安全人员如何对漏洞进行定级?

CVSS 标准

CVSS 介绍

CVSS,即通用漏洞评分系统(Common Vulnerability Scoring System),是一个用于评估计算机系统漏洞严重程度的行业标准。

CVSS为安全专业人员、漏洞管理团队和系统管理员提供了一种标准化的方法来评估和比较不同漏洞的潜在影响,有助于他们根据漏洞的严重程度来优先处理和分配资源进行修复。

评分系统组成

  • 基础评分:这是CVSS评分的核心部分,基于漏洞的固有属性,如漏洞的可利用性、对系统的影响等因素来计算。基础评分不考虑漏洞所处的特定环境,是一个相对客观的评估。
  • 时间评分:考虑漏洞随着时间推移而发生的变化,例如漏洞被公开披露的时间、是否有可用的补丁等因素。时间评分会根据这些动态因素对基础评分进行调整,以更准确地反映漏洞当前的实际风险。
  • 环境评分:结合特定的运行环境来评估漏洞的影响,比如漏洞所在系统的重要性、受影响的资产价值等。环境评分允许用户根据自身组织的具体情况,对基础评分进行进一步的定制化调整,从而更贴合实际的安全状况。

评分指标

  • 可利用性:描述攻击者利用漏洞的难易程度,包括攻击向量(如网络、本地等)、攻击复杂度、所需权限、用户交互等方面。
  • 影响程度:衡量漏洞被利用后对系统造成的危害,涵盖机密性、完整性和可用性三个方面的影响。

评分范围及含义

  • CVSS评分范围从0到10分,分数越高表示漏洞的严重程度越高。
  • 例如,0 - 3.9分为低危漏洞,一般不会对系统造成严重影响;4 - 6.9分为中危漏洞,可能会导致部分系统功能受损或信息泄露;7 - 8.9分为高危漏洞,很可能导致系统被入侵、数据被窃取或系统瘫痪;9 - 10分为严重漏洞,一旦被利用,将对系统造成极其严重的破坏,如完全控制系统、大规模数据泄露等。

通过CVSS,企业和组织可以更科学地管理漏洞,将有限的资源集中在处理最严重的漏洞上,有效降低安全风险。

CVSS 计算器

国家推荐标准 GB/T 30279-2020

还可以参考国家推荐标准 GB/T 30279-2020 信息安全技术 网络安全漏洞分类分级指南。

下载地址:https://openstd.samr.gov.cn/bzgk/std/newGbInfo?hcno=458BACCE700CA8E0B728CFB5F762DE7A

示例:

行业推荐标准

YDT3448-2019 联网软件源代码漏洞分类及等级划分规范

看SRC平台

从各大SRC平台,看他们的定级标准。

参考资料

相关推荐
技术不好的崎鸣同学17 分钟前
Windows 命令提示符(CMD)恶意脚本分析篇
网络·windows·安全·系统安全
m0_7156744324 分钟前
2026年医疗行业数据库风险监测产品综合能力排名分析
网络·数据库
Sagittarius_A*41 分钟前
Docker:渗透前置容器化核心基础
运维·安全·docker·容器
孟郎郎1 小时前
AI 辅助开发编程敏感信息保护安全规范
人工智能·安全·ai·风险·隐患
iDao技术魔方2 小时前
Node.js v26.5.0 深度解读:import Text、流式 ReadableStreamTee、以及隐藏的安全加固浪潮
安全·node.js
阿米亚波2 小时前
【EVE-NG 实战】防火墙基础(VLAN · VRRP · NAT · ACL · 静态路由)
运维·网络·笔记·网络协议·计算机网络·网络安全·运维开发
零意@2 小时前
海光平台debian11的系统,打开pstore功能和验证功能
网络
SizeTheMoment2 小时前
Spring Cloud 微服务认证体系深度解析:从架构设计到安全实践
安全·spring cloud·微服务
blueman88882 小时前
qt5-serialbus详细解析
开发语言·网络·qt
学究天人3 小时前
数学公理体系大全:Comprehensive Collection of Mathematical Axiom Systems(卷6)
网络·算法·数学建模·动态规划·几何学·图论·拓扑学