CN112434302B - 一种多任务协作漏洞平台及其构建方法、服务方法 - Google Patents

一种多任务协作漏洞平台及其构建方法、服务方法 Download PDF

Info

Publication number
CN112434302B
CN112434302B CN202011344781.8A CN202011344781A CN112434302B CN 112434302 B CN112434302 B CN 112434302B CN 202011344781 A CN202011344781 A CN 202011344781A CN 112434302 B CN112434302 B CN 112434302B
Authority
CN
China
Prior art keywords
vulnerability
service
platform
micro
microservice
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011344781.8A
Other languages
English (en)
Other versions
CN112434302A (zh
Inventor
赵慧
张洪
李俊
高建磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Industrial Control Systems Cyber Emergency Response Team
Original Assignee
China Industrial Control Systems Cyber Emergency Response Team
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Industrial Control Systems Cyber Emergency Response Team filed Critical China Industrial Control Systems Cyber Emergency Response Team
Priority to CN202011344781.8A priority Critical patent/CN112434302B/zh
Publication of CN112434302A publication Critical patent/CN112434302A/zh
Application granted granted Critical
Publication of CN112434302B publication Critical patent/CN112434302B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明涉及一种多任务协作漏洞平台及其构建方法、服务方法,该多任务协作漏洞平台包括:微服务层、微服务注册中心、反向代理服务器和网关模块。该多任务协作漏洞平台采用微服务技术来构建开放式、分层次的漏洞平台架构体系,以面向服务方式独立开发、部署、维护和升级各功能模块,并按需动态扩展,支持漏洞平台多种任务协作流程,支持建立归一化、规范化的漏洞及补丁相关处理流程及轨迹跟踪,支持漏洞及补丁信息收集、分析、处置和披露,实现前后台系统用户账号分离,控制不同用户权限,同时利用反向代理服务隐藏内部服务器地址保护平台数据安全,提升了漏洞平台的灵活性,降低漏洞平台的复杂性和维护成本。

Description

一种多任务协作漏洞平台及其构建方法、服务方法
技术领域
本发明涉及网络安全技术领域,特别是涉及一种多任务协作漏洞平台及其构建方法、服务方法。
背景技术
漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。补丁是指针对漏洞而发布的解决问题的程序包。
公开漏洞是指互联网网上已公开发布的漏洞信息,部分公开漏洞还会有漏洞利用代码在互联网上公开。
原创漏洞是互联网上未出现过的漏洞信息,通常除了包括漏洞描述信息外,还包括漏洞利用过程或利用代码可以用来进一步验证漏洞的真实存在性,以及根据利用过程对漏洞进行评分及对危害性进行评级。
漏洞平台是各方联合进行漏洞收集、分析、处置、披露的平台,如包括漏洞处理、补丁处理、漏洞报告、漏洞统计、漏洞新闻、贡献度评分、用户管理、系统管理、配置管理等。需采用高内聚、松耦合、易复用、标准化的设计理念,通过可分、可合的微服务开发思路构建开放式、分层次的架构体系,可快速实现与第三方系统进行对接、融合,从多渠道广泛收集安全漏洞信息,对漏洞信息进行规范化、标准化的统一审核、验证、定级、收录、处置,同时结合验证结果和处置建议,有针对性的开展漏洞发布及处置工作,切实提升在工业信息安全漏洞方面的整体研究水平和及时预防能力。
传统单体开发技术是将所有的功能打包在一个Web存档文件(WAR)包里,部署在一个JEE容器里,包含了对象、服务、界面等所有逻辑。容器是提供组件运行的环境,容器本身可以提供一组服务,让组件按标准方式利用。
传统单体开发技术缺点包括:一是效率低,开发都在同一个项目改代码,相互等待,冲突不断;二是维护难,代码功能耦合在一起,维护成本高;三是不灵活,构建时间长,任何修改都要重构整个项目;四是稳定性差,可能因为小问题都会导致整个应用挂掉;五是扩展性不够,无法满足高并发下的业务需求。
多任务协作漏洞平台是一个各方联合进行漏洞收集、分析、处置、披露的平台,包括漏洞管理、补丁处理、漏洞报告、漏洞统计、漏洞新闻、贡献度评分、用户管理、系统管理、配置管理等多个功能模块,各功能模块业务流程相对独立,模块间关系较为松耦合。如果采用传统单体开发技术,部分功能模块的升级改造或者新增功能模块可能会影响用户对平台的整体使用,并且存在开发效率低、维护难、灵活性低、稳定性差、扩展性不够等问题,不能满足现有业务需求。
而且,在现有技术中不能有效支持漏洞及补丁信息收集、分析、处置和披露的业务流程,以及细化到漏洞上报、分配、审核、验证、驳回、定级、收录、废除、发布等规范化、标准化的漏洞协作处理流程以及补丁分配、跟踪、审核、入库、发布等的补丁处理流程;导致系统服务灵活性低,系统复杂性和维护成本高。
因此,如何提升漏洞平台系统灵活性,降低系统复杂性,成为本领域当前要解决的问题。
发明内容
本发明的目的是提供一种多任务协作漏洞平台及其构建方法、服务方法,本发明采用微服务技术来构建开放式、分层次的漏洞平台架构体系,以面向服务方式独立开发、部署、维护和升级各功能模块,并按需动态扩展,支持漏洞平台多种任务协作流程,支持建立归一化、规范化的漏洞及补丁相关处理流程及轨迹跟踪,支持漏洞及补丁信息收集、分析、处置和披露,实现前后台系统用户账号分离,控制不同用户权限,同时利用反向代理服务隐藏内部服务器地址保护平台数据安全,提升了漏洞平台的灵活性,降低漏洞平台的复杂性和维护成本。
为实现上述目的,本发明提供了如下方案:
一种多任务协作漏洞平台,包括:
微服务层,用于开发并部署漏洞微服务;所述漏洞微服务为多个独立的与漏洞相关的服务;
微服务注册中心,用于对所述漏洞微服务进行注册:建立服务路径与所述漏洞微服务间的映射;
反向代理服务器,用于接收用户发送的服务访问请求;
网关模块,用于接收所述反向代理服务器转发的所述服务访问请求,建立用户与所述漏洞微服务之间的联系。
可选的,所述平台还包括数据库,所述数据库与所述微服务层建立连接,用于提供数据存储、查询和维护。
可选的,所述微服务注册中心还用于监控各所述漏洞微服务是否正常运行。
可选的,所述网关模块包括前台网关和后台网关,所述前台网关用于所述多任务协作漏洞平台的前台用户账号管理,所述后台网关用于所述多任务协作漏洞平台的后台用户账号管理,所述前台网关和所述后台网关响应各自所需的所述漏洞微服务。
可选的,所述前台网关和后台网关均包括网关、负载均衡器和单点登录模块;
所述网关用于负责身份认证和安全、动态路由、压力测试、负载分配、静态响应处理和多区域弹性负载均衡;
所述负载均衡器用于服务访问请求转发的负载均衡;
所述单点登录模块,关联一套独立的用户管理基础微服务,用于负责用户的登录和注销。
可选的,所述漏洞微服务包括漏洞处理微服务、补丁处理微服务、漏洞报告微服务、漏洞统计微服务、漏洞新闻微服务和贡献度评分微服务。
一种多任务协作漏洞平台的构建方法,包括以下步骤:
搭建微服务框架集合,所述微服务框架集合包括:微服务注册中心、网关模块、反向代理服务器和微服务层;
在所述微服务层上开发并部署漏洞微服务;所述漏洞微服务为多个独立的与漏洞相关的服务;
在所述微服务注册中心对所述漏洞微服务进行注册:建立服务路径与所述漏洞微服务间的映射;
设置所述反向代理服务器接收用户发送的服务访问请求,并将所述服务访问请求转发至所述网关模块,通过所述网关模块建立用户与所述漏洞微服务之间的联系,得到多任务协作漏洞平台。
可选的,所述微服务框架集合还包括数据库,所述数据库与所述微服务层建立连接,用于提供数据存储、查询和维护。
可选的,所述漏洞微服务包括漏洞处理微服务、补丁处理微服务、漏洞报告微服务、漏洞统计微服务、漏洞新闻微服务和贡献度评分微服务。
可选的,所述漏洞处理微服务包括:漏洞平台管理员和漏洞审核专家;所述漏洞处理微服务的处理过程包括:
所述漏洞平台管理员接收到漏洞报送者报送的漏洞,并将漏洞分配至所述漏洞审核专家进行审核;
所述漏洞审核专家对所述漏洞进行合规性审核;若审核未通过,向所述漏洞报送者发送驳回通知;若审核通过,判断审核通过漏洞是否公开;若公开,将公开漏洞发送至所述漏洞平台管理员进行是否收录判断;若不公开,将不公开漏洞发送至所述漏洞平台管理员进行验证分配;
所述漏洞平台管理员将符合收录的所述公开漏洞录入漏洞库;对不公开漏洞进行验证分配至所述漏洞审核专家;
所述漏洞审核专家对所述不公开漏洞进行验证,若验证未通过,向所述漏洞报送者发送驳回通知;若验证通过,将验证通过漏洞发送至所述漏洞平台管理员;
所述漏洞平台管理员根据收录条件判断是否需要对所述验证通过漏洞进行二次验证,若否,将所述验证通过漏洞录入所述漏洞库;若是,将所述验证通过漏洞发送至所述漏洞审核专家进行二次验证,直至符合收录条件;
对所述漏洞库进行漏洞废除、处置和/或发布。
可选的,在录入所述漏洞库前还包括:
根据漏洞的评分及预设阈值区间对所述漏洞进行分级;所述漏洞的级别分为:超危、高危、中危和低危;
对中危、高危和超危的所述漏洞按级别颁发漏洞证书。
可选的,所述补丁处理微服务包括补丁平台管理员和补丁审核专家;所述补丁处理微服务的处理过程包括:
所述补丁平台管理员将漏洞收录后自动生成的原始漏洞补丁分配至所述补丁审核专家;
所述补丁审核专家对所述原始漏洞补丁的字段进行修改完善,并将修改完善后的漏洞补丁提交至所述补丁平台管理员;
所述补丁平台管理员对修改完善后的漏洞补丁进行收录;若与收录的漏洞补丁对应所述漏洞已经发布,则将收录的补丁进行发布。
可选的,所述漏洞报告微服务的处理过程包括:
在所述多任务协作漏洞平台中内置和定义报告模板;
从所述多任务协作漏洞平台的数据库调用漏洞数据,并加载所述报告模板,生成漏洞态势报告;所述漏洞态势报告为word格式文本;
判断所述漏洞态势报告是否发布,若是,将word格式文本的所述漏洞态势报告转换成PDF格式文本的漏洞态势报告进行发布;所述漏洞态势报告包括漏洞总体情况、漏洞危害等级分析、漏洞成因分析、受影响产品分析、单位贡献排名、重要安全漏洞告警和漏洞新闻动态追踪中的一种或多种;
若否,则取消发布。
可选的,所述漏洞统计微服务的处理过程包括:
在所述多任务协作漏洞平台中内置图表模板;
从所述多任务协作漏洞平台的数据库调用漏洞数据;加载所述图表模板自动化生成趋势统计图表;所述趋势统计图表包括漏洞报送时间趋势、漏洞危害等级趋势、漏洞成因类别、漏洞分类趋势和/或新闻分类趋势的统计图表;
根据用户请求控制所述趋势统计图表在所述多任务协作漏洞平台的前台的显示和隐藏。
可选的,所述漏洞新闻微服务包括信息发布员和新闻平台管理员;所述漏洞新闻微服务的处理过程包括:
所述信息发布员填写漏洞新闻信息,并提交至所述新闻平台管理员;
所述新闻平台管理员判断是否发布所述漏洞新闻信息,若是,以jason格式的静态化新闻详情及首页新闻列表的形式进行所述漏洞新闻信息的发布。
可选的,所述贡献度评分微服务的处理过程包括:
根据漏洞的类型设置不同的权重和分值,生成评分公式;所述漏洞的类型包括原创漏洞和公开漏洞;
按照评分公式对收录的漏洞对应的所述漏洞报送者进行贡献度的评分,得到评分结果;
定时扫描所述评分结果,在多任务协作漏洞平台的前台网站定时更新所述漏洞提交者的贡献度评分。
一种多任务协作漏洞平台的服务方法,基于所述的多任务协作漏洞平台实现,所述服务方法包括:
通过反向代理服务器获取用户发送的服务访问请求,并转发至网关模块;
通过所述网关模块根据服务访问请求判断用户访问权限,对符合访问权限设置的用户向微服务注册中心查找与所述服务访问请求对应的漏洞微服务地址,并将所述漏洞微服务地址转发至所述反向代理服务器;
通过所述反向代理服务器向所述用户提供所述漏洞微服务地址,实现用户对所需漏洞微服务的访问。
根据本发明提供的具体实施例,本发明公开了以下技术效果:
本发明提出了一种多任务协作漏洞平台及其构建方法、服务方法,所述漏洞平台包括:微服务层、微服务注册中心、反向代理服务器、网关模块。通过微服务层开发并部署多个独立的漏洞微服务,可以实现多方参与、多任务协作处理漏洞工作,并且可以根据需要进行漏洞微服务的扩展,提供更多的漏洞微服务,从而可以有效提升漏洞平台的灵活性,降低漏洞平台的复杂性和维护成本。
同时,采用双网关技术,根据用户访问权限判断并转发请求,将符合权限设置的用户访问转发到对应漏洞微服务。双网关包括前台网关和后台网关两部分,所述前台网关用于所述多任务协作漏洞平台的前台用户账号管理,所述后台网关用于所述多任务协作漏洞平台的后台用户账号管理,所述前台网关和所述后台网关响应各自所需的所述漏洞微服务,实现前后台系统用户账号分离,控制不同用户权限以及保护平台数据安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例1提供的一种多任务协作漏洞平台结构示意图;
图2为本发明实施例2提供的一种多任务协作漏洞平台的构建方法流程图;
图3为本发明实施例2提供的漏洞处理微服务实现流程图;
图4为本发明实施例2提供的补丁处理微服务实现流程图;
图5为本发明实施例2提供的漏洞报告微服务实现流程图;
图6为本发明实施例2提供的漏洞统计微服务实现流程图;
图7为本发明实施例2提供的漏洞新闻微服务实现流程图;
图8为本发明实施例2提供的贡献度评分微服务实现流程图;
图9为本发明实施例3提供的一种多任务协作漏洞平台的服务方法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的目的是提供一种多任务协作漏洞平台及其构建方法、服务方法,本发明采用微服务技术来构建开放式、分层次的漏洞平台架构体系,各微服务模块独立开发、部署、维护和升级,并可以按需进行动态扩展,支持漏洞平台多种任务协作流程,提升不同服务任务流程定义的灵活性,降低系统复杂性、各服务间的相互依懒性以及维护成本。而且有效建立了归一化、规范化的漏洞及补丁收集、分析、处置和披露相关服务处理流程及轨迹跟踪,有效支持漏洞上报、分配、审核、验证、驳回、定级、收录、废除、发布以及补丁分配、跟踪、审核、入库、发布等,并对参与用户的贡献度进行评分和激励。使用双网关技术,实现前后台系统用户账号分离,控制不同用户权限,同时利用反向代理服务隐藏内部服务器地址保护平台数据安全。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
首先需要说明的是:
SOA(Service-Oriented Architecture)是一种面向服务的体系架构,是一种软件架构设计的模型和方法论,是一种组件模型。它将应用程序的不同功能单元(称为服务)通过这些服务之间定义良好的接口和契约联系起来。
微服务技术是一种架构风格,即将单体应用划分为小型的服务单元,微服务之间使用HTTP的API进行资源访问与操作。
接口(API)是采用中立的方式进行定义的,独立于实现服务的硬件平台、操作系统和编程语言。这使得构建在各种这样的系统中的服务可以以一种统一和通用的方式进行交互。这种具有中立的接口定义(没有强制绑定到特定的实现上)的特征称为服务之间的松耦合。松耦合系统的好处有两点,一是灵活性,二是当组成整个应用程序的每个服务的内部结构和实现逐渐地发生改变时,它能够继续存在。而另一方面,紧耦合意味着应用程序的不同组件之间的接口与其功能和结构是紧密相连的,因而当需要对部分或整个应用程序进行某种形式的更改时,它们就显得非常脆弱。
在SOA架构风格中,服务是最核心的抽象手段,业务被划分(组件化)为一系列粗粒度的业务服务和业务流程。业务服务相对独立、自包含、可重用,由一个或者多个分布的系统所实现,而业务流程由服务组装而来。一个“服务”定义了一个与业务功能或业务数据相关的接口,以及约束这个接口的契约。
接口和契约采用中立、基于标准的方式进行定义,它独立于实现服务的硬件平台、操作系统和编程语言。这使得构建在不同系统中的服务可以以一种统一的和通用的方式进行交互、相互理解。除了这种不依赖于特定技术的中立特性,通过服务注册库(ServiceRegistry)加上企业服务总线(Enterprise Service Bus)来支持动态查询、定位、路由和中介(Mediation)的能力,使得服务之间的交互是动态的,位置是透明的。技术和位置的透明性,使得服务的请求者和提供者之间高度解耦。
微服务开发和治理框架集合包括服务注册、服务发现、配置中心、消息总线、负载均衡、断路器、数据监控等。
基于上述解释,请参阅图1,本发明实施例1提供的一种多任务协作漏洞平台,包括:
微服务层1,用于开发并部署漏洞微服务;所述漏洞微服务为多个独立的与漏洞相关的服务;
微服务注册中心2,用于对所述漏洞微服务进行注册:建立服务路径与所述漏洞微服务间的映射,同时,所述微服务注册中心2还用于监控各所述漏洞微服务是否正常运行。
Eureka Server(微服务注册中心)是微服务组件的一部分,主要负责实现微服务架构中的服务治理功能。Eureka是一个基于REST的服务,提供了基于Java的客户端组件。所述微服务注册中心Eureka Server用于微服务的注册,实现服务路径与微服务间的映射,同时也负责各微服务模块的健康管理,监控各微服务是否正常运行。
反向代理服务器3,用于接收用户发送的服务访问请求;反向代理是指以代理服务器来接受互联网上连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给互联网上请求连接的客户端。反向代理服务器3位于互联网用户与内部目标服务器之间,对于用户而言,反向代理服务器3就相当于内部目标服务器,即用户直接访问反向代理服务器3就可以获得内部目标服务器的资源。同时,用户不需要知道目标服务器的地址,也无须在用户端作任何设定。反向代理服务器3通常可用来作为Web加速,即使用反向代理作为Web服务器的前置机来降低网络和服务器的负载,提高访问效率。Nginx是一个高性能的HTTP和反向代理web服务器,占有内存少,并发能力强。
网关模块4,用于接收所述反向代理服务器3转发的所述服务访问请求,建立用户与所述漏洞微服务之间的联系。
在一些实施例中,所述网关模块4包括前台网关和后台网关,所述前台网关用于所述多任务协作漏洞平台的前台用户账号管理,所述后台网关用于所述多任务协作漏洞平台的后台用户账号管理,所述前台网关和所述后台网关响应各自所需的所述漏洞微服务。
所述前台网关和后台网关均包括网关、负载均衡器和单点登录模块;Zuul是Netflix开源的微服务网关,一个基于JVM路由和服务端的负载均衡器,与Eureka、Ribbon等组件配合使用,提供路由、监控、弹性、安全等方面的服务框架。
所述网关用于负责身份认证和安全、动态路由、压力测试、负载分配、静态响应处理和多区域弹性负载均衡;其中,
身份认证和安全:识别每一个资源的验证要求,拒绝不符合要求的请求;
动态路由:动态将请求路由到不同后端集群;
压力测试:逐渐增加指向集群的流量,以了解性能;
负载分配:为每一种负载类型分配对应容量,并弃用超出限定值的请求;
静态响应处理:对边缘位置进行响应,避免转发到内部集群;
多区域弹性负载均衡:跨域进行请求路由,实现弹性负载均衡使用多样化。
所述负载均衡器用于服务访问请求转发的负载均衡;Ribbon(负载均衡器)是一个基于HTTP和TCP的客户端负载均衡工具,将面向服务的REST模版请求自动转换成客户端负载均衡的服务调用,实现微服务间的调用、API网关的请求转发等。所述负载均衡器的工作分为两步:
第一步选择Eureka Server微服务注册中心,优先选择在同一个区域且负载较少的Server;
第二步根据用户指定的策略,从所述Server取到的服务注册列表中选择一个地址。
所述单点登录模块,关联一套独立的用户管理基础微服务,用于负责用户的登录和注销。SSO(单点登录模块)是指在多系统应用群中登录一个系统,便可在其他所有系统中得到授权而无需再次登录,包括单点登录与单点注销两部分。单点登录有一个独立的认证中心,只有认证中心能接受用户的用户名、密码等安全信息,其他系统不提供登录入口,只接受认证中心的间接授权。单点登录自然也要单点注销,在一个子系统中注销,所有子系统的会话都将被销毁。
在一些实施例中,所述平台还包括数据库5,所述数据库5与所述微服务层建立连接,用于提供数据存储、查询和维护。
作为一种可能的实现方式,所述漏洞微服务包括漏洞处理微服务、补丁处理微服务、漏洞报告微服务、漏洞统计微服务、漏洞新闻微服务和贡献度评分微服务。需要说明的是,虽然在本实施例中只列举了六个漏洞微服务,但是本文公开的漏洞微服务并不仅限于此,还可以根据需要进行漏洞微服务的扩展,提供更多的漏洞微服务。
通过上述多任务协作漏洞平台的结构可知,本发明采用微服务技术来构建开放式、分层次的漏洞平台架构体系,以面向服务方式独立开发、部署、维护和升级各功能模块,并可以按需动态扩展,支持漏洞平台多种任务协作流程,有效提升了漏洞平台的灵活性,降低了漏洞平台的复杂性和维护成本。并且采用双网关的方式实现了前后台系统用户账号分离,控制不同用户权限以及保护平台数据安全。
作为另一种实施例,请参阅图2,本发明实施例2提供的一种多任务协作漏洞平台的构建方法,包括以下步骤:
S1:搭建微服务框架集合,所述微服务框架集合包括:微服务注册中心、网关模块、反向代理服务器和微服务层;
S2:在所述微服务层上开发并部署漏洞微服务;所述漏洞微服务为多个独立的与漏洞相关的服务;
S3:在所述微服务注册中心对所述漏洞微服务进行注册:建立服务路径与所述漏洞微服务间的映射;
S4:设置所述反向代理服务器接收用户发送的服务访问请求,并将所述服务访问请求转发至所述网关模块;
S5:通过所述网关模块建立用户与所述漏洞微服务之间的联系,得到多任务协作漏洞平台。
在一些实施例中,所述微服务框架集合还包括数据库,所述数据库与所述微服务层建立连接,用于提供数据存储、查询和维护。
如图2所示,所述漏洞微服务包括漏洞处理微服务、补丁处理微服务、漏洞报告微服务、漏洞统计微服务、漏洞新闻微服务和贡献度评分微服务。需要说明的是,虽然在本实施例中只列举了六个漏洞微服务,但是本文公开的漏洞微服务并不仅限于此,还可以根据需要进行漏洞微服务的扩展,提供更多的漏洞微服务。
如图3所示,所述漏洞处理微服务包括:漏洞平台管理员和漏洞审核专家;所述漏洞处理微服务的处理过程包括:
所述漏洞平台管理员接收到漏洞报送者报送的漏洞,并将漏洞分配至所述漏洞审核专家进行审核;
所述漏洞审核专家对所述漏洞进行合规性审核;若审核未通过,向所述漏洞报送者发送驳回通知;若审核通过,判断审核通过漏洞是否公开;若公开,将公开漏洞发送至所述漏洞平台管理员进行是否收录判断;若不公开,将不公开漏洞发送至所述漏洞平台管理员进行验证分配;
所述漏洞平台管理员将符合收录的所述公开漏洞录入漏洞库;对不公开漏洞进行验证分配至所述漏洞审核专家;
所述漏洞审核专家对所述不公开漏洞进行验证,若验证未通过,向所述漏洞报送者发送驳回通知;若验证通过,将验证通过漏洞发送至所述漏洞平台管理员;
所述漏洞平台管理员根据收录条件判断是否需要对所述验证通过漏洞进行二次验证,若否,将所述验证通过漏洞录入所述漏洞库;若是,将所述验证通过漏洞发送至所述漏洞审核专家进行二次验证,直至符合收录条件;
对所述漏洞库进行漏洞废除、处置和/或发布。
如图3所示,在录入所述漏洞库前还包括:
根据漏洞的评分及预设阈值区间对所述漏洞进行分级;所述漏洞的级别分为:超危、高危、中危和低危;
对中危、高危和超危的所述漏洞按级别颁发漏洞证书。
如图4所示,所述补丁处理微服务包括补丁平台管理员和补丁审核专家;所述补丁处理微服务的处理过程包括:
A1:漏洞收录后自动生成原始漏洞补丁;
A2:所述补丁平台管理员将所述原始漏洞补丁分配至所述补丁审核专家;
A3:所述补丁审核专家对所述原始漏洞补丁的字段进行修改完善,并将修改完善后的漏洞补丁提交至所述补丁平台管理员;
A4:所述补丁平台管理员对修改完善后的漏洞补丁进行收录;
A5:若与收录的漏洞补丁对应所述漏洞已经发布,则将收录的补丁进行发布。
如图5所示,所述漏洞报告微服务的处理过程包括:
B1:在所述多任务协作漏洞平台中内置和定义报告模板;
B2:从所述多任务协作漏洞平台的数据库调用漏洞数据,并加载所述报告模板;
B3:生成漏洞态势报告;所述漏洞态势报告为word格式文本;
B4:判断所述漏洞态势报告是否发布,若是,将word格式文本的所述漏洞态势报告转换成PDF格式文本的漏洞态势报告进行发布;所述漏洞态势报告包括漏洞总体情况、漏洞危害等级分析、漏洞成因分析、受影响产品分析、单位贡献排名、重要安全漏洞告警和漏洞新闻动态追踪中的一种或多种;
若否,则取消发布。
如图6所示,所述漏洞统计微服务的处理过程包括:
C1:在所述多任务协作漏洞平台中内置图表模板;所述图表模板的类型包括饼图、柱状图、折线图等;
C2:从所述多任务协作漏洞平台的数据库调用漏洞数据,加载所述图表模板;
C3:自动化生成趋势统计图表;所述趋势统计图表包括漏洞报送时间趋势、漏洞危害等级趋势、漏洞成因类别、漏洞分类趋势和/或新闻分类趋势的统计图表;
C4:根据用户请求控制所述趋势统计图表在所述多任务协作漏洞平台的前台的显示和隐藏。
如图7所示,所述漏洞新闻微服务包括信息发布员和新闻平台管理员;所述漏洞新闻微服务的处理过程包括:
D1:所述信息发布员填写漏洞新闻信息;
D2:提交至所述新闻平台管理员;
D3:所述新闻平台管理员判断是否发布所述漏洞新闻信息,若是,以jason格式的静态化新闻详情及首页新闻列表的形式进行所述漏洞新闻信息的发布。
如图8所示,所述贡献度评分微服务的处理过程包括:
E1:根据漏洞的类型设置不同的权重和分值,生成评分公式;所述漏洞的类型包括原创漏洞和公开漏洞;
E2:按照评分公式对收录的漏洞对应的所述漏洞报送者进行贡献度的评分,得到评分结果;
E3:定时扫描所述评分结果;
E4:在多任务协作漏洞平台的前台网站定时更新所述漏洞提交者的贡献度评分。
通过上述的各漏洞微服务的具体方法可知,本发明提出了构建漏洞处理微服务、补丁处理微服务、漏洞报告微服务、漏洞统计微服务、漏洞新闻微服务、贡献度评分微服务六大漏洞业务微服务的具体方法,涵盖多任务协作漏洞平台所需的漏洞处理、补丁处理、报告生成与发布、统计生成与发布、新闻发布、参与用户贡献度评分的六大基础要素,有效支持多方参与、多任务协作处理漏洞工作,有效建立了归一化、规范化的漏洞及补丁收集、分析、处置和披露相关服务处理流程及轨迹跟踪,有效支持漏洞上报、分配、审核、验证、驳回、定级、收录、废除、发布以及补丁分配、跟踪、审核、入库、发布等,并对参与用户的贡献度进行评分和激励。
作为另一种实施例,请参阅图9,本发明实施例3提供的一种多任务协作漏洞平台的服务方法,包括以下步骤:
F1:通过反向代理服务器获取用户发送的服务访问请求,并转发至网关模块;
F2:通过所述网关模块根据服务访问请求判断用户访问权限,对符合访问权限设置的用户向微服务注册中心查找与所述服务访问请求对应的漏洞微服务地址,并将所述漏洞微服务地址转发至所述反向代理服务器;
F3:通过所述反向代理服务器向所述用户提供所述漏洞微服务地址,实现用户对所需漏洞微服务的访问。
需要说明的是该多任务协作漏洞平台的构建方法与上述一致,对于各所述漏洞微服务的具体步骤在此不再赘述。
综上,本发明提出了构建多种漏洞微服务的具体方法,涵盖了多任务协作漏洞平台所需的基础要素,有效支持多方参与、多任务协作处理漏洞工作,有效建立了归一化、规范化的漏洞及补丁相关服务处理流程及轨迹跟踪,提升了不同服务任务流程定义的灵活性,降低了系统复杂性、各微服务间的相互依赖性以及维护成本。同时,采用双网关技术,实现前后台系统用户账号分离,控制不通过用户权限以及保护平台数据安全。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。

Claims (15)

1.一种多任务协作漏洞平台,其特征在于,所述平台包括:
微服务层,用于开发并部署漏洞微服务;所述漏洞微服务为多个独立的与漏洞相关的服务;
微服务注册中心,用于对所述漏洞微服务进行注册:建立服务路径与所述漏洞微服务间的映射;
反向代理服务器,用于接收用户发送的服务访问请求;
网关模块,用于接收所述反向代理服务器转发的所述服务访问请求,建立用户与所述漏洞微服务之间的联系;
所述网关模块包括前台网关和后台网关,所述前台网关用于所述多任务协作漏洞平台的前台用户账号管理,所述后台网关用于所述多任务协作漏洞平台的后台用户账号管理,所述前台网关和所述后台网关响应各自所需的所述漏洞微服务;
所述前台网关和后台网关均包括网关、负载均衡器和单点登录模块;
所述网关用于负责身份认证和安全、动态路由、压力测试、负载分配、静态响应处理和多区域弹性负载均衡;其中,身份认证和安全:识别每一个资源的验证要求,拒绝不符合要求的请求;动态路由:动态将请求路由到不同后端集群;压力测试:逐渐增加指向集群的流量,以了解性能;负载分配:为每一种负载类型分配对应容量,并弃用超出限定值的请求;静态响应处理:对边缘位置进行响应,避免转发到内部集群;多区域弹性负载均衡:跨域进行请求路由,实现弹性负载均衡使用多样化;
所述负载均衡器用于服务访问请求转发的负载均衡;
所述单点登录模块,关联一套独立的用户管理基础微服务,用于负责用户的登录和注销。
2.根据权利要求1所述的多任务协作漏洞平台,其特征在于,所述平台还包括数据库,所述数据库与所述微服务层建立连接,用于提供数据存储、查询和维护。
3.根据权利要求1所述的多任务协作漏洞平台,其特征在于,所述微服务注册中心还用于监控各所述漏洞微服务是否正常运行。
4.根据权利要求1所述的多任务协作漏洞平台,其特征在于,所述漏洞微服务包括漏洞处理微服务、补丁处理微服务、漏洞报告微服务、漏洞统计微服务、漏洞新闻微服务和贡献度评分微服务。
5.一种如权利要求1所述的多任务协作漏洞平台的构建方法,其特征在于,包括以下步骤:
搭建微服务框架集合,所述微服务框架集合包括:微服务注册中心、网关模块、反向代理服务器和微服务层;
在所述微服务层上开发并部署漏洞微服务;所述漏洞微服务为多个独立的与漏洞相关的服务;
在所述微服务注册中心对所述漏洞微服务进行注册:建立服务路径与所述漏洞微服务间的映射;
设置所述反向代理服务器接收用户发送的服务访问请求,并将所述服务访问请求转发至所述网关模块,通过所述网关模块建立用户与所述漏洞微服务之间的联系,得到多任务协作漏洞平台。
6.根据权利要求5所述的构建方法,其特征在于,所述微服务框架集合还包括数据库,所述数据库与所述微服务层建立连接,用于提供数据存储、查询和维护。
7.根据权利要求5所述的构建方法,其特征在于,所述漏洞微服务包括漏洞处理微服务、补丁处理微服务、漏洞报告微服务、漏洞统计微服务、漏洞新闻微服务和贡献度评分微服务。
8.根据权利要求7所述的构建方法,其特征在于,所述漏洞处理微服务包括:漏洞平台管理员和漏洞审核专家;所述漏洞处理微服务的处理过程包括:
所述漏洞平台管理员接收到漏洞报送者报送的漏洞,并将漏洞分配至所述漏洞审核专家进行审核;
所述漏洞审核专家对所述漏洞进行合规性审核;若审核未通过,向所述漏洞报送者发送驳回通知;若审核通过,判断审核通过漏洞是否公开;若公开,将公开漏洞发送至所述漏洞平台管理员进行是否收录判断;若不公开,将不公开漏洞发送至所述漏洞平台管理员进行验证分配;
所述漏洞平台管理员将符合收录条件的所述公开漏洞录入漏洞库;对不公开漏洞进行验证分配至所述漏洞审核专家;
所述漏洞审核专家对所述不公开漏洞进行验证,若验证未通过,向所述漏洞报送者发送驳回通知;若验证通过,将验证通过漏洞发送至所述漏洞平台管理员;
所述漏洞平台管理员根据收录条件判断是否需要对所述验证通过漏洞进行二次验证,若否,将所述验证通过漏洞录入所述漏洞库;若是,将所述验证通过漏洞发送至所述漏洞审核专家进行二次验证,直至符合收录条件;
对所述漏洞库进行漏洞废除、处置和/或发布。
9.根据权利要求8所述的构建方法,其特征在于,在录入所述漏洞库前还包括:
根据漏洞的评分及预设阈值区间对所述漏洞进行分级;所述漏洞的级别分为:超危、高危、中危和低危;
对中危、高危和超危的所述漏洞按级别颁发漏洞证书。
10.根据权利要求7所述的构建方法,其特征在于,所述补丁处理微服务包括补丁平台管理员和补丁审核专家;所述补丁处理微服务的处理过程包括:
所述补丁平台管理员将漏洞收录后自动生成的原始漏洞补丁分配至所述补丁审核专家;
所述补丁审核专家对所述原始漏洞补丁的字段进行修改完善,并将修改完善后的漏洞补丁提交至所述补丁平台管理员;
所述补丁平台管理员对修改完善后的漏洞补丁进行收录;若与收录的漏洞补丁对应所述漏洞已经发布,则将收录的补丁进行发布。
11.根据权利要求7所述的构建方法,其特征在于,所述漏洞报告微服务的处理过程包括:
在所述多任务协作漏洞平台中内置和定义报告模板;
从所述多任务协作漏洞平台的数据库调用漏洞数据,并加载所述报告模板,生成漏洞态势报告;所述漏洞态势报告为word格式文本;
判断所述漏洞态势报告是否发布,若是,将word格式文本的所述漏洞态势报告转换成PDF格式文本的漏洞态势报告进行发布;所述漏洞态势报告包括漏洞总体情况、漏洞危害等级分析、漏洞成因分析、受影响产品分析、单位贡献排名、重要安全漏洞告警和漏洞新闻动态追踪中的一种或多种;
若否,则取消发布。
12.根据权利要求7所述的漏洞平台构建方法,其特征在于,所述漏洞统计微服务的处理过程包括:
在所述多任务协作漏洞平台中内置图表模板;
从所述多任务协作漏洞平台的数据库调用漏洞数据;加载所述图表模板自动化生成趋势统计图表;所述趋势统计图表包括漏洞报送时间趋势、漏洞危害等级趋势、漏洞成因类别、漏洞分类趋势和/或新闻分类趋势的统计图表;
根据用户请求控制所述趋势统计图表在所述多任务协作漏洞平台的前台的显示和隐藏。
13.根据权利要求7所述的构建方法,其特征在于,所述漏洞新闻微服务包括信息发布员和新闻平台管理员;所述漏洞新闻微服务的处理过程包括:
所述信息发布员填写漏洞新闻信息,并提交至所述新闻平台管理员;
所述新闻平台管理员判断是否发布所述漏洞新闻信息,若是,以jason格式的静态化新闻详情及首页新闻列表的形式进行所述漏洞新闻信息的发布。
14.根据权利要求7所述的构建方法,其特征在于,所述贡献度评分微服务的处理过程包括:
根据漏洞的类型设置不同的权重和分值,生成评分公式;所述漏洞的类型包括原创漏洞和公开漏洞;
按照评分公式对收录的漏洞对应的漏洞报送者进行贡献度的评分,得到评分结果;
定时扫描所述评分结果,在多任务协作漏洞平台的前台网站定时更新漏洞报送者的贡献度评分。
15.一种多任务协作漏洞平台的服务方法,其特征在于,基于权利要求1所述的多任务协作漏洞平台实现,所述服务方法包括:
通过反向代理服务器获取用户发送的服务访问请求,并转发至网关模块;
通过所述网关模块根据服务访问请求判断用户访问权限,对符合访问权限设置的用户向微服务注册中心查找与所述服务访问请求对应的漏洞微服务地址,并将所述漏洞微服务地址转发至所述反向代理服务器;
通过所述反向代理服务器向所述用户提供所述漏洞微服务地址,实现用户对所需漏洞微服务的访问。
CN202011344781.8A 2020-11-26 2020-11-26 一种多任务协作漏洞平台及其构建方法、服务方法 Active CN112434302B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011344781.8A CN112434302B (zh) 2020-11-26 2020-11-26 一种多任务协作漏洞平台及其构建方法、服务方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011344781.8A CN112434302B (zh) 2020-11-26 2020-11-26 一种多任务协作漏洞平台及其构建方法、服务方法

Publications (2)

Publication Number Publication Date
CN112434302A CN112434302A (zh) 2021-03-02
CN112434302B true CN112434302B (zh) 2021-09-07

Family

ID=74699206

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011344781.8A Active CN112434302B (zh) 2020-11-26 2020-11-26 一种多任务协作漏洞平台及其构建方法、服务方法

Country Status (1)

Country Link
CN (1) CN112434302B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113378332B (zh) * 2021-08-16 2021-11-02 成都数联云算科技有限公司 生产设备组分析方法、装置、电子设备及计算机可读存储介质
CN115001788A (zh) * 2022-05-28 2022-09-02 四川大学 远程农业物联网微服务架构的漏洞检测与防御方法
CN115065565B (zh) * 2022-08-18 2022-11-22 北京网藤科技有限公司 基于微服务架构的工控场景账号管理方法及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9438634B1 (en) * 2015-03-13 2016-09-06 Varmour Networks, Inc. Microsegmented networks that implement vulnerability scanning
CN107612955A (zh) * 2016-07-12 2018-01-19 深圳市远行科技股份有限公司 微服务提供方法、装置及系统
CN109063485A (zh) * 2018-07-27 2018-12-21 东北大学秦皇岛分校 一种基于漏洞平台的漏洞分类统计系统及方法
CN110134519A (zh) * 2019-05-21 2019-08-16 中国太平洋保险(集团)股份有限公司 一种基于容器平台实现网站管理的控制方法及装置
CN110149396A (zh) * 2019-05-20 2019-08-20 华南理工大学 一种基于微服务架构的物联网平台构建方法
CN110795486A (zh) * 2019-10-29 2020-02-14 北京中电普华信息技术有限公司 一种微服务平台

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9438634B1 (en) * 2015-03-13 2016-09-06 Varmour Networks, Inc. Microsegmented networks that implement vulnerability scanning
CN107612955A (zh) * 2016-07-12 2018-01-19 深圳市远行科技股份有限公司 微服务提供方法、装置及系统
CN109063485A (zh) * 2018-07-27 2018-12-21 东北大学秦皇岛分校 一种基于漏洞平台的漏洞分类统计系统及方法
CN110149396A (zh) * 2019-05-20 2019-08-20 华南理工大学 一种基于微服务架构的物联网平台构建方法
CN110134519A (zh) * 2019-05-21 2019-08-16 中国太平洋保险(集团)股份有限公司 一种基于容器平台实现网站管理的控制方法及装置
CN110795486A (zh) * 2019-10-29 2020-02-14 北京中电普华信息技术有限公司 一种微服务平台

Also Published As

Publication number Publication date
CN112434302A (zh) 2021-03-02

Similar Documents

Publication Publication Date Title
CN112434302B (zh) 一种多任务协作漏洞平台及其构建方法、服务方法
CN110535831B (zh) 基于Kubernetes和网络域的集群安全管理方法、装置及存储介质
CN113169952B (zh) 一种基于区块链技术的容器云管理系统
JP2019160312A (ja) ブロックチェーン・ノード、ブロックチェーン・ノードの方法、およびブロックチェーン・ノードのコンピュータ・プログラム
Bhathal et al. Big Data: Hadoop framework vulnerabilities, security issues and attacks
CN109286676B (zh) 一种基于区块链的电力数据安全信息系统
US7124289B1 (en) Automated provisioning framework for internet site servers
Bates et al. Towards secure provenance-based access control in cloud environments
JP2021525931A (ja) ブロックチェーンのための効率的な検証
CN113114498B (zh) 一种可信区块链服务平台的架构系统及其构建方法
CA2946424C (en) Method and apparatus for a scoring service for security threat management
US20080244078A1 (en) Web services intermediary
CN105119966A (zh) 一种公众号管理方法及装置
US11503028B2 (en) Secure remote troubleshooting of private cloud
CN102656562A (zh) 用于选择桌面执行位置的方法和系统
CN114363352B (zh) 基于区块链的物联网系统跨链交互方法
KR20090097176A (ko) 증명서 취득에 의하여 야기되는 취약점을 조사하고 완화하기 위한 전략
CN104168333A (zh) Proxzone服务平台的工作方法
CN115118705B (zh) 一种基于微服务的工业边缘管控平台
CN111698126B (zh) 信息监控方法、系统及计算机可读存储介质
CN114780214A (zh) 任务处理方法、装置、系统及设备
CN112351106B (zh) 一种含事件网格的服务网格平台及其通信方法
WO2022046225A1 (en) Automated code analysis tool
CN112269838A (zh) 基于区块链的监管方法、装置、电子设备及存储介质
WO2023098824A1 (zh) 车辆数据的管理方法、装置、服务器、存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant