[发明专利]一种设备安全漏洞的处理方法和装置

说明书

本发明公开了一种设备安全漏洞的处理方法和装置，该方法包括：对指定设备进行安全扫描，发现指定设备中存在的多个漏洞；对于扫描发现的每个漏洞，判断该漏洞是否存在于漏洞与进程对应关系库中；如果不存在，将该漏洞标记为活跃漏洞；如果存在，进一步判断该漏洞所对应的进程是否正在所述指定设备中运行，是则，将该漏洞标记为活跃漏洞，否则，将该漏洞标记为潜在漏洞。本方案对发现的漏洞按照活跃漏洞和潜在漏洞进行分类，有利于设备管理者了解威胁设备安全的已暴露的活跃风险，进而能够将有限的时间、精力用于修复活跃漏洞，即可达到维护设备正常运行的修复效果，极大地减少用于漏洞修复的工作量，提高漏洞修复效率。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种设备安全漏洞的处理方法和装置。

背景技术

随着网络规模的持续增长，设备数量急剧增加，带来的安全问题愈见突出。因此，大中型企业开始越来越关注系统和网络安全。长期以来，系统安全漏洞一直作为各种安全检查、风险评估报告中最常见的高风险安全问题存在，成为攻击者控制系统的主要途径。

现有的漏洞扫描方案包括两种，一种漏洞扫描方案是基于特征匹配原理的网络漏洞扫描器，采用黑盒方式进行外围探测；该方案只能少量发现设备存在的漏洞，通常数量为几个或者十几个，且具有误报率高、对现网业务影响大等显著缺点。另一种漏洞扫描方案采用白盒方式登录设备，采集现网设备基本信息，并对采集到的信息进行分析，进而判断是否存在漏洞。该方案发现的漏洞数量众多，导致存在如下弊端：

1、不利于区分影响系统安全的已暴露活跃风险。在全量漏洞扫描系统发现的大量系统漏洞中，暴露的很多漏洞是潜在漏洞，并不具有实际威胁。如果不对潜在漏洞进行标识，不利于系统管理员区分影响系统安全的活跃风险。

2、难以将有限的时间和精力聚焦在活跃的高危漏洞上。按照全量漏洞扫描系统发现的漏洞进行修复，不区分漏洞活跃度，将导致管理员工作量巨大，不利于将有限的时间和精力用于更加棘手的安全漏洞的修复工作，导致工作时间分配不合理，降低工作效率和质量。

发明内容

鉴于上述问题，本发明提供了一种设备安全漏洞的处理方法和装置，以解决上述问题或者至少部分地解决上述问题。

依据本发明的一个方面，提供了一种设备安全漏洞的处理方法，该方法包括：

对指定设备进行安全扫描，发现指定设备中存在的多个漏洞；

对于扫描发现的每个漏洞，判断该漏洞是否存在于漏洞与进程对应关系库中；

如果不存在，将该漏洞标记为活跃漏洞；

如果存在，进一步判断该漏洞所对应的进程是否正在所述指定设备中运行，是则，将该漏洞标记为活跃漏洞，否则，将该漏洞标记为潜在漏洞。

可选地，在所述对指定设备进行安全扫描之前，该方法进一步包括：

建立漏洞与软件关系库；

建立软件与进程关系库；

根据所述漏洞与软件关系库和所述软件与进程关系库，获得漏洞与进程对应关系库。

可选地，所述建立漏洞与软件关系库包括：

以通用漏洞字典表CVE编号作为漏洞的唯一标识，对于每个漏洞，通过分析该漏洞的行为特征，为该漏洞定义检查方法；其中，该检查方法中包含漏洞影响的软件信息；

根据各漏洞的检查方法，建立漏洞与软件关系库。

可选地，所述对指定设备进行安全扫描，发现指定设备中存在的多个漏洞包括：

分别利用各漏洞的检查方法对指定设备进行安全扫描，发现指定设备中存在的与分别与多个检查方法对应的多个漏洞。

可选地，所述建立软件与进程关系库包括：