通用漏洞评分系统 (CVSS)系统入门指南

通用漏洞评分系统 (CVSS) 是一个公共框架 ，用于评估软件中安全漏洞的严重性。这是一个中立的评分系统，让所有企业能够使用相同的评分框架对各种软件产品（从操作系统、数据库再到 Web 应用程序）的 IT 漏洞进行评分。

为什么企业要采用 CVSS

在没有 CVSS 以前，软件供应商使用自己的方法对软件漏洞进行评分，但是他们通常没有详细说明分数是如何计算的。这给安全人员带来了一个难题：首先修复严重性为“高”的漏洞，还是修复等级为 5 的漏洞？为了解决这个问题，美国国家基础设施保障委员会 (NIAC) 开发了 CVSS 来简化一致分数的生成，该分数可以准确反映漏洞对特定 IT 环境的严重性和影响。

作为一个公开的评分框架，企业可以自由访问用于生成分数的参数，清楚地了解任何漏洞分数背后的原理和差异。这让安全团队更容易评估漏洞对其系统的影响，并优先考虑首先修复哪些漏洞。CVSS 还可以帮助组织满足各种标准的安全合规要求。

目前，CVSS 已被广泛采用，并被美国国土安全部 (DHS)、美国计算机应急响应小组 (CERT) 和许多其他机构使用。Cisco、Qualys、Oracle 和 SAP 等大型企业也会生成 CVSS 分数，以告知用户在其产品中发现的漏洞的严重性。软件开发人员还可以使用 CVSS 分数来确定安全测试的优先级，以确保在开发过程中修复或缓解已知的严重漏洞。

如何理解 CVSS 分数

许多安全团队使用 CVSS 来确定漏洞管理活动的优先级，例如事件响应流程、缺陷跟踪和解决，或缓解控制的实施。

最新版本 CVSS v3.1 中，通过对受利用过程和影响的因素进行评估，从而得出最终的严重性分数。当企业在没有相关环境信息的情况下设置漏洞的某些属性时，CVSS 分数就是一个可参考的“客观”信息。以下是 Spring4Shell 漏洞 的 CVSS 示例，其严重性评分为 9.8 CRITICAL。

图片来源：Sysdig

基本指标

CVSS 的基础分数（Base Score）由以下变量计算得出：

攻击向量 (Attack Vector) : 该指标反映了可能利用漏洞的环境。攻击者距离越远（例如远程利用漏洞发起攻击），基本得分越高。

攻击复杂度 (Attack complexity) : 该指标反映了利用漏洞的复杂/容易程度。在高复杂度的情况下，需要攻击者花费大量的努力来准备或执行针对易受攻击的组件。最不复杂的攻击，基本得分最高。

所需特权 (Privileges Required) : 决定了攻击者成功利用漏洞所必须拥有的特权级别。共有三个选项 None/Low/High。None 是指无需身份验证即可利用漏洞。在没有特权的情况下，基本分数最高。

用户交互 (User Interaction) ：这一项描述了是否可以在没有单独用户参与的情况下利用漏洞。这在用户需要与威胁（恶意软件）交互以破坏其设备的移动应用程序中很常见。另一个例子，类似于网络钓鱼攻击，本身并没有风险，但攻击者使用社交工程来让受害者点击链接并受到攻击。

范围 (Scope)：度量捕获一个易受攻击组件中的漏洞是否会影响超出其安全范围的组件中的资源，当范围没有发生变化时，基本分数最低。

CIA (机密性、完整性和可用性) : 该模型是构成安全系统和策略开发的权威安全模型基础。这三个影响指标反映了成功利用漏洞的影响和后果。

基本分数是一个客观值，随着时间的推移保持稳定并且在各企业之间保持一致。作为补充还有两个指标，分别为时间和环境。这些值会带来更多的评分复杂性，因此在企业进行漏洞管理早期可能不会关注。

时间指标

时间指标根据漏洞的当前状态作为已知漏洞来衡量漏洞的各个方面，因此代表了漏洞的随时间变化的属性，例如官方补丁的发布。它还包括报告置信度指标，该指标衡量对漏洞存在的置信度以及证明漏洞真实且可利用的已知技术细节的可信度。因此会随着漏洞的生命周期而改变。

环境指标

环境指标让安全人员可以根据受影响的 IT 资产对其的重要性来自定义 CVSS 分数。该指标提供了漏洞在企业内部的真实环境（包括受漏洞影响的资产关键性、缓解控制识别和相关资产使用）。

具体 CVSS 分数计算示例见参考链接。

CVSS 补充评分系统

在评估系统的安全性时，以下的衍生评分系统能够对 CVSS 进行有效补充。比如：

通用误用评分系统 (CMSS)：这是一组衡量具有误用漏洞的软件的严重性指标。该分数可以帮助公司提供用于对系统的整体安全状况进行定量评估的数据。

通用配置评分系统 (CCSS)：CCSS 基于 CVSS 和 CMSS。CCCS将基准指标的可利用性分为主动或被动。主动利用是指攻击者执行操作以利用错误配置，而被动利用指的是通过配置缺陷使授权机制失效。

通用弱点评分系统 (CWSS)：从概念上讲，CVSS 和 CWSS 非常相似。通过对弱点的描述方法进行标准化，用户可以通过CWSS的攻击面指标和环境指标，使用业务环境的上下文信息来评价软件功能所面临的风险，以便精准地进行安全决策。CWSS 可以应用在发布新漏洞的早期过程中。

参考链接：

https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator