[发明专利]一种安全漏洞管控方法、装置、设备及计算机可读介质在审
| 申请号: | 202110824011.1 | 申请日: | 2021-07-21 |
| 公开(公告)号: | CN113626825A | 公开(公告)日: | 2021-11-09 |
| 发明(设计)人: | 汪伟;王子银;葛林峰;王海民 | 申请(专利权)人: | 南京星云数字技术有限公司 |
| 主分类号: | G06F21/57 | 分类号: | G06F21/57 |
| 代理公司: | 北京市万慧达律师事务所 11111 | 代理人: | 周琳 |
| 地址: | 211800 江苏省南京市江*** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 安全漏洞 方法 装置 设备 计算机 可读 介质 | ||
本发明公开了一种安全漏洞管控方法、装置、设备及计算机可读介质,属于计算机技术领域。所述方法包括:获取安全漏洞;确定安全漏洞关联的应用系统;获取安全漏洞的风险信息,根据风险信息计算安全漏洞对于应用系统的影响值;若同一安全漏洞关联有至少两个应用系统,则基于影响值确定安全漏洞关于各应用系统的修复排序,以使安全漏洞得到有序修复。本发明通过计算安全漏洞的影响值确定同一安全漏洞对于不同应用系统的修复排序,解决了现有技术中无法统一评价不同应用系统中同一安全漏洞修复排序的问题,打破了各漏洞检测工具的界限,使安全漏洞可以有序修复。
技术领域
本发明涉及计算机技术领域,特别涉及一种安全漏洞管控方法、装置、设备及计算机可读介质。
背景技术
目前针对信息系统面临的各种安全风险,大多数互联网企业均建立了其内部安全管理制度和防护措施,企业为了能够及时发现安全漏洞,通常利用漏洞检测工具主动查找漏洞,以便后续可对发现的漏洞进行修复。但现有技术中,企业对安全漏洞的管理缺乏管控措施,使得通过不同漏洞检测工具查找获得的安全漏洞之间相互孤立,无法进行统一管理,与企业内的系统关联,当一个漏洞存在多个应用系统时更无法对不同漏洞检测工具获得的漏洞进行统一评价,为用户提供具体的修复方案,使得企业针对安全漏洞的管控缺乏可视化、清晰化的管控方案,造成漏洞管控效果不佳。
发明内容
为了解决现有技术的问题,本发明实施例提供了一种安全漏洞管控方法、装置、设备及计算机可读介质。所述技术方案如下:
第一方面,提供了一种安全漏洞管控方法,所述方法包括:
获取安全漏洞;
确定所述安全漏洞关联的应用系统;
获取所述安全漏洞的风险信息,根据所述风险信息计算所述安全漏洞对于不同所述应用系统的影响值;
若同一所述安全漏洞关联有至少两个所述应用系统,则基于所述影响值确定所述安全漏洞关于各所述应用系统的修复排序,以使所述安全漏洞得到有序修复。
进一步地,所述获取安全漏洞的风险信息,包括:
获取所述安全漏洞的漏洞信息,包括:漏洞威胁程度、漏洞利用难易程度、被动防御能力中的任意一项或多项。
进一步地,所述获取安全漏洞的风险信息,包括:
获取所述应用系统的系统信息,包括:系统服务范围、系统安全级别、系统重要性中的任意一项或多项。
进一步地,所述根据所述风险信息计算所述安全漏洞对于不同所述应用系统的影响值,包括:
根据所述风险信息利用影响值计算模型计算所述安全漏洞对于不同所述应用系统的影响值,其中,所述影响值计算模型配置有各所述风险信息对应的参数,以及各所述参数对应的参数值。
进一步地,所述方法还包括:
获取所述安全漏洞对应的修复流程;
基于所述修复流程采集所述安全漏洞的修复进度信息,以便用户掌握所述安全漏洞的当前修复进度。
进一步地,所述方法还包括:
获取所述安全漏洞对应的修复标准;
将所述修复进度信息与所述修复标准对比,若所述修复进度不满足所述修复标准,则生成告警信息。
进一步地,所述方法还包括:
获取所述修复流程中修复节点关联的人员信息;
根据所述人员信息将所述告警信息发送至所述安全漏洞当前对应的修复环节的修复人员的通信系统中。
第二方面,提供了一种安全漏洞管控装置,所述装置包括:
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于南京星云数字技术有限公司,未经南京星云数字技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110824011.1/2.html,转载请声明来源钻瓜专利网。
