在信息安全领域,漏洞评分系统是评估安全漏洞严重程度的重要工具。Common Vulnerability Scoring System(CVSS)是一种广泛使用的漏洞评分系统,它为漏洞的评估提供了一个标准化的框架。CVSS 3.1是CVSS的最新版本,以下是关于CVSS 3.1中三个关键维度的全面解析。
1. 计算基础评分(Base Score)
CVSS 3.1的基础评分反映了漏洞在特定条件下对受影响系统的潜在影响。基础评分由以下三个子组件组成:
1.1. 立即影响(Impact Subscore)
立即影响评分衡量漏洞可能对受影响系统造成的影响,包括:
- 完整性(Integrity):漏洞可能导致的系统或数据的完整性损失。
- 可用性(Availability):漏洞可能导致的系统或服务的可用性降低。
- 机密性(Confidentiality):漏洞可能导致的系统或数据的机密性泄露。
1.2. 攻击向量(Attack Vector Subscore)
攻击向量评分衡量攻击者利用漏洞的难易程度,包括:
- 周边(Adjacent Network):攻击需要通过本地网络进行。
- 本地(Local):攻击需要本地访问权限。
- 网络(Network):攻击可以在不直接接触系统的情况下进行。
1.3. 攻击复杂度(Attack Complexity Subscore)
攻击复杂度评分衡量攻击者成功利用漏洞所需的技能水平,包括:
- 低(Low):攻击不需要高级技巧。
- 高(High):攻击需要高级技巧。
2. 计算临时评分(Temporal Score)
临时评分考虑了影响漏洞严重性的时间因素,包括:
2.1. 攻击可能性(Exploitability)
攻击可能性评分衡量漏洞被攻击者利用的可能性,包括:
- 未公开(Unchanged):漏洞尚未公开。
- 公开(Public):漏洞已被公开。
- 广泛公开(Wide Public):漏洞信息在公共领域广泛传播。
2.2. 攻击影响(Attack Vector)
与基础评分中的攻击向量相同,衡量攻击者利用漏洞的难易程度。
2.3. 漏洞利用的生命周期(Remediation Level)
漏洞利用的生命周期评分衡量漏洞被利用的时间长度,包括:
- 临时(Temporal):漏洞被快速利用。
- 非临时(Non-Temporal):漏洞被缓慢利用。
- 未修复(Unchanged):漏洞尚未修复。
3. 计算环境评分(Environmental Score)
环境评分考虑了特定环境中的因素,如配置、资产价值等,对漏洞的潜在影响。环境评分由以下因素决定:
3.1. 改变基础评分的环境因素(Modified Base Score)
这些因素包括:
- 用户交互(User Interaction):漏洞利用需要用户交互。
- 特权要求(Privileges Required):攻击者需要特定的系统权限。
- 用户身份(User Authentication):攻击者需要通过身份验证。
3.2. 环境因素(Environmental Factors)
这些因素包括:
- 资产价值(Asset Value):受影响资产的价值。
- 业务影响(Business Impact):漏洞可能对业务造成的损失。
- 恢复成本(Recovery Costs):恢复受影响系统所需成本。
通过综合这三个维度的评分,CVSS 3.1提供了一个全面且详细的漏洞评分系统,帮助安全分析师和决策者快速识别和优先处理最严重的漏洞。