CN111079150A - 补丁的漏洞风险评估方法、装置、电子设备及存储介质 - Google Patents
补丁的漏洞风险评估方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN111079150A CN111079150A CN201911163744.4A CN201911163744A CN111079150A CN 111079150 A CN111079150 A CN 111079150A CN 201911163744 A CN201911163744 A CN 201911163744A CN 111079150 A CN111079150 A CN 111079150A
- Authority
- CN
- China
- Prior art keywords
- patch
- risk
- vulnerability
- value
- installation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例提供了一种补丁的漏洞风险评估方法、装置、电子设备及存储介质,用以解决现有技术中不存在对补丁安装后产生问题进行评估的方法,造成了运维人员无法及时提前知晓补丁安装风险和预警,安装补丁可能会造成重装系统、宕机、性能下降等严重问题,影响了正常业务的开展和大量的运维工作量,甚至造成机密文件损失风险的问题。该方法包括:获取补丁;根据发布补丁的安全公告确定补丁的基础风险值;根据通用漏洞评分系统确定补丁所针对漏洞的漏洞风险评分;根据补丁安装后产生的影响确定补丁的安装风险值;根据补丁的基础风险值、漏洞风险评分和安装风险值,计算出补丁的漏洞风险评估值。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种补丁的漏洞风险评估方法、装置、电子设备及存储介质。
背景技术
随着计算机技术的发展与普及,计算机应用已经全面渗透到人们的工作与生活中,成为人们不可缺少的重要工具和家庭娱乐设备。随着计算机的广泛使用同时也会产生相应的计算机安全问题,而各种软件的漏洞已经成为大规模网络与信息安全事件和重大信息泄露事件的主要原因之一。针对计算机漏洞带来的危害,安装相应的补丁是最有效、也是最经济的防范措施。但打补丁是比较被动的方式,对于企业来说,收集、测试、备份、分发等相关的打补丁流程仍然是一个颇为繁琐的过程,甚至补丁本身就有可能成为新的漏洞。
目前各种管理系统没有针对各大厂商发布的补丁进行统一有效的风险评估,有的厂商给出了补丁风险参考分值,但是这只是针对发布出来的补丁本身,并没有对补丁在实际环境中可能产生的宕机等问题进行重新评估。因此,目前并没有一种有效的办法对补丁的漏洞风险进行评估。
发明内容
本发明实施例提供了一种补丁的漏洞风险评估方法、装置、电子设备及存储介质,用以解决现有技术中现有技术中不存在对补丁安装后产生问题进行评估的问题。
基于上述问题,本发明实施例提供的一种补丁的漏洞风险评估方法,包括:
获取补丁;根据发布补丁的安全公告确定补丁的基础风险值;根据通用漏洞评分系统确定补丁所针对漏洞的漏洞风险评分;根据补丁安装后产生的影响确定补丁的安装风险值;根据补丁的基础风险值、漏洞风险评分和安装风险值,计算出补丁的漏洞风险评估值。
进一步地,根据发布补丁的安全公告确定补丁的基础风险值,具体包括:根据发布补丁的安全公告获取补丁的基础信息字段,并筛选出基础风险评估字段;为每一基础风险评估字段赋予分值及权重;计算该补丁的基础风险值。
进一步地,根据补丁安装后产生的影响确定补丁的安装风险值,具体包括:获取补丁安装后导致的问题及所述问题导致的各项影响;提取问题字段,对所述各项问题字段赋予分值及权重;计算该补丁的安装风险值。
进一步地,根据补丁的基础风险值、漏洞风险评分和安装风险值,计算出补丁的漏洞风险评估值,具体包括:为补丁的基础风险值、漏洞风险评分和安装风险值分别赋予权重;计算出补丁的漏洞风险评估值。
本发明实施例提供的一种补丁的漏洞风险评估装置,包括:
补丁获取模块:用于获取补丁;基础风险值计算模块:用于根据发布补丁的安全公告确定补丁的基础风险值;漏洞风险评分获取模块:用于根据通用漏洞评分系统确定补丁所针对漏洞的漏洞风险评分;安装风险值计算模块:用于根据补丁安装后产生的影响确定补丁的安装风险值;漏洞风险评估值计算模块:用于根据补丁的基础风险值、漏洞风险评分和安装风险值,计算出补丁的漏洞风险评估值。
进一步地,基础风险值计算模块还包括:基础信息字段获取模块:用于根据发布补丁的安全公告获取补丁的基础信息字段;基础风险评估字段筛选模块:用于从基础信息字段中筛选出基础风险评估字段;赋值模块一:用于为每一基础风险评估字段赋予分值及权重;计算模块一:用于计算该补丁的基础风险值。
进一步地,安装风险值计算模块还包括:影响分析模块:用于获取补丁安装后导致的问题及所述问题导致的各项影响;赋值模块二:用于提取问题字段,对所述各项问题字段赋予分值及权重;计算模块二:用于计算该补丁的安装风险值。
进一步地,漏洞风险评估值计算模块还包括:赋值模块三:用于为补丁的基础风险值、漏洞风险评分和安装风险值分别赋予权重;计算模块三:用于计算出补丁的漏洞风险评估值。
本发明实施例同时公开一种补丁的漏洞风险评估的电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一项所述的补丁的漏洞风险评估方法。
本发明实施例提供了计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一项所述的补丁的漏洞风险评估的方法。
与现有技术相比,本发明实施例提供的一种补丁的漏洞风险评估方法、装置、电子设备及存储介质,至少实现了如下的有益效果:
获取补丁;根据发布补丁的安全公告确定补丁的基础风险值;根据通用漏洞评分系统确定补丁所针对漏洞的漏洞风险评分;根据补丁安装后产生的影响确定补丁的安装风险值;根据补丁的基础风险值、漏洞风险评分和安装风险值,计算出补丁的漏洞风险评估值。本发明实施例基于补丁的漏洞风险评估展开,能够为运维人员提供可靠的建议,减少诸如蓝屏、死机等意外情况的发生,进而减轻运维人员的维护成本,提升补丁管控效率,进一步保护资产安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例提供的一种补丁的漏洞风险评估方法的流程图;
图2为本发明实施例提供的又一种补丁的漏洞风险评估方法的流程图;
图3为本发明实施例提供的一种补丁的漏洞风险评估装置的结构图;
图4为本发明实施例提供的电子设备的结构示意图。
具体实施方式
目前市场上还没有对补丁的漏洞风险进行统一评估的有效手段,造成了运维人员无法及时提前知晓补丁安装风险和预警,从而造成了重装系统、宕机、性能下降等严重问题,影响了正常业务的开展和大量的运维工作量,甚至造成机密文件损失的风险。本发明实施例同时综合了漏洞维度和环境维度的风险评估内容,最终形成一个客观可靠的补丁漏洞风险评估方法,进而减轻运维人员的维护成本,提升补丁管控效率,进一步保护资产安全。
下面结合说明书附图,对本发明实施例提供的一种补丁的漏洞风险评估方法、装置、电子设备及存储介质的具体实施方式进行说明。
本发明实施例提供的一种补丁的漏洞风险评估方法,如图1所示,具体包括以下步骤:
S101、获取补丁;
补丁是通过更新计算机程序或支持文件,用来修补软件问题的数据程序;包括修正安全隐患(漏洞)、臭虫、改善易用性或性能等。
S102、根据发布补丁的安全公告确定补丁的基础风险值;
根据发布补丁的安全公告确定补丁的基础风险值,具体包括:根据发布补丁的安全公告获取补丁的基础信息字段,并筛选出基础风险评估字段;为每一基础风险评估字段赋予分值及权重;计算该补丁的基础风险值。
S103、根据通用漏洞评分系统确定补丁所针对漏洞的漏洞风险评分;
漏洞是指计算机系统安全方面的缺陷,其使得系统或其应用数据的保密性、完整性、可用性、访问控制等面临威胁。而通用漏洞评分系统,即CVSS,全称CommonVulnerability Scoring System,是一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度”。CVSS 是安全内容自动化协议(SCAP)的一部分,通常CVSS同CVE一同由美国国家漏洞库(NVD)发布并保持数据的更新。
S104、根据补丁安装后产生的影响确定补丁的安装风险值;
根据补丁安装后产生的影响确定补丁的安装风险值,具体包括:获取补丁安装后导致的问题及所述问题导致的各项影响;提取问题字段,对所述各项问题字段赋予分值及权重;计算该补丁的安装风险值。
S105、根据补丁的基础风险值、漏洞风险评分和安装风险值,计算出补丁的漏洞风险评估值;
为补丁的基础风险值、漏洞风险评分和安装风险值分别赋予权重;计算出补丁的漏洞风险评估值。
本发明实施例开展了针对补丁漏洞的专业评估风险工作,能够为运维人员提供可靠的建议,减少诸如蓝屏、死机等意外情况的发生,进而减轻运维人员的维护成本,提升补丁管控效率,进一步保护资产安全。
本发明实施例提供的又一种补丁的漏洞风险评估方法,如图2所示,具体包括以下步骤:
S20、获取补丁;
获取各大厂商、应用软件、中间件等发布的补丁;获取方式包括:人工获取登记、自动拉取等方式;获取补丁的间隔时间可以规定每月的某一时间统一获取本时段的补丁,也可以监控各个厂商、应用软件等,一旦有补丁发布,即刻获取,具体可根据实际情况而定。
S211、按照基础信息字段将获取的补丁录入补丁库中;
其中,基础信息字段包括:补丁唯一编号、厂商、补丁发布编号、架构、类别、支持产品、支持语言、重新启动行为、可能要求用户输入、必须单独安装、需要网络连接、最后更新时间、大小。
S212、专业人员根据补丁发布厂商的安全公告和补丁详情,筛选出基础风险评估字段,为每一基础风险评估字段赋予分值及权重;
表1为示例性的基础风险评估字段及其对应的分值及权重:
S213、计算该补丁的基础风险值;
根据表1中的数据,可按照加权算法计算出该补丁的基础风险值为6.7。
S221、根据通用漏洞评分系统确定补丁所针对漏洞的漏洞风险评分;
CVSS旨在为一个已知的安全漏洞的严重程度提供一个数值(分数),而不管这个安全漏洞影响的软件类型是什么。由于这个评分范围非常广,这个评分系统把能够完全攻破操作系统层的已知安全漏洞评为基准分数10.0分。换句话说,CVSS基准分数为10.0分的安全漏洞一般指能够完全攻破系统的安全漏洞,典型的结果是攻击者完全控制一个系统,包括操作系统层的管理或者“根”权限。它的主要目的是帮助人们建立衡量漏洞严重程度的标准,使得人们可以比较漏洞的严重程度,从而确定处理它们的优先级。漏洞的最终得分最大为10,最小为0。得分7~10的漏洞通常被认为比较严重,得分在4~6.9之间的是中级漏洞,0~3.9的则是低级漏洞。
S231、安装所述补丁;
S232、查看补丁安装后是否导致问题,若未导致问题,则执行步骤235,否则执行步骤S233;
S233、查看问题导致影响,并将该补丁导致的问题及影响录入问题补丁库;
S234、提取问题字段,对所述各项问题字段赋予分值及权重;
表2为示例性的基础风险评估字段及其对应的分值及权重:
S235、计算该补丁的安装风险值;
若补丁安装后,系统正常运行,则该补丁的安装风险值为0;否则按照加权算法进行补丁的安装风险值的计算。
S24、计算出补丁的漏洞风险评估值;
最终补丁的漏洞风险评估值区间可为0到10分,10分代表该补丁的漏洞风险最严重。
举例说明:实际业务中如果某个服务器的重要程度为重要,安装了官方公布的针对该服务器操作系统的安全补丁,可是该补丁在安装过程中导致了蓝屏,虽然运维人员提前备份了系统,但是这种蓝屏情况无法避免再次发生,如果采用本发明实施例,运维人员可以记录本次安装的结果到补丁问题库,到下次安装同样的补丁时,就能获得存在漏洞的补丁的风险评估结果,避免重复发生蓝屏,对重要资产造成损害的情况。
本发明实施例开展了专业评估风险工作,能够为运维人员提供可靠的建议,减少诸如蓝屏、死机等意外情况的发生,进而减轻运维人员的维护成本,提升补丁管控效率,进一步保护资产安全;同时,通过建立补丁库及问题补丁库,可以统一管理各大厂商的补丁,为己所用。
本发明实施例还提供的一种补丁的漏洞风险评估装置,如图3所示,包括:
补丁获取模块31:用于获取补丁;
基础风险值计算模块32:用于根据发布补丁的安全公告确定补丁的基础风险值;
漏洞风险评分获取模块33:用于根据通用漏洞评分系统确定补丁所针对漏洞的漏洞风险评分;
安装风险值计算模块34:用于根据补丁安装后产生的影响确定补丁的安装风险值;
漏洞风险评估值计算模块35:用于根据补丁的基础风险值、漏洞风险评分和安装风险值,计算出补丁的漏洞风险评估值。
进一步地,基础风险值计算模块32还包括:
基础信息字段获取模块321:用于根据发布补丁的安全公告获取补丁的基础信息字段;
基础风险评估字段筛选模块322:用于从基础信息字段中筛选出基础风险评估字段;
赋值模块一323:用于为每一基础风险评估字段赋予分值及权重;
计算模块一324:用于计算该补丁的基础风险值。
进一步地,安装风险值计算模块34还包括:
影响分析模块341:用于获取补丁安装后导致的问题及所述问题导致的各项影响;
赋值模块二342:用于提取问题字段,对所述各项问题字段赋予分值及权重;
计算模块二343:用于计算该补丁的安装风险值。
进一步地,漏洞风险评估值计算模块35还包括:
赋值模块三351:用于为补丁的基础风险值、漏洞风险评分和安装风险值分别赋予权重;
计算模块三352:用于计算出补丁的漏洞风险评估值。
本发明实施例还提供一种电子设备,图4为本发明电子设备一个实施例的结构示意图,可以实现本发明图1-2所示实施例的流程,如图4所示,上述电子设备可以包括:壳体41、处理器42、存储器43、电路板44和电源电路45,其中,电路板44安置在壳体41围成的空间内部,处理器42和存储器43设置在电路板44上;电源电路45,用于为上述电子设备的各个电路或器件供电;存储器43用于存储可执行程序代码;处理器42通过读取存储器43中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的方法。
处理器42对上述步骤的具体执行过程以及处理器42通过运行可执行程序代码来进一步执行的步骤,可以参见本发明图1-2所示实施例的描述,在此不再赘述。
该电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC 设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子设备。
本发明的实施例还提供一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实施例所述的方法。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种补丁的漏洞风险评估方法,其特征在于,包括:
获取补丁;
根据发布补丁的安全公告确定补丁的基础风险值;
根据通用漏洞评分系统确定补丁所针对漏洞的漏洞风险评分;
根据补丁安装后产生的影响确定补丁的安装风险值;
根据补丁的基础风险值、漏洞风险评分、安装风险值,计算出补丁的漏洞风险评估值。
2.如权利要求1所述的方法,其特征在于,根据发布补丁的安全公告确定补丁的基础风险值,具体包括:
根据发布补丁的安全公告获取补丁的基础信息字段,并筛选出基础风险评估字段;
为每一基础风险评估字段赋予分值及权重;
计算该补丁的基础风险值。
3.如权利要求1所述的方法,其特征在于,根据补丁安装后产生的影响确定补丁的安装风险值,具体包括:
获取补丁安装后导致的问题及所述问题导致的各项影响;
提取问题字段,对所述各项问题字段赋予分值及权重;
计算该补丁的安装风险值。
4.如权利要求1所述的方法,其特征在于,根据补丁的基础风险值、漏洞风险评分和安装风险值,计算出补丁的漏洞风险评估值,具体包括:
为补丁的基础风险值、漏洞风险评分和安装风险值分别赋予权重;
计算出补丁的漏洞风险评估值。
5.一种补丁的漏洞风险评估装置,其特征在于,包括:
补丁获取模块:用于获取补丁;
基础风险值计算模块:用于根据发布补丁的安全公告确定补丁的基础风险值;
漏洞风险评分获取模块:用于根据通用漏洞评分系统确定补丁所针对漏洞的漏洞风险评分;
安装风险值计算模块:用于根据补丁安装后产生的影响确定补丁的安装风险值;
漏洞风险评估值计算模块:用于根据补丁的基础风险值、漏洞风险评分和安装风险值,计算出补丁的漏洞风险评估值。
6.如权利要求5所述的装置,其特征在于,基础风险值计算模块还包括:
基础信息字段获取模块:用于根据发布补丁的安全公告获取补丁的基础信息字段;
基础风险评估字段筛选模块:用于从基础信息字段中筛选出基础风险评估字段;
赋值模块一:用于为每一基础风险评估字段赋予分值及权重;
计算模块一:用于计算该补丁的基础风险值。
7.如权利要求5所述的装置,其特征在于,安装风险值计算模块还包括:
影响分析模块:用于获取补丁安装后导致的问题及所述问题导致的各项影响;
赋值模块二:用于提取问题字段,对所述各项问题字段赋予分值及权重;
计算模块二:用于计算该补丁的安装风险值。
8.如权利要求5所述的装置,其特征在于,漏洞风险评估值计算模块还包括:
赋值模块三:用于为补丁的基础风险值、漏洞风险评分和安装风险值分别赋予权重;
计算模块三:用于计算出补丁的漏洞风险评估值。
9.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述权利要求1至4任一项所述的补丁的漏洞风险评估的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述权利要求1至4中任一项所述的补丁的漏洞风险评估的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911163744.4A CN111079150B (zh) | 2019-11-25 | 2019-11-25 | 补丁的漏洞风险评估方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911163744.4A CN111079150B (zh) | 2019-11-25 | 2019-11-25 | 补丁的漏洞风险评估方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111079150A true CN111079150A (zh) | 2020-04-28 |
| CN111079150B CN111079150B (zh) | 2023-09-05 |
Family
ID=70311514
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911163744.4A Active CN111079150B (zh) | 2019-11-25 | 2019-11-25 | 补丁的漏洞风险评估方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111079150B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111800427A (zh) * | 2020-07-08 | 2020-10-20 | 华北电力科学研究院有限责任公司 | 一种物联网设备评估方法、装置及系统 |
| CN113821802A (zh) * | 2021-09-30 | 2021-12-21 | 中国电子信息产业集团有限公司第六研究所 | 一种安全风险评估方法、装置、电子设备及存储介质 |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070033445A1 (en) * | 2005-08-02 | 2007-02-08 | Hirsave Praveen P K | Method, apparatus, and program product for autonomic patch risk assessment |
| CN104618178A (zh) * | 2014-12-29 | 2015-05-13 | 北京奇虎科技有限公司 | 网站漏洞在线评估方法及装置 |
| JP2016091402A (ja) * | 2014-11-07 | 2016-05-23 | 株式会社日立製作所 | リスク評価システムおよびリスク評価方法 |
| CN107220549A (zh) * | 2017-05-26 | 2017-09-29 | 中国民航大学 | 基于cvss的漏洞风险基础评估方法 |
| CA2931808A1 (en) * | 2016-05-31 | 2017-11-30 | Tracker Networks Inc. | Methos and systems for mobile device risk mamnagement |
| CN107480533A (zh) * | 2017-08-08 | 2017-12-15 | 深圳市腾讯计算机系统有限公司 | 一种漏洞修复的方法、装置及装置 |
| US20180136921A1 (en) * | 2015-09-04 | 2018-05-17 | Siemens Aktiengesellschaft | Patch management for industrial control systems |
| US20180137288A1 (en) * | 2016-11-15 | 2018-05-17 | ERPScan B.V. | System and method for modeling security threats to prioritize threat remediation scheduling |
| CN108874499A (zh) * | 2018-04-12 | 2018-11-23 | 彭根 | 软件评估方法及装置 |
| CN109347801A (zh) * | 2018-09-17 | 2019-02-15 | 武汉大学 | 一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法 |
| CN109583711A (zh) * | 2018-11-13 | 2019-04-05 | 合肥优尔电子科技有限公司 | 一种安全风险评估全过程管理系统 |
| CN109617910A (zh) * | 2019-01-08 | 2019-04-12 | 平安科技(深圳)有限公司 | 漏洞风险评估方法、装置及存储介质、服务器 |
| WO2019091789A1 (en) * | 2017-11-09 | 2019-05-16 | British Telecommunications Public Limited Company | Vulnerability assessment of containerised installation |
| CN109977670A (zh) * | 2019-03-12 | 2019-07-05 | 福建天晴数码有限公司 | 基于插件加载的安卓应用安全监测方法、存储介质 |
| US20190289029A1 (en) * | 2018-03-14 | 2019-09-19 | Synack, Inc. | Risk assessment and remediation |
-
2019
- 2019-11-25 CN CN201911163744.4A patent/CN111079150B/zh active Active
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070033445A1 (en) * | 2005-08-02 | 2007-02-08 | Hirsave Praveen P K | Method, apparatus, and program product for autonomic patch risk assessment |
| JP2016091402A (ja) * | 2014-11-07 | 2016-05-23 | 株式会社日立製作所 | リスク評価システムおよびリスク評価方法 |
| CN104618178A (zh) * | 2014-12-29 | 2015-05-13 | 北京奇虎科技有限公司 | 网站漏洞在线评估方法及装置 |
| US20180136921A1 (en) * | 2015-09-04 | 2018-05-17 | Siemens Aktiengesellschaft | Patch management for industrial control systems |
| CA2931808A1 (en) * | 2016-05-31 | 2017-11-30 | Tracker Networks Inc. | Methos and systems for mobile device risk mamnagement |
| US20180137288A1 (en) * | 2016-11-15 | 2018-05-17 | ERPScan B.V. | System and method for modeling security threats to prioritize threat remediation scheduling |
| CN107220549A (zh) * | 2017-05-26 | 2017-09-29 | 中国民航大学 | 基于cvss的漏洞风险基础评估方法 |
| CN107480533A (zh) * | 2017-08-08 | 2017-12-15 | 深圳市腾讯计算机系统有限公司 | 一种漏洞修复的方法、装置及装置 |
| WO2019091789A1 (en) * | 2017-11-09 | 2019-05-16 | British Telecommunications Public Limited Company | Vulnerability assessment of containerised installation |
| US20190289029A1 (en) * | 2018-03-14 | 2019-09-19 | Synack, Inc. | Risk assessment and remediation |
| CN108874499A (zh) * | 2018-04-12 | 2018-11-23 | 彭根 | 软件评估方法及装置 |
| CN109347801A (zh) * | 2018-09-17 | 2019-02-15 | 武汉大学 | 一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法 |
| CN109583711A (zh) * | 2018-11-13 | 2019-04-05 | 合肥优尔电子科技有限公司 | 一种安全风险评估全过程管理系统 |
| CN109617910A (zh) * | 2019-01-08 | 2019-04-12 | 平安科技(深圳)有限公司 | 漏洞风险评估方法、装置及存储介质、服务器 |
| CN109977670A (zh) * | 2019-03-12 | 2019-07-05 | 福建天晴数码有限公司 | 基于插件加载的安卓应用安全监测方法、存储介质 |
Non-Patent Citations (5)
| Title |
|---|
| KENNEDY A TORKURA 等: "A proposed framework for proactive vulnerability assessments in cloud deployments", 2015 10TH INTERNATIONAL CONFERENCE FOR INTERNET TECHNOLOGY AND SECURED TRANSACTIONS(ICITST), pages 51 - 57 * |
| MOHAMED ALFATEH BADAWY 等: "Vulnerability Scanners Capabilities for Detecting Windows Missed Patches:Comparative Study", SECNET 2013: ADVANCES IN SECURITY OF INFORMATION AND COMMUNICATION NETWORKS, vol. 381, pages 185 - 195 * |
| 刘意先 等: "基于CIA属性的网络安全评估方法研究", 计算机技术与发展, vol. 28, no. 04, pages 141 - 143 * |
| 叶子维 等: "动静态特征结合的漏洞风险评估及缓解方法", 计算机应用研究, vol. 37, no. 04, pages 1161 - 1165 * |
| 叶明达 等: "一种信息安全漏洞管理方案的实践", 网络空间安全, vol. 9, no. 05, pages 64 - 67 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111800427A (zh) * | 2020-07-08 | 2020-10-20 | 华北电力科学研究院有限责任公司 | 一种物联网设备评估方法、装置及系统 |
| CN111800427B (zh) * | 2020-07-08 | 2022-04-29 | 华北电力科学研究院有限责任公司 | 一种物联网设备评估方法、装置及系统 |
| CN113821802A (zh) * | 2021-09-30 | 2021-12-21 | 中国电子信息产业集团有限公司第六研究所 | 一种安全风险评估方法、装置、电子设备及存储介质 |
| CN113821802B (zh) * | 2021-09-30 | 2024-05-07 | 中国电子信息产业集团有限公司第六研究所 | 一种安全风险评估方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111079150B (zh) | 2023-09-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11687653B2 (en) | Methods and apparatus for identifying and removing malicious applications | |
| US11019114B2 (en) | Method and system for application security evaluation | |
| CN109831420B (zh) | 内核进程权限的确定方法及装置 | |
| CN109117250B (zh) | 一种模拟器识别方法、识别设备及计算机可读介质 | |
| KR101899589B1 (ko) | 안전 소프트웨어 인증 시스템 및 방법 | |
| CN103020522B (zh) | 用于校正反病毒记录以最小化恶意软件误检的系统和方法 | |
| US9081967B2 (en) | System and method for protecting computers from software vulnerabilities | |
| US20170132414A1 (en) | Dynamic Application Security Verification | |
| CN109062667B (zh) | 一种模拟器识别方法、识别设备及计算机可读介质 | |
| CN111191226B (zh) | 利用提权漏洞的程序的确定方法、装置、设备及存储介质 | |
| CN113177001A (zh) | 一种开源组件的漏洞检测方法及装置 | |
| Sellwood et al. | Sleeping android: The danger of dormant permissions | |
| CN111079150B (zh) | 补丁的漏洞风险评估方法、装置、电子设备及存储介质 | |
| CN112738094B (zh) | 可扩展的网络安全漏洞监测方法、系统、终端及存储介质 | |
| CN109818972B (zh) | 一种工业控制系统信息安全管理方法、装置及电子设备 | |
| CN111030974A (zh) | 一种apt攻击事件检测方法、装置及存储介质 | |
| CN110941825A (zh) | 一种应用监控方法及装置 | |
| CN113779562A (zh) | 基于零信任的计算机病毒防护方法、装置、设备及介质 | |
| CN110826837A (zh) | 一种网站资产实时风险的评估方法、装置及存储介质 | |
| CN110865774A (zh) | 一种打印设备的信息安全检测方法及装置 | |
| Jeter et al. | Identifying and quantifying the android device users' security risk exposure | |
| CN117272308A (zh) | 软件安全测试方法、装置、设备、存储介质及程序产品 | |
| CN110611675A (zh) | 向量级检测规则生成方法、装置、电子设备及存储介质 | |
| CN115455414A (zh) | 一种安全检测方法和装置 | |
| CN113449308A (zh) | 一种漏洞处理方法、装置、计算机设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road) Applicant after: Antan Technology Group Co.,Ltd. Address before: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Harbin, Heilongjiang Province (No. 838, Shikun Road) Applicant before: Harbin Antian Science and Technology Group Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |