为什么机密性影响降低时 CVSS3 分数会提高?

信息安全 简历
2021-08-25 03:11:06

考虑以下两种情况:
1) 对机密性的影响为高
2) 对机密性的影响为低
请注意,所有其他参数均未更改,环境参​​数设置为高。

现在,案例 1 的分数是 9.0,但案例 2 是 9.1。这很奇怪,因为对 C 的影响在理想情况下应该具有更高的分值。

有人对此有解释吗?

C:对机密性的影响为高 = 9.0 在此处输入图像描述

C:对机密性的影响低 = 9.1

在此处输入图像描述

编辑 1:请访问这些链接。请参阅下面显示的与环境分数对比的分数。
链接 1:对机密性的影响为低。 https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:H/A: N/CR:H/IR:H/AR:H 在此处输入图像描述

链接 2:对机密性的影响很高。 https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A: N/CR:H/IR:H/AR:H

在此处输入图像描述

1个回答

我把这个发给了 FIRST,我得到了他们团队的回复。

我们同意这是一个问题,我们计划在未来的标准修订中解决这个问题。在创建 CVSS v3.0 公式期间,我们使用了一组测试用例来确保所有输入的直观分数,但我们错过了这个用例。我不相信人们经常将 CR、IRAR 设置为高,所以我认为这个问题在实践中通常不会导致问题。感谢您抽出宝贵时间确保我们了解该问题。

附上邮件图片。 在此处输入图像描述

其它你可能感兴趣的问题
上一篇当我们需要执行实时代码更新时,如何确保我们的生产环境部署过程符合 PCI 标准? 下一篇Windows 10 中的 USB 指纹扫描仪有哪些安全风险?