基础评价公式
1、基础评价公式:
当影响度分值 <= 0: 基础分值 = 0
当 0 < 影响度分值 + 可利用度分值 < 10:
作用域 = 固定:基础分值 = Roundup(影响度分值 + 可利用度分值)
作用域 = 变化:基础分值 = Roundup[1.08 × (影响度分值 + 可利用度分值)]
当 影响度分值 + 可利用度分值 > 10:基础分值 = 10
Roundup 保留小数点后一位,小数点后第二位大于零则进一。 Roundup(4.02) = 4.1; 或者 Roundup(4.00) = 4.0。
2、影响度分值计算公式:
当作用域 = 固定:影响度分值 = 6.42 × ISCbase
当作用域 = 变化:影响度分值 = 7.52 × (ISCbase − 0.029) − 3.25 × (ISCbase 0.02)^15
ISCbase = 1 [(1 机密性影响) × (1 完整性影响) × (1 可用性影响)]
ISCbase 为临时变量。
3、可利用度分值计算公式:
ESC = 8.22 * AV * AC * PR * UI
AV (攻击向量): 衡量攻击者利用漏洞的途径,如网络、相邻网络、本地网络或物理访问。
AC (攻击复杂性): 衡量攻击利用漏洞的复杂程度,是低(L)还是高(H)。
PR (所需权限): 衡量攻击者利用漏洞所需的权限,如无(N)、低(L)或高(H)。
UI (用户交互): 衡量用户是否需要与漏洞交互,如无(N)或需要(R)。
生命周期评价和环境评价
1、生命周期评价:
Exploit Code Maturity (E): 衡量当前利用技术或代码的成熟度。
Remediation Level (RL): 衡量是否存在任何补丁或解决方法。
Report Confidence (RC): 衡量漏洞报告的可信度。
2、环境评价:
Collateral Damage Potential (CDP): 衡量漏洞在特定环境下的影响范围。
Target Distribution (TD): 衡量目标系统分布的广泛性。
Environmental Score = BaseScore * CDP * TD。
通过上述公式,可以根据漏洞的特性和环境,定制化评估其风险等级,这些公式帮助信息安全专家更准确地量化和理解漏洞的潜在威胁,从而制定更有效的安全策略和响应措施。
各位小伙伴们,我刚刚为大家分享了有关漏洞公式的知识,希望对你们有所帮助。如果您还有其他相关问题需要解决,欢迎随时提出哦!
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/74018.html
