安全人员如何对漏洞进行定级？

CVSS 标准

CVSS 介绍

CVSS，即通用漏洞评分系统（Common Vulnerability Scoring System），是一个用于评估计算机系统漏洞严重程度的行业标准。

CVSS为安全专业人员、漏洞管理团队和系统管理员提供了一种标准化的方法来评估和比较不同漏洞的潜在影响，有助于他们根据漏洞的严重程度来优先处理和分配资源进行修复。

评分系统组成

• • 基础评分：这是CVSS评分的核心部分，基于漏洞的固有属性，如漏洞的可利用性、对系统的影响等因素来计算。基础评分不考虑漏洞所处的特定环境，是一个相对客观的评估。
• • 时间评分：考虑漏洞随着时间推移而发生的变化，例如漏洞被公开披露的时间、是否有可用的补丁等因素。时间评分会根据这些动态因素对基础评分进行调整，以更准确地反映漏洞当前的实际风险。
• • 环境评分：结合特定的运行环境来评估漏洞的影响，比如漏洞所在系统的重要性、受影响的资产价值等。环境评分允许用户根据自身组织的具体情况，对基础评分进行进一步的定制化调整，从而更贴合实际的安全状况。

评分指标

• • 可利用性：描述攻击者利用漏洞的难易程度，包括攻击向量（如网络、本地等）、攻击复杂度、所需权限、用户交互等方面。
• • 影响程度：衡量漏洞被利用后对系统造成的危害，涵盖机密性、完整性和可用性三个方面的影响。

评分范围及含义

• • CVSS评分范围从0到10分，分数越高表示漏洞的严重程度越高。
• • 例如，0 - 3.9分为低危漏洞，一般不会对系统造成严重影响；4 - 6.9分为中危漏洞，可能会导致部分系统功能受损或信息泄露；7 - 8.9分为高危漏洞，很可能导致系统被入侵、数据被窃取或系统瘫痪；9 - 10分为严重漏洞，一旦被利用，将对系统造成极其严重的破坏，如完全控制系统、大规模数据泄露等。

通过CVSS，企业和组织可以更科学地管理漏洞，将有限的资源集中在处理最严重的漏洞上，有效降低安全风险。

CVSS 计算器

• • https://cvss.xc1ym.com/
• • 源码：https://github.com/Xc1Ym/CVSS-v4.0-calculator

• • https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator
• • https://nvd.nist.gov/vuln-metrics/cvss/v4-calculator
• • https://redhatproductsecurity.github.io/cvss-v4-calculator/

国家推荐标准 GB/T 30279-2020

还可以参考国家推荐标准 GB/T 30279-2020 信息安全技术 网络安全漏洞分类分级指南。下载地址：https://openstd.samr.gov.cn/bzgk/std/newGbInfo?hcno=458BACCE700CA8E0B728CFB5F762DE7A

示例：

行业推荐标准

YDT3448-2019 联网软件源代码漏洞分类及等级划分规范

看SRC平台

从各大SRC平台，看他们的定级标准。

参考资料

• • https://www.first.org/cvss/examples
• • https://www.vulbox.com/cvss
• • 通用漏洞评估方法CVSS 3.0 计算公式及说明 https://www.cnblogs.com/caya-yuan/p/10709623.html
• • GB/T 30279-2020 信息安全技术 网络安全漏洞分类分级指南 https://openstd.samr.gov.cn/bzgk/std/newGbInfo?hcno=458BACCE700CA8E0B728CFB5F762DE7A
• • YDT3448-2019 联网软件源代码漏洞分类及等级划分规范