医疗器械网络安全风险评定CVSS打分

为了完成医疗器械软件的网络安全风险评定相关文档,需要进行CVSS评分,这个评分对于第一次做的人来说感觉还是有些迷惑的,查了一些资料,留作参考。

CVSS 指的是 Common Vulnerability Scoring System,即通用漏洞评分系统。它是一种用于评估和量化计算机系统和网络设备安全性的开放标准。CVSS 的主要目的是为安全专业人员提供一个共享的、一致的框架,以评估和比较安全漏洞的严重性。

1、CVSS评分网址

CVSS评分网址:https://www.first.org/cvss/calculator/3.1

如下图,一般情况下,只需要选择基本评分即可,选择完对应的选项评分值,自动会出评分数值。

2、基本评分各项说明

攻击向量 (Attack Vector):

取值:N(无)、A(相邻)、L(本地)、P(物理)。

描述:攻击者与受影响组件之间的位置关系。

具体评分:取值为 A(相邻)时为0.85,L(本地)时为0.58,P(物理)时为0.45,N(无)时为0。

攻击复杂性 (Attack Complexity):

取值:L(低)、H(高)。

描述:利用漏洞的难度。

具体评分:取值为 L(低)时为0.77,H(高)时为0.44。

权限需求 (Privileges Required):

取值:N(无)、L(低)、H(高)。

描述:攻击者在成功利用漏洞之前需要的权限级别。

具体评分:取值为 L(低)时为0.85,H(高)时为0.62,N(无)时为0。

用户互动 (User Interaction):

取值:N(无)、R(需要)、UC(用户的点击)。

描述:攻击者是否需要用户交互才能成功利用漏洞。

具体评分:取值为 R(需要)时为0.77,UC(用户的点击)时为0.85,N(无)时为0。

影响范围 (Scope):

取值:U(未知)、C(改变)、U(未改变)。

描述:攻击成功后对受影响组件的影响范围。

具体评分:取值为 U(未知)时为0,C(改变)时为1.08。

机密性影响 (Confidentiality Impact):

取值:N(无影响)、L(低)、H(高)。

描述:漏洞对机密性的影响程度。

具体评分:取值为 L(低)时为0.22,H(高)时为0.56,N(无)时为0。

完整性影响 (Integrity Impact):

取值:N(无影响)、L(低)、H(高)。

描述:漏洞对完整性的影响程度。

具体评分:取值为 L(低)时为0.22,H(高)时为0.56,N(无)时为0。

可用性影响 (Availability Impact):

取值:N(无影响)、L(低)、H(高)。

描述:漏洞对可用性的影响程度。

具体评分:取值为 L(低)时为0.22,H(高)时为0.56,N(无)时为0。

具体介绍可以参考规格说明文档:

https://www.first.org/cvss/v3.1/specification-document

相关推荐
oe10191 个月前
以一个B站必剪应用Bug过一下CVSS 4.0评分
网络安全·cvss
网安 云的小运营3 个月前
医疗器械如何进行网络安全评估?
网络·安全·web安全·医疗器械
网安 云的小运营3 个月前
2024上半年医疗器械网络安全事件盘点
网络·安全·web安全·医疗器械
网安 云的小运营4 个月前
医疗器械网络安全 | 漏洞扫描、渗透测试没有发现问题,是否说明我的设备是安全的?
网络安全·医疗器械·漏洞扫描·fda
网安 云的小运营4 个月前
医疗器械FDA |FDA网络安全测试具体内容
网络安全·安全测试·医疗器械·fda
网安 云的小运营4 个月前
医疗器械网络安全| 常见安全漏洞与防护措施
安全·网络安全·医疗器械·fda·医疗软件
Jack153027682794 个月前
什么是上拉电阻器?上拉和下拉电阻的典型应用
stm32·单片机·嵌入式硬件·智能家居·医疗器械·新能源汽车充电枪锁
网安 云的小运营4 个月前
医疗器械FDA | FDA如何对医疗器械网络安全认证进行审查?
web安全·网络安全·医疗器械·fda·医疗软件
VRARvrnew3d4 个月前
医疗器械3D全景展会在线漫游创造数字化时代的展览新篇章
3d·vr·虚拟现实·3d全景·医疗器械·3d展会·虚拟展会
网安 云的小运营7 个月前
医疗器械网络安全 | 美国FDA审批程序和欧盟合格评定程序的区别
网络安全·医疗器械·fda·欧盟