CN114095218A - 一种资产漏洞管理方法及装置 - Google Patents
一种资产漏洞管理方法及装置 Download PDFInfo
- Publication number
- CN114095218A CN114095218A CN202111310499.2A CN202111310499A CN114095218A CN 114095218 A CN114095218 A CN 114095218A CN 202111310499 A CN202111310499 A CN 202111310499A CN 114095218 A CN114095218 A CN 114095218A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- asset
- target
- online
- assets
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 title claims abstract description 39
- 238000012795 verification Methods 0.000 claims abstract description 40
- 238000012545 processing Methods 0.000 claims description 5
- 230000010354 integration Effects 0.000 claims 1
- 238000000034 method Methods 0.000 abstract description 13
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012163 sequencing technique Methods 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 239000003086 colorant Substances 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G08—SIGNALLING
- G08B—SIGNALLING OR CALLING SYSTEMS; ORDER TELEGRAPHS; ALARM SYSTEMS
- G08B5/00—Visible signalling systems, e.g. personal calling systems, remote indication of seats occupied
- G08B5/22—Visible signalling systems, e.g. personal calling systems, remote indication of seats occupied using electric transmission; using electromagnetic transmission
- G08B5/36—Visible signalling systems, e.g. personal calling systems, remote indication of seats occupied using electric transmission; using electromagnetic transmission using visible light sources
- G08B5/38—Visible signalling systems, e.g. personal calling systems, remote indication of seats occupied using electric transmission; using electromagnetic transmission using visible light sources using flashing light
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
- H04L43/045—Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Electromagnetism (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供了一种资产漏洞管理方法及装置,其方法包括:基于预设的扫描参数对资产进行扫描,识别出在线资产以及在线资产的开放端口;确定漏洞验证程序,并通过漏洞验证程序对待验证在线资产和/或待验证开放端口进行漏洞验证;当验证出待验证在线资产和/或待验证开放端口存在目标漏洞时,将目标漏洞以及目标漏洞的漏洞信息进行存储,生成资产漏洞库;基于在线资产的开放端口、实时网络环境以及目标漏洞的漏洞信息确定资产综合风险等级。本发明的资产综合风险等级同时考虑了开放端口、实时网络环境以及目标漏洞的漏洞信息,提高了资产综合风险等级的合理性。
Description
技术领域
本发明涉及信息安全技术领域,具体涉及一种资产漏洞管理方法及装置。
背景技术
互联网的高速发展,给我们的工作和生活带来了巨大的便利,我们可以很方便的对外发布企业的相关产品信息,也可以通过网络发布相关的政策,还可以通过网络进行网上交易。然而伴随着互联网的高速发展,利用计算机安全漏洞进行网络攻击的网络安全事件也时常发生,攻击危害及影响范围也越来越大,对企业自身造成不可估量的损失。所以业界出现了很多漏洞验证工具及产品,可以对计算机主机或者WEB系统进行漏洞扫描,发现漏洞,以便防患于未然。
漏洞管理就是领先漏洞一步,让修复更频繁更有效的一个过程。待修复漏洞必须按照对网络的威胁级别,即:漏洞的风险等级进行排序。现有技术中对漏洞的风险等级进行排序仅仅是通过漏洞验证工具验证出的漏洞风险等级进行排序。
然而,通过漏洞验证工具验证出的漏洞风险等级较高的漏洞未必是在企业中最危险的漏洞,其无法根据企业的实际情况确定资产风险等级,容易导致企业的资产出现风险。
发明内容
有鉴于此,有必要提供一种资产漏洞管理方法及装置,用以解决现有技术中存在的无法根据企业的实际情况确定资产风险等级,容易导致企业的资产出现风险的技术问题。
为了解决上述技术问题,本发明提供了一种资产漏洞管理方法,包括:
基于预设的扫描参数对资产进行扫描,识别出在线资产以及所述在线资产的开放端口;
确定漏洞验证程序,并通过所述漏洞验证程序对待验证在线资产和/或待验证开放端口进行漏洞验证;
当验证出所述待验证在线资产和/或所述待验证开放端口存在所述目标漏洞时,将所述目标漏洞以及所述目标漏洞的漏洞信息进行存储,生成资产漏洞库;
基于所述在线资产的开放端口、实时网络环境以及所述目标漏洞的漏洞信息确定所述在线资产的资产综合风险等级。
在一些可能的实现方式中,所述确定漏洞验证程序包括:
构建漏洞数据库,所述漏洞数据库包括标准漏洞以及所述标准漏洞的漏洞信息;
基于所述标准漏洞的漏洞信息生成所述漏洞验证程序。
在一些可能的实现方式中,所述目标漏洞的漏洞信息包括漏洞名称、漏洞风险等级、漏洞类型、漏洞说明以及漏洞修复说明。
在一些可能的实现方式中,基于所述在线资产的开放端口、实时网络环境以及所述资产漏洞库确定所述在线资产的资产综合风险等级,包括:
确定所述在线资产的开放端口的数量,并根据所述在线资产的开放端口的数量确定开放端口风险等级;
基于所述实时网络环境确定所述在线资产的资产暴露风险等级;
基于所述开放端口风险等级、所述资产暴露风险等级以及所述目标漏洞的漏洞风险等级确定所述资产综合风险等级。
在一些可能的实现方式中,所述资产漏洞管理方法还包括:
按所述资产综合风险等级从高到低的顺序进行排序;
基于所述漏洞修复说明,按照所述排序依次对所述资产综合风险等级高于阈值风险等级的目标漏洞进行修复。
在一些可能的实现方式中,在所述基于所述漏洞修复说明,对所述目标漏洞进行修复之后,还包括:
对已经进行修复的所述目标漏洞进行校验,判断所述目标漏洞是否修复成功;
当所述目标漏洞修复成功时,则对所述目标漏洞进行修复成功标记;
当所述目标漏洞修复不成功时,则基于所述漏洞修复说明,对所述目标漏洞再次进行修复。
在一些可能的实现方式中,在所述对所述目标漏洞进行修复成功标记后,还包括:
通过所述漏洞验证程序对所述待验证在线资产和/或所述待验证开放端口进行二次漏洞验证;
判断通过所述二次漏洞验证获得的二次漏洞是否与进行修复成功标记的所述目标漏洞相同;
若通过所述二次漏洞验证获得的二次漏洞与进行修复成功标记的所述目标漏洞相同,则生成漏洞复发信息。
在一些可能的实现方式中,所述资产漏洞管理方法还包括:
当验证出所述待验证在线资产和/或所述待验证开放端口存在所述目标漏洞时,生成漏洞提示信息。
在一些可能的实现方式中,所述资产漏洞管理方法还包括:
确定所述在线资产的拓扑结构,并基于所述拓扑结构绘制所述在线资产的拓扑图;
将所述目标漏洞绑定至所述拓扑图上,并基于所述漏洞风险等级对所述目标漏洞进行可视化展示。
另一方面,本发明还提供一种资产漏洞管理装置,包括:
扫描单元,用于基于预设的扫描参数对资产进行扫描,识别出在线资产以及所述在线资产的开放端口;
漏洞验证单元,用于确定漏洞验证程序,并通过所述漏洞验证程序对待验证在线资产和/或待验证开放端口进行漏洞验证;
漏洞库生成单元,用于当验证出所述待验证在线资产和/或所述待验证开放端口存在所述目标漏洞时,将所述目标漏洞以及所述目标漏洞的漏洞信息进行存储,生成资产漏洞库;
风险等级确定单元,用于基于所述在线资产的开放端口、实时网络环境以及所述目标漏洞的漏洞信息确定所述在线资产的资产综合风险等级。
采用上述实施例的有益效果是:本发明提供的资产漏洞管理方法,首先识别出在线资产以及在线资产的开放端口,然后根据漏洞验证程序验证出目标漏洞以及目标漏洞的漏洞信息,最后基于在线资产的开放端口、实时网络环境以及目标漏洞的漏洞信息确定在线资产的资产综合风险等级。即:资产综合风险等级同时考虑了在线资产的开放端口、实时网络环境以及目标漏洞的漏洞信息,而不是仅仅考虑目标漏洞的漏洞信息来确定资产的风险等级,提高了资产综合风险等级的合理性,从而在一定程度上可避免企业的资产出现风险。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的资产漏洞管理方法的一个实施例流程示意图;
图2为本发明图1中S103的一个实施例流程示意图;
图3为本发明图1中S104的一个实施例流程示意图;
图4为本发明提供的目标漏洞修复的一个实施例结构示意图;
图5为本发明提供的对修复后的目标漏洞进行校验的一个实施例结构示意图;
图6为本发明提供的对修复后的目标漏洞进行复发验证的一个实施例结构示意图;
图7为本发明提供的可视化展示的一个实施例结构示意图;
图8为本发明提供的资产漏洞管理装置的一个实施例结构示意图;
图9为本发明提供的电子设备的一个实施例结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本申请实施例的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
本发明提供了一种资产漏洞管理方法及装置,以下分别进行说明。
图1为本发明提供的资产漏洞管理方法的一个实施例流程示意图,如图1所示,资产漏洞管理方法包括:
S101、基于预设的扫描参数对资产进行扫描,识别出在线资产以及在线资产的开放端口;
S102、确定漏洞验证程序,并通过漏洞验证程序对待验证在线资产和/或待验证开放端口进行漏洞验证;
S103、当验证出待验证在线资产和/或待验证开放端口存在目标漏洞时,将目标漏洞以及目标漏洞的漏洞信息进行存储,生成资产漏洞库;
S104、基于在线资产的开放端口、实时网络环境以及目标漏洞的漏洞信息确定在线资产的资产综合风险等级。
与现有技术相比,本发明实施例提供的资产漏洞管理方法,首先识别出在线资产以及在线资产的开放端口,然后根据漏洞验证程序验证出目标漏洞以及目标漏洞的漏洞信息,最后基于在线资产的开放端口、实时网络环境以及目标漏洞的漏洞信息确定在线资产的资产综合风险等级。即:资产综合风险等级同时考虑了在线资产的开放端口、实时网络环境以及目标漏洞的漏洞信息,而不是仅仅考虑目标漏洞的漏洞信息来确定资产的风险等级,提高了资产综合风险等级的合理性,从而在一定程度上可避免企业的资产出现风险。
其中,步骤S101中预设的扫描参数是IP发现范围和端口扫描范围,或由第三方平台输入的IP集合。
具体地,IP发现范围可以是一个IP,或者子网,或者IP范围,示例性的,IP为192.168.215.2/32,或子网192.168.215.2/16,或IP范围为192.168.215.1-192.168.215.55。
具体地,端口扫描范围可以制定任意端口,例如端口号为0-65535中的至少一个端口。
应当理解的是:对资产进行扫描可以是利用masscan,nmap,snmp等开源工具及协议对资产进行扫描。
需要说明的是:步骤S102中的待验证在线资产可以是全部在线资产,也可以是指定的部分在线资产,同理,待验证开放端口可以是全部开放端口,也可以是指定的部分开放端口,即:可以根据不同的场景选择不同的漏洞验证策略,具体地,漏洞验证策略包括两种,一种是对所有的在线资产以及在线资产的开放端口都进行漏洞验证,另外一种是对指定的在线资产以及指定的在线资产的开放端口进行漏洞验证。
示例性的:若需确定所有在线资产包含的哪些漏洞,就需要进行第一种漏洞验证策略,即:对全部在线资产以及全部开放端口进行漏洞验证;若需应急响应,快速高效验证,则需要进行第二种漏洞验证策略,即:对指定的在线资产和指定的开放端口进行漏洞验证。
还应当理解的是:还可将漏洞验证程序制作成漏洞验证插件。
在本发明的一些实施例中,如图2所示,步骤S103包括:
S201、构建漏洞数据库,漏洞数据库包括标准漏洞以及标准漏洞的漏洞信息;
S202、基于标准漏洞的漏洞信息生成漏洞验证程序。
其中,漏洞验证程序(POC)在对待验证在线资产和/或所述待验证开放端口进行漏洞验证进行验证时,采用的是非侵入式方式,避免运行POC对资产造成损坏。
还需要说明的是:漏洞验证程序包括用于验证不同漏洞的多种漏洞验证程序,因此,步骤S103中的通过漏洞验证程序对待验证在线资产和/或所述待验证开放端口进行漏洞验证也可选择启用的不同的漏洞验证程序,灵活控制需要识别的漏洞范围,满足不同的使用需求。例如:若需扫描所有资产包含的哪些漏洞,就需要大而全,选择启用所有漏洞验证程序;若需应急响应,快速高效的检测资产是否包含某一个或几个漏洞,只需选择启用与这些漏洞对应的漏洞验证程序即可。
进一步需要说明的是:在本发明的一些其他实施例中,可直接调用第三方开源工具,利用第三方开源工具的漏洞验证程序进行漏洞验证,而无需基于标准漏洞的漏洞信息生成漏洞验证程序。
本发明实施例通过设置可直接调用第三方开源工具的方式,提高进行漏洞验证的手段的多样性。
在本发明的一些实施例中,构建漏洞数据库包括:
通过渗透测试挖掘标准漏洞以及标准漏洞的漏洞信息,以构建漏洞数据库;
和/或,
获取标准漏洞数据库,并将标准漏洞数据库中的标准漏洞以及标准漏洞的漏洞信息同步至漏洞数据库。
其中,标准漏洞数据库可为公共漏洞展示库(Common Vulnerabilities andExposures,CVE)、中国国家信息安全漏洞库(China National Vulnerability Databaseof Information Security,CNNVD)、国家信息安全漏洞共享平台(China NationalVulnerability Database,CNVD)等。
在本发明的一些实施例中,目标漏洞的漏洞信息包括漏洞名称、漏洞风险等级、漏洞类型、漏洞说明以及漏洞修复说明。
其中,漏洞修复说明包括:漏洞解决办法、补丁名称和补丁描述等。
在本发明的一些实施例中,如图3所示,步骤S104包括:
S301、确定在线资产的开放端口的数量,并根据在线资产的开放端口的数量确定开放端口风险等级;
S302、基于实时网络环境确定在线资产的资产暴露风险等级;
S303、基于开放端口风险等级、资产暴露风险等级以及目标漏洞的漏洞风险等级确定资产综合风险等级。
在本发明的具体实施例中,步骤S301中的开放端口风险等级可为有危险和无危险,当在线资产的开放端口的数量为0时,开放端口风险等级为无危险,当在线资产的开放端口的数量大于0时,开放端口风险等级为有危险,进一步地,还可根据在线资产的开放端口的数量的多少,细化有危险时的开放端口风险等级。
在本发明的具体实施例中,步骤S302中的资产暴露风险等级包括高风险,较高风险,中风险,较低风险和低风险。
在本发明的具体实施例中,步骤S303中的目标漏洞的漏洞风险等级包括严重风险,高危风险,中危风险,一般风险和低危风险。
在步骤S303确定资产综合风险等级之前,还需要将上述各步骤中的风险转换为数值形式,在本发明的具体实施例中,开放端口风险等级为有风险时的数值为3,无风险时的数值为0;资产暴露风险等级中的高风险的数值为5,较高风险的数值为4,中风险的数值为3,较低风险的数值为2,低风险的数值为1;目标漏洞的漏洞风险等级包括严重风险的数值为5,高危风险的数值为4,中危风险的数值为3,一般风险的数值为2,低危风险的数值为1。
基于上述数值,资产综合风险等级可根据开放端口风险等级、资产暴露风险等级以及目标漏洞的漏洞风险等级的权重以及其对应的数值进行计算。
应当理解的是:开放端口风险等级、资产暴露风险等级以及目标漏洞的漏洞风险等级的权重可以相同也可以不相同。
在本发明的一些实施例中,如图4所示,资产漏洞管理方法还包括:
S401、按资产综合风险等级从高到低的顺序进行排序;
S402、基于漏洞修复说明,按照排序依次对资产综合风险等级高于阈值风险等级的目标漏洞进行修复。
通过按照排序对资产综合风险等级高于阈值风险等级的目标漏洞进行修复,可减少需要进行修复的目标漏洞的数量,提高修复效率和可靠性。
为了便于后续分析和查看,在本发明的一些实施例中,应对进行排序后的资产综合风险等级进行储存。
在本发明的一些实施例中,如图5所示,在所步骤S402之后,还包括:
S501、对已经进行修复的目标漏洞进行校验,判断目标漏洞是否修复成功;
S502、当目标漏洞修复成功时,则对目标漏洞进行修复成功标记;
S503、当目标漏洞修复不成功时,则基于漏洞修复说明,对目标漏洞再次进行修复。
本发明实施例通过设置对进行修复的目标漏洞进行校验,可确保修复的成功性,进一步提高资产的安全性。
由于一些漏洞即时在验证成功后,其仍会存在复发的问题,为了便于用户可在漏洞复发时,及时关注到这一复发信息,在本发明的一些实施例中,如图6所示,在步骤S502之后,还包括:
S601、通过漏洞验证程序对待验证在线资产和/或待验证开放端口进行二次漏洞验证;
S602、判断通过二次漏洞验证获得的二次漏洞是否与进行修复成功标记的目标漏洞相同;
S603、若通过二次漏洞验证获得的二次漏洞与进行修复成功标记的目标漏洞相同,则生成漏洞复发信息。
通过生成漏洞复发信息,可使用户及时关注到这一信息,便于对这一复发信息进行分析和处理,进一步提高资产的安全性。
在本发明的一些实施例中,资产漏洞管理方法还包括:
当验证出待验证在线资产和/或待验证开放端口存在目标漏洞时,生成漏洞提示信息。
通过生成漏洞提示信息,可及时提醒用户出现了漏洞,并及时对目标漏洞进行处理,进一步提高了资产的安全性。
在本发明的一些实施例中,如图7所示,资产漏洞管理方法还包括:
S701、确定在线资产的拓扑结构,并基于拓扑结构绘制在线资产的拓扑图;
S702、将目标漏洞绑定至拓扑图上,并基于漏洞风险等级对目标漏洞进行可视化展示。
资产不仅有基础信息,也处于网络环境中,必然有网络或物理连接关系;针对这些连接关系,可以绘制资产拓扑图,并基于上述漏洞信息,将目标漏洞绑定至拓扑图,更直观的展示目标漏洞在整个资产上的分布情况。
进一步地,基于漏洞风险等级对目标漏洞进行可视化展示,方便用户直观的查看资产漏洞情况。
具体地:资产拓扑图上的目标漏洞可按照不同颜色表征不同风险等级;例如:资产存在风险较高的目标漏洞时,目标漏洞会以红色间歇性闪烁的方式呈现,便于用户更直观的查看目标漏洞分布情况。
为了更好实施本发明实施例中的资产漏洞管理方法,在资产漏洞管理方法基础之上,对应的,如图8所示,本发明实施例还提供了一种资产漏洞管理装置800,包括:
扫描单元801,用于基于预设的扫描参数对资产进行扫描,识别出在线资产以及在线资产的开放端口;
漏洞验证单元802,用于确定漏洞验证程序,并通过漏洞验证程序对待验证在线资产和/或待验证开放端口进行漏洞验证;
漏洞库生成单元803,用于当验证出待验证在线资产和/或待验证开放端口存在目标漏洞时,将目标漏洞以及目标漏洞的漏洞信息进行存储,生成资产漏洞库;
风险等级确定单元804,用于基于在线资产的开放端口、实时网络环境以及目标漏洞的漏洞信息确定在线资产的资产综合风险等级。
上述实施例提供的资产漏洞管理装置800可实现上述资产漏洞管理方法实施例中描述的技术方案,上述各模块或单元具体实现的原理可参见上述资产漏洞管理方法实施例中的相应内容,此处不再赘述。
如图9所示,本发明还相应提供了一种电子设备900。该电子设备900包括处理器901、存储器902及显示器903。图9仅示出了电子设备900的部分组件,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
存储器902在一些实施例中可以是电子设备900的内部存储单元,例如电子设备900的硬盘或内存。存储器902在另一些实施例中也可以是电子设备900的外部存储设备,例如电子设备900上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。
进一步地,存储器902还可既包括电子设备900的内部储存单元也包括外部存储设备。存储器902用于存储安装电子设备900的应用软件及各类数据。
处理器901在一些实施例中可以是一中央处理器(Central Processing Unit,CPU),微处理器或其他数据处理芯片,用于运行存储器902中存储的程序代码或处理数据,例如本发明中的资产漏洞管理方法。
显示器903在一些实施例中可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。显示器903用于显示在电子设备900的信息以及用于显示可视化的用户界面。电子设备900的部件901-903通过系统总线相互通信。
在一实施例中,当处理器901执行存储器902中的资产漏洞管理程序时,可实现以下步骤:
基于预设的扫描参数对资产进行扫描,识别出在线资产以及在线资产的开放端口;
确定漏洞验证程序,并通过漏洞验证程序对待验证在线资产和/或待验证开放端口进行漏洞验证;
当验证出待验证在线资产和/或待验证开放端口存在目标漏洞时,将目标漏洞以及目标漏洞的漏洞信息进行存储,生成资产漏洞库;
基于在线资产的开放端口、实时网络环境以及目标漏洞的漏洞信息确定在线资产的资产综合风险等级。
应当理解的是:处理器901在执行存储器902中的资产漏洞管理程序时,除了上面的功能之外,还可实现其它功能,具体可参见前面相应方法实施例的描述。
进一步地,本发明实施例对提及的电子设备900的类型不做具体限定,电子设备900可以为手机、平板电脑、个人数字助理(personal digital assistant,PDA)、可穿戴设备、膝上型计算机(laptop)等便携式电子设备。便携式电子设备的示例性实施例包括但不限于搭载IOS、android、microsoft或者其他操作系统的便携式电子设备。上述便携式电子设备也可以是其他便携式电子设备,诸如具有触敏表面(例如触控面板)的膝上型计算机(laptop)等。还应当理解的是,在本发明其他一些实施例中,电子设备900也可以不是便携式电子设备,而是具有触敏表面(例如触控面板)的台式计算机。
相应地,本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质用于存储计算机可读取的程序或指令,程序或指令被处理器执行时,能够实现上述各方法实施例提供的方法步骤或功能。
本领域技术人员可以理解,实现上述实施例方法的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,计算机程序可存储于计算机可读存储介质中。其中,计算机可读存储介质为磁盘、光盘、只读存储记忆体或随机存储记忆体等。
以上对本发明所提供的资产漏洞管理方法及装置进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种资产漏洞管理方法,其特征在于,包括:
基于预设的扫描参数对资产进行扫描,识别出在线资产以及所述在线资产的开放端口;
确定漏洞验证程序,并通过所述漏洞验证程序对待验证在线资产和/或待验证开放端口进行漏洞验证;
当验证出所述待验证在线资产和/或所述待验证开放端口存在目标漏洞时,将所述目标漏洞以及所述目标漏洞的漏洞信息进行存储,生成资产漏洞库;
基于所述在线资产的开放端口、实时网络环境以及所述目标漏洞的漏洞信息确定所述在线资产的资产综合风险等级。
2.根据权利要求1所述的资产漏洞管理方法,其特征在于,所述确定漏洞验证程序包括:
构建漏洞数据库,所述漏洞数据库包括标准漏洞以及所述标准漏洞的漏洞信息;
基于所述标准漏洞的漏洞信息生成所述漏洞验证程序。
3.根据权利要求1所述的资产漏洞管理方法,其特征在于,所述目标漏洞的漏洞信息包括漏洞名称、漏洞风险等级、漏洞类型、漏洞说明以及漏洞修复说明。
4.根据权利要求3所述的资产漏洞管理方法,其特征在于,基于所述在线资产的开放端口、实时网络环境以及所述目标漏洞的漏洞信息确定所述在线资产的资产综合风险等级,包括:
确定所述在线资产的开放端口的数量,并根据所述在线资产的开放端口的数量确定开放端口风险等级;
基于所述实时网络环境确定所述在线资产的资产暴露风险等级;
基于所述开放端口风险等级、所述资产暴露风险等级以及所述目标漏洞的漏洞风险等级确定所述资产综合风险等级。
5.根据权利要求3所述的资产漏洞管理方法,其特征在于,所述资产漏洞管理方法还包括:
按所述资产综合风险等级从高到低的顺序进行排序;
基于所述漏洞修复说明,按照所述排序依次对所述资产综合风险等级高于阈值风险等级的目标漏洞进行修复。
6.根据权利要求5所述的资产漏洞管理方法,其特征在于,在所述基于所述漏洞修复说明,对所述目标漏洞进行修复之后,还包括:
对已经进行修复的所述目标漏洞进行校验,判断所述目标漏洞是否修复成功;
当所述目标漏洞修复成功时,则对所述目标漏洞进行修复成功标记;
当所述目标漏洞修复不成功时,则基于所述漏洞修复说明,对所述目标漏洞再次进行修复。
7.根据权利要求6所述的资产漏洞管理方法,其特征在于,在所述对所述目标漏洞进行修复成功标记后,还包括:
通过所述漏洞验证程序对所述待验证在线资产和/或所述待验证开放端口进行二次漏洞验证;
判断通过所述二次漏洞验证获得的二次漏洞是否与进行修复成功标记的所述目标漏洞相同;
若通过所述二次漏洞验证获得的二次漏洞与进行修复成功标记的所述目标漏洞相同,则生成漏洞复发信息。
8.根据权利要求1所述的资产漏洞管理方法,其特征在于,所述资产漏洞管理方法还包括:
当验证出所述待验证在线资产和/或所述待验证开放端口存在所述目标漏洞时,生成漏洞提示信息。
9.根据权利要求3所述的资产漏洞管理方法,其特征在于,所述资产漏洞管理方法还包括:
确定所述在线资产的拓扑结构,并基于所述拓扑结构绘制所述在线资产的拓扑图;
将所述目标漏洞绑定至所述拓扑图上,并基于所述漏洞风险等级对所述目标漏洞进行可视化展示。
10.一种资产漏洞管理装置,其特征在于,包括:
扫描单元,用于基于预设的扫描参数对资产进行扫描,识别出在线资产以及所述在线资产的开放端口;
漏洞验证单元,用于确定漏洞验证程序,并通过所述漏洞验证程序对待验证在线资产和/或待验证开放端口进行漏洞验证;
漏洞库生成单元,用于当验证出所述待验证在线资产和/或所述待验证开放端口存在目标漏洞时,将所述目标漏洞以及所述目标漏洞的漏洞信息进行存储,生成资产漏洞库;
风险等级确定单元,用于基于所述在线资产的开放端口、实时网络环境以及所述目标漏洞的漏洞信息确定所述在线资产的资产综合风险等级。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111310499.2A CN114095218A (zh) | 2021-11-05 | 2021-11-05 | 一种资产漏洞管理方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111310499.2A CN114095218A (zh) | 2021-11-05 | 2021-11-05 | 一种资产漏洞管理方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114095218A true CN114095218A (zh) | 2022-02-25 |
Family
ID=80299100
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111310499.2A Pending CN114095218A (zh) | 2021-11-05 | 2021-11-05 | 一种资产漏洞管理方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114095218A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115086013A (zh) * | 2022-06-13 | 2022-09-20 | 北京奇艺世纪科技有限公司 | 风险识别方法、装置、电子设备、存储介质和计算机程序产品 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103118003A (zh) * | 2012-12-27 | 2013-05-22 | 北京神州绿盟信息安全科技股份有限公司 | 一种基于资产的风险扫描方法、装置及系统 |
US20140139256A1 (en) * | 2012-11-20 | 2014-05-22 | Shenzhen China Star Optoelectronics Technology Co. Ltd. | Detecting device and method for liquid crystal panel |
CN105825130A (zh) * | 2015-01-07 | 2016-08-03 | 中国移动通信集团设计院有限公司 | 一种信息安全预警方法及装置 |
CN110826071A (zh) * | 2019-09-24 | 2020-02-21 | 平安科技(深圳)有限公司 | 软件漏洞风险预测方法、装置、设备及存储介质 |
CN111008380A (zh) * | 2019-11-25 | 2020-04-14 | 杭州安恒信息技术股份有限公司 | 一种检测工控系统漏洞的方法、装置和电子设备 |
CN111711613A (zh) * | 2020-05-26 | 2020-09-25 | 微梦创科网络科技(中国)有限公司 | 一种网络安全漏洞扫描方法及系统 |
CN112257070A (zh) * | 2020-10-22 | 2021-01-22 | 全球能源互联网研究院有限公司 | 一种基于资产场景属性的漏洞排查方法及系统 |
CN112671609A (zh) * | 2020-12-21 | 2021-04-16 | 哈尔滨工大天创电子有限公司 | 一种资产普查与安全检测方法、装置及终端设备 |
-
2021
- 2021-11-05 CN CN202111310499.2A patent/CN114095218A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140139256A1 (en) * | 2012-11-20 | 2014-05-22 | Shenzhen China Star Optoelectronics Technology Co. Ltd. | Detecting device and method for liquid crystal panel |
CN103118003A (zh) * | 2012-12-27 | 2013-05-22 | 北京神州绿盟信息安全科技股份有限公司 | 一种基于资产的风险扫描方法、装置及系统 |
CN105825130A (zh) * | 2015-01-07 | 2016-08-03 | 中国移动通信集团设计院有限公司 | 一种信息安全预警方法及装置 |
CN110826071A (zh) * | 2019-09-24 | 2020-02-21 | 平安科技(深圳)有限公司 | 软件漏洞风险预测方法、装置、设备及存储介质 |
CN111008380A (zh) * | 2019-11-25 | 2020-04-14 | 杭州安恒信息技术股份有限公司 | 一种检测工控系统漏洞的方法、装置和电子设备 |
CN111711613A (zh) * | 2020-05-26 | 2020-09-25 | 微梦创科网络科技(中国)有限公司 | 一种网络安全漏洞扫描方法及系统 |
CN112257070A (zh) * | 2020-10-22 | 2021-01-22 | 全球能源互联网研究院有限公司 | 一种基于资产场景属性的漏洞排查方法及系统 |
CN112671609A (zh) * | 2020-12-21 | 2021-04-16 | 哈尔滨工大天创电子有限公司 | 一种资产普查与安全检测方法、装置及终端设备 |
Non-Patent Citations (1)
Title |
---|
王宸东;郭渊博;甄帅辉;杨威超;: "网络资产探测技术研究", 计算机科学, no. 12, 15 December 2018 (2018-12-15) * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115086013A (zh) * | 2022-06-13 | 2022-09-20 | 北京奇艺世纪科技有限公司 | 风险识别方法、装置、电子设备、存储介质和计算机程序产品 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6895383B2 (en) | Overall risk in a system | |
CN111552973B (zh) | 对设备进行风险评估的方法、装置、电子设备及介质 | |
US9058492B1 (en) | Techniques for reducing executable code vulnerability | |
CN111416811B (zh) | 越权漏洞检测方法、系统、设备及存储介质 | |
JP2007047884A (ja) | 情報処理システム | |
US20210194762A1 (en) | Honeypot asset cloning | |
CN110414246B (zh) | 共享文件安全管理方法、装置、终端及存储介质 | |
CN113239397A (zh) | 信息访问方法、装置、计算机设备及介质 | |
CN111881460A (zh) | 一种漏洞利用检测方法、系统、设备及计算机存储介质 | |
CN114095218A (zh) | 一种资产漏洞管理方法及装置 | |
JP6383445B2 (ja) | 保護されたアプリケーションへのアクセスを阻止するシステム及び方法 | |
CN111753301A (zh) | 一种无文件攻击检测方法、装置、电子设备和介质 | |
CN114124531B (zh) | 基于旁路攻击模拟的网络防御体系风险评估方法、电子设备和存储介质 | |
CN115688112A (zh) | 工控风险评估方法、装置、设备及存储介质 | |
CN114124475A (zh) | 一种网络资产端口扫描及服务识别方法、装置 | |
CN111639033B (zh) | 软件安全威胁分析方法与系统 | |
WO2020215905A1 (zh) | 数据投放方法、装置、设备及计算机可读存储介质 | |
CN109543420B (zh) | 基于sudo的权限配置方法、装置、电子设备及存储介质 | |
KR20130015566A (ko) | 숫자 또는 그래픽 키 패드를 이용한 보안 인증 장치 및 그 방법 | |
Ashfaq | DEVELOPMENT OF A SECURITY TESTING PROCESS FOR YOCTO LINUX-BASED DISTRIBUTIONS | |
CN111506893A (zh) | 一种外部设备管理方法、装置、电子设备及存储介质 | |
CN114640484A (zh) | 网络安全对抗方法、装置和电子设备 | |
CN106022122A (zh) | 一种信息处理方法及装置 | |
KR102540097B1 (ko) | 디바이스 위험도 기반의 신뢰 디바이스 검증 및 원격 접속 처리 시스템 | |
CN106022133A (zh) | 一种信息处理方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |