普通危险得分系统,简称CVSS,是第一个也是唯一一个开放的框架得分与缺陷相关的风险。CVSS设计等级信息系统漏洞,为最终用户提供一个综合分数代表总体严重性和风险脆弱性的礼物。CVSS是由全国基础设施顾问委员会(NIAC)。多年来,它已成为一个非常广泛的采用评分系统和使用等重量级国土安全部,CERT,思科,联合太平洋,赛门铁克等等,不一而足。CVSS目前论坛维护的事件反应和安全队(第一次),http://www.first.org,涉及许多公司共同努力,包括:
- CERT / CC
- 思科系统公司
- 易趣
- 网络安全系统
- 微软
- 国土安全部/斜方
- Qualys
- 赛门铁克
得分是什么意思?CVSS分数是由三种可能的指标组。每组收到一个从0到10的分数,10是最严重的。三组是:
思科为IPS使用CVSS系统签名和IntelliShield报告。看到最后几周IntelliShield博客更多信息。
- 基地组织——强制性得分由供应商或分析师
- 颞集团——可选分数由供应商或分析师
- 环保组织——由最终用户可选的分数
每组由多个单独的类别。这些类别的总和构成了清廉的最终值组。基地组织是由六个类别如下图所示:[img = 450 x300] http://www.jheary.com/basegroup.gif [/ img]颞集团是由只有三个值,如下图所示:[img = 450 x300] http://www.jheary.com/temporalgroup.gif [/ img]最后,最终用户控制环保组织是由五个类别,如下图所示:[img = 450 x300] http://www.jheary.com/environmentgroup.gif [/ img]详细信息的可能的值在每个类别看到CVSS计算器[url = https://intellishield.cisco.com/security/alertmanager/cvssCalculator.do?dispatch=1&vector=AV: N /交流:米/非盟:N / C: C / I: C / A: C / E: U / RL: / RC: C版本= 2.0)。[/ url]或第一CVSS指南:http://www.first.org/cvss/cvss-guide.html让我们看看一个例子使用思科IntelliShield CVSS分数报告。[img = 500 x450] http://www.jheary.com/cvssexample.gif [/ img]
这个Sun Java脆弱性CVSS基础得分9.3和颞得分为6.9。如果你点击CVSS计算器链接,那么你得到的分解不同类别在每个基地得分类型。这是计算机屏幕截图显示基础分数这个漏洞类别。[img] http://www.jheary.com/cvsscalc.jpg [/ img]使用这个CVSS计算器为环保组织最终用户可以输入参数。这允许终端用户收到一个清廉的特定漏洞带来的风险在他们的特定环境。这是CVSS评分系统的简要概述。更多信息我强烈建议您阅读CVSS指南第一组我前面提到的。这绝对是CVSS指南。所以我对你的问题;你注意CVSS,你使用它,你认为呢?这里给出的意见和信息是我的个人观点而不是我的员工。