漏洞扫描结果差异背后的评分标准揭秘:国内外主流体系对比

admin 2025年5月7日10:14:38评论0 views字数 1615阅读5分23秒阅读模式

在使用了多个厂家的漏洞扫描工具后,发现针对同一版本应用扫描结果和评分也可能存在明显差异。好奇之下,研究了相关漏洞评分标准。

一、国内评分标准:GB/T 30279 - 2020

中国国家标准化管理委员会发布的 GB/T 30279 - 2020《信息安全技术 网络安全漏洞分类分级指南》,全文22页,自 2021 年 6 月 1 日正式实施。

漏洞扫描结果差异背后的评分标准揭秘:国内外主流体系对比

该标准的漏洞分级过程主要涵盖指标赋值、指标分级和分级计算三个步骤,每个环节都包含对应细致考量。

漏洞分级过程

  • 指标赋值:对根据具体漏洞对每个漏洞分级指标(如攻击复杂度、权限需求等)进行人工赋值:

  • 指标分级:根据指标赋值结果分别对被利用性、影响程度和环境因素等三个指标类进行分级将赋值结果归类为不同等级(如高、中、低),便于统一理解;

  • 分级计算:根据指标分级计算产生技术分级或综合分级的结果,技术分级结果由被利用性和影响程度两个指标类计算产生,综合分级由被利用性、影响程度和环境因素三个指标类计算产生。

漏洞扫描结果差异背后的评分标准揭秘:国内外主流体系对比

也就是说首先需要对被利用性和影响程度进行赋值以确定漏洞的技术分级值,然后结合环境因素得出最终的综合分级。

具体文档可访问国家标准全文公开系统(https://openstd.samr.gov.cn)免费下载。

二、国际标准:CVSS 4.0

CVSS(Common Vulnerability Scoring System)作为由美国 FIRST(事件响应和安全团队论坛)维护的开放标准,在国际上被广泛用于评估漏洞的严重性,当前版本为 CVSS 4.0。

漏洞扫描结果差异背后的评分标准揭秘:国内外主流体系对比

CVSS 由基本 Base、威胁 Threat、环境 Environment 和补充 Supplemental(可选)四个指标组构成,每个指标组又包含一系列具体指标。

指标组详解

  • Base(基本指标):衡量漏洞固有特征,不受时间或环境影响,如攻击向量(AV)、攻击复杂度(AC)、权限需求(PR)等。

  • Threat(威胁指标):反映漏洞在现实中的可利用性,如利用代码成熟度(E)、漏洞发现率(RL)等。

  • Environmental(环境指标):根据具体部署环境调整评分,如保密性、完整性和可用性要求(CR、IR、AR)等。

  • Supplemental(补充指标):描述漏洞其他属性,不参与评分计算。

漏洞扫描结果差异背后的评分标准揭秘:国内外主流体系对比

相关具体文档可访问官网在线阅读或下载(https://www.first.org)。

自动化评分

访问在线计算器来进行评分(https://www.first.org/cvss/calculator/4-0)

漏洞扫描结果差异背后的评分标准揭秘:国内外主流体系对比

三、对比分析

对比维度
GB/T 30279 - 2020
CVSS 4.0
主导机构
中国国家标准化管理委员会
FIRST(美国)
应用范围
国内通用
国际通用,广泛应用于漏洞披露
分级依据
被利用性、影响程度、环境因素
基本、威胁、环境、补充
分级结果
超危/高危 / 中危 / 低危
0.0 - 10.0 数值评分
自动化评分
需人工赋值,依赖专家经验
需人工辅助,支持在线计算
环境适配性
强制要求环境因素调整 
环境指标为可选项

四、厂商评分差异猜测

评分版本差异:CVSS 等国际标准迭代、国内标准的变更,且厂商自有标准权重各异,致使同一漏洞风险等级判定不同。

厂商技术标准判定差异:各厂商对于漏洞的技术判断(如高危”漏洞的评分阈值有不同的设定 等)差异,造成判定结果分化。

误漏报率影响:扫描阈值设置差异导致误漏报率不同,误报虚高评分,漏报使评分失真也导致厂商评级不一致。

对于厂商之间评分差异的具体原因,如果有了解的朋友,欢迎在评论区留言解惑

参考链接

[1]https://www.first.org/cvss/v4-0/specification-document

[2]https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=458BACCE700CA8E0B728CFB5F762DE7A

-End-

如果觉得我的分享有用

[点赞+分享+关注]

原文始发于微信公众号(网络个人修炼):漏洞扫描结果差异背后的评分标准揭秘:国内外主流体系对比

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月7日10:14:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   漏洞扫描结果差异背后的评分标准揭秘:国内外主流体系对比https://cn-sec.com/archives/4036433.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息