医疗器械网络安全风险评定CVSS打分

为了完成医疗器械软件的网络安全风险评定相关文档，需要进行CVSS评分，这个评分对于第一次做的人来说感觉还是有些迷惑的，查了一些资料，留作参考。

CVSS 指的是 Common Vulnerability Scoring System，即通用漏洞评分系统。它是一种用于评估和量化计算机系统和网络设备安全性的开放标准。CVSS 的主要目的是为安全专业人员提供一个共享的、一致的框架，以评估和比较安全漏洞的严重性。

1、CVSS评分网址

CVSS评分网址：https://www.first.org/cvss/calculator/3.1
如下图，一般情况下，只需要选择基本评分即可，选择完对应的选项评分值，自动会出评分数值。

2、基本评分各项说明

攻击向量 (Attack Vector):
取值：N（无）、A（相邻）、L（本地）、P（物理）。
描述：攻击者与受影响组件之间的位置关系。
具体评分：取值为 A（相邻）时为0.85，L（本地）时为0.58，P（物理）时为0.45，N（无）时为0。

攻击复杂性 (Attack Complexity):
取值：L（低）、H（高）。
描述：利用漏洞的难度。
具体评分：取值为 L（低）时为0.77，H（高）时为0.44。

权限需求 (Privileges Required):
取值：N（无）、L（低）、H（高）。
描述：攻击者在成功利用漏洞之前需要的权限级别。
具体评分：取值为 L（低）时为0.85，H（高）时为0.62，N（无）时为0。

用户互动 (User Interaction):
取值：N（无）、R（需要）、UC（用户的点击）。
描述：攻击者是否需要用户交互才能成功利用漏洞。
具体评分：取值为 R（需要）时为0.77，UC（用户的点击）时为0.85，N（无）时为0。

影响范围 (Scope):
取值：U（未知）、C（改变）、U（未改变）。
描述：攻击成功后对受影响组件的影响范围。
具体评分：取值为 U（未知）时为0，C（改变）时为1.08。

机密性影响 (Confidentiality Impact):
取值：N（无影响）、L（低）、H（高）。
描述：漏洞对机密性的影响程度。
具体评分：取值为 L（低）时为0.22，H（高）时为0.56，N（无）时为0。

完整性影响 (Integrity Impact):
取值：N（无影响）、L（低）、H（高）。
描述：漏洞对完整性的影响程度。
具体评分：取值为 L（低）时为0.22，H（高）时为0.56，N（无）时为0。

可用性影响 (Availability Impact):
取值：N（无影响）、L（低）、H（高）。
描述：漏洞对可用性的影响程度。
具体评分：取值为 L（低）时为0.22，H（高）时为0.56，N（无）时为0。

具体介绍可以参考规格说明文档：
https://www.first.org/cvss/v3.1/specification-document