更新时间:2026-07-08 GMT+08:00
分享

评估漏洞

发现漏洞后,您需要对漏洞进行修复优先级评估,制定整体的漏洞修复计划。

评估漏洞优先级

HSS的漏洞管理系统结合CVSS评分、资产重要性以及漏洞可利用性等因素计算出的漏洞修复紧急程度,分为紧急、高、中、低四个等级。

漏洞修复优先级计算公式如下:

漏洞修复优先级=漏洞CVSS分值*资产重要性*漏洞时间因子

您可以根据系统计算的结果,制定漏洞修复的优先级。

表1 参数说明

参数

说明

漏洞CVSS分值

漏洞的CVSS评分,分值为0~10分。如果一个漏洞包含多个CVE漏洞,取最高的CVSS评分。

资产重要性

表示服务器所属重要等级,企业主机安全提供了重要一般测试三个级别的资产重要性分类。默认服务器为一般资产,您可以为服务器关联匹配的重要等级,详细操作请参考关联资产重要等级

资产重要性对应的分值如下:

  • 重要资产:3
  • 一般资产:2
  • 测试资产:1

漏洞时间因子

漏洞所带来的影响随时间推移会逐渐衰减,基于这一特性,企业主机安全根据漏洞披露时间设定了以下漏洞时间因子权重,为漏洞修复优先级提供判定依据:

  • 3个月内:1,漏洞处于高活跃风险期,漏洞信息未广泛扩散,被利用概率较高。
  • 3个月~1年内:0.9,漏洞进入中风险衰减期,部分用户已通过补丁修复漏洞。
  • 1年~3年内:0.8,漏洞进入低风险期,主流漏洞修复方案已覆盖该漏洞,仅老旧系统未更新存在风险。
  • 3年及以上:0.5,漏洞进入稳定期,多数系统已完成漏洞修复,仅极少数特殊场景可能存在漏洞残留。

制定修复计划

漏洞修复优先级主要分为紧急、高、中、低四个等级,您可以参考修复优先级制定漏洞修复计划。

  • 紧急:您必须立即修复的漏洞,攻击者利用该漏洞会对主机造成较大的破坏。
  • :您需要尽快修复的漏洞,攻击者利用该漏洞会对主机造成损害。
  • :您需要修复的漏洞,为提高您主机的安全能力,建议您修复该类型的漏洞。
  • :该类型的漏洞对主机安全的威胁较小,您可以选择修复或忽略。

相关文档