-
通用弱点评价体系(
CVSS
)简介
一、综述
弱点(
vulnerabilities
)是网络安全中的一个
重要因素,在多种安全产品(如漏洞扫描、入侵检测、防
病毒、补丁管理等)中涉及到对
弱点及其可能造成的影响的评价。但目前业界并没有通用统一的评价体系
标准。通用弱点
评价体系(
CVSS
)是由
NIAC<
/p>
开发、
FIRST
维护的一个开放并且能
够被产品厂商免费采用
的标准。利用该标准,可以对弱点进行评分,进而帮助我们判断修
复不同弱点的优先等级。
二、通用
弱点评价体系(
CVSS
)
2.1
CVSS
的要素
< br>通过下图可以看出通用弱点评价体系(
CVSS
)包含的
要素及它们之间的相互关系:
CVSS-model-
detailed-
通用弱点评价体
系(
CVSS
)的所有要素及其取值范围如下表所示:
CVSS-
有些需要说明的要素如下:
1
、如果漏洞既可远程利用,又可以
本地利用,取值应该为远程利用的分值。
2
< br>、攻击复杂度的分值由原先的低
/
高变为低
/
中
/
高,参见:
/cvss/draft/accepted/
3
、需要认证的例子,如需要预先有
Email
、
FTP
帐号等。
有些有用的参考资源如下:
CVSS
评分计算器:
/?calculator
CVSS
的最近更新:
/cvss/draft/
一些文档及胶片:
/cvss/
2.2
CVSS
评分方法
2.2.1
基本评价
基本评价指的是该漏洞本身固有的一些特点及这些特点可能造成的影响的评价分值,该分值取值如下:
AccessVector
= case AccessVector of
local: 0.7
remote: 1.0
AccessComplexity = case
AccessComplexity of
high: 0.6
medium: 0.8
low: 1.0
Authentication = case Authentication
of
required:
0.6
not-
required: 1.0
ConfImpact = case
ConfidentialityImpact of
none: 0
partial: 0.7
complete: 1.0
ConfImpactBias = case ImpactBias of
normal:
0.333
confidentiality: 0.5
integrity: 0.25
availability: 0.25
IntegImpact = case IntegrityImpact
of
none:
0
partial:
0.7
complete:
1.0
IntegImpactBias = case ImpactBias of
normal:
0.333
confidentiality: 0.25
integrity: 0.5
availability: 0.25
AvailImpact = case
AvailabilityImpact of
none: 0
partial: 0.7
complete: 1.0
AvailImpactBias = case ImpactBias of
normal:
0.333
confidentiality: 0.25
integrity: 0.25
availability: 0.5
BaseScore = round_to_1_decimal(10 *
AccessVector
* AccessComplexity
* Authentication
* ((ConfImpact * ConfImpactBias)
+ (IntegImpact * IntegImpactBias)
+ (AvailImpact * AvailImpactBias)))
2.2.2
生命周期评价
因为漏洞往往同时间是有紧密关联的,因此这里也列举出三个与时间紧密关联的要素如下:
Exploitability =
case Exploitability of
unproven: 0.85
proof-of-concept: 0.9
functional: 0.95
high: 1.00
RemediationLevel = case
RemediationLevel of
official-fix: 0.87
temporary-fix: 0.90
workaround: 0.95
unavailable: 1.00
-
-
-
-
-
-
-
-
-
上一篇:JIRA学习日志
下一篇:ESL Podcast 原文