成的影响大小都与用户实际工作环境密不可分,因此可选项中又包括了环境评价,这可以由用户自评。

(1)危害影响程度:无得分为0、低得分为0.1、中得分为0.3、高得分为0.5。

(2)目标分布范围:无(0%)得分为0、低(1%~15%)得分为0.25、中(16%~49%)得分为0.75、高(50%~100%)得分为1.0。

计算公式为:环境评价=(生命周期评价+(10-生命周期评价)×危害影响程度)×目标分布范围

评分与危险等级介绍如下。

  • [0,4):被认为是低等级威胁。
  • [4,7):被认为是中等级威胁。
  • [7,10]:被认为是高等级威胁。

不同机构按照CVSS分值定义威胁的低、中、高威胁级别(Severfity),CVSS体现漏洞的风险,威胁级别表示漏洞风险对系统的影响程度;CVSS分值是工业标准,威胁级别不是。