漏洞管理指南
CVE 与 CVSS
| 术语 | 说明 |
|---|---|
| CVE | 通用漏洞披露 — 唯一 ID(例如 CVE-2021-44228) |
| CVSS | 通用漏洞评分系统 — 0.0–10.0 严重性分值 |
| NVD | 国家漏洞数据库 — NIST 的 CVE 仓库 |
| CWE | 通用弱点枚举 — 根本原因分类 |
| EPSS | 漏洞利用预测评分系统 — 被利用的概率 |
| KEV | CISA 已知被利用漏洞 — 正在被利用的 CVE |
CVSS v3.1 评分分解
| 指标 | 选项 |
|---|---|
| 攻击向量 (AV) | 网络 (N)、相邻 (A)、本地 (L)、物理 (P) |
| 攻击复杂度 (AC) | 低 (L)、高 (H) |
| 所需权限 (PR) | 无 (N)、低 (L)、高 (H) |
| 用户交互 (UI) | 无 (N)、需要 (R) |
| 范围 (S) | 不变 (U)、改变 (C) |
| 机密性 (C) | 无 (N)、低 (L)、高 (H) |
| 完整性 (I) | 无 (N)、低 (L)、高 (H) |
| 可用性 (A) | 无 (N)、低 (L)、高 (H) |
漏洞管理流程
| 步骤 | 活动 |
|---|---|
| 1. 资产清单 | 了解环境中所有系统、软件及版本 |
| 2. 扫描 | 持续认证扫描(Nessus、Qualys、OpenVAS) |
| 3. 评估 | 结合环境情况解读 CVSS:可利用性、资产重要性 |
| 4. 优先级排序 | 基于风险:CVSS + EPSS + KEV + 资产价值 |
| 5. 修复 | 打补丁、缓解或记录风险并接受 |
| 6. 验证 | 重新扫描确认修复;更新跟踪系统 |
| 7. 报告 | 指标:MTTR、各严重性未修复数量、SLA 达标率 |
各严重性 SLA 目标
| CVSS 分值 | 严重性 | 目标修补时间 |
|---|---|---|
| 9.0–10.0 | 严重 | 24–72 小时 |
| 7.0–8.9 | 高危 | 7–14 天 |
| 4.0–6.9 | 中危 | 30–60 天 |
| 0.1–3.9 | 低危 | 90–180 天 |