解读CVSS：帮助IT管理者更准确理解漏洞风险

CVSS是什么？

CVSS（通用漏洞评分系统）是评估安全漏洞严重程度的标准化系统，现由FIRST组织管理。该标准允许跨厂商比较不同产品的漏洞风险，其规范文档和计算工具均公开可用。

CVSS评估框架

基本指标（Base Score）

评估漏洞固有特性，包含以下维度：

1. 攻击向量(AV)
   • 网络(N)：可通过互联网远程攻击（如特制网页触发任意代码执行）
   • 邻接(A)：需本地子网或蓝牙访问（如Hyper-V虚拟机逃逸）
   • 本地(L)：需本地系统权限（如恶意文件执行）
   • 物理(P)：需物理接触设备（如USB启动攻击）
2. 攻击复杂度(AC)
   • 低(L)：无需特殊条件（如直接发送恶意数据包）
   • 高(H)：需特定前置条件（如需窃取会话令牌）
3. 权限要求(PR)
   • 无(N)：匿名可攻击
   • 低(L)：需基础用户权限
   • 高(H)：需管理员权限
4. 用户交互(UI)
   • 无需(N)：如自动触发的缓冲区溢出
   • 需要(R)：如诱导点击恶意链接
5. 影响范围(S)
   • 变更(C)：跨安全域影响（如XSS影响客户端）
   • 不变(U)：仅影响当前权限范围

时间指标（Temporal Score）

评估漏洞当前状态：

• 漏洞利用成熟度(E)：从理论验证(P)到广泛利用(H)
• 修复级别(RL)：从无措施(U)到官方补丁(O)
• 报告可信度(RC)：从未确认(U)到厂商确认(C)

环境指标（Environmental Score）

根据实际环境调整：

• 安全需求(CR/IR/AR)：评估机密性/完整性/可用性要求
• 缓解措施影响：调整基本指标参数（如防火墙降低攻击向量等级）

微软漏洞实践

微软安全更新指南现已全面采用CVSS 3.0评分，每个漏洞条目均包含：

• 详细指标参数（如CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H）
• 补充说明（如特定攻击场景）
• 可下载的评估标准图解文档