通用漏洞评估系统CVSS4.0简介

最新推荐文章于 2025-07-07 12:00:30 发布
最新推荐文章于 2025-07-07 12:00:30 发布
阅读量1.4k 收藏 4
点赞数 4
CC 4.0 BY-SA版权
分类专栏: 云计算 文章标签: 网络安全 风险评估
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wayne6515/article/details/138379103
本文探讨了CVSS漏洞评估体系的发展,特别是CVSS4.0的改进,包括对IOT的考虑、基本指标的优化以及新增的其他指标。同时指出了历史版本的问题,强调了评估方法应考虑全面性和适用性,以提高风险识别的准确性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

什么是CVSS?

在信息安全评估领域,CVSS为我们提供了一种通用的脆弱性(漏洞)评估标准;在这里插入图片描述

CVSS 漏洞等级分类

在这里插入图片描述

历史版本的 CVSS 存在哪些问题?

1、高危漏洞太多
2、有些真正危险的漏洞反而没有被有效评估
3、仅靠单一分值去评估漏洞严重程度,比较模糊

最大的问题即——风险评估分值和实际的漏洞威胁水平不相匹配;

CVSS 4.0

CVSS 4.0基于更细粒度化的评估指标做出了改进,一大亮点是考虑了IOT等工控物联网络的适用性;
在这里插入图片描述

改进的“命名法”

在这里插入图片描述

改进的“基本指标”

在这里插入图片描述

考虑“OT/IOT”

在这里插入图片描述
由于攻击者利用漏洞进行攻击时,可能会挖掘到漏洞之间的关联性,这种关联性攻击可能会对物联设备和工控设备造成更严重的DDOS攻击和MAD攻击,如电力物联网中的攻击类型:
在这里插入图片描述
医疗物联网漏洞 CVSS 4.0 评估案例:
在这里插入图片描述

新增的“其他指标”

在这里插入图片描述

CVSS 4.0存在的问题

在这里插入图片描述
可以像基于指标的风险评估方法中,主客观赋权、变异系数法结合的思想,综合考虑 VPR(漏洞优先级-Vulnerability Priority Rating)和 CVSS 的评估情况。总之,好的评估方法在选取风险评估指标时,需要考虑指标可量化和全面性为前提,同时兼顾其适用性,以充分识别系统的风险,从而有效利用最小的资源修复风险。

Reference:

[1] Tenable官方视频账号_漏洞评分新标准——CVSS4介绍以及在Tenable产品中的应用
[2] 严康,陆艺丹,覃芳璐,等.配电网用户侧异构电力物联设备网络风险量化评估[J].电力系统保护与控制,2023,51(11):64-76.DOI:10.19783/j.cnki.pspc.221139.
[3] 【THM】Vulnerabilities 101(漏洞基础)-学习

CVSS 4.0 学习笔记
oe1019的专栏
10-07 867
通用漏洞评分系统CVSS)捕获了主要技术软件、硬件和固件漏洞的特征。其输出包括数字分数,表明与其他漏洞。以下因素可能包括但不限于:监管要求、客户数量受影响、因违约造成的金钱损失、生命或财产受到威胁,或潜在漏洞的声誉影响。这些因素在CVSS评估范围之外。CVSS的好处包括提供标准化供应商和平台无关的漏洞评分方法。这是一个开放的框架,为用于以下目的的个人特征和方法提供透明度得出分数。CVSS 4.0由四个度量组组成:基础、威胁、实际环境相关和供应类型指标。
通用漏洞评估方法CVSS 3.0 计算公式及说明
avgio28264的专栏
04-15 6461
CVSS 3.0 计算公式及说明 一、基础评价 1. 基础评价公式为:   当 影响度分值<= 0: 基础分值 = 0   当 0 < 影响度分值+ 可利用度分值 < 10:     作用域 = 固定: 基础分值= Roundup(影响度分值+ 可利用度分值)     作用域 = 变化: 基础分值 = Roundup[1.08 × (影响度分值+ ...
一文读懂通用漏洞评分系统CVSS4.0:顺带理清CVE、CWE及其与CVSS之间的关系
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
05-14 6347
在计算机科学中,漏洞是削弱系统整体安全性的缺陷或故障。漏洞可能是硬件本身或在其上运行的软件的弱点。CVE全称是Common Vulnerabilities and Exposures,即通用漏洞披露,它是MITRE公司维护和更新的安全漏洞列表,列表中的每个条目都会有一个唯一的CVE编号,即CVE ID,供安全研究员和受攻击的软件供应商使用,以便确定和回应安全漏洞。CVE条目包含了与CVE ID相关的漏洞的描述性数据(即简要描述和至少一个参考)。
一文读懂通用漏洞评分系统CVSS4.0:顺带理清CVE、CWE及其与CVSS之间的关系(非常详细)从零基础到精通,收藏这篇就够了!
最新发布
Javachichi的博客
07-07 926
在计算机科学中,漏洞是削弱系统整体安全性的缺陷或故障。漏洞可能是硬件本身或在其上运行的软件的弱点。CVE全称是Common Vulnerabilities and Exposures,即通用漏洞披露,它是MITRE公司维护和更新的安全漏洞列表,列表中的每个条目都会有一个唯一的CVE编号,即CVE ID,供安全研究员和受攻击的软件供应商使用,以便确定和回应安全漏洞。CVE条目包含了与CVE ID相关的漏洞的描述性数据(即简要描述和至少一个参考)。CVE 条目通常会包含一些有关漏洞的基本信息,用于管理信息安全风
CVSS-通用漏洞评分系统版本 4.0:规范文档
Sgirll的博客
04-03 768
CVSS 的消费者应使用特定于他们对易受攻击系统的使用情况的威胁和环境指标值来丰富基础指标,以产生一个为组织的风险评估提供更全面输入的分数。此指标测量成功利用漏洞对受影响系统的可用性的影响。虽然机密性和完整性影响指标适用于系统使用的数据(例如,信息、文件)的机密性或完整性损失,此指标指受影响系统的可用性本身的损失,例如网络服务(例如,Web、数据库、电子邮件)。影响指标反映了成功利用的直接后果,并代表了“受影响的事物”的后果,这可能包括对易受攻击系统的影响和/或对正式称为“后续系统”的下游影响。
CVSS 4.0 发布,助力评估实时威胁和漏洞影响
smellycat000的专栏
07-19 818
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士FIRST 发布了CVSS(“通用漏洞评分系统”) 的最新版本4.0CVSS 是提供商和客户之间的重要桥梁,有助于捕获安全漏洞的最重要特征并生成反映其技术严重程度的分数,告知并为企业、服务提供商、政府和公众提供相关指南。这一评分可作为量化的严重性评级(如低危、中危、高危和严重),帮助组织机构正确地评估和优先处理漏洞管理流程并准备网络攻击防御措施...
软件安全的关键:CVSS 4.0漏洞管理
网络研究观
06-17 2409
您如何评估软件安全漏洞?是否可以确定其严重程度?
网络安全常用术语解读 」通用漏洞评分系统CVSS详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
03-11 1万+
CVSS全称是Common Vulnerability Scoring System,中文翻译为通用漏洞评分系统CVSS是一个用于沟通软件漏洞特征和严重性的开放框架,它由FIRST(Forum of Incident Response and Security Teams)定义和维护。CVSS提供了一种方法来获取漏洞的主要特征,并生成反映其严重性的数值评分,取值范围[0,10],取值越高表明漏洞越严重,主要用于帮助组织或企业在漏洞管理流程中评估与定级漏洞
CVSS2-Calculator:CVSSv2.js 是一个免费开源的 Javascript 库,基于通用漏洞评分系统 (CVSS) 2.0 版计算器,更易于共享和部署
06-11
通用漏洞评分系统 ( CVSS ) 是一种免费且开放的行业标准,用于评估计算机系统安全漏洞的严重程度。 它(FIRST) 管理。 它试图建立衡量一个漏洞与其他漏洞相比需要多大程度的关注,因此可以优先考虑工作。 分数基于一...
揭开CVSS的神秘面纱
qzt961003的博客
08-19 4103
CVSS(TheCommon Vulnerability Scoring System通用漏洞评分系统)是一个行业标准,由FIRST.org编写并更新。
通用软件产品的漏洞数量排名
maoguan121的博客
10-27 649
随着计算机网络技术的发展,全球互联网体量急速膨胀,网络安全形势日益严峻,国家政治、经济、 文化、社会及公民在网络空间的合法权益面临严峻挑战。近些年来安全漏洞数量呈现递增趋势,基于漏 洞的网络安全事件层出不穷,为我们敲响了信息安全攻防战的警钟。软件由于开发及设计等各方面的原因,存在漏洞在所难免。对安全研究人员来说,通过对漏洞发展 趋势的研究,可以在攻击者利用漏洞造成危害之前,提出及时有效的修补方案,尽可能的减少攻击事件 的发生。
通用漏洞评分系统 4.0 版(CVSS v4.0
ruanjiananquan99的博客
05-19 1148
FIRST表示,修订后的评分系统提供了更细粒度的基本指标,消除了下游评分的不确定性,简化了威胁指标,并增强了评估特定环境安全要求和补偿控制措施的有效性。2023年11月2日,事件响应和安全团队论坛(FIRST)发推表示CVSS v4.0评分标准正式发布,这是其通用漏洞评分系统(Common Vulnerability Scoring System)的最新一代版本,距离上一次主要版本CVSS v3.0发布已经过去了八年。CVSS 4.0 版是通用漏洞评分系统标准的下一代版本。CVSS v4.0 引入全新的。
安全漏洞评分系统CVSS
2301_76563067的博客
09-26 3918
通用漏洞评分系统(Common Vulnerability Scoring System,CVSSCVSS得分基于一系列维度上的测量结果,这些测量维度被称为量度(Metrics)。漏洞的最终得分最大为10,最小为0。得分7~10漏洞通常被认为比较严重,得分在4~6.9之间的是中级漏洞0~3.9的则是低级漏洞
cvss评分及漏洞矢量
General_zy的博客
10-25 5795
CVSS2.0漏洞等级的定义有低、中、高三个级别,CVSS3.0开始补充了“严重”这个级别。C(Confidentiality Impact)代表机密性影响度。A(Availability Impact)代表可用性影响度。PR(Privileges Required)代表权限要求。AC(Attack Complexity)代表攻击复杂度。I(Integrity Impact)代表完整性影响度。AV(Attack Vector)代表攻击途径。S(Scope)代表作用域。
通用弱点评价体系(CVSS简介
xp6033的专栏
11-01 1791
http://www.xfocus.net一、综述弱点(vulnerabilities)是网络安全中的一个重要因素,在多种安全产品(如漏洞扫描、入侵检测、防病毒、补丁管理等)中涉及到对弱点及其可能造成的影响的评价。但目前业界并没有通用统一的评价体系标准。通用弱点评价体系(CVSS)是由NIAC开发、FIRST维护的一个开放并且能够被产品厂商免费采用的标准。利用该标准,可以对
深入了解通用漏洞评分系统CVSS
qq_33163046的博客
09-23 5118
2015 年,CVSS 3.0 版本发布。它新增了用户交互(UI)和必要权限(PR)两个指标,为攻击复杂度(AC)指标引入了新的取值,还新增了 Scope (S) 指标来处理漏洞影响其他系统的情形。这一版本在漏洞评估的准确性和全面性上有了很大的提升。 2019 年,CVSS 3.1 版本推出。它没有引入新的指标,主要是对标准给出了更清晰的解释,增加了易用性,使得安全专业人员更容易理解和应用 CVSS 标准。 2023 年 10 月,CVSS 4.0 版本正式发布。它重新定义了评分术语体系,强调 CVSS
CVSS评分策略分析及近年来满分漏洞盘点
C20220511的博客
05-13 1万+
01 引言 近两年正如许多安全公司的研究员亲身经历的那样,网络攻击量显著增加,重大漏洞被相继爆出并伴随着在野利用。如去年年底的log4shell(CVE-2021-44228)和今年爆出的spring4shell(CVE-2022-22965)在安全圈里都掀起了不小的风浪。由于在分析spring漏洞时cve编号还没有出来,自评影响力也没那么“核弹级”,后续就没怎么关注这个漏洞的。最近突然想看看这个漏洞CVSS评分,看看官方是怎么给这漏洞做影响力定义的。查看后发现该漏洞CVSSV2.0评分为7.5,CV.
cvss漏洞评分标准_CVE20201971 | OpenSSL拒绝服务漏洞通告
weixin_31507527的博客
12-22 601
0x00 漏洞概述CVEIDCVE-2020-1971时 间2020-12-09类 型拒绝服务等 级高危远程利用是影响范围OpenSSL 1.1.1 - 1.1.1hOpenSSL 1.0.2 - 1.0.2w0x01 漏洞详情OpenSSL是一个开放源代码的软件库包,应用程序可以使它来进行安全通信,以避免被窃听,同时它能够确认另一端连接者的身份,被广泛被应用在互联网的网...
漏洞风险评估CVSS介绍及计算
热门推荐
YQ的博客
05-14 5万+
本文出自 “Jack zhai” 博客,请务必保留此出处http://zhaisj.blog.51cto.com/219066/56451  CVSS的计算公式与参数   1、基本度量值的计算公式与参数      2、时间度量值的计算公式与参数      3、环境度量值的计算公式与参数      4、脆弱性值计算公式   V = INT [ (
谷歌浏览器又曝漏洞,黑客可劫持目标计算机
10-22 396
如果您在Windows,Mac或Linux计算机上使用Google Chrome浏览器,则需要立即将网络浏览软件更新为Google今天早些时候发布的最新版本。 谷歌今天发布了Chrome版本86.0.4240.111,以修复多个安全高严重性问题,其中包括一个零日漏洞,黑客攻击者利用该漏洞在野外劫持了目标计算机。 被跟踪为CVE-2020-15999的主动利用漏洞是一种内存损坏漏洞,在Freetype中称为堆缓冲区溢出,Freetype是一种流行的开源软件开发库,用于渲染Chrome随附的字体。 该漏洞是由
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Wayne_Fine

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值