CVSS 通用漏洞评分系统:漏洞风险评估的核心标准
CVSS(通用漏洞评分系统)是由NIST维护的开源标准,用于量化漏洞风险。其核心价值在于提供统一的风险评估语言,指导漏洞修复优先级,并支持合规要求。CVSS已迭代至4.0版本,当前主流使用3.1版,包含基础、时间和环境三大指标组,评分范围0-10分对应5个风险等级。尽管CVSS是行业标准,但仍存在不考虑攻击动机、业务风险等局限性。实际应用中需结合环境指标和防御措施综合判断,而非单纯依赖评分数字。漏
CVSS(Common Vulnerability Scoring System,通用漏洞评分系统)是一套开源、行业通用的漏洞风险量化标准,由 NIST(美国国家标准与技术研究院)主导维护,核心目标是通过标准化的指标体系,客观评估漏洞的严重程度,帮助安全人员、开发者、运维人员统一风险认知,优先处理高风险漏洞。
一、CVSS 的核心价值
- 统一风险语言:避免不同机构对同一漏洞 “高 / 中 / 低风险” 的主观判定差异(比如 A 厂商认为是高危,B 厂商认为是中危);
- 指导优先级决策:在海量漏洞中,通过评分快速筛选出最需要紧急修复的漏洞(如评分 9.0 + 的 Critical 漏洞);
- 支撑合规与流程:满足等保、PCI DSS 等合规要求,为漏洞管理流程(发现 - 评估 - 修复 - 验证)提供量化依据;
- 跨平台通用性:适用于硬件、软件、网络设备、云服务等各类场景的漏洞评估,无行业限制。
二、CVSS 的版本演进(核心版本对比)
CVSS 已迭代 3 个核心版本,目前主流使用CVSS 3.1(2019 年发布,修复 3.0 的逻辑漏洞,更精准),部分老旧系统仍沿用 2.0:
| 版本 | 发布时间 | 核心改进 | 适用场景 |
|---|---|---|---|
| CVSS 2.0 | 2007 年 | 奠定基础框架(Base/Time/Environmental 指标) | 老旧系统、历史漏洞评估 |
| CVSS 3.0 | 2015 年 | 拆分指标(如将 “复杂度” 细化)、新增 “攻击向量” 维度 | 过渡版本,逐步被 3.1 替代 |
| CVSS 3.1 | 2019 年 | 修复权限提升逻辑、明确 “范围(Scope)” 定义、优化环境指标 | 目前主流,推荐优先使用 |
| CVSS 4.0 | 2023 年 | 新增 “攻击成熟度”“漏洞利用范围” 等指标,支持供应链漏洞评估 | 新兴版本,逐步推广 |
注:目前多数漏洞库(如 NVD、CNVD)同时标注 3.1 和 2.0 评分,优先参考 3.1 版本(更贴合当前攻击场景)。
三、CVSS 3.1 的核心指标体系(最常用)
CVSS 评分由三大指标组构成,最终得分范围为0.0(无风险)-10.0(极高风险),其中前两组为 “基础指标”(决定核心得分),第三组为 “环境指标”(根据实际场景调整):
1. 基础指标组(Base Metrics):漏洞本身的固有属性(不随时间 / 环境变化)
核心决定漏洞的 “固有风险”,分为 6 个维度,所有维度均为必填项:
| 指标维度 | 核心含义 | 可选值(示例) | 对评分的影响 |
|---|---|---|---|
| 攻击向量(AV) | 攻击者可通过何种方式发起攻击 | 网络(N,如远程漏洞)、相邻(A,如局域网)、本地(L,需物理接触)、物理(P,需接触设备) | 网络(N)权重最高,物理(P)最低 |
| 攻击复杂度(AC) | 发起攻击需要的技术门槛 / 条件 | 低(L,新手可操作)、高(H,需专业技能 / 特殊条件) | 低复杂度会显著提高评分 |
| 权限要求(PR) | 攻击者是否需要账号 / 权限 | 无(N,匿名攻击)、低(L,普通用户权限)、高(H,管理员权限) | 无权限(N)权重最高 |
| 交互要求(UI) | 是否需要受害者主动配合(如点击链接、打开文件) | 无(N,无需交互)、有(R,需受害者操作) | 无需交互(N)风险更高 |
| 影响范围(S) | 漏洞影响是否超出初始攻击目标 | 不变(U,仅影响目标本身)、变更(C,可扩散到其他系统 / 用户) | 范围变更(C)评分更高(如蠕虫类漏洞) |
| 机密性影响(C) | 漏洞是否导致数据泄露 | 无(N)、低(L,部分非敏感数据)、高(H,核心敏感数据) | 高机密性影响(H)权重最高 |
| 完整性影响(I) | 漏洞是否导致数据被篡改 | 无(N)、低(L,非核心数据篡改)、高(H,核心数据 / 程序篡改) | 高完整性影响(H)权重最高 |
| 可用性影响(A) | 漏洞是否导致系统 / 服务不可用 | 无(N)、低(L,短暂卡顿)、高(H,系统瘫痪、拒绝服务) | 高可用性影响(H)权重最高 |
2. 时间指标组(Temporal Metrics):漏洞随时间变化的属性
反映漏洞的 “当前风险状态”,可根据实际情况调整:
| 指标维度 | 核心含义 | 可选值 | 示例 |
|---|---|---|---|
| 漏洞利用成熟度(E) | 漏洞是否有公开的利用工具 / 代码 | 未验证(X)、无利用(U)、功能 POC(P)、成熟利用(F)、活跃攻击(A) | Log4j 漏洞后期为 “活跃攻击(A)”,评分升高 |
| 修复级别(RL) | 厂商是否提供修复方案(补丁、临时缓解措施) | 未定义(X)、无修复(U)、临时缓解(T)、官方补丁(O)、完全修复(F) | 有官方补丁(O)后,风险降低 |
| 报告可信度(RC) | 漏洞报告的真实性 / 准确性 | 未定义(X)、未确认(U)、确认(C)、可信来源(R) | 可信来源(R)的漏洞更值得重视 |
3. 环境指标组(Environmental Metrics):漏洞所在环境的特定属性
根据用户自身的 IT 环境调整,体现 “个性化风险”:
| 指标维度 | 核心含义 | 调整逻辑 |
|---|---|---|
| 机密性要求(CR) | 受影响系统 / 数据的机密性重要程度 | 低(L)/ 中(M)/ 高(H),核心业务系统设为 “高(H)”,评分会上浮 |
| 完整性要求(IR) | 受影响数据 / 程序的完整性重要程度 | 核心交易数据设为 “高(H)”,评分上浮 |
| 可用性要求(AR) | 受影响服务的可用性重要程度 | 核心服务(如支付、办公系统)设为 “高(H)”,评分上浮 |
| 目标分布(CD) | 受影响系统的部署范围 | 广泛部署(W)/ 有限部署(L)/ 单一部署(S),广泛部署会提高评分 |
四、CVSS 评分等级划分(通用标准)
无论哪个版本,评分均对应 5 个风险等级,行业统一遵循:
| 评分范围 | 风险等级 | 英文标识 | 处理建议 |
|---|---|---|---|
| 0.0 | 无风险 | None | 无需处理 |
| 0.1 - 3.9 | 低风险 | Low | 定期关注,可在常规维护中修复 |
| 4.0 - 6.9 | 中风险 | Medium | 计划修复,在 1-3 个月内完成 |
| 7.0 - 8.9 | 高风险 | High | 紧急修复,1 周内完成(优先处理可远程利用的漏洞) |
| 9.0 - 10.0 | 极高风险 | Critical | 立即修复(0-72 小时内),必要时暂停受影响服务 |
示例:Log4j2 远程代码执行漏洞(CVE-2021-44228)的 CVSS 3.1 评分为 10.0(Critical),因满足 “远程攻击(AV:N)、无权限要求(PR:N)、无需交互(UI:N)、影响范围变更(S:C)”,属于最高风险等级。
五、CVSS 的局限性(使用时需注意)
- 不考虑攻击动机:仅评估 “漏洞能造成的危害”,不考虑攻击者是否有动力利用(如小众系统的高危漏洞,实际攻击概率低);
- 不覆盖业务风险:评分仅针对技术层面,未考虑业务场景(如同样是中风险漏洞,影响核心交易系统 vs 测试系统,业务风险差异极大);
- 依赖指标准确性:若漏洞的 “攻击向量”“利用成熟度” 等信息填写错误,会导致评分失真(需参考权威漏洞库如 NVD 的标注);
- 不评估防御措施:默认 “无任何防御” 场景,实际环境中若有防火墙、WAF、补丁等防护,风险会降低(需结合环境指标调整)。
六、实际使用场景
- 漏洞扫描报告解读:扫描工具(如 Nessus、OpenVAS)会输出 CVSS 评分,优先处理 9.0 + 的 Critical 漏洞,再处理 7.0-8.9 的 High 漏洞;
- 补丁管理:厂商发布补丁时,会标注对应漏洞的 CVSS 评分,高风险漏洞需优先安排补丁测试与部署;
- 安全合规检查:等保 2.0 要求 “及时修复高危漏洞”,CVSS 评分是判断 “高危” 的核心依据;
- 风险通报:向管理层汇报时,用 CVSS 评分量化风险(如 “当前系统存在 3 个 10.0 分漏洞,需立即处理”),比 “多个高危漏洞” 更直观。
总结
CVSS 是漏洞风险评估的 “通用语言”,核心价值是标准化、量化。实际使用中,建议以 CVSS 3.1 评分为基础,结合自身业务环境(环境指标)和防御措施,综合判断漏洞的优先级 —— 而非单纯依赖评分数字。若需查询具体漏洞的 CVSS 评分,可通过 NVD(https://nvd.nist.gov/)或 CNVD(https://www.cnvd.org.cn/)检索。
加入社区!打开量化的大门,首批课程上线啦!
更多推荐
29
0- 0
已为社区贡献1条内容
所有评论(0)