search close

平台
- Vision One 平台
  - Vision One 平台
    - Trend Vision One™
      
      平台
      
      連繫威脅防護及網絡風險管理
      進一步了解
  - Trend Vision One Marketplace
    - Trend Vision One™
      
      Marketplace
      
      瀏覽趨勢科技認可的合作夥伴方案，了解我們領導業界的平台
      進一步了解
  - 部署選項
    - Trend Vision One™
      
      部署選項
      
      為您的環境作選擇 – 以 SaaS 或客戶託管形式部署 Trend Vision One™
      查看更多資源
- 網絡風險曝險管理
  - Trend Vision One™
    
    網絡風險曝險管理
    
    曝險管理領導廠商 - 將網絡風險視野轉化為果斷主動的保安
    進一步了解
- Security Operations
  - Trend Vision One™
    
    Security Operations (SecOps)
    
    以 XDR、Agentic SIEM 及 Agentic SOAR 情報帶來的強大視野阻截威脅，令攻擊者無所遁形。
    進一步了解
- 雲端保安
  - 雲端保安
    - Trend Vision One™
      
      雲端防護
      
      最受開發師、保安團隊及商界信賴的雲端保安平台
      進一步了解
  - 雲端專用 XDR
    - Trend Vision One™
      
      雲端專用 XDR
      
      將視野擴展至雲端及簡化保安運作中心調查任務
      進一步了解
  - 雲端工作負載防護
    - Trend Vision One™
      
      工作負載保安
      
      以帶有 CNAPP 功能的雲端保安平台保護您的數據中心、雲端及容器，而無須犧牲系統效能或保安
      進一步了解
  - 容器保安
    - Trend Vision One™
      
      容器防護
      
      以先進的容器影像掃瞄、政策為基登入管制及容器運作期保護來簡化雲端原生應用程式的保安
      進一步了解
  - 檔案保安
    - Trend Vision One™
      
      檔案保安
      
      保護應用程式作業流程及雲端儲存免於進階威脅
      進一步了解
  - 雲端風險管理
    - Trend Vision One™
      
      雲端風險管理
      
      整合多重雲視野、消除隱藏風險及保障未來
      進一步了解
  - Code Security
    - Trend Vision One™
      
      Code Security
      
      主動防護軟件開發週期的每個階段
      進一步了解
- 用戶端防護
  - 用戶端防護
    - Trend Vision One™
      
      用戶端保安
      
      在攻擊的每一階段保護用戶端
      進一步了解
  - 用戶端專用 XDR
    - Trend Vision One™
      
      用戶端專用 XDR
      
      透過單一平台取得更廣闊視角及更詳盡背景，以便快速搜尋、偵測、調查及回應威脅
      進一步了解
  - 工作負載保安
    - Trend Vision One™
      
      工作負載保安
      
      為用戶端、伺服器及雲端工作負載提供最佳化的預防、偵測與回應
      進一步了解
- 網絡防護
  - 網絡防護
    - Trend Vision One™
      
      網絡防護
      
      以網絡偵測與回應擴展 XDR 的能力
      進一步了解
  - XDR for Network （NDR）
    - Trend Vision One™
      
      XDR for Network （NDR）
      
      透過單一平台取得更廣闊視角及更詳盡背景，以便快速搜尋、偵測、調查及回應威脅
      進一步了解
  - 網絡入侵防禦
    - 網絡入侵防禦
      
      解決網絡上已知、未知及未公開的漏洞。
      進一步了解
  - Zero Trust Secure Access (ZTSA)
    - Zero Trust Secure Access (ZTSA)
      - Trend Vision One™
        
        Zero Trust Secure Access (ZTSA)
        
        以持續風險評估重新定義可信任及安全的數碼轉型
        進一步了解
    - AI Secure Access
      - AI Secure Access
        
        確保每個生成式人工智能服務、用戶及互動的統一視野及管控
        進一步了解
  - 5G 網絡保安
    - 5G 網絡保安
      進一步了解
  - 工業網絡保安
    - 工業網絡保安
      進一步了解
- 威脅情報
  - Trend Vision One™
    
    威脅情報
    
    預先知道威脅來臨
    進一步了解
- Identity Security
  - Trend Vision One™
    
    身份防護
    
    端對端身份防護，由身份狀況管理以至偵測與回應
    進一步了解
- 資料防護
  - Trend Vision One™
    
    資料防護
    
    透過集中式視野、智能風險優先排序及快速回應功能來預先防範資料外洩。
    進一步了解
- 人工智能保安
  - 人工智能保安
    - 趨勢科技人工智能
      
      探索專為保護企業、支援合規並實現負責任創新而設計的人工智能方案
      進一步了解
  - 專為人工智能組合設計的防護
    - 專為人工智能組合設計的防護
      
      保護您的人工智能之程，在攻擊發生之前預先消除漏洞，讓您安心創新。
      進一步了解
  - 人工智能生態系統
    - 人工智能生態系統
      
      透過人工智能創新、法規領導層及值得信賴的標準來塑造網絡資訊保安的未來
      進一步了解
  - 主動式人工智能保安
    - 主動式人工智能保安
      
      採用業界首創的主動式網絡資訊保安人工智能來強化您的防禦，無盲點、無意外
      主動式人工智能保安
  - Trend Cybertron
    - Trend Cybertron
      
      業界首創的主動式網絡保安人工智能
      Trend Cybertron
  - Trend Companion
    - Trend Companion
      
      運用無可比擬的資料廣度與深度、高品質分析、整理與標示，提供有意義的可用啟示
      進一步了解
  - 人工智能工廠
    - 人工智能工廠
      
      透過資訊保安、合規與信任來加速企業人工智能部署。
      進一步了解
  - 數碼分身
    - 數碼分身
      
      高準度數碼分身可實現預測性規劃、策略投資，以及最佳化韌性
      進一步了解
- 所有產品、服務及試用
  - 所有產品、服務及試用
    進一步了解
- Email and Collaboration Security
  - Trend Vision One™
    
    Email and Collaboration Security
    
    以人工智能電郵防護來防範網絡釣魚、商務電郵詐騙、勒索程式及欺詐，以快速、簡易及精準方式阻截威脅
    進一步了解
方案
- 針對業界
  - 針對業界
    - 針對業界
      進一步了解
  - 醫療
    - 醫療
      
      保護病者資料、裝置及網絡，達致醫療法規要求。
      進一步了解
  - 汽車製造
    - 汽車製造
      進一步了解
  - 5G 網絡
    - 5G 網絡
      進一步了解
- 中小型企業保安
  - 中小型企業保安
    
    以專門助您拓展業務而設的簡單方案來攔截威脅
    進一步了解
- 網絡保險
  - 網絡保險
    - 網絡保險
      
      投保資訊安全保險來提升您的數碼安全與私隱
      進一步了解
  - 入侵前服務
    - 入侵前服務
      
      採用入侵前評估服務來強化網絡防禦
      進一步了解
  - 可保性
    - 可保性
      
      趨勢科技如何透過多種功能來協助建立受保資格。
      進一步了解
  - 入侵輔導
    - 網絡安全違規輔導員
      
      利用資料外洩輔導員來盡量降低風險並發揮最大的防護
      進一步了解
  - 事故回應策劃
    - 事故回應策劃
      
      利用事故回應策劃來擊退網絡保安威脅
      進一步了解
  - Invision Cyber
    - Invision Cyber
      
      智能、風險為基承保範圍，專為您的保安狀況而度身打造
      進一步了解
研究
- 研究
  - 研究
    - 研究
      進一步了解
  - 研究、新聞及觀點
    - 研究、新聞及觀點
      進一步了解
  - 研究與分析
    - 研究與分析
      進一步了解
  - 資訊保安新聞
    - 資訊保安新聞
      進一步了解
  - ZDI 漏洞懸賞計畫
    - ZDI 漏洞懸賞計畫
      進一步了解
服務
- 我們的服務
  - 我們的服務
    - 我們的服務
      
      讓值得信賴的網絡保安專家來擴展您的團隊，預測、預防及管理資料外洩事件。
      進一步了解
  - 服務組合
    - 服務組合
      
      以全天候託管式偵測、回應及支援服務強化保安團隊
      進一步了解
  - 資訊保安風險顧問報告
    - 資訊保安風險顧問報告
      
      透過策略指引來評估、了解及防範網絡保安風險。
      進一步了解
  - 託管偵測與回應（MDR）
    - 託管偵測與回應（MDR）
      
      以專業的託管式偵測與回應（MDR）強化對電郵、用戶端、伺服器、雲端工作負載及網絡威脅的偵測。
      進一步了解
  - 事故回應
    - 事故回應
      - 事故回應
        
        無論您需要對應入侵或主動改善事故回應計劃，我們備受信賴的專家都準備就緒，隨時候命
        進一步了解
    - 保險承保單位及律師事務所
      - 保險承保單位及律師事務所
        
        以市場上最佳的回應與偵測技術來阻止入侵，減低客戶的停機時間及索償。
        進一步了解
  - 紅隊及紫隊
    - 紅隊及紫隊
      
      體驗現實世界的攻擊場景，以建立準備狀態及強化防禦
      進一步了解
  - 支援服務
    - 支援服務
      進一步了解
業務夥伴
- 業務夥伴計劃
  - 業務夥伴計劃
    - 業務夥伴計劃總覽
      
      利用業界最佳的多層次保安來擴充業務及保護您的客戶
      進一步了解
  - 業務夥伴能力
    - 業務夥伴能力
      
      以展現專業知識的能力來脫穎而出
      進一步了解
  - 業務夥伴案例
    - 業務夥伴案例
      進一步了解
  - 服務商（xSP）
    - 服務商（xSP）
      
      採用單一、合作夥伴導向的防護平台來提供主動式防護服務，專為 MSP、MSSP 及 DFIR 團隊打造。
      進一步了解
- 策略聯盟夥伴
  - 策略聯盟夥伴
    - 策略聯盟夥伴
      
      我們與最頂尖的廠商合作來協助您創造最大的績效與價值。
      進一步了解
  - 科技策略聯盟夥伴
    - 科技策略聯盟夥伴
      進一步了解
  - 尋找策略聯盟夥伴
    - 尋找策略聯盟夥伴
      進一步了解
- 業務夥伴資源
  - 業務夥伴資源
    - 業務夥伴資源
      
      發掘專為加快企業成長及提升趨勢科技業務夥伴的能力而設計的資源
      進一步了解
  - 成為業務夥伴
    - 成為業務夥伴
      進一步了解
  - 業務夥伴入門網站登入
    - 業務夥伴入門網站登入
      登入
  - Trend Campus
    - Trend Campus
      
      Trend Campus 是一個簡單易用的教育平台，提供個人化技術指導，助您加速學習
      進一步了解
  - 聯合銷售
    - 聯合銷售
      
      取得專為協助您展示 Trend Vision One™ 價值及拓展業務而設的協作服務
      進一步了解
- 尋找業務夥伴
  - 尋找業務夥伴
    
    尋找可以購買趨勢科技方案的業務夥伴
    進一步了解
- Trend Vision One Marketplace
  - Trend Vision One™
    
    Marketplace
    
    瀏覽趨勢科技認可的合作夥伴方案以了解我們領導業界的平台
    進一步了解
公司
- 為何選擇趨勢科技
  - 為何選擇趨勢科技
    - 為何選擇趨勢科技
      進一步了解
  - 用戶案例
    - 用戶案例
      進一步了解
  - 業界盛譽
    - 業界盛譽
      進一步了解
  - 策略聯盟
    - 策略聯盟
      進一步了解
  - 人際連繫
    - 人際連繫
      進一步了解
- 用戶案例
  - 用戶案例
    - 用戶案例
      
      全球客戶如何使用趨勢科技來預測、預防、偵測及回應威脅的真實個案研究
      進一步了解
  - ESG 業務衝擊
    - ESG 業務衝擊
      
      看網絡保安韌性如何帶來可衡量的衝擊、更聰明的防禦及持續的效能。
      進一步了解
  - 客戶之聲
    - 客戶之聲
      
      直接聽聽我們的用戶怎樣說。他們的啟示塑造了我們的方案，並帶動持續改進。
      進一步了解
  - 人際連繫
    - 人際連繫
      
      認識資訊保安背後的人員：我們的團隊、客戶及改善數碼健康。
      進一步了解
- 趨勢科技方案的比較
  - 趨勢科技方案的比較
    - 趨勢科技方案的比較
      
      看趨勢科技如何較對手表現更佳
      繼續
  - 與 Crowdstrike 的比較
    - 趨勢科技與 Crowdstrike 的比較
      
      Crowdstrike 透過其雲原生平台提供有效率的網絡保安，但其價格可能會令用戶超出預算，特別影響希望尋找高性價比且可透過真正單一平台按需進行調整的機構。
      繼續
  - 與 Microsoft 的比較
    - 趨勢科技與 Microsoft 的比較
      
      Microsoft 提供一個基礎層面的防護，但通常都需要額外附加方案來全面對應腦戶的保安問題
      繼續
  - 與 Palo Alto 的比較
    - 趨勢科技與 Palo Alto Networks 的比較
      
      Palo Alto 提供先進的網絡保安方案，但要在其全面的套件中搜尋方案是一件相當複雜的事，而要採用所有功能更需要重大投資。
      繼續
  - 與 SentinelOne 的比較
    - 趨勢科技與 SentinelOne 的比較
      繼續
- 關於我們
  - 關於我們
    - 關於我們
      進一步了解
  - 互信中心
    - 互信中心
      進一步了解
  - 歷史
    - 歷史
      進一步了解
  - 多樣性、平等及包容性
    - 多樣性、平等及包容性
      進一步了解
  - 企業社會責任
    - 企業社會責任
      進一步了解
  - 領導地位
    - 領導地位
      進一步了解
  - 資訊保安專家
    - 資訊保安專家
      進一步了解
  - 網絡安全與網絡保安教育推廣
    - 網絡安全與網絡保安教育推廣
      進一步了解
  - 法務
    - 法務
      進一步了解
  - 投資人
    - 投資人
      進一步了解
  - 一級方程式車隊合作夥伴
    - 一級方程式車隊合作夥伴
      
      麥拿倫一級方程式車隊官方合作夥伴
      進一步了解
- 聯絡我們
  - 聯絡我們
    - 聯絡我們
      進一步了解
  - 新聞中心
    - 新聞中心
      進一步了解
  - 活動
    - 活動
      進一步了解
  - 徵求人才
    - 徵求人才
      進一步了解
  - 網上研討會
    - 網上研討會
      進一步了解

在尋找家居方案？

受到攻擊？

支援

資源

登入

arrow_back

search close

甚麼是 CVSS（通用漏洞評分系統）？

Fernando Cardoso

- 最後更新時間 2026/02/05

CVSS（通用漏洞評分系統）是衡量軟件及系統漏洞嚴重性的國際標準。

進一步了解

keyboard_arrow_down

CVSS 採用供應商中立標準及標準化評分方法，以一致、定量的方式表達漏洞的嚴重性。

CVSS 採用客觀指標而非供應商特定的詮釋，讓機構能以通用語言比較不同產品、環境及行業的漏洞。

CVSS 的目的是甚麼？

CVSS 的目的是協助機構根據嚴重性持續評估、比較及優先處理漏洞。CVSS 評分為漏洞管理及風險修正決策提供結構化意見。

每個漏洞都會被評為 0.0 至 10.0 之間的分數，而該分數也對應到定性嚴重性：

低
中
高
重要

由於其標準化方法，CVSS 被保安團隊、供應商、事故回應者及漏洞數據庫廣泛用作排序補救措施的主要參考。

誰負責維護 CVSS？它如何發展？

CVSS 由 FIRST（事故回應及保安團隊論壇）屬下的 CVSS Special Interest Group（CVSS-SIG）維護。FIRST 是一個國際網絡保安機構，致力改善全球的事故回應及漏洞協調。

自推出以來，CVSS 已進行多次修正，以反映科技及威脅情勢的變化。最近期的重大更新在 2023 年 7 月公佈，而 CVSS v4.0 已於 2023 年 11 月正式發佈，這標誌著漏洞嚴重程度評估方式的重大演變。

FIRST 將 CVSS 描述為一個框架，旨在提供標準化方法來評估漏洞的嚴重性，並協助機構優先處理回應。
— FIRST

甚麼是 CVSS v4.0？為甚麼它很重要？

CVSS v4.0 是 CVSS 框架的最新版本，旨在解決較早版本的結構限制。它可以提高評分準確度、減少模棱兩可之處，並將適用性擴展至傳統資訊科技環境以外。

最值得注意的是，CVSS v4.0 引入了更清晰的指標分離、更精細的評分，以及對營運科技、工業管控系統及物聯網環境的明確支援，反映了現代機構的實際運作方式。

CVSS v4.0 由哪些指標組組成？

CVSS v4.0 由四組指標組成，評估不同角度的漏洞嚴重性。這些組別可以合併計算並配對使用個案。

四個指標組為：

基本指標 – 衡量漏洞的內在嚴重性
威脅指標 – 反映真實世界的漏洞攻擊活動
環境指標 – 根據組織背景自訂嚴重性
補充指標 – 提供其他與回應相關的背景

每個群組在漏洞評估及回應流程中都具有截然不同的目的。

甚麼是 CVSS 基本指標？

基本指標可衡量漏洞的固有嚴重性，不受外部環境影響。他們評估漏洞的攻擊難度，以及假如出現漏洞，將帶來的潛在影響。

基本指標通常由產品廠商評估，一旦確定，會隨時間保持穩定。在 CVSS v4.0 中，基本指標經過精煉，以提高清晰度和精細度，實現更精確的嚴重程度評分。

甚麼是 CVSS 威脅指標？

威脅指標評估漏洞在現實世界環境中被攻擊的可能性。這個指標小組主要關注漏洞攻擊程式碼是否存在，以及漏洞攻擊是否在網上被發現。

由於威脅活動會隨時間而改變，因此威脅指標本身是動態的，一般會由擁有漏洞者利用威脅情報及運作環境來評估。

主要考慮因素包括：

漏洞攻擊碼的可用性
主動或廣泛利用的證據

甚麼是 CVSS 環境指標？

環境指標會根據機構的特定環境來調整漏洞的嚴重性。它們考慮受影響系統對指定機構的保密性、完整性及可用性有多重要。

因此，根據系統角色、業務影響及營運限制，各機構之間的環境指標得分可能顯著不同。

甚麼是 CVSS 補充指標？

補充指標提供了額外的背景資訊來支援漏洞回應決策。雖然它們不會影響 CVSS 分數的計算，但它們為補救計劃提供了寶貴的啟示。

補充指標採集的因素例子包括：

攻擊自動化水平
復原的複雜性
恢復受影響系統所需的工作

這些指標協助機構從嚴重程度評估轉為實際的應變計劃。

CVSS v4.0 中存在哪些類型的 CVSS 分數？

CVSS v4.0 根據指標的不同組合，支援多種分數類型。這可讓機構從基準、環境及即時威脅的角度評估漏洞的嚴重性。

主要的 CVSS 分數類型包括：

CVSS-B – 僅限基本分數
CVSS-BE – 基本 + 環境
CVSS-BT – 基本 + 威脅
CVSS-BTE – 基本 + 威脅 + 環境

例如，評估環境中漏洞嚴重性的機構一般都依賴 CVSS-BE，而採用主動式威脅情報的機構則採用 CVSS-BTE。

CVSS v4.0 與 CVSS v3.1 相比有何變化？

CVSS v4.0 的開發是為了解決 CVSS v3.1 中詳盡記錄的挑戰。隨著時間推移，CVSS v3.1 與現代系統及威脅狀況越來越不協調。

FIRST 發現幾個關鍵問題，包括：

過度依賴基本分數進行風險分析
臨時（即時威脅）指標的影響有限
實時威脅的代表性不足
對營運科技、工業管控系統及安全關鍵系統的適用性欠佳
「高」和「關鍵」範圍內的得分過多
分數的精細度有限
複雜及非直覺的評分方法

CVSS v3.1 的挑戰由 FIRST 發佈，為清楚起見，已進行總結及翻譯。

這些變更如何改善 CVSS v4.0？

CVSS v4.0 的更新讓漏洞評分更加精確、可行及相關。每項變更均直接針對先前版本中指出的限制。

主要改進包括：

增加基本指標內的精細度
刪除模糊的下游評分邏輯
簡化威脅指標，擴評分影響
引進回應支援的補充指標
擴展營運科技、工業管控系統及物聯網環境的適用性

首先要注意的是，CVSS v4.0 的設計是要更好反映現實世界的漏洞攻擊條件和現代化系統架構。

為甚麼擴展營運科技覆蓋範圍是 CVSS v4.0 中最重要的變化？

CVSS v4.0 最重要的提升是明顯涵蓋了營運技術環境。這是首個正式說明漏洞可能對物理安全造成影響的 CVSS 版本。

隨著數碼轉型持續模糊資訊科技與營運科技之間的界限，工業系統的漏洞會直接影響生產、安全和人類生活。CVSS v4.0 結合安全意識指標及下游影響考慮，反映了這個現實。

機構應如何準備有效使用 CVSS v4.0？

為有效使用 CVSS v4.0，機構必須調整漏洞管理實務，以對應資訊科技與營運科技的現況。雖然 CVSS v4.0 可提昇視野，但回應的挑戰仍然存在，尤其是在營運科技環境中。

主要差異包括：

營運科技系統會優先考慮可用性和安全性，而非補丁
部署環境經常被密閉及由供應商管理
補丁可能不可行或明顯被避免

如果沒有同時了解資訊科技與營運科技環境的人員，機構可能難以單獨就漏洞啟示採取行動。

為何營運科技資產的可視性及入侵預防至關重要？

當傳統補丁不切實際時，營運科技資產視野及漏洞防護是不可或缺的一環。機構必須先了解自己擁有的營運科技資產，才能管理相關的漏洞。

有效的營運科技漏洞風險降低通常涉及：

全面發掘營運科技資產
持續網絡流量監控
營運科技特定傳感器及可視性工具
透過以營運科技為重點的入侵防禦系統進行虛擬補丁

即使無法透過補丁來修復漏洞，這些管控措施也能協助防止漏洞攻擊，降低風險。

我可以在哪裡獲得有關 CVSS 和漏洞風險排序的協助？

Trend Vision One™ 提供超越基本 CVSS 評分的網絡風險曝險管理（CREM）方案，協助機構了解、排序及減低整個攻擊面的風險。它將漏洞的嚴重性評分與即時威脅情報及情境風險分析相結合，讓保安團隊作出更快、更明智的決定。

此方案整合了受攻擊面管理、漏洞管理及保安狀況評估等主要功能，涵蓋資訊科技、營運OT、雲端及混合環境。這不僅僅是識別漏洞，而是將啟示轉化為可採取行動的步驟，以增強適應力並盡量減少曝露。

透過網絡風險曝險管理，您可以：

掌握最關鍵資產及漏洞
按照實際風險排序補救次序，而不僅僅是理論得分
透過主動風險降低策略減低入侵的可能性

進一步了解

Fernando Cardoso

產品管理副總裁

Fernando Cardoso 是趨勢科技產品管理副總裁，專長於不斷演進的人工智能與雲端世界。他的職業生涯由擔任網路與銷售工程師開始，並在數據中心、雲端、DevOps 及網絡資訊保安領域都具備優異技能，而他對這些領域依然煥發了無比熱情。

常見問題

Expand all Hide all

CVSS 在網絡保安中代表甚麼？

add

CVSS 代表通用漏洞評分系統。它是一個標準化的框架，用於衡量軟件及系統內保安漏洞的嚴重性。CVSS 提供數字評分，協助機構持續比較漏洞，並針對修正工作設定優先次序。

甚麼是 CVSS 分數？

add

CVSS 分數是代表漏洞嚴重程度的數值。得分範圍從 0.0 到 10.0，得分較高表示風險更大。這些分數通常分類為低、中、高或關鍵。

誰使用 CVSS 分數？

add

CVSS 評分用於全球保安團隊、廠商及漏洞數據庫。機構可依靠他們優先處理修補、引導事故回應，並在不同環境支援以風險為基礎的漏洞管理決策。

CVSS v3.1 與 CVSS v4.0 有何分別？

add

與 CVSS v3.1 相比，CVSS v4.0 可提高準確度和適用性。它帶來更高的評分細度，簡化威脅評估，並將覆蓋範圍擴展至營運科技、工業管控系統及物聯網環境，同時減少評分的模棱兩可。

CVSS v4.0 中的指標組別是甚麼？

add

CVSS v4.0 包括四個從不同觀點評估漏洞嚴重性的指標組吭別。這些是基本指標、威脅指標、環境指標及補充指標，共同支援更多協助了解情境嚴重性的評分。