用于处理支付系统安全漏洞信息的装置和方法与流程

本发明涉及信息安全技术，特别涉及用于处理支付系统安全漏洞信息的装置和方法。

背景技术：

基于信息技术的各种应用业务正在飞速发展，随之而来的信息安全(特别是支付安全)已经成为全社会关注的焦点问题。提高计算机处理系统安全能力的一个重要途径是及时更新和升级处理系统，对被发现的安全漏洞作出快速响应。

在现有技术中，负责信息安全的管理员在收到关于安全漏洞的报告后，将评估相关的安全漏洞对处理系统的影响范围和程度，再依照严重程度向受影响子系统的开发人员发送安全预警信息。系统开发人员在收到安全预警信息后，将根据安全预警信息关于安全漏洞的描述内容提供相应合理的解决方案。但是目前的处理方法存在诸多缺点。

首先是安全漏洞处理的效率低下。信息安全管理员需要手动去通知开发人员预警信息，并将修复方案通知受影响的系统负责人，当开发团队人数较多时，该项工作十分耗时。其次，受到经验等情况影响，开发人员在做问题修复方案后，可能遗漏部分受安全风险影响的系统，导致部分实际有问题的系统没有得到及时的安全处理。在现有支付系统中，信息安全管理员需要手动去检索受影响的系统，并根据受影响的程度分类，依照等级逐个以邮件方式向开发人员确认修复方案。未来随着开发团队规模的增大，将需要花费更多的时间来处理安全漏洞的预警，效率将进一步降低，遗漏的问题也会更突出。

技术实现要素：

本发明的一个目的是提供一种用于处理支付系统安全漏洞信息的方法，其具有效率高、出错概率低等优点。

按照本发明一个方面的用于处理支付系统安全漏洞信息的方法包含下列步骤：

接收与一个安全漏洞相关联的消息，所述消息为发生该安全漏洞的报告或提供该安全漏洞解决方案的报告；

根据该安全漏洞在安全漏洞信息数据库中的记录状态，对与该安全漏洞相关联的数据项施行添加或修改操作；以及

根据该安全漏洞的安全状态级别确定是否发送报警消息。

优选地，在上述方法中，所述数据项包括相关联的安全漏洞的特征描述域和用于安全状态级别的标志域。

优选地，在上述方法中，所述标志域用于标识安全漏洞的下列状态：“已修复”、“未修复”、“未修复并多次出现”和“修复后再次出现”。

优选地，在上述方法中，所述安全漏洞属于下列类型中的一种：涉及第三方类库和函数调用的安全漏洞、涉及操作系统的安全漏洞和涉及中间件的安全漏洞。

优选地，在上述方法中，按照下列方式施行添加或修改操作：

如果安全漏洞在安全漏洞信息数据库中无相关联的数据项，则在安全漏洞信息数据库中，根据所述消息的内容添加相应的数据项并且将数据项的标志域设置为“未修复”；

如果安全漏洞在安全漏洞信息数据库中存在相关联的数据项，则根据所述消息的内容修改相应的数据项的标志域。

优选地，在上述方法中，按照下列方式修改标志域：

如果消息为提供该安全漏洞解决方案的报告，则将标志域设置为“已修复”；

如果消息为发生该安全漏洞的报告并且标志域当前设置为“未修复”，则将标志域设置为“未修复并多次出现”；以及

如果消息为发生该安全漏洞的报告并且标志域当前设置为“已修复”，则将标志域设置为“修复后再次出现”。

优选地，在上述方法中，根据该安全漏洞的安全状态级别确定是否发送报警消息的步骤包括下列步骤：

接收所述安全漏洞信息数据库发生更新的通知；

如果确定发生的更新为添加新的数据项，则发送与新的数据项相关联的安全漏洞的报警消息；以及

如果确定发生的更新为数据项的标志域被设置为“未修复并多次出现”或“修复后再次出现”，则发送与该数据项相关联的安全漏洞的报警消息。

本发明的一个目的是提供一种用于处理支付系统安全漏洞信息的装置，其具有效率高、出错概率低等优点。

按照本发明一个方面的用于处理支付系统安全漏洞信息的装置包含接收模块、维护模块、侦测模块和发送模块，

其中，所述接收模块被配置为接收与一个安全漏洞相关联的消息，所述消息为发生该安全漏洞的报告或提供该安全漏洞解决方案的报告，

所述维护模块与所述接收模块耦合，其配置为根据该安全漏洞在安全漏洞信息数据库中的记录状态，对与该安全漏洞相关联的数据项施行添加或修改操作，

所述侦测模块与发送模块耦合，其被配置为根据该安全漏洞的安全状态级别确定是否通过所述发送模块发送报警消息。

与现有技术相比，本发明有以下优点。支付系统对于响应时间和系统的可靠性有较高要求。本发明自动化程度高，安全响应人员仅需录入安全漏洞中部分有效信息即可将安全漏洞信息通过邮件发送至系统开发人员，对于原有安全预警流程中最耗费时间的环节，即逐一排查受安全影响的系统及子系统并发送邮件通知，对此进行了很大程度的优化，高效率的匹配安全预警信息，安全漏洞修复所用的平均时间降低了40％；对于因人工发送预警信息产生的遗漏的概率进行了很大程度的改善，显著降低分配错误的概率，高效避免支付企业的内部系统暴露在安全风险之下。

附图说明

本发明的上述和/或其它方面和优点将通过以下结合附图的各个方面的描述变得更加清晰和更容易理解，附图中相同或相似的单元采用相同的标号表示。附图包括：

图1为按照本发明一个实施例的用于处理支付系统安全漏洞信息的装置的示意框图。

图2为按照本发明另一个实施例的用于处理支付系统安全漏洞信息的方法的流程图。

图3为可用于实现图2中的步骤220的例程的流程图。

图4为可用于实现图2中的步骤230的例程的流程图。

图5为可用于实现图2中的步骤240的例程的流程图。

具体实施方式

下面参照其中图示了本发明示意性实施例的附图更为全面地说明本发明。但本发明可以按不同形式来实现，而不应解读为仅限于本文给出的各实施例。给出的上述各实施例旨在使本文的披露全面完整，以将本发明的保护范围更为全面地传达给本领域技术人员。

在本说明书中，诸如“包含”和“包括”之类的用语表示除了具有在说明书和权利要求书中有直接和明确表述的单元和步骤以外，本发明的技术方案也不排除具有未被直接或明确表述的其它单元和步骤的情形。

图1为按照本发明一个实施例的用于处理支付系统安全漏洞信息的装置的示意框图。图1所示的装置10包括接收模块110、维护模块120、侦测模块130和发送模块140。接收模块110被配置为接收与一个安全漏洞相关联的消息，该消息可以是发生该安全漏洞的报告或开发人员关于提供该安全漏洞解决方案的报告。维护模块120与接收模块110耦合，其配置为根据安全漏洞在安全漏洞信息数据库20中的记录状态(例如该安全漏洞在安全漏洞信息数据库中是否存在相关联的数据项)，对与安全漏洞相关联的数据项施行添加或修改操作。侦测模块130与发送模块140耦合，其被配置为根据安全漏洞的安全状态级别确定是否通过所述发送模块发送报警消息。

在本实施例中，优选地，数据项可包括相关联的安全漏洞的特征描述域和用于安全状态级别的标志域，其中，标志域用于标识安全漏洞的下列状态：“已修复”、“未修复”、“未修复并多次出现”和“修复后再次出现”。

在本实施例中，安全漏洞属于下列类型中的一种：涉及第三方类库和函数调用的安全漏洞、涉及操作系统的安全漏洞和涉及中间件的安全漏洞。相应地，如图1所示，维护模块120包括三个子模块121、122和123，分别用于对与属于上述三种类型的安全漏洞相关联的数据项施行添加或修改操作。

在本实施例中，维护模块120按照下列方式施行添加或修改操作：

1)如果接收模块110接收的消息指示发生一个安全漏洞并且该安全漏洞在安全漏洞信息数据库20中无相关联的数据项(也即该安全漏洞为之前未曾报告过的新的安全漏洞)，则在安全漏洞信息数据库20中，根据消息的内容添加相应的数据项并且将数据项的标志域设置为“未修复”(也即根据消息的内容填写该数据项的特征描述域和标志域)。

2)另一方面，如果接收模块110接收的消息中指示的安全漏洞在安全漏洞信息数据库20中存在相关联的数据项(也即该安全漏洞为之前已经报告过的新的安全漏洞)，则根据消息的内容修改相应的数据项的标志域。具体而言，维护模块120按照下列方式修改标志域：

2a)如果消息为提供该安全漏洞解决方案的报告，则将标志域设置为“已修复”；

2b)如果消息为发生该安全漏洞的报告并且标志域当前设置为“未修复”，则将标志域设置为“未修复并多次出现”；以及

2c)如果消息为发生该安全漏洞的报告并且标志域当前设置为“已修复”，则将标志域设置为“修复后再次出现”。

在本实施例中，侦测模块130按照下列方式确定是否发送报警消息：

接收安全漏洞信息数据库20发生更新的通知，该通知例如可来自于安全漏洞信息数据库20。随后，如果确定发生的更新为添加新的数据项，则通过发送模块140发送与新的数据项相关联的安全漏洞报警消息；如果确定发生的更新为数据项的标志域被设置为“未修复并多次出现”或“修复后再次出现”，则通过发送模块140发送与该数据项相关联的安全漏洞报警消息。

图2为按照本发明另一个实施例的用于处理支付系统安全漏洞信息的方法的流程图。为阐述方便起见，采用上面借助图1所示的用于处理删除系统安全漏洞的装置来实现本实施例的方法，但是需要指出的是，本实施例的方法并不依赖于特定结构的装置。

如图2所示，在步骤210，接收模块110接收与一个安全漏洞相关联的消息，消息可以为发生该安全漏洞的报告或提供该安全漏洞解决方案的报告。随后进入步骤220，维护模块120根据该安全漏洞在安全漏洞信息数据库20中的记录状态，对与该安全漏洞相关联的数据项施行添加或修改操作。接着在步骤230，侦测模块130根据该安全漏洞的安全状态级别确定是否发送报警消息，并且如果确定需要发送，则转入步骤240,。在步骤240中，发送模块140向系统开发人员发送报警消息。

图3为用于实现图2中的步骤220的例程的流程图。

在步骤301，维护模块120判断发生该安全漏洞的报告是否符合规定格式。若是，则进入步骤302；若否，则丢弃该消息。

在步骤302，维护模块120检索安全漏洞信息数据库20。

随后进入步骤303，维护模块120判断在安全漏洞信息数据库20中是否已经为消息指示的安全漏洞建立数据项，若否，则进入步骤304；若是，则进入步骤305。

在步骤304，维护模块120将在安全漏洞信息数据库20中为其建立一个新的数据项并且根据消息的内容设置数据项的特征描述域和标志域，其中标志域被设置为“未修复”。

在步骤305，维护模块120从安全漏洞信息数据库20查找与消息中所指示的安全漏洞相关联的数据项，并且根据标志域判断该安全漏洞是否被先前修复过(即标志域是否为“已修复”)。若是，则进入步骤306；若否，则进入步骤307。

在步骤306，维护模块120将与该安全漏洞相关联的数据项中的标志域置为“修复后再次出现”。

在步骤307，维护模块120将与该安全漏洞相关联的数据项中的标志域置为“未修复并多次出现”。

在与步骤301并行的步骤308，维护模块120在安全漏洞信息数据库20中将安全漏洞解决方案涉及的安全漏洞所关联的数据项的标志域修改为“已修复”。

步骤304、306、307和308之后都转至步骤309，在该步骤中生成安全漏洞信息数据库20发生更新的通知。

图4为用于实现图2中的步骤230的例程的流程图。

在步骤401，侦测模块130响应于安全漏洞信息数据库20发生更新的通知，触发对安全漏洞信息数据库的检索操作。

随后进入步骤402，侦测模块130判断安全漏洞信息数据库的变化是否为增添新的安全漏洞数据项。若是，则进入步骤408；若否，则进入步骤403。

在步骤403，侦测模块130判断安全漏洞信息数据库的变化是否为安全漏洞的数据项的标志域被改为“已修复”。若是，则退出例程；若否，则进入步骤404。

在步骤404，侦测模块130判断安全漏洞信息数据库的变化是否为安全漏洞的数据项的标志域被改为“未修复且多次出现”或“已修复但再次出现”。若被改为“未修复且多次出现”或“已修复但再次出现”，则进入步骤405；若既非“未修复且多次出现”，也非“已修复但再次出现”，则丢弃信息。

在步骤405，侦测模块130指示发送模块140发送报警消息。

图5为用于实现图2中的步骤240的例程的流程图。

在步骤501，发送模块140从侦测模块130接收发送报警消息的指令。

随后进入步骤502，发送模块140确定报警消息归属的子系统信息。

随后进入步骤503，根据子系统信息获取与安全漏洞相关联的子系统的开发人员的联系方式。

随后进入步骤504，例如通过电子邮件将报警消息发送给步骤503中确定的开发人员。

提供本文中提出的实施例和示例，以便最好地说明按照本技术及其特定应用的实施例，并且由此使本领域的技术人员能够实施和使用本发明。但是，本领域的技术人员将会知道，仅为了便于说明和举例而提供以上描述和示例。所提出的描述不是意在涵盖本发明的各个方面或者将本发明局限于所公开的精确形式。

鉴于以上所述，本公开的范围通过以下权利要求书来确定。