一种漏洞管理系统及方法与流程
本发明涉及信息安全领域,尤其涉及一种漏洞管理系统及方法。
背景技术:
目前,人们对网络安全越来越重视,对资产的保护也越来越重要,需要对资产进行清查,同时对漏洞进行记录、整改,以达到在最大化降低风险的前提下对风险完成可控和可监管。
现有技术中的漏洞管理系统,目前大多仅能够提供基本的漏洞管理能力,对于实际业务运行中的很多问题无法满足要求:
1)在资产梳理上,都是采用内部扫描+人工录入补充的方式,对于公共网络资产无法精准定位,因为公共网络的特殊性,使得其不能适应于资产扫描录入的方式,而人工录入补充的方式工作效率是很低的,而且极易产生疏漏。
2)在漏洞管理上,可能对于某些安全运维能力有限的用户,在系统上线后若发现存在大量的漏洞,就会导致用户对大量漏洞的管理比较困难、效率也比较低。
3)漏洞管理平台仅支持根据漏洞自身的风险级别对漏洞进行定义,但是在具体的业务系统中,例如,根据行业,部门性质,设备类型,安全部门能力等因素,在实际对漏洞的处理时,仅仅依据漏洞自身的风险级别是完全不够的,不能满足不同用户的实际需求。
由此可见,现有技术中,不能全面地发现所有资产,并且漏洞管理效率比较低也不能结合实际业务进行处理。
技术实现要素:
本发明实施例提供一种漏洞管理系统及方法,以解决现有技术中不能全面地发现所有资产,并且漏洞管理效率比较低也不能结合实际业务进行处理的问题。
本发明实施例提供的具体技术方案如下:
一种漏洞管理系统,包括:
资产管理模块,用于分别基于预设的资产扫描设备和预设的情报系统对系统中的资产进行扫描,获得资产扫描结果,并基于资产扫描结果,对资产进行管理;
漏洞扫描模块,用于基于预设的漏洞扫描设备对系统中的漏洞进行扫描,获得漏洞扫描结果;
漏洞管理模块,用于管理系统支持的漏洞数据库和导入漏洞扫描结果,并支持用户自定义的漏洞解决方案;
漏洞处置模块,用于根据预设的处置状态,分别记录每一个漏洞的处置状态,并根据每一个漏洞的处置状态,对漏洞加固率、漏洞产生和处理的趋势进行追踪统计,以及分别针对每一个漏洞生成漏洞处置单,并将生成的漏洞处置单派发给指定用户;
漏洞分析模块,用于根据预设的优先级构成因子,分别计算每一个漏洞的处置优先级。
较佳的,进一步包括:
设备管理模块,用于管理漏洞扫描设备和资产扫描设备,获得漏洞扫描设备和资产扫描设备的运行信息;
报表分析模块,用于分别生成漏洞信息报表和资产信息报表;
告警通知模块,用于根据预设的告警条件,当确定满足预设的告警条件时,进行告警。
情报管理模块,用于基于情报系统,分别为资产管理模块提供资产信息,并提供漏洞信息。
较佳的,基于预设的情报系统对系统中的资产进行扫描,获得资产扫描结果,资产管理模块具体用于:
使用搜索引擎技术,从预设的情报信息库中进行搜索,获得所述系统中的资产;其中,所述预设的情报信息库是,基于预设的情报系统从互联网中进行数据抓取,或收集业务运行所得到的数据汇总获得的。
较佳的,根据预设的优先级构成因子,分别计算每一个漏洞的处置优先级,漏洞分析模块具体用于:
针对获得的每一个漏洞,根据预设的风险评分方法,分别计算每一个漏洞的脆弱性值;其中,上述脆弱性值表征漏洞的风险评分;
根据获得的每一个漏洞的脆弱性值,分别计算每一个漏洞在各个预设的优先级构成因子下的加权脆弱性值;
根据计算获得的每一个漏洞在各个预设的优先级构成因子下的加权脆弱性值,分别计算每一个漏洞的处置优先级;其中,所述处置优先级,表示处理漏洞的优先等级。
较佳的,漏洞分析模块,进一步用于:
根据用户的选择,确定所述预设的优先级构成因子;其中,所述预设的优先级构成因子,为以下一种或任意组合:
资产重要性、漏洞热度、POC状态、防护措施、误报率;其中,资产重要性表示资产的重要程度,漏洞热度表示漏洞被关注的程度,POC状态表示漏洞是否能够被具体算法检测,防护措施表示是否有对漏洞的防护措施,误报率表示漏洞的历史误报情况。
较佳的,漏洞分析模块,进一步用于:
确定计算的每一个漏洞的脆弱性值对应的第一预设取值区间和计算加权脆弱性值时脆弱性值输入的第二预设取值区间;
分别将每一个漏洞的脆弱性值映射到第二预设取值区间中,获得每一个漏洞的映射后的脆弱性值。
较佳的,若所述预设的优先级构成因子为漏洞热度,则分别计算每一个漏洞在漏洞热度下的加权脆弱性值,漏洞分析模块具体用于:
分别确定每一个漏洞的漏洞热度值,并分别将所述漏洞热度值映射到计算加权脆弱性值时漏洞热度输入的第三预设取值区间中,获得每一个漏洞的映射后的漏洞热度值;
分别根据第三预设取值区间、第二预设取值区间、每一个漏洞的映射后的脆弱性值和每一个漏洞的映射后的漏洞热度值,计算每一个漏洞在漏洞热度下的加权脆弱性值。
较佳的,若所述预设的优先级构成因子为POC状态,则分别计算每一个漏洞在POC状态下的加权脆弱性值,漏洞分析模块具体用于:
分别确定每一个漏洞的POC状态的取值;
分别根据每一个漏洞的POC状态的取值和每一个漏洞的映射后的脆弱性值,计算每一个漏洞在POC状态下的加权脆弱性值。
较佳的,若所述预设的优先级构成因子为防护措施,则分别计算每一个漏洞在防护措施下的加权脆弱性值,漏洞分析模块具体用于:
分别确定每一个漏洞的防护措施的取值;
分别根据每一个漏洞的防护措施的取值和每一个漏洞的映射后的脆弱性值,计算每一个漏洞在防护措施下的加权脆弱性值。
较佳的,若所述预设的优先级构成因子为误报率,则分别计算每一个漏洞在误报率下的加权脆弱性值,漏洞分析模块具体用于:
分别确定每一个漏洞的误报率,并确定预设的误报率阈值;
分别根据每一个漏洞的误报率、预设的误报率阈值和每一个漏洞的映射后的脆弱性值,计算每一个漏洞在误报率下的加权脆弱性值。
较佳的,若所述预设的优先级构成因子为资产重要性,则分别计算每一个漏洞在资产重要性下的加权脆弱性值,漏洞分析模块具体用于:
分别确定每一个漏洞对应资产的资产重要性的取值;
分别根据每一个漏洞对应资产的资产重要性的取值和每一个漏洞的映射后的脆弱性值,计算每一个漏洞在资产重要性下的加权脆弱性值。
一种漏洞管理方法,包括:
分别基于预设的资产扫描设备和预设的情报系统对系统中的资产进行扫描,获得资产扫描结果,并基于资产扫描结果,对资产进行管理,以及基于预设的漏洞扫描设备对系统中的漏洞进行扫描,获得漏洞扫描结果;
根据系统支持的漏洞数据库和接收到的用户自定义的漏洞解决方案,对所述漏洞扫描结果中的每一个漏洞进行处置;
根据预设的处置状态,分别记录每一个漏洞的处置状态,并根据每一个漏洞的处置状态,对漏洞加固率、漏洞产生和处理的趋势进行追踪统计;
根据预设的优先级构成因子,分别计算每一个漏洞的处置优先级,并根据每一个漏洞的处置优先级、处置状态、漏洞扫描结果,分别针对每一个漏洞生成漏洞处置单,并将生成的漏洞处置单派发给指定用户。
较佳的,进一步包括:
管理漏洞扫描设备和资产扫描设备,获得漏洞扫描设备和资产扫描设备的运行信息;或,
分别生成漏洞信息报表和资产信息报表;或,
根据预设的告警条件,当确定满足预设的告警条件时,进行告警;或,
基于情报系统,分别提供资产信息和漏洞信息。
较佳的,基于预设的情报系统对系统中的资产进行扫描,获得资产扫描结果,包括:
使用搜索引擎技术,从预设的情报信息库中进行搜索,获得所述系统中的资产;其中,所述预设的情报信息库是,基于预设的情报系统从互联网中进行数据抓取,或收集业务运行所得到的数据汇获得的。
较佳的,根据预设的优先级构成因子,分别计算每一个漏洞的处置优先级,包括:
针对获得的每一个漏洞,根据预设的风险评分方法,分别计算每一个漏洞的脆弱性值;其中,上述脆弱性值表征漏洞的风险评分;
根据获得的每一个漏洞的脆弱性值,分别计算每一个漏洞在各个预设的优先级构成因子下的加权脆弱性值;
根据计算获得的每一个漏洞在各个预设的优先级构成因子下的加权脆弱性值,分别计算每一个漏洞的处置优先级;其中,所述处置优先级,表示处理漏洞的优先等级。
较佳的,进一步包括:
根据用户的选择,确定所述预设的优先级构成因子;其中,所述预设的优先级构成因子,为以下一种或任意组合:
资产重要性、漏洞热度、POC状态、防护措施、误报率;其中,资产重要性表示资产的重要程度,漏洞热度表示漏洞被关注的程度,POC状态表示漏洞是否能够被具体算法检测,防护措施表示是否有对漏洞的防护措施,误报率表示漏洞的历史误报情况。
较佳的,进一步包括:
确定计算的每一个漏洞的脆弱性值对应的第一预设取值区间和计算加权脆弱性值时脆弱性值输入的第二预设取值区间;
分别将每一个漏洞的脆弱性值映射到第二预设取值区间中,获得每一个漏洞的映射后的脆弱性值。
较佳的,若所述预设的优先级构成因子为漏洞热度,则分别计算每一个漏洞在漏洞热度下的加权脆弱性值,包括:
分别确定每一个漏洞的漏洞热度值,并分别将所述漏洞热度值映射到计算加权脆弱性值时漏洞热度输入的第三预设取值区间中,获得每一个漏洞的映射后的漏洞热度值;
分别根据第三预设取值区间、第二预设取值区间、每一个漏洞的映射后的脆弱性值和每一个漏洞的映射后的漏洞热度值,计算每一个漏洞在漏洞热度下的加权脆弱性值。
较佳的,若所述预设的优先级构成因子为POC状态,则分别计算每一个漏洞在POC状态下的加权脆弱性值,包括:
分别确定每一个漏洞的POC状态的取值;
分别根据每一个漏洞的POC状态的取值和每一个漏洞的映射后的脆弱性值,计算每一个漏洞在POC状态下的加权脆弱性值。
较佳的,若所述预设的优先级构成因子为防护措施,则分别计算每一个漏洞在防护措施下的加权脆弱性值,包括:
分别确定每一个漏洞的防护措施的取值;
分别根据每一个漏洞的防护措施的取值和每一个漏洞的映射后的脆弱性值,计算每一个漏洞在防护措施下的加权脆弱性值。
较佳的,若所述预设的优先级构成因子为误报率,则分别计算每一个漏洞在误报率下的加权脆弱性值,包括:
分别确定每一个漏洞的误报率,并确定预设的误报率阈值;
分别根据每一个漏洞的误报率、预设的误报率阈值和每一个漏洞的映射后的脆弱性值,计算每一个漏洞在误报率下的加权脆弱性值。
较佳的,若所述预设的优先级构成因子为资产重要性,则分别计算每一个漏洞在资产重要性下的加权脆弱性值,包括:
分别确定每一个漏洞对应资产的资产重要性的取值;
分别根据每一个漏洞对应资产的资产重要性的取值和每一个漏洞的映射后的脆弱性值,计算每一个漏洞在资产重要性下的加权脆弱性值。
本发明实施例中,提供了一种漏洞管理系统,包括资产管理模块、漏洞扫描模块、漏洞管理模块、漏洞处置模块和漏洞分析模块,其中,资产管理模块,增加了基于情报系统来发现资产,能够全面地发现系统所有资产,解决了现有技术中漏洞管理系统无法准确发现互联网资产的问题;漏洞管理模块,支持用户录入自定义的漏洞解决方案,减少了现有技术中由于漏洞解决方案过时或无法适配带来的额外工作;漏洞处置模块,定义了不同的漏洞处置状态,并引入了漏洞处置单,能够对漏洞进行状态追踪;漏洞分析模块,根据用户实际需求,设置不同的优先级构成因子,进而计算漏洞的处置优先级,更为贴近用户的需求,提高用户管理漏洞的效率,从而漏洞管理系统能够对资产和漏洞进行详细记录和追踪,也可以评估系统中资产和漏洞的安全状况,提高了对系统中资产和漏洞的管理效率。
附图说明
图1为本发明实施例中,漏洞管理系统结构框图;
图2为本发明实施例中,漏洞处置模块中漏洞的处置状态转换示意图;
图3为本发明实施例中,漏洞管理方法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,并不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了解决现有技术中不能全面地发现所有资产,并且漏洞管理效率比较低也不能结合实际业务进行处理的问题,本发明实施例中,提供了一种漏洞管理系统,增加了基于情报系统来发现资产,对系统中资产进行漏洞扫描,并引入了漏洞处置单,对漏洞进行状态追踪,以及引入处置优先级的概念,可以根据实际需求,多维度计算漏洞的处置优先级。
下面通过具体实施例对本发明方案进行详细描述,当然,本发明并不限于以下实施例。
参阅图1所示,本发明实施例中,漏洞管理系统的具体包括:
资产管理模块10,用于分别基于预设的资产扫描设备和预设的情报系统对系统中的资产进行扫描,获得资产扫描结果,并基于资产扫描结果,对资产进行管理。
漏洞扫描模块11,用于基于预设的漏洞扫描设备对系统中的漏洞进行扫描,获得漏洞扫描结果。
漏洞管理模块12,用于管理系统支持的漏洞数据库和导入漏洞扫描结果,并支持用户自定义的漏洞解决方案。
漏洞处置模块13,用于根据预设的处置状态,分别记录每一个漏洞的处置状态,并根据每一个漏洞的处置状态,对漏洞加固率、漏洞产生和处理的趋势进行追踪统计,以及分别针对每一个漏洞生成漏洞处置单,并将生成的漏洞处置单派发给指定用户。
漏洞分析模块14,用于根据预设的优先级构成因子,分别计算每一个漏洞的处置优先级。
进一步地,漏洞管理系统,还包括:
设备管理模块15,用于管理漏洞扫描设备和资产扫描设备,获得漏洞扫描设备和资产扫描设备的运行信息。
报表分析模块16,用于分别生成漏洞信息报表和资产信息报表。
告警通知模块17,用于根据预设的告警条件,当确定满足预设的告警条件时,进行告警。
情报管理模块18,用于基于情报系统,分别为资产管理模块提供资产信息,并提供漏洞信息。
基于上述漏洞管理系统,本发明实施例中,下面分别详细介绍上述各个模块。
1)资产管理模块10。
首先,分别基于预设的资产扫描设备和预设的情报系统对系统中的资产进行扫描,获得资产扫描结果。
其中,上述资产,例如为主机、网站等。资产扫描结果,至少包括资产的名称、位置等信息。
具体分为以下两方面:
第一方面:基于预设的资产扫描设备对系统中的资产进行扫描,获得资产扫描结果。
其中,资产扫描设备,例如为资产探针。本发明实施例中,使用资产探针可以在半封闭(即封进不封出)网络环境中进行资产探测扫描;并且,可以离线在全封闭网络中进行资产探测扫描,以离线导入的方式将资产扫描结果在资产管理模块10中进行汇总。
第二方面:基于预设的情报系统对系统中的资产进行扫描,获得资产扫描结果。
具体地:使用搜索引擎技术,从预设的情报信息库中进行搜索,获得所述系统中的资产;其中,所述预设的情报信息库是,基于预设的情报系统从互联网中进行数据抓取,或收集业务运行所得到的数据汇总获得的。
实际中,由于互联网的敏感性局限,传统的扫描技术受限于网路环境、当地政策法规等,不能应用于互联网资产的发现。
本发明实施例中,采用情报系统,在社交媒体网站中数据抓取,在日常业务运行中收集以及其他信息来源所得到的数据汇总形成情报信息库,情报信息库中包含资产信息,例如主机资产信息、域名资产信息等,形成一个类似互联网资产信息数据库,当用户需要知道特定地址范围内的资产信息时,使用搜索引擎技术,例如主机扫描引擎、web扫描引擎,即可得到该地址范围内的具体资产信息。
其中,资产的属性包括:
主机资产:ip,名称,分组,地域,业务系统,部门,经纬度,责任人,机密性,完整性,可用性,登报级别,操作系统,主机名,登录信息,端口信息等。
网站资产:域名,子域名,组件信息,服务器信息,名称,分组,地域,业务系统,部门,经纬度,责任人,机密性,完整性,可用性,登报级别,操作系统,主机名,登录信息等。
本发明实施例中,结合了情报系统,使用情报系统来实现互联网在线资产的发现,能够发现公共网络资产,准确地探测扫描给定网段范围内的资产。
然后,基于资产扫描结果,对资产进行管理。
具体地,对资产进行管理,例如,进行增加、删除、修改和查询等操作。
这样,本发明实施例中,不仅基于资产探针发现资产,而且使用了情报系统来发现资产,可以实现对公共网络中的资产进行扫描录入,能够全面地发现系统中的所有资产,无需人工进行录入,节省了人力资源,并且不容易遗漏。
2)漏洞扫描模块11。
其中,漏洞扫描设备,例如为主机扫描引擎、web扫描引擎等,可以对主机或网站等资产中的漏洞进行扫描。
漏洞扫描模块11主要用于发现漏洞,可以对指定资产进行扫描,获得漏洞扫描结果,例如包括漏洞名称、漏洞所在的资产、漏洞发现时间、漏洞描述信息等,具体漏洞扫描方法,本发明实施例中就不详细进行介绍了,可以使用现有技术中的漏洞扫描方法。
3)漏洞管理模块12。
本发明实施例中,漏洞管理模块12主要用于管理两部分的漏洞,一部分为系统本身支持的漏洞数据库,另一部分为漏洞扫描模块11扫描出的漏洞。
其中,对漏洞进行管理,主要是统计记录漏洞信息,例如,包括漏洞名称、漏洞解决方案、发布时间、漏洞位置等。
并且,漏洞管理模块12可以支持导入用户自定义的漏洞解决方案,这样,减少了在漏洞管理中由于漏洞解决方案过时、或者通用漏洞解决方案无法适配某些特殊环境给漏洞修复带来的额外工作。
4)漏洞处置模块13。
首先,根据预设的处置状态,分别记录每一个漏洞的处置状态,并根据每一个漏洞的处置状态,对漏洞加固率、漏洞产生和处理的趋势进行追踪统计。
其中,漏洞加固率=(已处置漏洞数目-接受风险漏洞数目)/漏洞总数。
漏洞产生趋势表示,统计的每天新增漏洞数据的趋势。
漏洞处理趋势表示,统计的每天由未处置状态转换为已处置状态的漏洞数目的趋势。
本发明实施例中,针对漏洞,定义了九种漏洞的处置状态,并可以根据是否需要进行继续操作,将这九种处置状态分为两类,具体为:
第一类为待处置漏洞,包括以下五种处置状态:新增、打开、再次打开、修复失败、待修复。
第二类为已处置漏洞,包括以下四种处置状态:误报修正、接受风险、已修复、已验证。
参阅图2所示,为漏洞的处置状态转换示意图,具体为:
1、新增:新增状态为系统触发状态,例如,第一次扫描发现的漏洞,该漏洞最开始的处置状态即为新增状态,并且,新增状态支持的操作等同于打开状态,可以通过接受操作将新增状态转换为打开状态。其中,接受操作不可逆。
2、打开:只有打开状态或新增状态的漏洞可以转交给其它用户处理,其它状态的漏洞仅允许查看,不能转交给其它用户进行操作。
3、误报修正:用户可以将不需要修复的漏洞的处置状态,转换为误报修正状态,并且,漏洞处置模块13支持用户进行批量操作。
处置状态为误报修正的漏洞,将被永久性忽略,即使再次扫描发现也不会进行风险值计算和发布新的漏洞处置单,仅会更新漏洞处置单中最近更新时间和发现次数。
4、待修复:处于打开、再次打开、修复失败状态的漏洞,当确定漏洞需要修复时,可以将其状态转换为待修复状态。
5、接受风险:接受风险状态和待修复状态可以相互转换,处于待修复状态的漏洞,当确定接受风险时,可以将其状态转换为接受风险状态,处于接受风险状态的漏洞,当确定尝试修复时,可以将其状态转换为待修复状态。
处于接受风险状态的漏洞,会进行风险值计算,但是再次扫描发现时,不会重新发布新的漏洞处置单,仅会更新漏洞处置单的最近发现时间和发现次数。
6、已修复:当处于待修复状态的漏洞,修复完成后,可以将其状态转换为已修复状态。
7、修复失败:处于已修复状态的漏洞,系统会自动进行验证,当确定扫描验证失败,则将该漏洞的状态转换为修复失败状态。
8、已验证:系统对处于已修复状态的漏洞进行验证,当确定扫描验证成功时,将该漏洞的状态转换为已验证状态。
9、再次打开:处于已验证状态的漏洞,当再次扫描发现时,可以将其状态转换为再次打开状态。
本发明实施例中,漏洞处置模块13会根据每一个漏洞的处置状态,进行统计分析,例如,会统计处于待处置和已处置漏洞的数目、漏洞停留在已处置或待处置状态的时间、漏洞状态发生转换的时间,进而实现对漏洞加固率、漏洞产生和处理的趋势进行追踪统计,可以对某一个资产或资产组的漏洞的风险性进行评估。
并且,本发明实施例中的漏洞处置模块13还支持批量操作,例如,批量选择不需要修复的漏洞,将其状态修改为接受风险。
然后,分别针对每一个漏洞生成漏洞处置单,并将生成的漏洞处置单派发给指定用户。
其中,漏洞处置单至少包括,漏洞的处置状态、漏洞的描述信息、漏洞所在的资产、漏洞解决方案、漏洞风险值等。
最后,将生成的漏洞处置单派发给指定用户。
这样,用户可以通过查看漏洞处置单,了解漏洞的相关信息,并根据漏洞分析模块14计算出的漏洞处置优先级,做出决策,例如,决定是否需要进行修复,或者决定需要修复的漏洞交给谁来进行修复。
5)漏洞分析模块14。
实际中,对于漏洞的风险的量化评估方法主要是通过对漏洞即脆弱性维度,划分固化的细分评估项,分别打分并加总而得,得到漏洞的风险评分,即脆弱性值,但由于评分项不可扩展,无法紧密贴合客户和使用者的环境,得到的漏洞的脆弱性值难以表示用户想要的处置优先级,因此,本发明实施例中,在现有漏洞的风险评分基础上,引入处置优先级的概念。
本发明实施例中,主要考虑以下四个维度的数据,分别为:
a、资产重要性,其中,资产重要性由三个因素构成,分别为可用性、保密性和完整性。
b、漏洞本身的属性:漏洞脆弱性值。
c、用户对漏洞的积累经验数据:防护措施、误报率。
d、漏洞情报数据:漏洞热度、POC状态。
其中,资产重要性表示资产的重要程度,漏洞热度表示漏洞被关注的程度,POC状态表示漏洞是否能够被具体算法检测,防护措施表示是否有对漏洞的防护措施,误报率表示漏洞的历史误报情况。
当然,本发明实施例中,可以根据用户选择,考虑不同维度的数据,并不仅限于上述几种维度,支持扩展,用户可以根据自身需求进行设置,这样,能够进一步满足不同用户的需求,快速满足市场需求。
具体地:
<1>首先,针对获得的每一个漏洞,根据预设的风险评分方法,分别计算每一个漏洞的脆弱性值;其中,上述脆弱性值表征漏洞的风险评分。
其中,预设的风险评分方法,可以使用现有技术中的风险评分方法,本发明实施例中,并不进行限定,例如,为通用漏洞评分系统(Common Vulnerability Scoring System,CVSS)、通用缺陷评分系统(Common Weakness Scoring System,CWSS)等。
<2>然后,根据获得的每一个漏洞的脆弱性值,分别计算每一个漏洞在各个预设的优先级构成因子下的加权脆弱性值。
其中,上述预设的优先级构成因子,为以下一种或任意组合:资产重要性、漏洞热度、POC状态、防护措施、误报率。
包括:首先,确定计算的每一个漏洞的脆弱性值对应的第一预设取值区间和计算加权脆弱性值时脆弱性值输入的第二预设取值区间,并分别将每一个漏洞的脆弱性值映射到第二预设取值区间中,获得每一个漏洞的映射后的脆弱性值。
然后,分别计算每一个漏洞在各个预设的优先级构成因子下的加权脆弱性值,具体分为以下几种情况:
第一种情况:若预设的优先级构成因子为漏洞热度,则分别计算每一个漏洞在漏洞热度下的加权脆弱性值,漏洞分析模块14具体用于:
首先,分别确定每一个漏洞的漏洞热度值,并分别将所述漏洞热度值映射到计算加权脆弱性值时漏洞热度输入的第三预设取值区间中,获得每一个漏洞的映射后的漏洞热度值。
例如,漏洞的漏洞热度值为rh,映射后的漏洞热度值为h,第三预设取值区间为{0:h1},则将rh映射到第三预设取值区间时,具体可以为:
若0<rh≤100,则h=rh*h1/100;
若0<rh,则h=ln(1+rh)。
然后,分别根据第三预设取值区间、第二预设取值区间、每一个漏洞的映射后的脆弱性值和每一个漏洞的映射后的漏洞热度值,计算每一个漏洞在漏洞热度下的加权脆弱性值。
例如,第三预设取值区间为{0:h1},并设置默认值为H,其中H表示平均漏洞热度值,第二预设取值区间为a0≤vp≤a1,并设置默认值为A,其中A表示平均脆弱性值,映射后的脆弱性值为vp,加权脆弱性值为vc,则
较佳的,a0=0,a1=10,A=5。
第二种情况:若预设的优先级构成因子为POC状态,则分别计算每一个漏洞在POC状态下的加权脆弱性值,漏洞分析模块14具体用于:
首先,分别确定每一个漏洞的POC状态的取值。
例如,预设的POC状态的取值为0或1,并取值为0时表示有POC,取值为1时表示无POC。当然,也可以根据用户实际需求,将取值为0表示无POC,取值为1表示有POC,本发明实施例中,并不进行限制。
然后,分别根据每一个漏洞的POC状态的取值和每一个漏洞的映射后的脆弱性值,计算每一个漏洞在POC状态下的加权脆弱性值。
例如,POC状态的取值为bp,映射后的脆弱性值为vp,加权脆弱性值为vc,则
第三种情况:若预设的优先级构成因子为防护措施,则分别计算每一个漏洞在防护措施下的加权脆弱性值,漏洞分析模块14具体用于:
首先,分别确定每一个漏洞的防护措施的取值。
例如,预设的防护措施的取值为0或1,并取值为0时表示无防护措施,取值为1时表示有防护措施。当然,也可以根据用户实际需求,将取值为0表示有防护措施,取值为1表示无防护措施,本发明实施例中,并不进行限制。
然后,分别根据每一个漏洞的防护措施的取值和每一个漏洞的映射后的脆弱性值,计算每一个漏洞在防护措施下的加权脆弱性值。
例如,防护措施为df,映射后的脆弱性值为vp,加权脆弱性值为vc,则vc=vp(4-df)/4。
第四种情况:若预设的优先级构成因子为误报率,则分别计算每一个漏洞在误报率下的加权脆弱性值,漏洞分析模块14具体用于:
首先,分别确定每一个漏洞的误报率,并确定预设的误报率阈值。
然后,分别根据每一个漏洞的误报率、预设的误报率阈值和每一个漏洞的映射后的脆弱性值,计算每一个漏洞在误报率下的加权脆弱性值。
例如,漏洞的误报率为hg,取值区间为{0:1:100},预设的误报率阈值为gc,取值区间为{1:1:100},并较佳的,设置hg=0,gc=1,则
第五种情况:若预设的优先级构成因子为资产重要性,则分别计算每一个漏洞在资产重要性下的加权脆弱性值,漏洞分析模块14具体用于:
首先,分别确定每一个漏洞对应资产的资产重要性的取值。
其中,资产的重要性由三个因素构成,分别为可用性、保密性和完整性。
例如,可用性、保密性和完整性的取值区间均为{1:1:5},默认值均为3,则资产的重要性的取值为
然后,分别根据每一个漏洞对应资产的资产重要性的取值和每一个漏洞的映射后的脆弱性值,计算每一个漏洞在资产重要性下的加权脆弱性值。
例如,漏洞对应资产的资产重要性的取值为av,映射后的脆弱性值为vp,加权脆弱性值为vc,则
值得说明的是,若有多个优先级构成因子,计算加权脆弱性值时,可以按照预设的优先级构成因子的计算顺序,依次叠加进行串行加权计算,也可以不考虑计算顺序,并行计算再最后将计算出的值进行加权平均。
<3>最后,根据计算获得的每一个漏洞在各个预设的优先级构成因子下的加权脆弱性值,分别计算每一个漏洞的处置优先级;其中,所述处置优先级,表示处理漏洞的优先等级。
6)设备管理模块15。
本发明实施例中,设备管理模块15实现对漏洞扫描设备和资产扫描设备的管理,并获得漏洞扫描设备和资产扫描设备的运行信息,其中,漏洞扫描设备和资产扫描设备的运行信息,例如为设备的负载情况、运行状态是否正常等。
例如,发现某个设备的运行状态异常,将该异常信息通知给用户,用户可以对该设备进行相应的处理,这样,本发明实施例中,在漏洞管理系统中添加设备管理模块15,以便使用户及时了解各个设备的运行信息,做出相应的调整和处理。
7)报表分析模块16。
本发明实施例中,报表分析模块16可以分别针对资产和漏洞生成相应的报表,具体为:
第一方面:根据资产管理模块10获得资产扫描结果,生成资产信息报表,反映系统中资产的基本信息、变化趋势,例如,包括资产的数量、是否为外部资产或内部资产等。
第二方面:根据漏洞扫描模块11获得的漏洞扫描结果,生成漏洞信息报表,反映资产的漏洞信息、风险变化趋势,例如,包括各个资产的漏洞数量、风险程度等。
8)告警通知模块17。
其中,预设的告警条件,用户可以根据实际需求,进行设置,本发明实施例中并不进行限定,例如为:重要漏洞的发现、重要资产的风险值发生变化、漏洞处置单的处置时间过长、整体漏洞处置率过低、疑难漏洞的处置状态发生变化、或者其它系统级别的重要操作。
当满足预设的告警条件时,告警通知模块17就会进行告警,例如,使用短信、邮件、系统通知等方式给指定用户发送告警通知。
也就是说,本发明实施例中,预设的告警条件可以是针对任意一个模块进行设置,当任意一个模块的结果满足预设的告警条件时,告警通知模块17就可以进行告警。
9)情报管理模块18
本发明实施例中,情报管理模块18主要用于基于情报系统提供资产和漏洞信息,具体为:
第一方面:为资产管理模块10的发现公共网络资产提供资产信息。
第二方面:提供基于情报系统发现的漏洞信息。
互联网比较复杂,变化也非常快,每天都可能有新的漏洞披露,但是安全从业人员的精力是有限的,从漏洞被公布到安全可靠扫描能力的发布是有一个时间差的。而基于本发明实施例中的情报系统能够第一时间根据漏洞发布的信息(例如,影响软件,版本,系统等),与系统中资产的响应信息进行对比,通过告警通知模块对用户发布告警信息。
例如,某漏洞影响ssh,而本系统中有数个资产安装了ssh,那么给用户告警,告诉用户这些资产可能受该漏洞的影响,从而使用户能够采取某些措施规避风险(例如,设备下线,防火墙封端口等),即使无法规避风险,也能够使风险从未知状态转变为已知可控的状态,一旦出现问题能够及时定位。
值得说明的是,基于情报系统发现漏洞信息进而进行告警只是一种提示,因为基于情报系统获得的漏洞信息的不完整性,因此,这时的告警只是告诉用户资产可能存在问题,最终问题的确定还是需要漏洞扫描模块的扫描能力的支持或者专业从业人员的人工确认。
下面采用一个具体的应用场景对上述实施例作出进一步详细说明。具体参阅图3所示,本发明实施例中,漏洞管理方法的执行过程具体如下:
步骤300:分别基于预设的资产扫描设备和预设的情报系统对系统中的资产进行扫描,获得资产扫描结果,并基于资产扫描结果,对资产进行管理,以及基于预设的漏洞扫描设备对系统中的漏洞进行扫描,获得漏洞扫描结果。
步骤310:根据系统支持的漏洞数据库和接收到的用户自定义的漏洞解决方案,对所述漏洞扫描结果中的每一个漏洞进行处置。
步骤320:根据预设的处置状态,分别记录每一个漏洞的处置状态,并根据每一个漏洞的处置状态,对漏洞加固率、漏洞产生和处理的趋势进行追踪统计。
步骤330:根据预设的优先级构成因子,分别计算每一个漏洞的处置优先级,并根据每一个漏洞的处置优先级、处置状态、漏洞扫描结果,分别针对每一个漏洞生成漏洞处置单,并将生成的漏洞处置单派发给指定用户。
进一步地:漏洞管理方法还包括:
管理漏洞扫描设备和资产扫描设备,获得漏洞扫描设备和资产扫描设备的运行信息;或,
分别生成漏洞信息报表和资产信息报表;或,
根据预设的告警条件,当确定满足预设的告警条件时,进行告警;或,
基于情报系统,分别提供资产信息和漏洞信息。
值得说明的是,本发明实施例中,漏洞管理方法的具体实现方式,和上述漏洞管理系统中的相同,这里就不再详细赘述了。
综上所述,本发明实施例中,提供了一种漏洞管理系统,包括资产管理模块、漏洞扫描模块、漏洞管理模块、漏洞处置模块和漏洞分析模块,其中,资产管理模块,增加了基于情报系统来发现资产,能够全面地发现系统所有资产,解决了现有技术中漏洞管理系统无法准确发现互联网资产的问题;漏洞管理模块,支持用户录入自定义的漏洞解决方案,减少了现有技术中由于漏洞解决方案过时或无法适配带来的额外工作;漏洞处置模块,定义了不同的漏洞处置状态,并引入了漏洞处置单,能够对漏洞进行状态追踪;漏洞分析模块,根据用户实际需求,设置不同的优先级构成因子,进而计算漏洞的处置优先级,更为贴近用户的需求,提高用户管理漏洞的效率,从而漏洞管理系统能够对资产和漏洞进行详细记录和追踪,也可以评估系统中资产和漏洞的安全状况,提高了对系统中资产和漏洞的管理效率。
并且,漏洞管理系统,还包括设备管理模块、报表分析模块、告警通知模块和情报管理模块,提供了更丰富的管理能力,进一步提高了对资产和漏洞的处理效率和能力。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
- 还没有人留言评论。精彩留言会获得点赞!