CVSS : Common Vulnerability Scoring System，即“通用漏洞評分系統”，是一個“行業公開標準，其被設計用來評測漏洞的嚴重程度，并幫助確定所需反應的緊急度和重要度”。

CVSS是安全內容自動化協議（SCAP）[2]的一部分，通常CVSS同CVE一同由美國國家漏洞庫（NVD）發布，由美國國家基礎建設咨詢委員會（NIAC）委托制作，是一套公開的評測標準，經常被用來評比企業資訊科技系統的安全性，并受到eBay、(Symantec)、思科(Cisco)、甲古文(Oracle)等眾多廠商支援。

CVSS的目標是為所有軟件安全漏洞提供一個嚴重程度的評級

?這就意味著CVSS旨在為一個已知的安全漏洞的嚴重程度提供一個數值(分數)，而不管這個安全漏洞影響的軟件類型是什么，不管它是操作系統、殺毒軟件、數據庫、郵件服務器、桌面還是商務應用程序。由于這個評分范圍非常廣，這個評分系統把能夠完全攻破操作系統層的已知安全漏洞評為基準分數10.0分。換句話說，CVSS基準分數為10.0分的安全漏洞一般指能夠完全攻破系統的安全漏洞，典型的結果是攻擊者完全控制一個系統，包括操作系統層的管理或者“根”權限。例如，國家安全漏洞數據庫中一個第三方產品中的這種安全漏洞被解釋為，攻擊者能夠安裝程序;觀看、修改或者刪除數據;或者創建擁有用戶全部權利的新賬戶。

它的主要目的是幫助人們建立衡量漏洞嚴重程度的標準，使得人們可以比較漏洞的嚴重程度，從而確定處理它們的優先級。CVSS得分基于一系列維度上的測量結果，這些測量維度被稱為量度（Metrics）。漏洞的最終得分最大為10，最小為0。得分7~10的漏洞通常被認為比較嚴重，得分在4~6.9之間的是中級漏洞，0~3.9的則是低級漏洞

CVSS系統包括三種類型的分數

　　- 基準分數，暫時的和環境的。每一個分數都要衡量這個安全漏洞的不同屬性。甲骨文在嚴重補丁更新文件中提供這個“基準分數”。這個基準分數有如下特點：

? ?　- 這個基準分數具體指一個指定的安全漏洞。

　　- 這個基準分數是不變的。

　　- 它不是具體針對一個客戶的技術IT環境的

總結

以上是生活随笔為你收集整理的安全漏洞评分系统（CVSS）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。