什么是CVSS？CVSS是由哪個(gè)組織定義和維護(hù)的？CVSS主要用途是什么？CVSS 3.X與2.X版本主要有哪些區(qū)別？如何給一個(gè)CVE漏洞進(jìn)行評(píng)分？讀完本文你將收獲所有答案。如還有其他相關(guān)疑問(wèn)，歡迎留言討論。

1. 簡(jiǎn)介

CVSS全稱(chēng)是Common Vulnerability Scoring System，中文翻譯為通用漏洞評(píng)分系統(tǒng)，CVSS是一個(gè)用于溝通軟件漏洞特征和嚴(yán)重性的開(kāi)放框架，它由FIRST（Forum of Incident Response and Security Teams）定義和維護(hù)。CVSS提供了一種方法來(lái)獲取漏洞的主要特征，并生成反映其嚴(yán)重性的數(shù)值評(píng)分，取值范圍[0,10]，取值越高表明漏洞越嚴(yán)重，主要用于幫助組織或企業(yè)在漏洞管理流程中評(píng)估與定級(jí)漏洞。CVSS當(dāng)前最新版本為3.1（2019年6月發(fā)布），關(guān)于CVSS 3.1版本的官方詳細(xì)介紹文檔可以點(diǎn)此下載，當(dāng)前正在推進(jìn)CVSS 4.0版本，解決了3.X版本中存在的一些問(wèn)題。

Note: FIRST是一個(gè)美國(guó)的非盈利組織，F(xiàn)IRST成員主要來(lái)自教育、商業(yè)、供應(yīng)商、政府和軍事等多種組織的團(tuán)隊(duì)。FIRST旨在將來(lái)自世界各國(guó)的事件響應(yīng)和安全團(tuán)隊(duì)聚集在一起，以確保所有人都能安全上網(wǎng)。目前在中國(guó)有12個(gè)團(tuán)隊(duì)加入了FIRST，如阿里、華為、中興、騰訊。

2. CVSS組成

CVSS由三個(gè)度量組組成：

• 基礎(chǔ)度量組：表示漏洞的內(nèi)在特性，這些特性不會(huì)隨時(shí)間和用戶(hù)環(huán)境而變化；
• 時(shí)間度量組：反映了漏洞隨時(shí)間變化的特性；
• 環(huán)境度量組：表示用戶(hù)環(huán)境特有的漏洞特性。

基礎(chǔ)組產(chǎn)生的分?jǐn)?shù)范圍為0到10，然后可以通過(guò)對(duì)時(shí)間和環(huán)境度量進(jìn)行評(píng)分來(lái)細(xì)化基礎(chǔ)得分，以便更準(zhǔn)確地反映特定時(shí)間點(diǎn)用戶(hù)環(huán)境中的漏洞所造成的相對(duì)嚴(yán)重性。對(duì)時(shí)間和環(huán)境指標(biāo)進(jìn)行評(píng)分不是必須的，但建議對(duì)其進(jìn)行更精確的評(píng)分。CVSS分?jǐn)?shù)可通過(guò)向量字符串表示，如CVSS:3.1/AV:A/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:L/E:P/MUI:N。接下來(lái)會(huì)分別詳細(xì)介紹以上三個(gè)度量組。

圖1：CVSS打分計(jì)算公式

2.1. 基礎(chǔ)度量組

基本度量組表示漏洞的內(nèi)在特征，不隨時(shí)間和環(huán)境變化，基礎(chǔ)度量組由二個(gè)子度量組和一個(gè)范圍元素組成，

• 可利用性（Exploitability）：反映了漏洞可利用的容易程度和技術(shù)手段，稱(chēng)之為脆弱組件；
• 影響（Impact）：反映了成功利用的直接后果，稱(chēng)之為受影響的組件
• 范圍（Scope）：這是CVSS v3.0中引入的一個(gè)關(guān)鍵功能，可用于衡量除易受攻擊組件之外的漏洞的影響

Note：易受攻擊的組件：通常是指軟件應(yīng)用程序、模塊、驅(qū)動(dòng)程序、硬件設(shè)備。

在對(duì)基礎(chǔ)度量進(jìn)行評(píng)分時(shí)，應(yīng)假設(shè)攻擊者對(duì)目標(biāo)系統(tǒng)的弱點(diǎn)有深入了解，包括一般配置和默認(rèn)防御機(jī)制（例如內(nèi)置防火墻、速率限制、流量監(jiān)控）。例如，利用導(dǎo)致可重復(fù)、確定性成功的漏洞仍然應(yīng)視為攻擊復(fù)雜性的低值，與攻擊者的知識(shí)或能力無(wú)關(guān)。此外，特定于目標(biāo)的攻擊緩解（例如，自定義防火墻過(guò)濾器、訪問(wèn)列表）應(yīng)反映在環(huán)境度量評(píng)分組中。

Note: 特定配置不應(yīng)影響影響CVSS基礎(chǔ)得分的任何屬性

2.1.1. 可利用性度量

2.1.1.1. Attack Vector (AV) 攻擊向量

該指標(biāo)反映了漏洞利用的可能性。為了利用易受攻擊的組件，攻擊者越遠(yuǎn)（邏輯上和物理上），該度量值（以及因此的基礎(chǔ)分?jǐn)?shù)）就越大。假設(shè)可以通過(guò)網(wǎng)絡(luò)利用漏洞的潛在攻擊者數(shù)量大于需要物理訪問(wèn)設(shè)備才能利用漏洞的可能攻擊者數(shù)量，因此可以獲得更高的基本分?jǐn)?shù)。

Note： Network和Adjacent的攻擊是綁定協(xié)議棧的，而Local和Physic的攻擊是不綁定網(wǎng)絡(luò)協(xié)議棧的；

2.1.1.2. Attack Complexity（AC）攻擊復(fù)雜性

該度量描述了攻擊者無(wú)法控制的條件，攻擊者必須存在這些條件才能利用該漏洞。

Note：攻擊者不可掌控的條件有中間人、序列號(hào)、共享秘鑰、難以贏得的競(jìng)爭(zhēng)條件等。

2.1.1.3. Privileges Required （PR）所需權(quán)限

此度量描述攻擊者在成功利用漏洞之前必須擁有的權(quán)限級(jí)別。如果不需要特權(quán)，則基礎(chǔ)分?jǐn)?shù)最高。

一般認(rèn)為可以訪問(wèn)系統(tǒng)的核心配置文件、重新復(fù)位設(shè)置、加載卸載驅(qū)動(dòng)、對(duì)文件系統(tǒng)可以不受限的訪問(wèn)等一個(gè)或多個(gè)特權(quán)的賬戶(hù)屬于影響力較高的賬戶(hù)，PR取值應(yīng)為H。

2.1.1.4. User Interaction（UI）用戶(hù)交互

此度量描述了除攻擊者之外的用戶(hù)參與成功攻擊易受攻擊組件的要求。

2.1.2. 影響度量

2.1.2.1. Confidentiality （C）機(jī)密性

機(jī)密性是指僅授權(quán)用戶(hù)可訪問(wèn)和披露受限信息，以及防止未授權(quán)用戶(hù)訪問(wèn)或披露。當(dāng)受影響組件的損失最高時(shí)，基本得分最高。

2.1.2.2. Integrity (I) 完整性

Integrity指信息的可信度和真實(shí)性。

2.1.2.3. Availability (A) 可用性

機(jī)密性和完整性影響度量適用于受影響組件使用的數(shù)據(jù)（例如，信息、文件）的機(jī)密性或完整性損失，但該度量指受影響組件本身的可用性損失，例如網(wǎng)絡(luò)服務(wù)（例如，網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、電子郵件）。由于可用性是指信息資源的可訪問(wèn)性，因此消耗網(wǎng)絡(luò)帶寬、處理器周期或磁盤(pán)空間的攻擊都會(huì)影響受影響組件的可用性。

Note：可用性取值為H時(shí)，表明在某個(gè)時(shí)間點(diǎn)有全部資源不可訪問(wèn)的情況。

2.1.3. Scope（S）范圍

范圍度量描述一個(gè)易受攻擊組件中的漏洞是否會(huì)影響組件中超出其安全范圍的資源。

Note：Scope是Authorization Scope的簡(jiǎn)稱(chēng)，所以Scope是個(gè)授權(quán)域，即對(duì)某些資源（文件、內(nèi)存、CPU等）有特定的權(quán)限。Scope取值為C時(shí)，AV/AC/UI/PR基于漏洞組件選擇，然后分別對(duì)漏洞組件和受影響組件分別選擇C/I/A的評(píng)分，最后選擇較高的評(píng)分作為最終評(píng)分。

2.2. 時(shí)間度量組

時(shí)間度量組反映了有漏洞特征可能會(huì)隨時(shí)間而變化，但不會(huì)在用戶(hù)環(huán)境中變化。例如，一個(gè)簡(jiǎn)單易用的漏洞工具包的出現(xiàn)會(huì)增加CVSS分?jǐn)?shù)，而創(chuàng)建一個(gè)官方補(bǔ)丁會(huì)降低它。

Note: 由于該度量組平時(shí)很少用到，在此不做詳細(xì)展開(kāi)，更多細(xì)節(jié)可以查看官方文檔，點(diǎn)擊下載。

2.3. 環(huán)境度量組

環(huán)境度量組表示與特定用戶(hù)環(huán)境相關(guān)且獨(dú)立的漏洞特征?？紤]因素包括是否存在安全控制措施（用于降低被攻擊的部分或全部損失或風(fēng)險(xiǎn)），以及技術(shù)基礎(chǔ)設(shè)施中易受攻擊系統(tǒng)的重要性。

Note：由于該度量組平時(shí)很少用到，在此不做詳細(xì)展開(kāi)，更多細(xì)節(jié)可以查看官方文檔，點(diǎn)擊下載。

3. CVSS在線計(jì)算

打開(kāi)網(wǎng)址https://www.first.org/cvss/calculator/3.1，基于上面介紹的評(píng)分維度進(jìn)行勾選，系統(tǒng)會(huì)自動(dòng)算出CVSS基礎(chǔ)評(píng)分。

在已知道打分向量的前提下可以直接把打分向量拼接在網(wǎng)址后面，按下回車(chē)系統(tǒng)自動(dòng)選擇對(duì)應(yīng)取值并完成打分計(jì)算。如
https://www.first.org/cvss/calculator/3.1#CVSS:3.1/AV:A/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:L/E:P/MUI:N

4. 嚴(yán)重級(jí)別劃分

出于某些場(chǎng)景，對(duì)基礎(chǔ)、時(shí)間和環(huán)境分?jǐn)?shù)進(jìn)行文本表示是有用的，常用的為嚴(yán)重級(jí)別劃分，具體如下

5. 向量字符串表示

向量字符串是一組CVSS度量的文本表示。它通常用于以簡(jiǎn)潔的形式記錄或傳輸CVSS度量信息。
CVSS v3.1向量字符串以標(biāo)簽“CVSS:”和當(dāng)前版本的數(shù)字表示“3.1”開(kāi)頭。度量信息以向量的形式出現(xiàn)，每個(gè)度量前面都有一個(gè)正斜杠“/”，用作分隔符。每個(gè)度量都是縮寫(xiě)形式的度量名稱(chēng)、冒號(hào)“：”及其相關(guān)度量值。具體見(jiàn)下表：

例如，如果基礎(chǔ)度量值為“攻擊向量：網(wǎng)絡(luò)，攻擊復(fù)雜性：低，所需權(quán)限：高，用戶(hù)交互：無(wú)，范圍：不變，機(jī)密性：低，完整性：低、可用性：無(wú)”，并且沒(méi)有指定的時(shí)間或環(huán)境度量，則會(huì)產(chǎn)生以下向量：
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:N

6. 案例：心臟出血漏洞CVE-2014-0160

此漏洞會(huì)發(fā)送一個(gè)畸形的心跳請(qǐng)求到服務(wù)器，服務(wù)器內(nèi)存會(huì)作出響應(yīng)從而引發(fā)漏洞，主要原因是OpenSSL在驗(yàn)證心跳請(qǐng)求的有效性之前就將心跳包后的內(nèi)存信息發(fā)送給了攻擊者。
基礎(chǔ)打分計(jì)算如下：

解釋?zhuān)?br> AV取值N – 通過(guò)遠(yuǎn)程發(fā)送心跳包即可執(zhí)行攻擊
AC取值L – 攻擊者通過(guò)構(gòu)造畸形心跳請(qǐng)求的難度不大
PR取值N – 整個(gè)攻擊過(guò)程不需要權(quán)限驗(yàn)證
UI取值N – 無(wú)需截獲通信包來(lái)進(jìn)行交互
S取值U – 只影響到了當(dāng)前服務(wù)器內(nèi)存上的數(shù)據(jù)
C取值H – 內(nèi)存數(shù)據(jù)泄露給了攻擊者
I取值N – 數(shù)據(jù)未被修改
A取值N – 系統(tǒng)正常運(yùn)行

7. 常見(jiàn)問(wèn)題解答

7.1. 版本發(fā)布?xì)v史

• 2019年6月 CVSS 3.1
• 2015年6月 CVSS 3.0
• 2007年6月 CVSS V2

7.2. CVSS 3.1相比3.0，主要有哪些變化點(diǎn)？

根據(jù)CVSS v3.0計(jì)算器代碼創(chuàng)建了CVSS v3.1計(jì)算器，主要是對(duì)度量描述的更改和對(duì)基礎(chǔ)公式的小修改。

7.3. CVSS與SCAP有什么關(guān)系？

安全內(nèi)容自動(dòng)化協(xié)議（SCAP：Security Content Automation Protocol）是由美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)制定的一套安全規(guī)范，可以使技術(shù)安全操作得到自動(dòng)化和標(biāo)準(zhǔn)化。2007年，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）將CVSS v2.0作為其安全內(nèi)容自動(dòng)化協(xié)議（SCAP）的一部分。

8. 參考

https://www.first.org/cvss/user-guide文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-633735.html

到了這里，關(guān)于【網(wǎng)絡(luò)安全常用術(shù)語(yǔ)解讀】CVSS詳解的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！