2025年信息系统安全专家基于CVSS的漏洞严重性评估专题试卷及解析.pdfVIP

2025年信息系统安全专家基于CVSS的漏洞严重性评估专题试卷及解析1

2025年信息系统安全专家基于CVSS的漏洞严重性评估

专题试卷及解析

2025年信息系统安全专家基于CVSS的漏洞严重性评估专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在CVSSv3.1评估体系中，当漏洞利用复杂度（AttackComplexity）为”高

（High）“时，通常意味着什么？

A、攻击者无需任何特殊条件即可利用漏洞

B、攻击者需要绕过额外的安全措施或满足特定条件

C、漏洞无法被远程利用

D、漏洞仅影响本地用户

【答案】B

【解析】正确答案是B。CVSS中”高”利用复杂度表示攻击者需要准备特殊条件或绕

过防御机制，如特定配置、时序要求等。A选项描述的是”低”复杂度；C选项与利用复

杂度无关，属于攻击向量范畴；D选项涉及权限要求而非利用复杂度。知识点：CVSS

基础指标组中的利用复杂度（AC）评估维度。易错点：容易将利用复杂度与攻击向量

（AV）混淆。

2、CVSS评分中，哪个指标反映漏洞对系统机密性的影响程度？

A、CIA三元组中的完整性（Integrity）

B、可用性（Availability）

C、机密性（Confidentiality）

D、范围（Scope）

【答案】C

【解析】正确答案是C。CVSS的机密性影响（C）指标专门评估漏洞导致的信息泄

露风险。A选项完整性关注数据篡改；B选项可用性关注服务中断；D选项范围指漏洞

是否影响其他组件。知识点：CVSS影响指标组（C/I/A）的评估逻辑。易错点：容易

混淆CIA三个维度的具体含义。

3、当CVSS基础评分为9.8时，该漏洞应被归类为哪个严重等级？

A、低危

B、中危

C、高危

D、严重

【答案】D

【解析】正确答案是D。CVSSv3.1将9.010.0分划分为”严重”等级。A选项低危为

0.13.9；B选项中危为4.06.9；C选项高危为7.08.9。知识点：CVSS评分区间与严重等

2025年信息系统安全专家基于CVSS的漏洞严重性评估专题试卷及解析2

级的对应关系。易错点：容易记错7.0分以上的分界点。

4、CVSSv3.1中，“物理（Physical）”攻击向量适用于哪种场景？

A、通过网络远程利用

B、需要本地用户交互

C、需要物理接触设备

D、通过社交工程利用

【答案】C

【解析】正确答案是C。物理攻击向量指攻击者必须直接接触目标设备。A选项属

于网络（Network）向量；B选项属于本地（Local）向量；D选项不属于CVSS攻击向

量范畴。知识点：CVSS攻击向量（AV）的四种类型。易错点：容易混淆本地和物理向

量的区别。

5、漏洞利用后影响范围（Scope）为”已改变（Changed）“时，意味着什么？

A、漏洞仅影响当前组件

B、漏洞可影响其他安全域

C、漏洞无法被利用

D、漏洞影响范围未知

【答案】B

【解析】正确答案是B。范围改变表示漏洞可突破原有安全边界，影响其他组件。A

选项属于”未改变”情况；C选项与范围无关；D选项不符合CVSS评估逻辑。知识点：

CVSS范围（S）指标的特殊性。易错点：容易忽略范围改变对最终评分的加成作用。

6、CVSS中”用户交互（UserInteraction）“为”需要（Required）“时，表示什么？

A、攻击者无需用户参与

B、需要用户执行特定操作

C、需要管理员权限

D、需要重启系统

【答案】B

【解析】正确答案是B。用户交互为”需要”表示漏洞利用依赖于用户操作，如点击链

接。A选项属于”不需要”情况；C选项涉及权限要求；D选项与用户交互无关。知识点：

CVSS用户交互（UI）指标的评估标准。易错点：容易将用户交互与权限要求混淆。

7、CVSSv3.1中，哪