通用漏洞評估方法CVSS3.0簡表

 

 CVSS3.0計算分值共有三種維度：

　　1. 基礎度量。 分爲 可利用性 及 影響度 兩個子項，是漏洞評估的靜態分值。

　　2. 時間度量。 基礎維度之上結合受時間影響的三個動態分值，進而評估該漏洞的動態分值。

　　3. 環境度量。 根據用戶實際環境需求結合時間及基礎兩個維度的分值，是根據用戶環境狀況從新評估的分值。

 　　

漏洞得分對應的危險度以下：

        

 

其餘解析:

　　Roundup    定義爲小數點後一位的最小數字，等於或高於其輸入。 例如, Roundup(4.02) = 4.1; 或者 Roundup(4.00) = 4.0.

　　Min:　　    二者取小值

　　M.　　       全部有M.標誌的值爲修正後的值，無修正則與原值相等

 

一：基礎度量

 

　　BaseScore = IF(Scope="C",ROUNDUP(MIN(1.08*(Exp+Impact),10),1), ROUNDUP(MIN(Exp+Impact,10),1))

　　Impact = IF(Scope="C",7.52*(ISCbase-0.029)-3.25*((ISCbase-0.02)^15), 6.42*ISCbase)

　　其中：　　ISCbase = 1 - ((1-C) * (1-I) * (1-A))

　　Exp = 8.22 * AV * AC * PR * UI

 

　　注：Scope 爲做用域標記（3.0新增），表示漏洞影響的範圍是否會擴大到其餘組件，取值包括 changed(C) 及 unchanged(U)。通常狀況下此值爲 ‘U’  unchanged 。

 

2、時間度量

 

　　Temporal = Roundup(BaseScore*E*RL*RC）

 

3、環境度量

 

　　Environmental = IF(Scope="C", Roundup(Roundup(Min(1.08*(M.Impact + M.E),10),1),1), Roundup(Min((M.Impact + M.Exp) ,10),1))

　　M.Impact = IF(Scope="C", 7.52*(M.ISC− 0.029)−3.25*(M.ISC-0.02)^15, 6.42*M.ISC)

　　其中：　　M.ISC = Min(1-((1-M.C*CR)*(1-M.I*IR)*(1-M.IA*AR)), 0.915)

　　M.Exp = 8.22 * M.AV * M.AC * M.PR * M.UI