一种新公开漏洞影响范围识别与修复管理系统及方法与流程

本发明涉及信息安全领域，尤其涉及一种新公开漏洞影响范围识别与修复管理系统及方法。

背景技术：

信息化作为推进全球化的一支重要力量，深刻地改变着人们的生活。网络空间和现实生活紧密相连，构成一个开放的复杂的巨大系统，信息安全成为影响网络空间健康发展的关键因素。互联网计算机数量以及网上应用的飞速发展，使各种网络空间的安全问题、安全环境变得的日趋复杂。无论是国家层面的网络安全战略还是社会层面的信息安全防护，信息安全漏洞已成为攻防双方博弈的核心问题之一，不断暴露的信息安全漏洞与信息安全事件已对广大普通群众产生了直接的影响。

面对复杂的it环境以及不断增长的信息安全漏洞，企业现有的漏洞排查-修复方法一般为人工排查-修复，具体流程为：工作人员定期去漏洞发布的主流网站查看漏洞发布情况，根据新发布的漏洞信息排查企业内部全部用户所安装的软件是否与新发布的漏洞类型、版本相匹配，当新公开漏洞的类型、版本相匹配时再根据漏洞中携带的修复信息下载相应的补丁并进行安装，在补丁安装完毕之后对相应的软件进行验证，从而确定漏洞是否修复完毕。

然而，在现有的漏洞排查-修复方法中，单个漏洞从通报、排查到修复完成的时间将以天计，难以做到快速修复，由于较长的修复周期，给攻击者留下的攻击时间也相应变长，对企业内部的信息安全造成了极大的影响。

技术实现要素：

为克服相关技术中存在的问题，公开了如下技术方案：

第一方面，提供了一种新公开漏洞影响范围识别与修复管理系统，包括：

资产信息采集模块，用于采集管控设备中的资产信息；

新公开漏洞采集模块，用于获取最新公开的漏洞信息；

漏洞影响检测模块，用于根据采集到的所述资产信息和漏洞信息检测受影响的资产；

漏洞修复建议模块，用于根据检测到的受影响资产信息和漏洞信息自动下载新版本补丁并生成修复命令；

漏洞修复验证流程管理模块，用于根据所述漏洞影响检测模块提供的受影响资产信息和所述漏洞修复建议模块提供的新版本补丁以及修复命令进行漏洞修复和验证；

所述资产信息采集模块以及新公开漏洞采集模块均分别连接所述漏洞影响检测模块和漏洞修复建议模块，所述漏洞影响检测模块和漏洞修复建议模块分别连接所述漏洞修复验证流程管理模块。

可选地，所述漏洞修复验证流程管理模块还包括：

工单流程管理模块，用于根据漏洞影响检测模块提供的受影响资产信息和漏洞修复建议模块提供的修复命令生成和下发漏洞处置工单；

修复检验模块，用于根据所述漏洞处置工单状态进行修复后验证与整体流程跟踪考核。

可选地，所述修复检验模块包括：

自动化修复检验子模块，用于供用户进行一键修复验证；

自定义修复检验子模块，用于供用户进行自定义修复验证。

第二方面，提供了一种新公开漏洞影响范围识别与修复管理方法，包括：

获取管控设备的资产信息并保存至本地资产信息库，其中，所述资产信息包括所述管控设备安装的软硬件名称、版本和模块信息；

获取最新公开漏洞信息，将所述漏洞信息进行解析和格式化，并将格式化后的漏洞信息保存至本地漏洞库；

根据所述资产信息和所述漏洞信息中的影响范围数据检测所述管控设备中受影响资产；

根据所述受影响资产和所述漏洞信息中的修复信息自动下载新版本补丁并生成对应所述新版本补丁的修复命令；

根据所述新版本补丁和修复命令进行漏洞修复。

可选地，所述获取管控设备的资产信息包括：

通过客户机代理、安全外壳协议ssh命令执行、配置文件解析和简单网络管理协议snmp方式定期采集管控设备安装的软硬件名称、版本和模块信息。

可选地，所述获取最新公开漏洞信息包括：

通过网络爬虫持续从预设漏洞信息发布网站获取最新公开漏洞信息。

可选地，所述根据所述资产信息和所述漏洞信息中的影响范围数据检测受影响资产包括：

持续检测所述本地漏洞库和本地资产信息库，当所述本地漏洞库和本地资产信息库内任一数据发生变化时，逐一对变化的数据进行读取和匹配。

可选地，所述当所述本地漏洞库和本地资产信息库内任一数据发生变化时，逐一对变化的数据进行读取和匹配，包括：

当所述本地漏洞库新增漏洞时，检测所述本地资产库中是否存在与所述新增漏洞同类型的资产；

若存在与所述新增漏洞同类型的资产，则判断所述同类型的资产版本是否与所述新增漏洞携带的版本信息一致；

若所述同类型的资产版本与所述新增漏洞携带的版本信息一致，则判断所述新增漏洞是否已修复；

若所述新增漏洞未修复，则发送漏洞未修复指令；

或，

当所述本地资产库新增资产时，检测所述本地漏洞库中是否存在与所述新增资产同类型的漏洞；

若存在与所述新增资产同类型的漏洞，则判断所述新增资产的版本是否与所述同类型的漏洞携带的版本信息一致；

若所述新增资产的版本与所述同类型的漏洞携带的版本信息一致，则判断所述新增资产是否已修复；

若所述新增资产未修复，则发送漏洞未修复指令。

可选地，所述根据所述新版本补丁和修复命令进行漏洞修复包括：

根据所述新版本补丁和修复命令，生成和下发漏洞处置工单；

根据所述漏洞处置工单状态进行修复后验证与整体流程跟踪考核。

可选地，所述修复后验证包括一键修复验证和自定义修复验证。

本发明实施例提供的新公开漏洞影响范围识别与修复管理系统包括资产信息采集模块、新公开漏洞采集模块、漏洞影响检测模块、漏洞修复建议模块以及漏洞修复验证流程管理模块，资产信息采集模块实时采集管控设备上的资产信息，新公开漏洞采集模块实时获取新公开漏洞信息，漏洞影响检测模块根据获取的资产信息和漏洞信息检测受影响的资产，漏洞修复建议模块，根据检测到的受影响资产信息和漏洞信息自动下载新版本补丁并生成修复命令，漏洞修复验证流程管理模块，根据漏洞影响检测模块提供的受影响资产信息和漏洞修复建议模块提供的修复命令进行漏洞修复和验证。本发明实施例通过实时的对资产信息和漏洞信息进行获取、匹配并根据匹配结果及时下发处理工单，能够极大地缩短漏洞从发现到修复的实时限，降低信息系统的暴露时间。

附图说明

为了更清楚地说明本发明的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种新公开漏洞影响范围识别与修复管理系统的结构示意图；

图2为本发明实施例提供的一种新公开漏洞影响范围识别与修复管理方法的流程图；

图3为本发明实施例提供的一种检测受影响资产的方法的流程图。

具体实施方式

为了使本技术领域的人员更好地理解本发明中的技术方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。

参见图1，为本发明实施例提供的一种新公开漏洞影响范围识别与修复管理系统的结构示意图，如图1所示，本发明实施例提供的新公开漏洞影响范围识别与修复管理系统包括一种新公开漏洞影响范围识别与修复管理系统，包括：

资产信息采集模块，资产信息采集模块与信息系统或管控设备连接，用于采集管控设备中的资产信息。

新公开漏洞采集模块，新公开漏洞采集模块与知名漏洞共享平台连接，用于获取最新公开的漏洞信息，为了保证能够在新漏洞发布之后最短时间内获取新漏洞的信息，可以连接过个漏洞共享平台，弥补各个漏洞共享平台分布漏洞的时间差。

漏洞影响检测模块，用于根据采集到的资产信息和漏洞信息检测受影响的资产。漏洞信息中包含有漏洞所针对的软件名称、版本型号以及漏洞补丁的相关信息，通过检测管控设备中是否存在与新公开漏洞相同的软件以及软件版本型号是否一致来判断是否存在受影响的资产。

漏洞修复建议模块，用于根据检测到的受影响资产信息和漏洞信息自动下载新版本补丁并生成修复命令，由于漏洞信息中包含有补丁信息，因此，当检测到管控上设备中存在与漏洞信息相匹配的资产时可以根据漏洞信息自动下载对应的补丁。

漏洞修复验证流程管理模块，用于根据漏洞影响检测模块提供的受影响资产信息和漏洞修复建议模块提供的新版本补丁以及修复命令进行漏洞修复和验证，在根据漏洞修复建议模块提供的新版本补丁以及修复命令进行漏洞修复后，为了确保漏洞进行了完好的修复还需要进行漏洞，即重新的攻击资产所存在的漏洞，如果无法攻破则证明漏洞已修复完成。

资产信息采集模块以及新公开漏洞采集模块均分别连接漏洞影响检测模块和漏洞修复建议模块，漏洞影响检测模块和漏洞修复建议模块分别连接漏洞修复验证流程管理模块。

本发明实施例还包括：工单流程管理模块，用于根据漏洞影响检测模块提供的受影响资产信息和漏洞修复建议模块提供的修复命令生成和下发漏洞处置工单；

修复检验模块，用于根据漏洞处置工单状态进行修复后验证与整体流程跟踪考核。

另外，为了可以满足多种用户的需求，修复检验模块包括：

自动化修复检验子模块，用于供用户进行一键修复验证；

自定义修复检验子模块，用于供用户进行自定义修复验证；

用户可以根据各自的需求选择是一键修复验证还是自定义修复验证。

本发明实施例还提供了一种新公开漏洞影响范围识别与修复管理方法，适用于本发明实施例提供的新公开漏洞影响范围识别与修复管理系统。

参见图2，为本发明实施例提供的一种新公开漏洞影响范围识别与修复管理方法的流程图，如图2所示，本发明实施例提供的新公开漏洞影响范围识别与修复管理方法包括：

s10：获取管控设备的资产信息并保存至本地资产信息库，其中，资产信息包括管控设备安装的软硬件名称、版本和模块信息。

通过客户机代理、ssh命令执行、配置文件解析、snmp等方式定期采集管控设备安装的软硬件名称、版本、模块信息，然后转换为key-value格式的配置记录并保存到本地资产信息库中，其格式如下：

s20：获取最新公开漏洞信息，将漏洞信息进行解析和格式化，并将格式化后的漏洞信息保存至本地漏洞库。

新公开漏洞采集模块通过网络爬虫持续从预设漏洞信息发布网站获取最新公开漏洞信息，经解析后格式化保存至本地漏洞库，其格式如下：

fix_info如果方法为patch，提供补丁名称或id；如果方法为update，提供需要更新到的版本；如果方法为config，提供需要修改的配置信息

s30：根据资产信息和漏洞信息中的影响范围数据检测管控设备中受影响资产。

s40：根据受影响资产和漏洞信息中的修复信息自动下载新版本补丁并生成修复命令。

s50：根据新版本补丁和修复命令进行漏洞修复。

具体的，根据新版本补丁和修复命令进行漏洞修复包括：

根据所述新版本补丁和修复命令，生成和下发漏洞处置工单；

根据所述漏洞处置工单状态进行修复后验证与整体流程跟踪考核。

为了可以满足多种用户的需求，修复后验证包括一键修复验证和自定义修复验证。

参见图3，为本发明实施例提供的一种检测受影响资产的方法的流程图，如图3所示，步骤s30还包括：

s301：持续检测本地漏洞库和本地资产信息库，当本地漏洞库和本地资产信息库内任一数据发生变化时，逐一对变化的数据进行读取和匹配。

在持续检测本地漏洞库和本地资产信息库时包含两种可能一种为本地漏洞裤新增数据以为为本地资产信息库新增数据，当本地漏洞库新增漏洞时，执行步骤如下：

s302：检测本地资产库中是否存在与新增漏洞同类型的资产。

若存在与新增漏洞同类型的资产，则执行步骤s303：判断同类型的资产版本是否与新增漏洞携带的版本信息一致。

若同类型的资产版本与新增漏洞携带的版本信息一致，则执行步骤s304：判断新增漏洞是否已修复。

若新增漏洞未修复，则执行步骤s308：发送漏洞未修复指令。

当本地资产库新增资产时，执行步骤如下：

s305：检测本地漏洞库中是否存在与新增资产同类型的漏洞；

若存在与新增资产同类型的漏洞，则执行步骤s306：判断新增资产的版本是否与同类型的漏洞携带的版本信息一致；

若新增资产的版本与同类型的漏洞携带的版本信息一致，则执行步骤s307：判断新增资产是否已修复。

若新增资产未修复，则执行步骤s308：发送漏洞未修复指令。

漏洞影响检测模块持续检测本地漏洞库和本地资产信息库，当本地漏洞库和本地资产信息库内任一数据发生变化时，便逐一对变化的数据进行读取并进行匹配，将匹配的信息形成受影响资产信息，其格式如下：

本发明实施例提供的新公开漏洞影响范围识别与修复管理系统包括资产信息采集模块、新公开漏洞采集模块、漏洞影响检测模块、漏洞修复建议模块以及漏洞修复验证流程管理模块，资产信息采集模块实时采集管控设备上的资产信息，新公开漏洞采集模块实时获取新公开漏洞信息，漏洞影响检测模块根据获取的资产信息和漏洞信息检测受影响的资产，漏洞修复建议模块，根据检测到的受影响资产信息和漏洞信息自动下载新版本补丁并生成修复命令，漏洞修复验证流程管理模块，根据漏洞影响检测模块提供的受影响资产信息和漏洞修复建议模块提供的修复命令进行漏洞修复和验证。本发明实施例通过实时的对资产信息和漏洞信息进行获取、匹配并根据匹配结果及时下发处理工单，能够极大地缩短漏洞从发现到修复的实时限，降低信息系统的暴露时间。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅是本发明的具体实施方式，使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

以上所述的本发明实施方式并不构成对本发明保护范围的限定。