漏洞评级与分类综述
为什么需要漏洞评级与分类?
在现代信息安全体系中,漏洞不再只是“有问题的代码”,而是攻击者入侵系统、横向移动、窃取数据的“入口点”。不同漏洞的影响范围、攻击复杂度和利用条件差别巨大,为了统一评估漏洞风险,制定响应优先级,我们必须对漏洞进行标准化的分类与评级。
漏洞评级与分类的主要目的包括:
- ✅ 统一风险衡量标准,便于沟通与决策
- 🔒 协助漏洞响应人员判断修复优先级
- 🚨 帮助安全平台识别是否触发告警/通报
- 📊 指导厂商、甲方、开发者优化开发流程
- 🧠 支撑漏洞知识图谱、安全资产管理等自动化工具建设
主流漏洞分类体系
1. CVE(Common Vulnerabilities and Exposures)
- 用于唯一标识公开披露的具体漏洞
- 每个 CVE 条目对应一个特定厂商或产品的安全问题
- 由 MITRE 和 NVD 共同管理,全球通用
➡️ 例如:CVE-2021-44228 是 Log4j 的远程代码执行漏洞
2. CWE(Common Weakness Enumeration)
- 用于描述漏洞类型或通用缺陷
- 是对软件安全缺陷的“枚举与归类”
- 每个 CWE 是一个模式(如 XSS、缓冲区溢出、权限绕过)
➡️ 例如:CWE-79 表示跨站脚本攻击,CWE-89 表示 SQL 注入
3. CVSS(Common Vulnerability Scoring System)
- 用于对漏洞进行风险量化评分
- 评分范围为 0.0 到 10.0,分为低、中、高、严重(Critical)
- 由 FIRST 组织制定,目前主流版本为 v3.1
| 等级 |
CVSS v3 分数段 |
| 低危(Low) |
0.1 – 3.9 |
| 中危(Medium) |
4.0 – 6.9 |
| 高危(High) |
7.0 – 8.9 |
| 严重(Critical) |
9.0 – 10.0 |
➡️ 例子:CVE-2021-3156(sudo 越权漏洞)CVSS 为 7.8(高危)
4. CWE Top 25 / OWASP Top 10
- CWE Top 25:基于实际利用数据的全球最常见软件弱点排名(每年更新)
- OWASP Top 10:Web 应用十大安全风险(面向开发者、甲方等非安全角色)
5. CNVD / CNNVD 分级(中国)
- 国内漏洞收集平台也采用类似 CVSS 的等级划分
- CNVD 通常分为高危、中危、低危
6. 漏洞赏金平台评级(HackerOne / Bugcrowd)
- 不同平台和项目会自定义其风险评级模型
- 影响程度 + 攻击场景决定漏洞赏金额度
各类评级体系的关系图
CVE:具体漏洞编号 ←→ CWE:通用漏洞类型
↓
CVSS:量化评分(0~10)
↓
安全平台 / 通报系统 / 修复策略 / 威胁建模
结合实际场景的漏洞评估建议
仅靠 CVSS 等评分不足以全面判断漏洞风险。实际评估时还应考虑:
- 📌 业务上下文:漏洞是否在高价值系统中?
- 🧱 资产暴露面:是否面向公网?是否有防护?
- 🔐 利用条件:是否需要登录、手工操作?
- 🤯 是否存在公开利用代码(PoC)?
小结
| 项目 |
作用 |
代表示例 |
| CVE |
标识单个具体漏洞 |
CVE-2021-44228 |
| CWE |
定义漏洞类型 |
CWE-79、CWE-89 |
| CVSS |
漏洞评分标准 |
CVSS: 9.8(Critical) |
| OWASP |
风险榜单指导 |
OWASP Top 10 |
| CNVD/CNNVD |
国内风险通报 |
CNVD-2023-xxxx |
| 赏金平台评级 |
安全运营中的参考模型 |
Bugcrowd - P1~P5 |
推荐下一步阅读: