为了完成医疗器械软件的网络安全风险评定相关文档,需要进行CVSS评分,这个评分对于第一次做的人来说感觉还是有些迷惑的,查了一些资料,留作参考。
CVSS 指的是 Common Vulnerability Scoring System,即通用漏洞评分系统。它是一种用于评估和量化计算机系统和网络设备安全性的开放标准。CVSS 的主要目的是为安全专业人员提供一个共享的、一致的框架,以评估和比较安全漏洞的严重性。
1、CVSS评分网址
CVSS评分网址:https://www.first.org/cvss/calculator/3.1
如下图,一般情况下,只需要选择基本评分即可,选择完对应的选项评分值,自动会出评分数值。
2、基本评分各项说明
攻击向量 (Attack Vector):
取值:N(无)、A(相邻)、L(本地)、P(物理)。
描述:攻击者与受影响组件之间的位置关系。
具体评分:取值为 A(相邻)时为0.85,L(本地)时为0.58,P(物理)时为0.45,N(无)时为0。
攻击复杂性 (Attack Complexity):
取值:L(低)、H(高)。
描述:利用漏洞的难度。
具体评分:取值为 L(低)时为0.77,H(高)时为0.44。
权限需求 (Privileges Required):
取值:N(无)、L(低)、H(高)。
描述:攻击者在成功利用漏洞之前需要的权限级别。
具体评分:取值为 L(低)时为0.85,H(高)时为0.62,N(无)时为0。
用户互动 (User Interaction):
取值:N(无)、R(需要)、UC(用户的点击)。
描述:攻击者是否需要用户交互才能成功利用漏洞。
具体评分:取值为 R(需要)时为0.77,UC(用户的点击)时为0.85,N(无)时为0。
影响范围 (Scope):
取值:U(未知)、C(改变)、U(未改变)。
描述:攻击成功后对受影响组件的影响范围。
具体评分:取值为 U(未知)时为0,C(改变)时为1.08。
机密性影响 (Confidentiality Impact):
取值:N(无影响)、L(低)、H(高)。
描述:漏洞对机密性的影响程度。
具体评分:取值为 L(低)时为0.22,H(高)时为0.56,N(无)时为0。
完整性影响 (Integrity Impact):
取值:N(无影响)、L(低)、H(高)。
描述:漏洞对完整性的影响程度。
具体评分:取值为 L(低)时为0.22,H(高)时为0.56,N(无)时为0。
可用性影响 (Availability Impact):
取值:N(无影响)、L(低)、H(高)。
描述:漏洞对可用性的影响程度。
具体评分:取值为 L(低)时为0.22,H(高)时为0.56,N(无)时为0。
具体介绍可以参考规格说明文档:
https://www.first.org/cvss/v3.1/specification-document