什么是 cvss 評價體系

通用弱點評價體系（CVSS）是由NIAC開發、FIRST維護的一個開放并且能夠被產品廠商免費采用的標準。利用該標準，可以對弱點進行評分，進而幫助我們判斷修復不同弱點的優先等級。

CVSS : Common Vulnerability Scoring System，即“通用漏洞評分系統”，是一個“行業公開標準，其被設計用來評測漏洞的嚴重程度，并幫助確定所需反應的緊急度和重要度”。

它的主要目的是幫助人們建立衡量漏洞嚴重程度的標準，使得人們可以比較漏洞的嚴重程度，從而確定處理它們的優先級。CVSS得分基于一系列維度上的測量結果，這些測量維度被稱為量度（Metrics）。漏洞的最終得分最大為10，最小為0。

1. 基本評價

基本評價指的是該漏洞本身固有的一些特點，及這些特點可能造成的影響評價分值。

(1)攻擊途徑(AccessVector) :如果是本地攻擊給0.7,可以遠程攻擊給1.0。

(2)攻擊復雜度(AccessComplexity) :分為三個標準分別是低、中、高，給出的分值為0.6、0.8、1.0.

(3)認證(Authentication) :需要認證給0.6,不需要認證給1.0。

(4)機密性(Conflmpact) :不受影響給0，部分影響0.7,完全影響1.0。

(5)完整性(Integlmpact) :不受影響給0，部分影響0.7,完全影1.0。

(6)可用性(Availlmpact) :不受影響給0，部分影響0.7， 完全影響1.0。

權值傾向:平均/機密性/完整性/可用性，各0.333/權值傾向要素0.5另兩個0.25。

基礎評價=四舍五入(10 攻擊途徑攻擊復雜度認證 ((機密性機密性權重) + (完整性完整性權重) + (可用性*可用性權重))

1. 生命周期評價

生命周期評價是針對最新類型漏洞(如: 0day漏洞)設置的評分項，因此SQL注入漏洞不用考慮。這里列舉出了3個與時間緊密關聯的要素，具體介紹如下:

(1)可利用性:未證明0.85、概念證明0.9、 功能性0.95、完全代碼1.0。

(2)修復措施:官方補丁0.87、 臨時補丁0.9、臨時解決方案0.95、無措施1.0。

(3)確認程度:不確認0.9、未經確認0.95、 已確認1.0。

計算的公式為:生命周期評價=四舍五入(基礎評價可利用性修復措施未經確認)

回答所涉及的環境：聯想天逸510S、Windows 10。