Đối với một số mục đích, rất hữu ích khi có một biểu diễn bằng văn bản về các điểm số Cơ sở, Tạm thời và Môi trường. Tất cả các điểm có thể được ánh xạ tới các xếp hạng định tính được xác định trong Bảng 17.
Bảng 2.14: Thang đánh giá mức độ nghiêm trọng định tính
Xếp hạng Điểm CVSS None 0.0 Low 0.1 - 3.9 Medium 4.0 - 6.9 High 7.0 - 8.9 Critical 9.0 - 10.0
Ví dụ: Điểm Cơ sở CVSS 4.0 có xếp hạng mức độ nghiêm trọng liên quan là Trung bình. Việc sử dụng các xếp hạng mức độ nghiêm trọng định tính này là tùy chọn và
không có yêu cầu bao gồm chúng khi xuất bản điểm CVSS. Họ nhằm mục đích giúp các tổ chức đánh giá đúng và ưu tiên các quy trình quản lý lỗ hổng của họ.
2.1.6. Chuỗi Vector
Chuỗi vector CVSS v3.1 là một biểu diễn văn bản của một tập hợp các số liệu CVSS. Nó thường được sử dụng để ghi hoặc chuyển thông tin số liệu CVSS dưới dạng súc tích.
Chuỗi vectơ CVSS v3.1 bắt đầu bằng nhãn “CVSS:” và một biểu diễn số của phiên bản hiện tại, “3.1”. Thông tin số liệu theo sau dưới dạng một tập hợp các số liệu, mỗi số được đặt trước một dấu gạch chéo về phía trước, có nghĩa là dấu /, đóng vai trò như một dấu phân cách. Mỗi số liệu là một tên số liệu ở dạng viết tắt, dấu hai chấm, trực tiếp: giá trị và số liệu liên quan của nó ở dạng viết tắt. Các biểu mẫu viết tắt được xác định trước đó trong thông số kỹ thuật này (trong ngoặc đơn sau mỗi tên số liệu và giá trị số liệu) và được tóm tắt trong bảng dưới đây.
Một chuỗi vectơ phải chứa các số liệu theo thứ tự được hiển thị trong Bảng 19, mặc dù các thứ tự khác là hợp lệ. Tất cả các số liệu Cơ sở phải được bao gồm trong một chuỗi vector. Số liệu Tạm thời và môi trường là tùy chọn và các số liệu bị bỏ qua được coi là có giá trị Không xác định (X). Các số liệu có giá trị Không xác định có thể được bao gồm rõ ràng trong một chuỗi vectơ nếu muốn. Các chương trình đọc chuỗi vectơ CVSS v3.1 phải chấp nhận các số liệu theo bất kỳ thứ tự nào và coi Tạm thời và Môi trường không xác định là Không xác định. Một chuỗi vectơ không được bao gồm cùng một số liệu nhiều lần.
Bảng 2.15: Các vectơ Cơ sở, Tạm thời và Môi trường
Nhóm số liệu Tên số liệu
(và dạng viết tắt)
Những giá trị
khả thi Bắt buộc?
Cơ sở Attack Vector (AV) [N,A,L,P] Yes
Độ phức tạp tấn công (AC) [L,H] Yes
Đặc quyền bắt buộc (PR) [N,L,H] Yes
Tương tác người dùng (UI) [N,R] Yes
Phạm vi (S) [U,C] Yes
Bảo mật (C) [H,L,N] Yes
Toàn vẹn (I) [H,L,N] Yes
Sẵn có (A) [H,L,N] Yes
Tạm thời Exploit Code Maturity (E) [X,H,F,P,U] No Mức độ khắc phục (RL) [X,U,W,T,O] No
Bảo mật báo cáo (RC) [X,C,R,U] No
Môi trường Confidentiality Requirement (CR) [X,H,M,L] No
Yêu cầu toàn vẹn (IR) [X,H,M,L] No
Yêu cầu về tính khả dụng (AR) [X,H,M,L] No Vector tấn công sửa đổi (MAV) [X,N,A,L,P] No
Độ phức tạp tấn công đã sửa đổi (MAC)
[X,L,H] No
Yêu cầu đặc quyền sửa đổi (MPR) [X,N,L,H] No Tương tác người dùng đã sửa đổi
(MUI)
[X,N,R] No
Phạm vi sửa đổi (MS) [X,U,C] No
Tính bảo mật sửa đổi (MC) [X,N,L,H] No Tính toàn vẹn đã sửa đổi (MI) [X,N,L,H] No Tính khả thi sửa đổi (MA) [X,N,L,H] No Ví dụ: Lỗ hổng với các giá trị số liệu cơ bản của Vector Attack: Mạng, Độ phức tạp tấn công: Thấp, Đặc quyền bắt buộc: Cao, Tương tác người dùng: Không, Phạm vi: Không thay đổi, Bảo mật: Thấp, Tính toàn vẹn: Thấp, Tính khả dụng: Không có Các số liệu Tạm thời hoặc Môi trường sẽ tạo ra các vectơ sau:
CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: U / C: L / I: L / A: N
Ví dụ tương tự với việc bổ sung của “Khả năng khai thác: Chức năng, mức độ khắc phục: Không được xác định” và với các số liệu theo thứ tự không ưu tiên sẽ tạo ra vectơ sau:
CVSS: 3.1 / S: U / AV: N / AC: L / PR: H / UI: N / C: L / I: L / A: N / E: F / RL: X