漏洞高危 中危 低危的划分标准

漏洞等级采用CVSS 2.0标准的评分原则，对单个漏洞进行基本向量评分。CVSS : Common Vulnerability Scoring System，即“通用漏洞评分系统”，是一个“行业公开标准，其被设计用来评测漏洞的严重程度，并帮助确定所需反应的紧急度和重要度”。

CVSS系统对所有漏洞按照从0.0至10.0的级别进行评分，其中，10.0表示最高安全风险。

在CVSS系统中获得0.0至3.9的分数的低危漏洞仅可能被本地利用且需要认证。成功的攻击者很难或无法访问不受限制的信息、无法破坏或损坏信息且无法制造任何系统中断。示例：包括默认或可推测的SNMP社区名称以及OpenSSL PRNG内部状态发现漏洞。

在CVSS系统中获得4.0至6.9的分数的中危漏洞可被拥有中级入侵经验者利用，且不一定需要认证。成功的攻击者可以部分访问受限制的信息、可以破坏部分信息且可以禁用网络中的个体目标系统。示例：包括允许匿名FTP可写入和弱LAN管理器散列。

在CVSS系统中获得7.0至10.0的分数的高危漏洞可被轻易访问利用，且几乎不需要认证。成功的攻击者可以访问机密信息、可以破坏或删除数据且可以制造系统中断。示例：包括匿名用户可以获取Windows密码策略。