通用漏洞评估方法CVSS3.0简表

 

 CVSS3.0计算分值共有三种维度:

  1. 基础度量。 分为 可利用性影响度 两个子项,是漏洞评估的静态分值。

  2. 时间度量。 基础维度之上结合受时间影响的三个动态分值,进而评估该漏洞的动态分值。

  3. 环境度量。 根据用户实际环境需求结合时间及基础两个维度的分值,是根据用户环境情况重新评估的分值。

   

漏洞得分对应的危险度如下:

        

 

其他解析:

  Roundup    定义为小数点后一位的最小数字,等于或高于其输入。 例如, Roundup(4.02) = 4.1; 或者 Roundup(4.00) = 4.0.

  Min:      两者取小值

  M.         所有有M.标志的值为修正后的值,无修正则与原值相等

 

一:基础度量

 

  BaseScore = IF(Scope="C",ROUNDUP(MIN(1.08*(Exp+Impact),10),1), ROUNDUP(MIN(Exp+Impact,10),1))

  Impact = IF(Scope="C",7.52*(ISCbase-0.029)-3.25*((ISCbase-0.02)^15), 6.42*ISCbase)

  其中:  ISCbase = 1 - ((1-C) * (1-I) * (1-A))

  Exp = 8.22 * AV * AC * PR * UI

 

  注:Scope 为作用域标记(3.0新增),表示漏洞影响的范围是否会扩大到其他组件,取值包括 changed(C) 及 unchanged(U)。一般情况下此值为 ‘U’  unchanged 。

 

二、时间度量

 

  Temporal = Roundup(BaseScore*E*RL*RC)

 

三、环境度量

 

  Environmental = IF(Scope="C", Roundup(Roundup(Min(1.08*(M.Impact + M.E),10),1),1), Roundup(Min((M.Impact + M.Exp) ,10),1))

  M.Impact = IF(Scope="C", 7.52*(M.ISC− 0.029)−3.25*(M.ISC-0.02)^15, 6.42*M.ISC)

  其中:  M.ISC = Min(1-((1-M.C*CR)*(1-M.I*IR)*(1-M.IA*AR)), 0.915)

  M.Exp = 8.22 * M.AV * M.AC * M.PR * M.UI

posted @ 2019-04-15 16:27  caya  阅读(7929)  评论(1编辑  收藏  举报