cvss.docVIP

通用弱点评价体系（CVSS）简介 一、综述弱点（vulnerabilities）是网络安全中的一个重要因素，在多种安全产品（如漏洞扫描、入侵检测、防病毒、补丁管理等）中涉及到对弱点及其可能造成的影响的评价。但目前业界并没有通用统一的评价体系标准。通用弱点评价体系（CVSS）是由NIAC开发、FIRST维护的一个开放并且能够被产品厂商免费采用的标准。利用该标准，可以对弱点进行评分，进而帮助我们判断修复不同弱点的优先等级。二、通用弱点评价体系（CVSS）2.1 CVSS的要素通过下图可以看出通用弱点评价体系（CVSS）包含的要素及它们之间的相互关系：CVSS-model-detailed-8.0.jpg通用弱点评价体系（CVSS）的所有要素及其取值范围如下表所示：CVSS-metric.jpg有些需要说明的要素如下：1、如果漏洞既可远程利用，又可以本地利用，取值应该为远程利用的分值。2、攻击复杂度的分值由原先的低/高变为低/中/高，参见：/cvss/draft/accepted/060103.html3、需要认证的例子，如需要预先有Email、FTP帐号等。有些有用的参考资源如下：CVSS评分计算器：/cvss.cfm?calculatorCVSS的最近更新：/cvss/draft/一些文档及胶片：/cvss/links.html