CN102495884A - 一种基于互联网的漏洞信息云服务方法 - Google Patents
一种基于互联网的漏洞信息云服务方法 Download PDFInfo
- Publication number
- CN102495884A CN102495884A CN2011104048097A CN201110404809A CN102495884A CN 102495884 A CN102495884 A CN 102495884A CN 2011104048097 A CN2011104048097 A CN 2011104048097A CN 201110404809 A CN201110404809 A CN 201110404809A CN 102495884 A CN102495884 A CN 102495884A
- Authority
- CN
- China
- Prior art keywords
- leak
- service
- cloud service
- information
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种基于互联网的漏洞信息云服务方法,首先选取数据源,从资源平台上抽取特征漏洞,再确定核心数据源,建立数据集,进行统计趋势分析,对其进行统计趋势分析;通过不同的时间点把一个漏洞的生命周期分为若干阶段,每个阶段反映出各自的状态以及所伴随的风险;进行数据预处理、映射、绘制、显示。本发明有益效果为:通过对漏洞等数据进行数据分析、数据挖掘、数据展示,结合云计算模式、开展基于互联网的漏洞信息云服务,有利于实现内部应用、支持领导决策、向公众普及信息安全的信息、辅助信息安全态势评估等功能;此方法模式具有极大的灵活性,足以适应各个软件开发和部署阶段的各种类型和规模的应用程序。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种基于互联网的漏洞信息云服务方法。
背景技术
云计算是新兴产业的重要组成部分,云计算是一种IT资源的交付和使用模式,指通过网络(包括互联网Internet和企业内部网Intranet)以按需、易扩展的方式获得所需的硬件、平台、软件及服务等资源;提供资源的网络被称为“云”,其计算能力通常是由分布式的大规模集群和服务器虚拟化软件搭建。云计算的优势在于“云”中的资源在用户端看来是可以无限扩展,并且可以随时获取、按需使用、随时扩展、按使用付费。
漏洞信息作为重要的信息安全数据,对国家信息安全发展具有重要意义。漏洞信息服务开展较好的NVD(National Vulnerability Database),严格采用《通用漏洞披露》(Common Vulnerability and Exposures)的命名标准,即所有的漏洞都有CVE编号;漏洞评级遵照《通用漏洞评估系统》CVSS(CommonVulnerability Scoring System)进行;受影响的系统和软件使用《通用平台列举》CPE(Common Platform Enumeration)规范的语言进行描述;漏洞分类则按照《通用缺陷列举》CWE(Common Weakness Enumeration)划分,十分权威。2009年,我国漏洞库建设工作有了突破性进展,开始建立中国国家漏洞库,即:CNNVD(China National Vulnerability Database of Information Security)。但目前漏洞信息服务还处在探索和实践阶段,服务方式也较为传统和单一,其普及程度尚不显著,成效亦不甚明显。
鉴于漏洞信息服务的现状结合云计算的诸多优势,可以采用一种基于互联网的漏洞信息云服务方法,将漏洞信息服务与云计算有效结合起来。
发明内容
本发明提供一种为相关政府部门、“8+2”重要行业、广大信息安全厂商及社会各界提供丰富信息安全数据的基于互联网的漏洞信息云服务方法,以解决现有漏洞信息服务的不足。
为实现上述目的,本发明采用以下技术方案:
一种基于互联网的漏洞信息云服务方法,主要包括以下步骤:
(1)首先选取数据源。漏洞信息云服务的数据来源是中国国家信息安全漏洞库(以下简称“漏洞库”)。从漏洞库中抽取特征漏洞,再确定核心数据源,建立数据集,批量导出某一时间段的查询结果;进行统计趋势分析,包括建立散点图、累计分布函数图等各类统计图,对其进行统计趋势分析;通过不同的时间点把一个漏洞的生命周期分为若干阶段,每个阶段反映出各自的状态以及所伴随的风险,与这些状态相关的四个时间点是漏洞的发现、发布、利用和补丁时间;
(2)提供漏洞信息云服务:该环节包含漏洞基本通报服务、漏洞定向通报服务、兼容性服务。漏洞基本通报服务和漏洞定向通报服务是兼容性服务的基础,三者依次进行,最终可提供漏洞信息云服务。
进行漏洞基本通报服务:用户通过该平台注册并激活后,系统依据最受关注漏洞及信息安全月报的更新情况自动为其发送服务邮件,同时管理员根据实际情况为用户发送宣传性邮件;
进行漏洞定向通报服务:用户通过该平台注册并激活后,选择相应的厂商和产品名称,服务平台获取到相关厂商或产品的最新漏洞信息后主动推送至用户邮箱;
进行兼容性服务:用户接入云服务端,获取服务。
本发明所述的基于互联网的漏洞信息云服务方法的有益效果为:主要包含漏洞基本通报服务、漏洞定向通报服务、兼容性服务,结合云计算模式、开展基于互联网的漏洞信息云服务,有利于实现内部应用、支持领导决策、向公众普及信息安全的信息、辅助信息安全态势评估等功能;此方法模式具有极大的灵活性,足以适应各个软件开发和部署阶段的各种类型和规模的应用程序。
附图说明
下面根据附图对本发明作进一步详细说明。
图1是本发明实施例所述基于互联网的漏洞信息云服务方法流程示意图。
具体实施方式
如图1所示,本发明实施例所述的基于互联网的漏洞信息云服务方法,其结构组成主要包括①首先建立基础层与业务层:以基础层作为数据资源平台并且为中心开展各项业务提供基础数据资源;业务层主要包含信息安全产品测评、系统认定、服务资质认定、人员资质认定,基于资源平台和相关核心业务,制定产品测评专项应用(子系统)、服务资质认定专项应用(子系统)、系统认定专项应用(子系统)及人员资质认定专项应用(子系统);②基础层和业务层组成内部展示区,此展示层即外部展示区并且主要包含CNNVD(China NationalVulnerability Database of Information Security)及外网网站,此服务层即服务区并且包含三个系列,即:
服务于决策:含数据分析子系统、数据挖掘引擎、多维数据展示子系统;
服务于业务:含服务工具支撑子系统、插件式专项应用子系统(漏洞分析子系统等)、应用服务支撑体系;
服务于公众:含对外业务专项应用子系统(信息安全产品测评专项应用子系统、服务资质认定专项应用子系统、系统认定专项应用子系统及人员资质认定专项应用子系统)、专业服务子系统等。
本发明实施例所述的基于互联网的漏洞信息云服务方法,主要包括以下步骤:
(1)首先选取数据源,从资源平台上抽取特征漏洞,例如具有CVE-ID的漏洞,再确定核心数据源,如OSVDB(The Open Source Vulnerability Database)、NVD等;再建立数据集,批量导出某一时间段的查询结果(XML格式);进行统计趋势分析,包括建立散点图、累计分布函数图等各类统计图,对其进行统计趋势分析;通过不同的时间点把一个漏洞的生命周期分为若干阶段,每个阶段反映出各自的状态以及所伴随的风险,与这些状态相关的四个时间点是漏洞的发现、发布、利用和补丁时间;其中的漏洞法则包含的核心元素包含但不限于半衰期、流行性、持续性、可利用性;
(2)提供漏洞信息云服务该环节所包含的漏洞基本通报服务、漏洞定向通报服务、兼容性服务各场景实现的具体方案如下:
漏洞基本服务:主要面向因工作需要或个人兴趣而对信息安全、漏洞感兴趣的人群,云服务端提供最受关注漏洞及信息安全月报;用户通过该平台注册并激活后,系统依据最受关注漏洞及信息安全月报的更新情况自动为其发送服务邮件,同时管理员根据实际情况为用户发送宣传性邮件;
漏洞定向通报服务:针对因工作需要从云服务端获得针对产品和厂商相关漏洞信息的各类信息安全的专业人士;用户通过该平台注册并激活后,用户根据自己的需要,选择相应的厂商和产品名称,服务平台获取到相关厂商或产品的最新漏洞信息后主动推送至用户邮箱;
兼容性服务:主要服务是信息安全厂商,用户接入云服务端,获取服务。
以上本发明实施例所述的基于互联网的漏洞信息云服务方法,现将具体实施中兼容性服务的部分代码实现展示如下:
漏洞详情数据XML格式定义:
以上实施例是本发明较优选具体实施方式的一种,本领域技术人员在本技术方案范围内进行的通常变化和替换应包含在本发明的保护范围内。
Claims (1)
1.一种基于互联网的漏洞信息云服务方法,其特征在于,主要包括以下步骤:
(1)首先选取数据源,从资源平台上抽取特征漏洞,再确定核心数据源,建立数据集,批量导出某一时间段的查询结果;进行统计趋势分析,包括建立散点图、累计分布函数图等各类统计图,对其进行统计趋势分析;通过不同的时间点把一个漏洞的生命周期分为若干阶段,每个阶段反映出各自的状态以及所伴随的风险,与这些状态相关的四个时间点是漏洞的发现、发布、利用和补丁时间;
(2)提供漏洞信息云服务:该环节包含漏洞基本通报服务、漏洞定向通报服务、兼容性服务;
进行漏洞基本服务:用户通过该平台注册并激活后,系统依据最受关注漏洞及信息安全月报的更新情况自动为其发送服务邮件,同时管理员根据实际情况为用户发送宣传性邮件;
进行漏洞定向通报服务:用户通过该平台注册并激活后,选择相应的政府部门、“8+2”重要行业、厂商和产品名称等,服务平台获取到相关政府部门、8+2重要行业、厂商或产品的最新漏洞信息后主动推送至用户邮箱;
进行兼容性服务:用户接入云服务端,获取服务。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110404809.7A CN102495884B (zh) | 2011-12-08 | 2011-12-08 | 一种基于互联网的漏洞信息云服务方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110404809.7A CN102495884B (zh) | 2011-12-08 | 2011-12-08 | 一种基于互联网的漏洞信息云服务方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102495884A true CN102495884A (zh) | 2012-06-13 |
CN102495884B CN102495884B (zh) | 2016-06-15 |
Family
ID=46187709
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110404809.7A Expired - Fee Related CN102495884B (zh) | 2011-12-08 | 2011-12-08 | 一种基于互联网的漏洞信息云服务方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102495884B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106453239A (zh) * | 2016-08-22 | 2017-02-22 | 赛尔网络有限公司 | 基于社交平台的安全漏洞采集监控和分发处理系统和方法 |
CN108900516A (zh) * | 2018-07-09 | 2018-11-27 | 赖洪昌 | 一种网络空间漏洞归并平台分布服务系统 |
CN114124417A (zh) * | 2020-08-27 | 2022-03-01 | 东北大学秦皇岛分校 | 一种大规模网络下可扩展性增强的漏洞评估方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1761208A (zh) * | 2005-11-17 | 2006-04-19 | 郭世泽 | 网络信息系统的安全性及生存性评估的系统和方法 |
CN101436240A (zh) * | 2008-12-12 | 2009-05-20 | 中国科学院软件研究所 | 一种预测软件漏洞发布数量的方法和系统 |
US20090235359A1 (en) * | 2008-03-12 | 2009-09-17 | Comodo Ca Limited | Method and system for performing security and vulnerability scans on devices behind a network security device |
-
2011
- 2011-12-08 CN CN201110404809.7A patent/CN102495884B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1761208A (zh) * | 2005-11-17 | 2006-04-19 | 郭世泽 | 网络信息系统的安全性及生存性评估的系统和方法 |
US20090235359A1 (en) * | 2008-03-12 | 2009-09-17 | Comodo Ca Limited | Method and system for performing security and vulnerability scans on devices behind a network security device |
CN101436240A (zh) * | 2008-12-12 | 2009-05-20 | 中国科学院软件研究所 | 一种预测软件漏洞发布数量的方法和系统 |
Non-Patent Citations (1)
Title |
---|
吴世忠: "信息安全漏洞分析回顾与展望", 《清华大学学报(自然科学版)》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106453239A (zh) * | 2016-08-22 | 2017-02-22 | 赛尔网络有限公司 | 基于社交平台的安全漏洞采集监控和分发处理系统和方法 |
CN108900516A (zh) * | 2018-07-09 | 2018-11-27 | 赖洪昌 | 一种网络空间漏洞归并平台分布服务系统 |
CN108900516B (zh) * | 2018-07-09 | 2021-06-22 | 赖洪昌 | 一种网络空间漏洞归并平台分布服务系统 |
CN114124417A (zh) * | 2020-08-27 | 2022-03-01 | 东北大学秦皇岛分校 | 一种大规模网络下可扩展性增强的漏洞评估方法 |
CN114124417B (zh) * | 2020-08-27 | 2024-02-13 | 东北大学秦皇岛分校 | 一种大规模网络下可扩展性增强的漏洞评估方法 |
Also Published As
Publication number | Publication date |
---|---|
CN102495884B (zh) | 2016-06-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Müller et al. | The M 101 group complex: new dwarf galaxy candidates and spatial structure | |
CN105045869B (zh) | 基于多数据中心的自然资源地理空间数据组织方法和系统 | |
Linkimer | Relationship between peak ground acceleration and modified Mercalli intensity in Costa Rica | |
Means et al. | Framework for life cycle assessment (LCA) based environmental decision making during the conceptual design phase for commercial buildings | |
CN102902777B (zh) | 跨数据源查询装置和跨数据源查询方法 | |
García‐Carreras et al. | An empirical link between the spectral colour of climate and the spectral colour of field populations in the context of climate change | |
CN110851860A (zh) | 一种基于匿名化隐私技术的用电数据脱敏算法模型构建方法 | |
Hung et al. | Database Design For E-Governance Applications: A Framework For The Management Information Systems Of The Vietnam Commitee For Ethnic Minority Affairs (CEMA) | |
CN111737364B (zh) | 安全多方数据融合与联邦共享方法、装置、设备及介质 | |
CN103345419A (zh) | 一种基于Android平台的动态取证方法 | |
CN112000643A (zh) | 数据模型的加工方法及装置 | |
CN102495884A (zh) | 一种基于互联网的漏洞信息云服务方法 | |
CN114218291A (zh) | 基于目标对象的画像生成方法、装置、设备及存储介质 | |
CN105843605A (zh) | 一种数据映射方法及装置 | |
D’Amico et al. | SYNTHESIS: a web repository of synthetic waveforms | |
Henderi et al. | Business intelligence development model using star schema methodology | |
Bersimis et al. | Detecting and interpreting clusters of economic activity in rural areas using scan statistic and LISA under a unified framework | |
Jo et al. | Constructing national geospatial big data platform: current status and future direction | |
CN111078668B (zh) | 数据生成方法、装置、电子设备和存储介质 | |
Sayın et al. | Assessing e-government service quality model and an application: An example of municipality of Nazilli | |
CN109685638A (zh) | 一种审计覆盖率测量方法、装置及存储介质 | |
Bourezgue | Using tablets for the 2018 Algerian Census: Census data management and quality assessment | |
Miao et al. | Research of urban land use and regional functions based on mobile data traffic | |
Li et al. | Research on Geographic Information Data Circulation Supports the Construction of Digital China | |
Li et al. | Revaluation of occupancy duration for live load using big data of enterprise credit information |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160615 Termination date: 20181208 |