通用漏洞评估方法CVSS3.0简表

 

 CVSS3.0计算分值共有三种维度：

　　1. 基础度量。 分为 可利用性 及 影响度 两个子项，是漏洞评估的静态分值。

　　2. 时间度量。 基础维度之上结合受时间影响的三个动态分值，进而评估该漏洞的动态分值。

　　3. 环境度量。 根据用户实际环境需求结合时间及基础两个维度的分值，是根据用户环境情况重新评估的分值。

 　　

漏洞得分对应的危险度如下：

        

 

其他解析:

　　Roundup    定义为小数点后一位的最小数字，等于或高于其输入。 例如, Roundup(4.02) = 4.1; 或者 Roundup(4.00) = 4.0.

　　Min:　　    两者取小值

　　M.　　       所有有M.标志的值为修正后的值，无修正则与原值相等

 

一：基础度量

 

　　BaseScore = IF(Scope="C",ROUNDUP(MIN(1.08*(Exp+Impact),10),1), ROUNDUP(MIN(Exp+Impact,10),1))

　　Impact = IF(Scope="C",7.52*(ISCbase-0.029)-3.25*((ISCbase-0.02)^15), 6.42*ISCbase)

　　其中：　　ISCbase = 1 - ((1-C) * (1-I) * (1-A))

　　Exp = 8.22 * AV * AC * PR * UI

 

　　注：Scope 为作用域标记（3.0新增），表示漏洞影响的范围是否会扩大到其他组件，取值包括 changed(C) 及 unchanged(U)。一般情况下此值为 ‘U’  unchanged 。

 

二、时间度量

 

　　Temporal = Roundup(BaseScore*E*RL*RC）

 

三、环境度量

 

　　Environmental = IF(Scope="C", Roundup(Roundup(Min(1.08*(M.Impact + M.E),10),1),1), Roundup(Min((M.Impact + M.Exp) ,10),1))

　　M.Impact = IF(Scope="C", 7.52*(M.ISC− 0.029)−3.25*(M.ISC-0.02)^15, 6.42*M.ISC)

　　其中：　　M.ISC = Min(1-((1-M.C*CR)*(1-M.I*IR)*(1-M.IA*AR)), 0.915)

　　M.Exp = 8.22 * M.AV * M.AC * M.PR * M.UI