【IT专家网独家】用来判定计算机系统存在漏洞的一个标准化的系统重新被修改，来帮助IT的管理者们更好更快的判定系统内部所存在的潜在威胁。

　　第二版的“通用漏洞评价等级系统”，也可以叫做CVSS V2上个月正式发行。这个系统用来给IT的管理者们提供一个标准的超越厂商背景中立的方法来判定系统漏洞的等级，以便使IT的管理者们划分优先权。

　　CVSS V2由“通用漏洞评分系统”的特别的兴趣小组开发(简称为CVSS-SIG)，这个组织由一些共同为了促进一种语言和标准方法来划分IT系统漏洞的商家、研发者、研发机构、政府代理官员以及IT的管理者们组成。这个组织叫做“事件响应以及安全小组论坛”，简称是FIRST，它是国际事件处理组织的一部分。

　　在CVSS的第一版本中，为了得到那个威胁等级公式，我们必须得进行基础的，暂时的耗时费力的计算，然后才能得到那个公式。而是第二版本中，IT的管理者们只需要使用基础分数的方法就能得到一个十分精确的系统漏洞图，就能判断系统所受到的威胁的等级了。

　　Carnegie Mellon大学下属的一个信息经济安全公司的Sasha Romanosky说，在CVSS第一版中，IT的管理者们要求给临时部分和环境部分评分。他也是CVSS-SIG中的一员。他说：“我觉得使用V1版本对IT的管理者们来说，这项技术的门槛也是很高的，因为存在了太多的专业曲线图，大多数的管理者并不是十分懂这个”。他还说，而且时间上也是个大问题，因为大多数的IT的管理者们不能把那么多的时间都投入到这项学习中去。

　　Romanosky说，而V2版本的研发是建立在V1版本上，而且是吸收了大量的来自CVSS-SIG的用户反馈信息。CVSS-SIG的成员在过去的两年里做了大量的实战漏洞测试。它提供了一个“向量”或者说是用基础得分得到的判定等级的线来帮助IT的管理者们可以清楚的看到流程。

　　Romanosky说，先暂时不管组织是否发行与否，您对比系统的漏洞，然后给优先权做补丁就变得又快又容易了。Romanosky在近些年来一直致力于系统漏洞评价的标准化工程，最近他在eBay网搞安全及防护工作。

　　他说，“我就在想，作为一个公司的安全管理和维护人员，如果所有的漏洞都使用相同的评价方式，那真的就能大大的提高漏洞管理这个工作的效率了。”

　　他还说，一些商家已经采用了CVSS V2版本来划分漏洞的等级了，因此IT的管理着们很容易的就可以决定哪个是最重要的补丁。象思科，甲骨文，McAfee，赛门铁克和Qualsys公司现在都在使用着CVSS V2。

　　微软公司看好CVSS V2

　　微软公司一直使用着自己的等级评价系统，叫做“微软安全响应中心安全公告等级系统”。CVSS-SIG的成员以及又是美国国家标准和技术部的电脑高级工程师Peter Mell说，尽管目前，微软公司还没有完全的信奉CVSS V2，但是他们从一开始对于CVSS V2就已经是一个“抱有积极态度的观众”了。

　　Mell说，微软公司的等级系统使用一个通用术语的列表，这个列表其实就是“通用漏洞和暴露”(简称CVE)，是由CVE编辑版的信息安全专业人士创建的。他还说，微软公司正在逐渐的接触和使用CVSS，包括那里面的关于漏洞等级和更新补丁的标准化列表。

　　WebRoot公司的首席技术官Gerard Eschelbeck说，CVSS-SIG关于超越厂商背景中立的通用评分系统的工作开始于2003年，在这开始的几年内，他本身对研究和发展标准化内容非常感兴趣。

　　他说，在当时，每周商家都会发布许多不同等级的不同漏洞，而之后呢，又从高到低，漏洞的严重性又随之降低。

　　“我认为这个组织出台了关于评分的一个标准的模板，这将有助于决定补丁的优先性。我确实认为，让广大的用户看清楚这个系统的价值的宝贵只是一个时间早晚的问题。“

　　一些象Amazon.com和eBay那样的大型在线网上企业已经开始使用CVSS V2来划分漏洞的等级，其他的一些公司也开始了追随。

　　一个打印技术提供公司的系统管理员John Citron说，他认为一个通用的评分等级将给人们消除很多的关于系统漏洞的困惑。

　　Citron说：“一般来讲，当一个商家看似在表面上有所举动的时候，一般都是受到了来自外部某处的严重的威胁。”

      此文章中文版权归TechTarget和天极公司所共有，任何第三方不得转载。！！

      原文链接：http://searchwinit.techtarget.com/originalContent/0,289142,sid1_gci1263306,00.html