search close

平台
- Trend Vision One 平台
  - Trend Vision One 平台
    - Trend Vision One™
      
      Platform
      
      跨越威脅防護與資安風險管理之間的鴻溝
      進一步了解
  - Trend Vision One Marketplace
    - Trend Vision One™
      
      市集
      
      瀏覽趨勢科技認證的合作夥伴解決方案
      進一步了解
  - 部署選項
    - Trend Vision One™
      
      部署選項
      
      您的環境、您的選擇：以 SaaS 或客戶自管的方式部署 Trend Vision One™
      查看更多資訊
- Cyber Risk Exposure Management
  - Trend Vision One™
    
    資安曝險管理 (CREM)
    
    曝險管理領導者 – 將網路資安風險可視性轉化為果斷、主動的資安防護
    進一步了解
- 資安營運
  - Trend Vision One™
    
    Security Operations (SecOps)
    
    以卓越的可視性制止駭客，整合 XDR、AI 代理 SIEM 與 AI 代理 SOAR 的威脅情報，讓駭客無處躲藏
    進一步了解
- Cloud Security
  - Cloud Security
    - Trend Vision One™
      
      Cloud Security
      
      最受信賴且專為開發人員、資安團隊及企業設計的雲端防護平台。
      了解更多
  - XDR for Cloud
    - Trend Vision One™
      
      雲端 XDR
      
      將可視性延伸至雲端並簡化 SOC 調查工作。
      進一步了解
  - 工作負載防護
    - Trend Vision One™
      
      工作負載防護
      
      採用一套具備 CNAPP 功能的雲端防護平台來保護您的資料中心、雲端和容器而不犧牲效能或資安。
      進一步了解
  - 容器防護
    - Trend Vision One™
      
      容器防護
      
      採用進階容器映像掃描、政策導向核准控管以及容器執行時期防護來簡化您的雲端原生應用程式防護。
      了解更多
  - File Security
    - Trend Vision One™
      
      檔案防護
      
      保護應用程式流程與雲端儲存以防範進階威脅。
      進一步了解
  - 雲端風險管理
    - Trend Vision One™
      
      雲端風險管理
      
      整合多重雲端可視性、消除隱藏曝險，保障您的未來安全
      進一步了解
- Endpoint Security
  - Endpoint Security
    - Trend Vision One™
      
      端點防護
      
      在攻擊的每一個階段保護端點。
      進一步了解
  - XDR for Endpoint
    - Trend Vision One™
      
      XDR for Endpoint
      
      從單一平台獲得更寬廣的視野與更豐富的情境資訊來追蹤、偵測、調查及回應威脅，進而更快攔截敵人。
      進一步了解
  - Workload Security
    - Trend Vision One™
      
      工作負載防護
      
      專為端點、伺服器及雲端工作負載最佳化的防範、偵測及回應
      進一步了解
- Network Security 網路防護
  - Network Security 網路防護
    - Trend Vision One™
      
      Network Security
      
      藉由網路偵測及回應來拓展 XDR 功能。
      了解更多
  - XDR for Network （NDR）
    - XDR for Network （NDR）
      
      從單一平台獲得更寬廣的視野與更豐富的情境資訊來追蹤、偵測、調查及回應威脅，進而更快攔截敵人。
      進一步了解
  - 網路入侵防護 (IPS)
    - 網路入侵防護 (IPS)
      
      防範您網路內已知、未知及未公開的漏洞。
      進一步了解
  - 5G 網路防護
    - 5G 網路防護
      進一步了解
  - 工業網路防護
    - 工業網路防護
      進一步了解
  - Zero Trust Secure Access (ZTSA)
    - Zero Trust Secure Access (ZTSA)
      - Trend Vision One™
        
        Zero Trust Secure Access (ZTSA)
        
        藉由持續的風險評估，重新定義信任與安全的數位轉型。
        了解更多
    - AI 安全存取
      - AI 安全存取
        
        確保每個 GenAI 服務、使用者與互動都能獲得全方位的可視性與控管。
        進一步了解
- Email and Collaboration Security
  - Trend Vision One™
    
    Email and Collaboration Security
    
    以 AI 賦能電子郵件防護，快速且精準阻擋網路釣魚、變臉詐騙(BEC)、勒索病毒和詐騙威脅
    進一步了解
- 威脅情報
  - Trend Vision One™
    
    威脅情報
    
    預先知道威脅來臨。
    進一步了解
- Identity Security
  - Trend Vision One™
    
    身份防護
    
    端對端的身分防護，從身分狀況管理到偵測及回應。
    進一步了解
- Data Security
  - Trend Vision One™
    
    Data Security
    
    藉由集中化可視性、智慧風險優先次序判斷，以及快速回應能力來預先防範資料外洩。
    進一步了解
- AI 防護
  - AI 防護
    - 趨勢科技人工智慧
      
      深入了解專為保護您的企業、支援法規遵循，以及實現負責任的創新而設計的 AI 解決方案。
      進一步了解
  - 主動式 AI 防護
    - 主動式 AI 防護
      
      採用業界首創的主動式網路資安 AI 來強化您的防禦，無盲點、無意外。
      主動式 AI 防護
  - Trend Cybertron
    - Trend Cybertron
      
      業界首創的主動式網路資安 AI
      Trend Cybertron
  - Trend Companion
    - Trend Companion
      
      運用無可匹敵的資料廣度與深度，以及高品質的分析、篩選和標記，進而揭示有意義且可行的洞見。
      進一步了解
  - AI 堆疊防護
    - AI 堆疊防護
      
      保護您的 AI 之旅，在攻擊發生之前預先消除漏洞，讓您安心創新。
      進一步了解
  - AI 工廠（AI Factory）
    - AI 工廠（AI Factory）
      
      藉由安全、合規及信任來加速企業 AI 部署。
      進一步了解
  - 數位孿生
    - 數位孿生
      
      高擬真數位孿生技術實現預測式規劃、策略投資與韌性優化。
      進一步了解
  - AI 生態系
    - AI 生態系
      
      透過 AI 創新、領先的法規，以及值得信賴的標準來塑造網路資安的未來。
      進一步了解
- 企業內資料主權
  - Trend Vision One™
    
    企業內資料主權
    
    在不犧牲資料主權的情況下防範、偵測、回應及防護。
    進一步了解
- 所有產品、服務及試用
  - 所有產品、服務及試用
    進一步了解
解決方案
- 依產業別
  - 依產業別
    - 依產業別
      了解更多
  - 醫療
    - 醫療
      
      保護病患資料、裝置及網路，同時達成法規要求。
      進一步了解
  - 汽車
    - 汽車
      進一步了解
  - 5G 網路
    - 5G 網路
      進一步了解
- 中小企業防護
  - 中小企業防護
    
    透過全面的防護阻止威脅
    進一步了解
- 資安險
  - 資安險
    - 資安險
      
      投保資安險來強化您的數位安全與隱私權
      進一步了解
  - 可保性
    - 可保性
      
      趨勢科技如何藉由多種功能來協助您建立資格
      進一步了解
  - 資安事件輔導員
    - 資安事件輔導員
      
      善用資安事件輔導員來降低風險並提升最大防護
      進一步了解
  - 資安事件事前服務
    - 資安事件事前服務
      
      採用資安事件事前評估服務來強化您的網路防禦
      進一步了解
  - 資安事件應變規劃
    - 資安事件應變規劃
      
      利用資安事件應變規劃預先作好萬全準備，搶先資安威脅一步
      進一步了解
  - Invision Cyber
    - Invision Cyber
      
      根據風險量身打造的智慧防護，真正符合您的資安現況
      進一步了解
研究報告
- 研究報告
  - 部落格
    - 部落格
      進一步了解
  - 年度預測與資安報告(中文版)
    - 年度預測與資安報告(中文版)
      進一步了解
  - 研究報告、新聞與觀點
    - 研究報告、新聞與觀點
      進一步了解
  - 研究與分析
    - 研究與分析
      進一步了解
  - 資安新聞
    - 資安新聞
      進一步了解
  - ZDI 漏洞懸賞計畫
    - ZDI 漏洞懸賞計畫
      了解更多
部落格
- 部落格
  - 部落格
    進一步了解
服務
- 我們的服務
  - 託管式偵測及回應 (MDR)
    - 託管式偵測及回應 (MDR)
      
      採用專家託管式偵測及回應 (MDR) 來強化威脅偵測，掌握電子郵件、端點、伺服器、雲端工作負載以及網路的威脅。
      進一步了解
  - 支援服務
    - 支援服務
      進一步了解
  - Cyber Risk Advisory
    - Cyber Risk Advisory
      
      運用策略性指引來評估、了解及防範資安風險。
      進一步了解
  - 紅紫隊演練
    - 紅紫隊演練
      
      執行實際攻擊情境來提升應對能力並強化防禦
      進一步了解
合作夥伴
- 合作夥伴方案
  - 合作夥伴方案
    - 合作夥伴方案簡介
      
      採用最優異的全方位多層式防護來安心拓展您的業務並保護您的客戶。
      進一步了解
  - 雲端服務供應商
    - 雲端服務供應商
      
      在您的雲端服務陣容當中加入市場領先的資安防護，不論您使用何種平台。
      進一步了解
- 策略聯盟夥伴
  - 策略聯盟夥伴
    - 策略聯盟夥伴
      
      我們與最頂尖的廠商合作來協助您創造最大的績效與價值。
      進一步了解
  - 尋找策略聯盟夥伴
    - 尋找策略聯盟夥伴
      進一步了解
- 尋找合作夥伴
  - 尋找合作夥伴
    
    尋找一家方便您採購趨勢科技解決方案的廠商。
    進一步了解
- 合作夥伴工具
  - 合作夥伴工具
    - 合作夥伴工具
      進一步了解
  - 合作夥伴登入
    - 合作夥伴登入
      登入
  - 教育訓練與認證
    - 教育訓練與認證
      進一步了解
  - 合作夥伴案例
    - 合作夥伴案例
      進一步了解
  - 代理商
    - 代理商
      進一步了解
  - 尋找合作夥伴
    - 尋找合作夥伴
      進一步了解
公司
- 為何選擇趨勢科技？
  - 為何選擇趨勢科技？
    - 為何選擇趨勢科技？
      進一步了解
  - 產業榮耀
    - 產業榮耀
      進一步了解
  - 策略聯盟
    - 策略聯盟
      進一步了解
- 客戶成功故事
  - 客戶成功故事
    - 客戶成功故事
      
      深入了解全球客戶如何透過，從預測到回應，全面強化資安防護
      進一步了解
  - ESG 的商業效益
    - ESG 的商業效益
      
      看看資安韌性如何帶來可衡量的效益、更聰明的防禦，以及永續的績效。
      進一步了解
  - 來自客戶的聲音
    - 來自客戶的聲音
      
      直接聽聽我們的使用者怎麼說，他們的意見塑造了我們的解決方案，也驅策著我們持續改進。
      進一步了解
  - 人與人的連結
    - 人與人的連結
      
      認識資安防護的幕後功臣：我們的團隊、客戶，以及更好的數位福祉。
      進一步了解
- 趨勢科技與競爭對手比較
  - 趨勢科技與競爭對手比較
    - 趨勢科技與競爭對手比較
      
      看看趨勢科技如何勝過競爭對手
      讓我們開始吧
  - 對比 CrowdStrike
    - 趨勢科技對比 Crowdstrike
      
      Crowdstrike 經由其雲端原生平台提供了有效的資安防護，但價格卻可能超出企業的預算，尤其是追求成本效益及擴充性的企業，他們想要的是一套真正的單一平台。
      讓我們開始吧
  - 對比 Microsoft
    - 趨勢科技對上 Microsoft
      
      Microsoft 提供了一層基礎的防護，但通常需要搭配一些解決方案來加以補強，才能徹底解決客戶的資安問題。
      讓我們開始吧
  - 對比 Palo Alto Networks
    - 趨勢科技對比 Palo Alto Networks
      
      Palo Alto Networks 提供了進階的網路資安解決方案，但其整套方案了解起來卻相當複雜，而且要解鎖其所有功能需要相當多的投資。
      讓我們開始吧
  - 對比 SentinelOne
    - 趨勢科技 vs. SentinelOne
      讓我們開始吧
- 關於我們
  - 關於我們
    - 關於我們
      進一步了解
  - Trust Center
    - Trust Center
      進一步了解
  - 歷史沿革
    - 歷史沿革
      進一步了解
  - 多樣性、公平性與包容性
    - 多樣性、公平性與包容性
      進一步了解
  - 企業社會責任
    - 企業社會責任
      進一步了解
  - 經營團隊
    - 經營團隊
      進一步了解
  - 資安專家
    - 資安專家
      進一步了解
  - 網路安全與網路資安教育
    - 網路安全與網路資安教育
      進一步了解
  - 法律資訊
    - 法律資訊
      進一步了解
  - 投資人
    - 投資人
      進一步了解
  - Formula 1 合作夥伴
    - Formula 1 合作夥伴
      
      McLaren Formula 1 Team 官方合作夥伴
      進一步了解
- 參考資源
  - 新聞中心
    - 新聞中心
      進一步了解
  - 展覽與研討會
    - 展覽與研討會
      進一步了解
  - 徵才
    - 徵才
      進一步了解
  - 企業電子報
    - 訂閱企業電子報
      進一步了解

前往家用產品

與我們聯繫

技術支援

參考資源

登入

arrow_back

search close

什麼是通用漏洞評分系統 (CVSS)？

Fernando Cardoso

- Last updated 2026/02/05

通用漏洞評分系統 (Common Vulnerability Scoring System，簡稱 CVSS) 是衡量軟體與系統資安漏洞嚴重性的一套國際標準。

進一步了解

keyboard_arrow_down

CVSS 採用廠商中立的條件與標準化評分方法，透過一致且量化的方式來表示漏洞的嚴重性。

CVSS 採用的是客觀的指標，而非特定廠商的解讀，讓企業使用一種共通的語言在不同的產品、環境及產業之間進行漏洞的比較。

CVSS 的目的是什麼？

CVSS 的目的是要協助企業根據漏洞的嚴重性，一致地評估、比較和判斷漏洞的優先次序。CVSS 評分為漏洞管理與風險導向的矯正決策提供了一種系統化資訊。

每個漏洞都會被指派一個 0.0 至 10.0 的評分來代表其嚴重程度：

低
中
高
重大

由於 CVSS 採用的是標準化方法，因此資安團隊、廠商、資安事故應變人員以及漏洞資料庫都廣泛採用 CVSS 來作為矯正優先次序的主要參考指標。

誰負責維護 CVSS，以及它是如何演變？

CVSS 是由「資安事故應變與資安團隊論壇」(Forum of Incident Response and Security Teams，簡稱 FIRST) 底下的 CVSS 特殊興趣團體 (CVSS-SIG) 負責維護。FIRST 是一個國際性網路資安機構，致力推動全球資安事故應變與漏洞協調的改進。

CVSS 自推出以來已經過多次修訂，以反映技術與威脅情勢的變化。最近一次重大更新是在 2023 年 7 月發布，而 CVSS v4.0 則是 2023 年 11 月正式推出，它象徵了漏洞嚴重性評估方式的重大演進。

根據 FIRST 的說法，CVSS 是一套框架，其設計是要提供「一套標準化方法來評估漏洞的嚴重性，並協助企業判斷回應工作的優先次序。」
— FIRST (資安事故應變與資安團隊論壇)

什麼是 CVSS v4.0？為何它很重要？

CVSS v4.0 是 CVSS 框架的最新主要版本，專為解決早期版本的結構性限制而設計。它不僅改善了評分的準確度、減少模糊性，還將其適用性延伸至傳統 IT 環境之外。

最值得注意的是，CVSS v4.0 提供了更明確的指標分類、更精細的評分方式，並且明確支援營運技術 (OT)、工業控制系統 (ICS) 和 IoT 環境，反映了現代化企業的實際營運環境。

CVSS v4.0 是由哪些指標群組所構成？

CVSS v4.0 是由四個指標群組所構成，各自從不同的角度評估漏洞的嚴重性。這些群組可合併運用，以便計算出符合特定應用情境的評分。

這四個指標群組分別為：

基本指標 – 衡量漏洞本質上的嚴重性。
威脅指標 – 反映真實世界的漏洞攻擊活動。
環境指標 – 根據企業情境提供客製化嚴重性。
補充指標 – 提供額外的應變相關情境。

每一群組在漏洞評估與應變工作流程當中都有其不同的用途。

什麼是 CVSS 的基本指標？

基本指標衡量的是漏洞在本質上有多嚴重，無關乎外部條件。這些指標會評估漏洞的攻擊難度，以及一旦遭到攻擊將帶來什麼潛在衝擊。

基本指標通常由產品廠商來衡量，一旦定義好了，就會長期維持不變。CVSS v4.0 當中的基本指標都經過調整修正以改善其清晰度和精細度，讓嚴重性評分更加精準。

什麼是 CVSS 的威脅指標？

威脅指標衡量的是漏洞在真實環境中遭到攻擊的活躍程度。這組指標關心的是漏洞攻擊程式碼是否存在，以及網路上是否已經觀察到漏洞攻擊案例。

由於威脅活動會隨著時間而改變，因此威脅指標本質上是動態的，通常由漏洞的消費者利用威脅情資和營運情境來加以評估。

主要考量包括：

是否已經有漏洞攻擊程式碼可用。
是否有活躍或廣泛遭到攻擊的證據。

什麼是 CVSS 的環境指標？

環境指標會根據企業的特殊環境來評估漏洞的嚴重性。它們會考量受影響的系統對於企業內的機密性、完整性與可用性有多重要。

因此，根據系統角色、業務衝擊以及營運條件的不同，環境指標在不同的企業中的評分可能截然不同。

什麼是 CVSS 的補充指標？

補充指標提供了額外的情境資訊來支援漏洞應變決策。雖然它們不會影響 CVSS 評分的計算，但卻能為矯正計畫提供珍貴的洞見。

補充指標所捕捉的因素包括：

攻擊自動化程度。
復原的複雜性。
復原受影響系統所需花費的力氣。

這些指標能協助企業從嚴重性評估進展到實質的應變規劃。

CVSS v4.0 中存在著哪幾種 CVSS 評分類型？

CVSS v4.0 可支援多種評分類型，根據不同的指標群組組合而定。如此一來，企業就能從基準、環境與即時威脅的角度來評估漏洞的嚴重性。

CVSS 評分的主要類型包括：

CVSS-B – 僅基本評分
CVSS-BE – 基本 + 環境
CVSS-BT – 基本 + 威脅
CVSS-BTE – 基本 + 威脅 + 環境

舉例來說，企業若想評估漏洞在自身環境內部的嚴重性，通常會使用 CVSS-BE，而想要加入威脅活躍性情資的企業則會使用 CVSS-BTE。

CVSS v4.0 與 CVSS v3.1 相比有何改變？

CVSS v4.0 是專為解決 CVSS v3.1 經常為人詬病的缺點而設計。隨著時間的推移，CVSS v3.1 與現代化系統及威脅的情況越來越脫節。

FIRST 發現了幾個主要問題，包括：

過度依賴基本評分來執行風險分析。
時間 (當下威脅) 指標的影響很有限。
即時威脅的代表性不足。
OT、ICS 及安全關鍵系統的適用性不佳。
評分過度集中在「高」和「重大」區間。
評分的精細度不足。
複雜且不直覺的評分方法。

由 FIRST 所發布的 CVSS v3.1 缺點，為了清楚起見在此摘要並加以翻譯。

這些變更如何改善 CVSS v4.0？

CVSS v4.0 中導入的更新，讓漏洞評分變得更加精準、可行、且相關。每一項變更都直接針對了先前版本所發現的限制。

主要改善包括：

提升基本指標的精細度。
移除不明確的後續評分邏輯。
「威脅指標」更簡化，而且對評分的影響也更大。
導入補充指標作為應變的輔助參考。
擴大對 OT、ICS 和 IoT 環境的適用性。

FIRST 表示，CVSS v4.0 的設計是為了「更能反映真實世界的漏洞攻擊情況與現代化系統架構」。

為何擴大至涵蓋 OT 環境是 CVSS v4.0 當中最重大的變更？

CVSS v4.0 最重大的改進，就是明確納入營運技術 (OT) 環境，這是第一個將可能影響人身安全的漏洞正式納入的 CVSS 版本。

隨著數位轉型導致 IT 與 OT 之間的界線越來越模糊，工業系統的漏洞將直接影響生產、安全與人身安全。CVSS v4.0 為了反映這個現況，不僅納入了影響生命安全的指標，也將對下游的衝擊納入考量。

企業應做好哪些準備來有效運用 CVSS v4.0？

要有效運用 CVSS v4.0，企業必須調整其漏洞管理實務來兼顧 IT 和 OT 的現況。雖然 CVSS v4.0 能提升可視性，但應變的挑戰依然存在，尤其在 OT 環境。

主要的不同在於：

OT 系統會以可用性與安全性為優先，而非修補更新。
部署環境通常封閉，而且是由廠商負責管理。
修補更新有時並不可行，或是被明確避免。

企業若缺乏同時熟悉 IT 和 OT 環境的人員，可能很難單憑漏洞的洞見便採取行動。

為何 OT 資產可視性與預防漏洞攻擊至關重要？

當傳統的修補更新不切實際時，OT 資產的可視性與漏洞攻擊的預防將至關重要，企業必須先了解自己擁有哪些 OT 資產才能管理其相關的漏洞。

想要有效降低 OT 漏洞的風險，通常需要：

找出所有的 OT 資產。
持續監控網路流量。
OT 專屬的感測器與可視性工具。
專注在 OT 入侵防護 (IPS) 的虛擬修補。

這些控管措施有助於防範漏洞攻擊，即使漏洞無法透過修補來矯正，也能降低風險。

哪裡可以取得有關 CVSS 與漏洞風險優先次序判斷的協助？

TrendAI Vision One™ 提供了一套超越基本 CVSS 評分的 Cyber Risk Exposure Management (CREM) 資安曝險管理解決方案來協助企業了解、判斷優先次序並降低整體攻擊面的風險。它結合了漏洞嚴重性評分、即時威脅情資以及情境風險分析，讓資安團隊做出更快、更明智的決策。

這套方法整合了多項關鍵能力，如：攻擊面管理、漏洞管理及資安態勢評估，全面涵蓋 IT、OT、雲端及混合環境。不僅能發掘漏洞，還能將洞見化為行動步驟，強化韌性並盡量降低曝險。

有了 Cyber Risk Exposure Management，您就能：

掌握您最重要的資產與漏洞。
根據真實的風險來判斷矯正的優先次序，而非只根據理論性評分。
採取主動降低風險的策略來降低漏洞攻擊的可能性。

進一步了解

Fernando Cardoso

產品管理副總裁

Fernando Cardoso 是趨勢科技產品管理副總裁，專精於不斷演進的 AI 與雲端世界。在他職業生涯的一開始，曾擔任過網路與銷售工程師，磨練了他在資料中心、雲端、DevOps 以及網路資安領域方面的技能，而這些領域至今依然能持續激發他的熱情。

常見問題 (FAQ)

Expand all Hide all

CVSS 在網路資安領域代表什麼？

add

CVSS 是通用漏洞評分系統 (Common Vulnerability Scoring System) 的縮寫，這是一套標準化框架，用來衡量軟體與系統資安漏洞的嚴重性。CVSS 提供了一種數字化評分來協助企業一致地比較不同的漏洞，並判斷矯正措施的優先次序。

什麼是 CVSS 評分？

add

CVSS 評分是一個數值，代表的是漏洞的嚴重性，其範圍介於 0.0 至 10.0 之間，分數越高，代表風險越大。這些分數可大致劃分為低、中、高和重大四個嚴重等級。

誰在使用 CVSS 評分？

add

全球的資安團隊、廠商以及漏洞資料庫都在使用 CVSS 評分。企業仰賴他們來判斷修補的優先次序、提供資安事故應變指引，並為各種不同環境提供風險導向的漏洞管理決策。

CVSS v3.1 與 CVSS v4.0 有何差別？

add

與 CVSS v3.1 相比，CVSS v4.0 在準確度和適用性上都有所提升，它提供了更精細的評分、簡化了威脅評估，並且將涵蓋範圍延伸至 OT、ICS 和 IoT 環境，同時也減少了評分模糊兩可的情況。

CVSS v4.0 有哪些指標群組？

add

CVSS v4.0 共有四個指標群組，分別從不同的角度來評估漏洞的嚴重性，包括：基本指標、威脅指標、環境指標以及補充指標，全部加起來就更能提供合乎情境的嚴重性評分。