楊一未

(中國(guó)信息安全測(cè)評(píng)中心，北京 100085)

0 引 言

2020年，發(fā)生過多起網(wǎng)絡(luò)信息安全事件，黑客組織“海蓮花”對(duì)中國(guó)29個(gè)省市的重要衛(wèi)生醫(yī)療機(jī)構(gòu)、應(yīng)急管理機(jī)構(gòu)等目標(biāo)對(duì)象發(fā)起網(wǎng)絡(luò)間諜活動(dòng)[1]；4月，美國(guó)跨國(guó)IT服務(wù)商Cognizant公司遭到Maze勒索軟件攻擊，造成其為客戶提供的支持員工遠(yuǎn)程辦公的系統(tǒng)和服務(wù)中斷；6月，日本汽車制造商本田的服務(wù)器遭到Ekans勒索軟件攻擊，影響了本田的計(jì)算機(jī)服務(wù)器；8月，Maze勒索軟件針對(duì)美國(guó)和外國(guó)政府組織、教育實(shí)體、私營(yíng)公司和衛(wèi)生機(jī)構(gòu)發(fā)起攻擊；9月，阿根廷移民局遭Ryuk勒索軟件攻擊，影響其中央數(shù)據(jù)中心和分布式服務(wù)器的基于MS Windows的系統(tǒng)文件[2]。可以看到信息系統(tǒng)運(yùn)營(yíng)者和安全技術(shù)人員正面臨著前所未有的壓力，這些安全事件背后或多或少都有信息安全漏洞使用的痕跡。所以信息系統(tǒng)運(yùn)營(yíng)者和安全技術(shù)人員首先應(yīng)關(guān)注那些漏洞，漏洞危害排序問題變得尤為突出。

目前，使用最為廣泛的漏洞風(fēng)險(xiǎn)量化評(píng)估方法，是通用漏洞評(píng)分體系CVSS(Common Vulnerability Scoring System)[3]，該評(píng)分體系是美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(National Institute of Standards and Technology，NIST)開發(fā)，由FIRST(Forum of Incident Response and Security Teams)維護(hù)。該方法由基本組、時(shí)間組和環(huán)境組三個(gè)度量組組成，每一組均含有一套度量指標(biāo)?；窘M的評(píng)分范圍為0至10，反映漏洞技術(shù)指標(biāo)；時(shí)間組反映的是漏洞披露后隨著時(shí)間的推移、漏洞細(xì)節(jié)的公布、補(bǔ)丁或修復(fù)方案的出現(xiàn)、利用手段的成熟對(duì)漏洞危害程度的影響；環(huán)境組是供安全人員根據(jù)實(shí)際場(chǎng)景進(jìn)行調(diào)整的指標(biāo)，CVSS只給出了概念性建議。NVD[4]采用該標(biāo)準(zhǔn)，并在其網(wǎng)站上給出漏洞CVSS基礎(chǔ)組評(píng)分。

中國(guó)《GB/T 30279-2020網(wǎng)絡(luò)安全漏洞分類分級(jí)指南》[5]的網(wǎng)絡(luò)安全漏洞分級(jí)指標(biāo)，主要包括被利用性指標(biāo)、影響程度指標(biāo)和環(huán)境因素指標(biāo)等三類。網(wǎng)絡(luò)安全漏洞分級(jí)根據(jù)漏洞分級(jí)的場(chǎng)景不同，分為技術(shù)分級(jí)和綜合分級(jí)，每種分級(jí)方式均包括超危、高危、中危和低危四個(gè)等級(jí)。超危漏洞可以非常容易地對(duì)目標(biāo)對(duì)象造成特別嚴(yán)重的后果；高危漏洞可以容易地對(duì)目標(biāo)對(duì)象造成嚴(yán)重后果；中危漏洞可以對(duì)目標(biāo)對(duì)象造成一般后果；低危漏洞可以對(duì)目標(biāo)對(duì)象造成輕微后果。其中，技術(shù)分級(jí)反映特定產(chǎn)品或系統(tǒng)的漏洞危害程度，主要針對(duì)漏洞分析人員、產(chǎn)品開發(fā)人員等特定產(chǎn)品或系統(tǒng)漏洞的評(píng)估工作。綜合分級(jí)反映在特定時(shí)期特定環(huán)境下的漏洞危害程度，用于在特定場(chǎng)景下對(duì)漏洞危害等級(jí)進(jìn)行劃分，主要針對(duì)用戶對(duì)產(chǎn)品或系統(tǒng)在特定網(wǎng)絡(luò)環(huán)境中的漏洞評(píng)估工作。漏洞分級(jí)過程主要包括指標(biāo)賦值、指標(biāo)分級(jí)和分級(jí)計(jì)算三個(gè)步驟，其中，指標(biāo)賦值是將具體漏洞的每個(gè)漏洞分級(jí)指標(biāo)進(jìn)行人工賦值；指標(biāo)分級(jí)是根據(jù)指標(biāo)賦值結(jié)果分別對(duì)被利用性、影響程度和環(huán)境因素等三個(gè)指標(biāo)類進(jìn)行分級(jí)；分級(jí)計(jì)算是根據(jù)指標(biāo)分級(jí)，計(jì)算產(chǎn)生技術(shù)分級(jí)或綜合分級(jí)的結(jié)果。技術(shù)分級(jí)結(jié)果由被利用性和影響程度兩個(gè)指標(biāo)類計(jì)算產(chǎn)生，綜合分級(jí)由被利用性、影響程度和環(huán)境因素三個(gè)指標(biāo)類計(jì)算產(chǎn)生。CNNVD[6]給出的是依照此標(biāo)準(zhǔn)得出技術(shù)分級(jí)，該級(jí)別與NVD給出的CVSS基礎(chǔ)組評(píng)分存在一定的對(duì)應(yīng)關(guān)系。

然而，CVSS和GB/T 30279-2020對(duì)于信息系統(tǒng)運(yùn)營(yíng)者和安全技術(shù)人員來講，在確定環(huán)境因素分值上基本采用的都是主觀定性打分后進(jìn)行定量計(jì)算的方法，并且這些環(huán)境指標(biāo)變量取決于特定組織機(jī)構(gòu)和特定系統(tǒng)，無法自動(dòng)生成。該文給出了一種多因素漏洞評(píng)價(jià)方法(Multi-factor Vulnerability Scoring System，MVSS)，并通過實(shí)例分析展示了該方法的計(jì)算過程。選取2021年CNNVD發(fā)布的若干條公開漏洞，以CVSS基礎(chǔ)組評(píng)分為例，對(duì)相同環(huán)境指標(biāo)和不同環(huán)境指標(biāo)下的MVSS指數(shù)變化曲線、不同漏洞評(píng)分?jǐn)?shù)量分布、排序?qū)Ρ惹闆r等進(jìn)行了統(tǒng)計(jì)分析。分析結(jié)果表明：同一環(huán)境因素下CVSS基礎(chǔ)組評(píng)分曲線與MVSS評(píng)分曲線波動(dòng)相同；同一環(huán)境因素下CVSS基礎(chǔ)組評(píng)分漏洞數(shù)量分布與MVSS漏洞評(píng)分?jǐn)?shù)量分布相同；在CVSS基礎(chǔ)組評(píng)分分值和環(huán)境因素風(fēng)險(xiǎn)度排序相反的情況下，與多因素漏洞評(píng)價(jià)分值呈反向交叉等現(xiàn)象。但在不同環(huán)境因素指標(biāo)下，呈現(xiàn)出高風(fēng)險(xiǎn)系統(tǒng)中低危漏洞MVSS分值高于低風(fēng)險(xiǎn)系統(tǒng)高危漏洞的現(xiàn)象，可見多因素漏洞評(píng)價(jià)方法可以有效地供信息系統(tǒng)運(yùn)營(yíng)者和安全技術(shù)人員用于漏洞危害消控排的量化評(píng)估。

1 相關(guān)研究

桑迪亞國(guó)家實(shí)驗(yàn)室與美國(guó)國(guó)土安全部合作發(fā)布的《優(yōu)先考慮網(wǎng)絡(luò)脆弱性的關(guān)鍵基礎(chǔ)設(shè)施設(shè)備和緩解戰(zhàn)略方法》[7-8]報(bào)告，給出一套易受網(wǎng)絡(luò)攻擊的信息資產(chǎn)評(píng)價(jià)流程，試圖尋求最大限度降低這些資產(chǎn)受到攻擊帶來的損失。Gartner[9]于2017年和2019年分別發(fā)布了兩個(gè)版本的《開發(fā)和實(shí)施漏洞管理指導(dǎo)框架》[10-11]，特別是在2019年的版本中首次提出了漏洞優(yōu)先級(jí)算法的概念，并指出漏洞優(yōu)先級(jí)計(jì)算的重要元素應(yīng)包括漏洞危害等級(jí)、資產(chǎn)暴露情況、威脅上下文、對(duì)業(yè)務(wù)的潛在影響等，但并未給出具體的操作方法?？突仿〈髮W(xué)的Jonathan等人提出了一種可測(cè)試的，特定于利益相關(guān)者的漏洞分類(Stakeholder-Specific Vulnerability Categorization，SSVC)[12]，它對(duì)不同的漏洞管理域，采用決策樹的形式，分別向補(bǔ)丁開發(fā)者和補(bǔ)丁使用者給出漏洞消控緊急程度建議，建議分為推遲(Defer)、排期(Scheduled)、外協(xié)(Out-of-Band)、立即(Immediate)四個(gè)等級(jí)。2021年4月，Jonathan等人將SSVC升級(jí)為2.0版本[13]，2.0版本中加入了協(xié)調(diào)利益相關(guān)者(Coordinator Stakeholder)角色、調(diào)整了術(shù)語定義、給出了更為詳細(xì)的SSVC計(jì)算方法說明和示例。Dale Peterson針對(duì)工業(yè)控制系統(tǒng)(Industrial Control System，ICS)對(duì)SSVC進(jìn)行了一定修改，命名為“ICS- patch”[14]版本定義為0.5，表明其需要進(jìn)一步完善的態(tài)度，該方法可視為SSVC在ICS領(lǐng)域的實(shí)踐。SSVC和ICS-patch方法過于依賴專家判斷，定性評(píng)價(jià)項(xiàng)過多，缺乏實(shí)際操作性，也較難實(shí)現(xiàn)工程化。黃家輝等人將漏洞風(fēng)險(xiǎn)評(píng)估量化指標(biāo)分為漏洞利用難度和漏洞危害性，同時(shí)給出漏洞利用難度打分和漏洞危害性打分，變定性評(píng)價(jià)為定量指標(biāo)，利用攻擊圖來對(duì)系統(tǒng)的拓?fù)浣Y(jié)構(gòu)進(jìn)行建模分析，以研究每條攻擊路徑的脆弱性為目標(biāo)，計(jì)算攻擊過程中每一步的攻擊期望從而得到每條路徑的總攻擊期望，進(jìn)而判斷漏洞風(fēng)險(xiǎn)[15]，但該方法未考慮漏洞固有技術(shù)屬性和用戶群體規(guī)模等因素，同時(shí)需要確定攻擊鏈后對(duì)漏洞攻擊圖進(jìn)行分析，分析周期長(zhǎng)不利于快速聚焦需關(guān)重的漏洞范圍。

該文提出的漏洞評(píng)價(jià)方法，除將漏洞技術(shù)評(píng)價(jià)指標(biāo)作為漏洞危害消控重要程度考慮因素之外，又加入了計(jì)算機(jī)系統(tǒng)分級(jí)類評(píng)價(jià)、網(wǎng)絡(luò)防護(hù)與聯(lián)通性、資產(chǎn)使用率、利益相關(guān)者風(fēng)險(xiǎn)承受度四個(gè)指標(biāo)因素，以定量和定性相結(jié)合的方法生成信息資產(chǎn)上漏洞危害消控排序，與已有的研究比較更能滿足實(shí)踐要求。

2 評(píng)價(jià)方法與實(shí)例

2.1 MVSS評(píng)價(jià)方法

該文提出的多因素漏洞評(píng)價(jià)方法，通過綜合計(jì)算機(jī)系統(tǒng)分級(jí)類評(píng)價(jià)、網(wǎng)絡(luò)防護(hù)與聯(lián)通性、資產(chǎn)使用率、利益相關(guān)者風(fēng)險(xiǎn)承受度、漏洞技術(shù)評(píng)價(jià)等五類指標(biāo)，計(jì)算得出漏洞消控優(yōu)先級(jí)排序。同時(shí)該方法在實(shí)際使用過程中漏洞風(fēng)險(xiǎn)評(píng)估者還可以根據(jù)具體實(shí)際情況對(duì)評(píng)估項(xiàng)進(jìn)行增減。

表1 多因素漏洞評(píng)價(jià)方法(MVSS)指標(biāo)描述及示例

計(jì)算機(jī)系統(tǒng)分級(jí)評(píng)價(jià)指標(biāo)是指對(duì)信息和信息載體按照重要性等級(jí)分級(jí)別進(jìn)行保護(hù)而確定的等級(jí)，中國(guó)普遍使用的是《GB/T 22239-2019信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》[16]系列標(biāo)準(zhǔn)，美國(guó)則可追溯到由國(guó)家計(jì)算安全中心(National Computer Security Center，NCSC)制定的可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則[17](Trusted Computer System Evaluation Criteria，TCSEC)。該準(zhǔn)則于2014年3月14日重新發(fā)布為DoDI 8500.02[18]，最終由國(guó)際標(biāo)準(zhǔn)化組織ISO頒布為《ISO/IEC 15408:2009 Information technology - Security techniques — Evaluation criteria for IT security》系列標(biāo)準(zhǔn)[19-21]，該系列標(biāo)準(zhǔn)目前也正在進(jìn)行改版。網(wǎng)絡(luò)防護(hù)與聯(lián)通性指標(biāo)是指信息資產(chǎn)與互聯(lián)網(wǎng)的連接方式和所采取的防護(hù)措施，該指標(biāo)代表了漏洞通過網(wǎng)絡(luò)進(jìn)行攻擊的難易程度。資產(chǎn)使用率指標(biāo)是指某一信息系統(tǒng)使用人員占總?cè)藬?shù)或使用該系統(tǒng)資產(chǎn)占總資產(chǎn)的比例關(guān)系，在某一組織內(nèi)部，結(jié)合資產(chǎn)探測(cè)、身份鑒別、上網(wǎng)準(zhǔn)入等技術(shù)手段該數(shù)據(jù)可實(shí)現(xiàn)自動(dòng)化統(tǒng)計(jì)。利益相關(guān)者風(fēng)險(xiǎn)承受度指標(biāo)是指系統(tǒng)遭到破壞后，信息系統(tǒng)所有者、運(yùn)營(yíng)者、用戶等的承受度，該指標(biāo)是MVSS統(tǒng)計(jì)中唯一定性評(píng)價(jià)指標(biāo)。漏洞技術(shù)評(píng)價(jià)指標(biāo)是指排除環(huán)境因素外的漏洞自身危害等級(jí)，CVSS基礎(chǔ)組評(píng)分就是較好反映漏洞技術(shù)評(píng)價(jià)指標(biāo)的參考數(shù)據(jù)值之一，該指標(biāo)可反映出漏洞的利用難度和攻擊者關(guān)注程度，同樣GB/T 30279-2020所給出的漏洞技術(shù)分級(jí)也可等效使用。MVSS的詳細(xì)計(jì)算步驟如下：

(1)漏洞評(píng)價(jià)考慮因素集合為X(X≠?)，不同漏洞評(píng)價(jià)因素初始權(quán)重值Mi(i≤|X|，且i∈N) ，對(duì)漏洞危害等級(jí)度Ri進(jìn)行基準(zhǔn)化處理：

(1)

(2)以考慮因素排序最后一項(xiàng)K|X|為基準(zhǔn)，令其為1，自下而上依次計(jì)算其他評(píng)價(jià)項(xiàng)目的Kj值：

Ki=Ki+1×Ri

(2)

(3)將Ki歸一化處理，得到權(quán)重Wi：

(3)

(4)

(5)

(6)

(7)計(jì)算漏洞危害消控優(yōu)先級(jí)排序指數(shù)Vj：

(7)

(8)對(duì)Vj(j≤|Y|，且j∈N) 從大到小排序，得到漏洞消控優(yōu)先級(jí)排序結(jié)果，也可在此基礎(chǔ)上劃定閾值，對(duì)高于該閾值的漏洞重點(diǎn)關(guān)注或優(yōu)先消控。

2.2 評(píng)價(jià)示例

本節(jié)以Microsoft，CNNVD編號(hào)為CNNVD-202101-538、CNNVD-202101-792、CNNVD-202101-820、CNNVD-202102-678的四個(gè)漏洞為例，模擬實(shí)際環(huán)境計(jì)算MVSS評(píng)分，分析MVSS在生產(chǎn)環(huán)境漏洞風(fēng)險(xiǎn)評(píng)估中的有效性。

CNNVD-202101-538(CVE-2020-24003)是Microsoft Skype授權(quán)問題漏洞，該漏洞允許本地進(jìn)程獲取未經(jīng)提示的麥克風(fēng)和攝像頭訪問，CVSS得分3.3，CNNVD漏洞技術(shù)分級(jí)為低危；CNNVD-202101-792(CVE-2021-1713)是Microsoft Excel緩沖區(qū)錯(cuò)誤漏洞，CVSS得分7.8，CNNVD漏洞技術(shù)分級(jí)為高危；CNNVD-202101-820(CVE-2021-1694)是Microsoft Windows Update Stack提權(quán)漏洞，CVSS得分9.8，CNNVD漏洞技術(shù)分級(jí)為超危；CNNVD-202102-678(CVE-2021-24085)是Microsoft Exchange Server安全漏洞，CVSS得分5.5，CNNVD漏洞技術(shù)分級(jí)為中危。

現(xiàn)假設(shè)上述四個(gè)漏洞在不同的四個(gè)生產(chǎn)系統(tǒng)中被發(fā)現(xiàn)，多因素漏洞評(píng)價(jià)方法選擇的評(píng)估指標(biāo)和漏洞評(píng)價(jià)因素初始權(quán)重如表2所示。

表2 漏洞評(píng)價(jià)因素初始權(quán)重

根據(jù)公式(1)～公式(3)，計(jì)算Ri后，將Ki歸一化處理，得到權(quán)重Wi，如表3所示。

表3 漏洞評(píng)價(jià)初始權(quán)重歸一化

假設(shè)不同資產(chǎn)上漏洞的評(píng)價(jià)項(xiàng)目指標(biāo)及對(duì)應(yīng)指標(biāo)值如表4所示。

表4 漏洞評(píng)價(jià)指標(biāo)值

表5 漏洞權(quán)重歸一化

根據(jù)公式(7)，計(jì)算漏洞危害消控優(yōu)先級(jí)排序指數(shù)Vj，如表6所示。

表6 漏洞危害消控優(yōu)先級(jí)排序指數(shù)

從表6可以看出，最先應(yīng)關(guān)注的漏洞是CNNVD-202101-792(高危)；CNNVD-202101-820(超危)漏洞由于等保定級(jí)僅為一級(jí)，且在復(fù)雜保護(hù)的互聯(lián)網(wǎng)訪問之下等因素，是較為不受關(guān)注的漏洞；CNNVD-202102-678(中危)漏洞，由于處于物理隔離的網(wǎng)絡(luò)環(huán)境中，雖然等保定級(jí)也較高，但使用人數(shù)較少同時(shí)利益相關(guān)者風(fēng)險(xiǎn)承受度較高，所以排在最后處理的位置；CNNVD-202101-538(低危)漏洞由于處于無保護(hù)的互聯(lián)網(wǎng)環(huán)境之下、使用人數(shù)較多，利益相關(guān)者風(fēng)險(xiǎn)承受度也比較低等因素，反而成為需要給予較多關(guān)注的漏洞。這一漏洞風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果，比單純使用NVD給出的CVSS基礎(chǔ)組評(píng)分或CNNVD給出的漏洞技術(shù)分級(jí)更為客觀。

3 統(tǒng)計(jì)分析

3.1 相同環(huán)境指標(biāo)的評(píng)分

本節(jié)收集了2021年1月開始CNNVD發(fā)布的100條公開漏洞，使用與評(píng)價(jià)示例中漏洞評(píng)價(jià)因素相同的初始權(quán)重，假設(shè)信息資產(chǎn)等級(jí)保護(hù)等級(jí)為三級(jí)，網(wǎng)絡(luò)防護(hù)與聯(lián)通性是復(fù)雜保護(hù)的互聯(lián)網(wǎng)訪問，具有80%的資產(chǎn)使用率，利益相關(guān)者風(fēng)險(xiǎn)承受度低。在此環(huán)境指標(biāo)基礎(chǔ)上，CNNVD 100條公開漏洞CVSS靜態(tài)分值變化，如圖1中淺色曲線。MVSS計(jì)算得出的漏洞危害消控優(yōu)先級(jí)排序指數(shù)曲線，如圖1中深色曲線。可以看出兩條曲線區(qū)別僅在于波動(dòng)振幅，峰谷波動(dòng)趨勢(shì)相同。在相同環(huán)境指標(biāo)下CVSS基礎(chǔ)組評(píng)分與MVSS評(píng)分漏洞數(shù)量分布上完全一致，如圖2所示。

圖1 CVSS與MVSS曲線對(duì)比

圖2 CVSS與MVSS數(shù)量分布對(duì)比

上述兩項(xiàng)統(tǒng)計(jì)分析說明，MVSS評(píng)價(jià)方法本身不會(huì)改變漏洞固有CVSS基礎(chǔ)組評(píng)分的相對(duì)位置，在同一系統(tǒng)中安全防護(hù)人員首先應(yīng)關(guān)注的還是CVSS基礎(chǔ)組評(píng)分較高的漏洞，這一點(diǎn)符合漏洞防護(hù)的基本規(guī)律。

3.2 不同環(huán)境指標(biāo)的評(píng)分

本節(jié)選取了CNNVD不同CVSS靜態(tài)分值的漏洞22個(gè)，分別以降序和升序的順序排列，計(jì)算出環(huán)境因素風(fēng)險(xiǎn)等級(jí)由高到低情況下的MVSS分值。環(huán)境風(fēng)險(xiǎn)指標(biāo)與漏洞CVSS靜態(tài)分值對(duì)比，如圖3所示。

圖3 環(huán)境風(fēng)險(xiǎn)指標(biāo)與漏洞CVSS基礎(chǔ)組評(píng)分對(duì)比

可以看出，漏洞CVSS基礎(chǔ)組評(píng)分與環(huán)境因素指標(biāo)同為降序情況下，MVSS評(píng)分與CVSS基礎(chǔ)組評(píng)分走勢(shì)相同；漏洞CVSS基礎(chǔ)組評(píng)分與環(huán)境因素指標(biāo)排序方式相反時(shí)，MVSS評(píng)分與CVSS基礎(chǔ)組評(píng)分也相反，此時(shí)MVSS給出的漏洞危害消控優(yōu)先級(jí)排序結(jié)果顯示，更應(yīng)關(guān)注的是高風(fēng)險(xiǎn)環(huán)境下的CVSS基礎(chǔ)組評(píng)分較低的漏洞。

4 結(jié)束語

該文給出的多因素漏洞評(píng)價(jià)方法，是將計(jì)算機(jī)系統(tǒng)分級(jí)評(píng)價(jià)、網(wǎng)絡(luò)防護(hù)與聯(lián)通性、資產(chǎn)使用率、利益相關(guān)者風(fēng)險(xiǎn)承受度和漏洞技術(shù)評(píng)價(jià)指標(biāo)綜合納入量化評(píng)估范圍。通過算法生成的MVSS指數(shù)可供信息系統(tǒng)運(yùn)營(yíng)者和安全技術(shù)人員評(píng)判漏洞消控優(yōu)先級(jí)。選取CNNVD-202101-538、CNNVD-202101-792、CNNVD-202101-820、CNNVD-202102-678四條漏洞，以CVSS基礎(chǔ)組評(píng)分為基礎(chǔ)進(jìn)行分析，展現(xiàn)了MVSS方法計(jì)算的全過程。并對(duì)2021年CNNVD發(fā)布的100條漏洞在不同環(huán)境因素下的情況進(jìn)行了統(tǒng)計(jì)分析。分析結(jié)果表明，CVSS評(píng)分體系適用于對(duì)漏洞開展技術(shù)研究、廠商漏洞定級(jí)、公眾漏洞庫漏洞批露等領(lǐng)域，MVSS評(píng)分方法則更加側(cè)重于信息系統(tǒng)運(yùn)營(yíng)者在開展漏洞消控工作中的漏洞評(píng)級(jí)，系統(tǒng)運(yùn)營(yíng)者和安全技術(shù)人員使用MVSS方法可得出漏洞在實(shí)際環(huán)境中諸多因素影響下量化后的危害評(píng)估結(jié)果，對(duì)信息安全漏洞管理工作提供輔助決策依據(jù)。