当前位置: 首页 > news >正文

安全人员如何对漏洞进行定级?

CVSS 标准

CVSS 介绍

CVSS,即通用漏洞评分系统(Common Vulnerability Scoring System),是一个用于评估计算机系统漏洞严重程度的行业标准。

CVSS为安全专业人员、漏洞管理团队和系统管理员提供了一种标准化的方法来评估和比较不同漏洞的潜在影响,有助于他们根据漏洞的严重程度来优先处理和分配资源进行修复。

评分系统组成

  • 基础评分:这是CVSS评分的核心部分,基于漏洞的固有属性,如漏洞的可利用性、对系统的影响等因素来计算。基础评分不考虑漏洞所处的特定环境,是一个相对客观的评估。
  • 时间评分:考虑漏洞随着时间推移而发生的变化,例如漏洞被公开披露的时间、是否有可用的补丁等因素。时间评分会根据这些动态因素对基础评分进行调整,以更准确地反映漏洞当前的实际风险。
  • 环境评分:结合特定的运行环境来评估漏洞的影响,比如漏洞所在系统的重要性、受影响的资产价值等。环境评分允许用户根据自身组织的具体情况,对基础评分进行进一步的定制化调整,从而更贴合实际的安全状况。

评分指标

  • 可利用性:描述攻击者利用漏洞的难易程度,包括攻击向量(如网络、本地等)、攻击复杂度、所需权限、用户交互等方面。
  • 影响程度:衡量漏洞被利用后对系统造成的危害,涵盖机密性、完整性和可用性三个方面的影响。

评分范围及含义

  • CVSS评分范围从0到10分,分数越高表示漏洞的严重程度越高。
  • 例如,0 - 3.9分为低危漏洞,一般不会对系统造成严重影响;4 - 6.9分为中危漏洞,可能会导致部分系统功能受损或信息泄露;7 - 8.9分为高危漏洞,很可能导致系统被入侵、数据被窃取或系统瘫痪;9 - 10分为严重漏洞,一旦被利用,将对系统造成极其严重的破坏,如完全控制系统、大规模数据泄露等。

通过CVSS,企业和组织可以更科学地管理漏洞,将有限的资源集中在处理最严重的漏洞上,有效降低安全风险。

CVSS 计算器

  • https://cvss.xc1ym.com/

    • 源码:https://github.com/Xc1Ym/CVSS-v4.0-calculator
      6a3dd45c441dfac81d3325a05bc63fd3.png
  • https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator

  • https://nvd.nist.gov/vuln-metrics/cvss/v4-calculator

  • https://redhatproductsecurity.github.io/cvss-v4-calculator/

国家推荐标准 GB/T 30279-2020

还可以参考国家推荐标准 GB/T 30279-2020 信息安全技术 网络安全漏洞分类分级指南。
下载地址:https://openstd.samr.gov.cn/bzgk/std/newGbInfo?hcno=458BACCE700CA8E0B728CFB5F762DE7A

示例:
9101cebee70f8b84d74b49d31ae319cc.png

行业推荐标准

YDT3448-2019 联网软件源代码漏洞分类及等级划分规范
75e9c3ddd0cafcc6840debfe408fa365.png

看SRC平台

从各大SRC平台,看他们的定级标准。

参考资料

  • https://www.first.org/cvss/examples
  • https://www.vulbox.com/cvss
  • 通用漏洞评估方法CVSS 3.0 计算公式及说明 https://www.cnblogs.com/caya-yuan/p/10709623.html
  • GB/T 30279-2020 信息安全技术 网络安全漏洞分类分级指南 https://openstd.samr.gov.cn/bzgk/std/newGbInfo?hcno=458BACCE700CA8E0B728CFB5F762DE7A
  • YDT3448-2019 联网软件源代码漏洞分类及等级划分规范

相关文章:

  • HTTP:六.HTTP代理相关介绍
  • 力扣HOT100——无重复字符的最长子字符串
  • route
  • 基于javaweb的SpringBoot影视播放评分交流系统设计与实现(源码+部署文档)
  • 【VsCode】设置文件自动保存
  • Mysql 身份认证绕过漏洞
  • Kotlin 集合过滤全指南:all、any、filter 及高级用法
  • 二叉树的基本功能实现
  • Sentinel源码—1.使用演示和简介一
  • linuxbash原理
  • docker 多主机容器组网
  • x-cmd install | jellex - 用 Python 语法在终端里玩转 JSON 数据!
  • 自然语言交互:NAS进化的下一站革命
  • 智能云图库-1-项目初始化
  • 医学成像中的对比语言-图像预训练模型(CLIP):一项综述|文献速递-深度学习医疗AI最新文献
  • Multisim使用教程详尽版--(2025最新版)
  • 数据库索引深度解析:原理、类型与高效使用实践
  • 图像处理有哪些核心技术?技术发展现状如何?
  • 【信息安全】黑芝麻A1000芯片安全启动方案
  • Android Studio 日志系统详解
  • 第一集丨《无尽的尽头》值得关注,《榜上佳婿》平平无奇
  • 视频丨伊朗阿巴斯港一处油罐发生高强度爆炸:造成大面积破坏,伤亡不明
  • 传媒湃︱《金陵晚报》副刊“雨花石”5月起改为免费刊登
  • 健康社区“免疫行动”促进计划启动,发布成人预防“保典”
  • 现场|贝聿铭上海大展:回到他建筑梦的初始之地
  • 美官员称与乌克兰会谈富有成效,但仍存重大分歧