一种资产漏洞管理方法、装置、电子设备及存储介质与流程

1.本技术涉及网络安全领域，具体地，涉及一种资产漏洞管理方法、一种资产漏洞管理装置、一种电子设备及一种计算机可读存储介质。


背景技术：

2.现有技术中，在资产设备出现安全漏洞时，通常需要专业人员对安全漏洞进行修复，然而，由于没有对漏洞进行统一管理，在漏洞重复发生时，需要频繁调用人员对漏洞进行修复，从而导致相关人员的工作量大，修复漏洞耗时长，导致漏洞修复的效率低。漏洞频发与修复效率低都容易导致资产设备出现安全问题，从而出现财产损失。


技术实现要素：

3.有鉴于此，本发明旨在提供一种资产漏洞管理方法、资产漏洞管理装置、一种电子设备及一种计算机可读存储介质，以减少漏洞修复人员的工作量，提高漏洞的修复效率以及减少资产设备安全问题的发生。
4.第一方面，本技术实施例中提供了一种资产漏洞管理方法，包括：对目标资产进行扫描，获取所述目标资产所存在的漏洞，所述目标资产基于用户的选择确定；将所述漏洞与漏洞库中的已修复的既有漏洞进行对比；在确定所述漏洞不在所述漏洞库内时，向技术人员反馈漏洞信息以使技术人员对所述漏洞进行修复，并将所述漏洞及对应的修复方法存入所述漏洞库中，以使在扫描出与所述漏洞相同的重复漏洞时，调用所述漏洞对应的修复方法对所述重复漏洞进行修复。
5.本技术实施例中，通过获取目标资产所存在的漏洞，并将漏洞与漏洞库中的既有漏洞进行对比，可以快速判断目标资产所存在的漏洞是否与已经被修复过的既有漏洞相同，在确定漏洞不在漏洞库内时，向技术人员反馈并使技术人员对漏洞进行修复，同时将漏洞及技术人员对漏洞的修复方法进行保存，以便于后续资产中出现相同的漏洞时，可以快速调用对应的修复方法对重复漏洞进行修复，从而减少技术人员对漏洞修复的工作量，也可以简化修复过程，从而提高对漏洞的修复效率，通过将漏洞存入漏洞库进行统一管理，有助于提高对漏洞的管理效率，进而提高资产安全性，减少因漏洞导致的财产损失。
6.一实施例中，所述将所述漏洞与漏洞库中的已修复的既有漏洞进行对比，包括：获取所述漏洞的漏洞信息；将所述漏洞信息与所述既有漏洞的既有漏洞信息对比；在所述漏洞信息与所述既有漏洞信息的相似度小于预设阈值时，确定所述漏洞不在所述漏洞库内。
7.本技术实施例中，通过将漏洞信息与漏洞库中既有漏洞的漏洞信息进行对比，在两者之间的相似度小于预设阈值时，确定漏洞不在漏洞库内，由此，可以快速判断出未修复过与该漏洞相同/相似的漏洞，以便于后续及时通知技术人员对该漏洞进行修复，进而提高漏洞修复的效率与减少漏洞存在的时间，提高资产安全性。
8.一实施例中，在所述漏洞信息与所述既有漏洞信息的相似度大于所述预设阈值时，确定所述漏洞为重复漏洞。
9.本技术实施例中，通过将漏洞信息与漏洞库中既有漏洞的漏洞信息进行对比，在两者之间的相似度大于预设阈值时，确定该漏洞为重复漏洞，即漏洞库中存在与该漏洞相同/相似的漏洞，由此，可以快速判断是否有该漏洞对应的修复方法，以便于后续调用修复方法及时对漏洞进行修复，进而提高漏洞修复的效率与减少漏洞存在的时间，提高资产安全性。
10.一实施例中，所述将所述漏洞与漏洞库中的已修复的既有漏洞进行对比之前，所述方法还包括：对所述漏洞信息进行ik分词，获取分词结果；所述将所述漏洞信息与所述既有漏洞的既有漏洞信息对比，包括：将所述分词结果与所述既有漏洞的既有漏洞信息进行对比。
11.本技术实施例中，通过ik分词，可以提取漏洞信息的关键词，获取分词结果，以便于判断该漏洞的重要程度、紧急程度等信息，进而及时对该漏洞进行修复，减少因漏洞导致的损失，提高资产的安全性。
12.一实施例中，所述对目标资产进行扫描之前，所述方法还包括：基于用户的操作录入资产及对应的资产信息；对所述资产信息进行加密，生成所述资产对应的资产主键并存入资产数据库中，所述资产主键为用于表征资产信息的标识字符串。
13.本技术实施例中，通过基于用户的操作录入资产信息，以使用户能够选择目标资产并进行扫描。通过对资产信息进行加密，提高资产信息的安全性。
14.一实施例中，所述对目标资产进行扫描，获取所述目标资产所存在的漏洞，包括：基于用户所选择的所述目标资产创建扫描任务；基于所述扫描任务的数量从预先创建的多线程中获取相同数量的线程执行所述扫描任务，分别对所述扫描任务对应的所述目标资产进行扫描，其中，所述线程与漏洞扫描引擎数量相同且一对一绑定。
15.本技术实施例中，一个线程绑定一个漏洞扫描引擎，通过使用多线程分别对不同扫描任务对应的目标资产进行扫描，可以同时进行多个扫描任务，同时对多个资产进行扫描，有助于提高扫描效率，对一个扫描任务仅使用一个线程及对应的漏洞扫描引擎，可以避免因多个漏洞扫描引擎同时扫描一个目标资产导致的漏洞扫描结果重复的问题。
16.一实施例中，在对所述漏洞进行修复，并将所述漏洞及对应的修复方法存入所述漏洞库中之后，所述方法还包括：对所述目标资产进行复测，以确定所述目标资产的漏洞修复完成。
17.本技术实施例中，通过对目标资产进行复测，确保漏洞已经修复完成，可以减少因漏洞未修复完成导致的安全隐患，同时复测还可以避免新漏洞发生未及时被发现的问题。
18.第二方面，本技术实施例中提供了一种资产漏洞管理装置，包括：扫描模块，用于基于用户创建的扫描任务对目标资产进行扫描，获取所述目标资产所存在的漏洞；处理模块，将所述漏洞与漏洞库中的已修复的既有漏洞进行对比；所述处理模块，还用于在确定所述漏洞为不在所述漏洞库时，向技术人员反馈漏洞信息，以使技术人员对所述漏洞进行修复，并将所述漏洞及对应的修复方法存入所述漏洞库中，以使发生与所述漏洞相同的重复漏洞时，调用所述修复方法对所述重复漏洞进行修复。
19.第三方面，本技术实施例提供了一种电子设备，包括存储器和处理器，所述存储器中存储有计算机可读指令，所述计算机可读指令被所述处理器执行时，使得所述处理器执行如第一方面所述的一种资产漏洞管理方法或实现如第二方面所述的资产漏洞管理装置
的功能。
20.第四方面，本技术实施例提供了一种计算机可读存储介质，所述可读存储介质中存储有计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行如第一方面所述的一种资产漏洞管理方法或实现如第二方面所述的资产漏洞管理装置的功能。
21.本公开的其他特征和优点将在随后的说明书中阐述，或者，部分特征和优点可以从说明书推知或毫无疑义地确定，或者通过实施本公开的上述技术即可得知。
22.为使本发明的上述目的、特征和优点能更明显易懂，下文特举本发明较佳实施例，并配合所附附图，作详细说明如下。
附图说明
23.为了更清楚地说明本技术实施例的技术方案，下面将对本技术实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
24.图1为本技术实施例提供的一种资产漏洞管理方法的流程图；
25.图2为本技术实施例提供的多线程处理任务的示意图；
26.图3为本技术实施例提供的一种资产漏洞管理装置的结构框图；
27.图4为本技术实施例提供的一种电子设备的结构框图。
28.图标：资产漏洞管理装置200；扫描模块220；处理模块210。
具体实施方式
29.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
30.资产是指公司所拥有的各种形式的设备、系统、软件等，如电脑、服务器、操作系统、数据库等，各种资产中通常存储有公司的各种资料、文件等，而当资产中出现安全漏洞时，就可能遭受入侵，从而导致公司的资料数据泄露，给公司带来财产上的损失，因此需定期对资产进行扫描，并对所存在的漏洞进行修复。
31.漏洞的扫描可以利用一些脚本检测开放端口及服务，如利用各安全工具进行人工操作，下发扫描、检测的任务，对所需扫描的资产进行检测，确定出资产设备中所存在的漏洞。在扫描出漏洞之后，通常需要专门的技术人员对漏洞进行修复，以使资产恢复正常，避免被入侵造成的资料泄露与财产损失。然而，现有技术中，由于未对漏洞进行统一的管理，因此，在漏洞发生时，需要技术人员对每一个漏洞都进行修复，导致工作量大，且人工进行修复的效率低。
32.请参照图1，图1为本技术一实施例提供的一种资产漏洞管理方法的流程图，该方法可以包括如下步骤：
33.s110，对目标资产进行扫描，获取目标资产所存在的漏洞，目标资产基于用户的选择确定。
34.一实施例中，对目标资产进行扫描的过程包括：基于用户所选择的目标资产创建
扫描任务；基于扫描任务的数量从预先创建的多线程中获取相同数量的线程执行所述扫描任务，分别对扫描任务对应的目标资产进行扫描，其中，线程与漏洞扫描引擎数量相同且一对一绑定。
35.本实施例中，在用户选择所需要扫描的目标资产后，可以生成对目标资产进行扫描的扫描任务。例如，用户在需对会议室的电脑进行扫描时，可以选择会议室的电脑，根据用户的选择，生成对会议室电脑的扫描任务。在一些实施例中，还可以接收用户终端所创建的扫描任务，从扫描任务中确定用户所选择的目标资产。
36.本实施例中，在生成对目标资产的扫描任务后，还可以将扫描任务发送至相关负责人的终端设备进行审核，在扫描任务通过负责人的审核之后，将扫描任务下发至任务队列中等待扫描。
37.本实施例中，通过调用多线程中的线程执行扫描任务，对目标资产进行扫描，在利用多线程执行扫描任务之前，需先创建能够扫描漏洞的多线程。
38.请参阅图2，图2为本技术一实施例提供的多线程处理任务的示意图。
39.本实施例中，创建多线程的方式包括：根据扫描引擎的数量创建相同数量的线程，在创建线程之后，将线程与引擎绑定，一个线程与一个引擎绑定。如图2所示，线程1与引擎1绑定，线程2与引擎2绑定，线程3与引擎3绑定。在将线程与引擎绑定之后，将线程与引擎放入线程池中，由此，在执行扫描任务时，可以调用线程，进而调用线程所绑定的引擎对扫描任务所对应的目标资产进行扫描。
40.本实施例中，一个线程可以执行一个扫描任务，多线程可以同时执行多个扫描任务。具体地，在线程池存在未处于使用状态的线程时，可以从线程池中调用线程执行扫描任务，且一个线程执行一个扫描任务，例如，线程1-3可以分别执行三个扫描任务，由此，同时执行多个任务可以有效提高对漏洞扫描的效率，还可以避免出现扫描结果重复的问题。其中，扫描任务可以仅为一个目标资产，也可以包括多个目标资产，在包括多个目标资产时，扫描引擎逐个对目标资产进行扫描，以确定目标资产中所存在的漏洞。在线程池中没有可执行扫描任务的线程时，即线程池中的线程为0时，扫描任务在扫描队列中等待，在有线程完成扫描任务重新回到线程池中时，再从线程池中调用该线程执行扫描任务。
41.一实施例中，在用于选择目标资产进行扫描之前，需对资产的信息进行录入，录入过程包括：基于用户的操作录入资产及对应的资产信息；对资产信息进行加密，生成资产对应的资产主键并存入资产数据库中，资产主键为用于表征资产信息的标识字符串。
42.本实施例中，需先将资产的信息录入到资产数据库中，以使用户能够从资产数据库中选择所需扫描的目标资产。具体地，所需录入的信息可以包括：资产的ip地址、设备类型、业务系统、端口号、所属部门、操作系统、登录用户名及密码等信息，用户可以根据资产本身的信息进行相应的录入，可以理解的是，不同的场景可以录入不同类型的信息，不同的资产所录入的信息也不同，所需录入的信息可以根据需求进行合理地选择与设定。其中，资产数据库可以是mysql数据库、sqlserver数据库等。
43.本实施例中，还可以是在对资产的信息进行加密之后录入资产数据库，具体地，可以使用md5的加密方式对资产的信息进行加密，生成资产对应的资产主键，资产主键为表征资产信息的标识字符串，将资产主键保存进数据库中，由此，可以提高资产信息的安全性。
44.s120，将漏洞与漏洞库中的已修复的既有漏洞进行对比。
45.本实施例中，还设置有漏洞库，漏洞库中存储有已经被修复修复的漏洞及漏洞对应的漏洞信息，即已经修复的漏洞为既有漏洞。
46.一实施例中，将漏洞与漏洞库中的已修复的既有漏洞进行对比包括：获取漏洞的漏洞信息；将漏洞信息与既有漏洞的既有漏洞信息对比；在漏洞信息与所述既有漏洞信息的相似度小于预设阈值时，确定漏洞不在所述漏洞库内。
47.本实施例中，在将漏洞与既有漏洞进行对比之前，可以对漏洞进行解析，获取描述该漏洞的漏洞信息，例如，漏洞类别、漏洞的问题描述、漏洞的关键词等。在获取到漏洞信息之后，可以向用户展示该漏洞的信息，如漏洞的状态、漏洞的名称、存在时间、所在位置等。
48.本实施例中，在获取到漏洞信息之后，将漏洞信息与漏洞库的既有漏洞的既有漏洞信息进行对比，可以是计算漏洞信息与既有漏洞信息的相似度，在相似度大于预设阈值时，将该漏洞确定为重复漏洞，也即该漏洞在漏洞库内，在相似度小于预设阈值时，确定该漏洞不在漏洞库内，例如，在目标资产的第一漏洞与漏洞库中的其中一个或多个漏洞之间的相似度大于85％时，确定第一漏洞为重复漏洞，目标资产的第二漏洞与漏洞库中的既有漏洞之间的相似度均低于85％时，确定第二漏洞不在漏洞库内。其中，相似度可以采取神经网络模型计算。
49.本实施例中，在确定漏洞不在漏洞库内时，可以对漏洞的信息进行加密，生成漏洞主键，其中，加密方式可以使用md5，则漏洞主键为标识字符串，在加密后，建立漏洞主键与资产主键及扫描任务的信息存入数据库中，便于后续查阅。
50.一实施例中，在将漏洞信息与既有漏洞信息进行对比之前，还可以对漏洞信息进行ik分词，获取分词结果，具体地，分词结果可以包括预先设置关键字词及漏洞的其他信息，在利用ik分词对漏洞信息进行分词时，提取漏洞信息中所包括的预先设置的关键词，在实际情况中，可以根据实际情况对关键词进行设置，例如，设置涉及漏洞紧急状态的关键词，漏洞所发生的位置等，在分词之后，还可以将分词结果与既有漏洞的既有漏洞信息进行对比，进而确认漏洞是否在漏洞库内。由此，用户可通过ik分词，可以获取漏洞的紧急情况、严重程度等漏洞信息，进而合理安排对该漏洞的修复顺序、修复的技术人员调用等。
51.s130，在确定漏洞不在漏洞库内时，向技术人员反馈漏洞信息以使技术人员对漏洞进行修复，并将漏洞及对应的修复方法存入漏洞库中，以使在扫描出与漏洞相同的重复漏洞时，调用漏洞对应的修复方法对重复漏洞进行修复。
52.本实施例中，漏洞库还存储有已修复的漏洞对应的修复方法，其中，修复方法可以是修复脚本，补丁等，对于目标资产中所出现的漏洞中存在重复漏洞时，可以从漏洞库中调用该漏洞对应的修复方法，对漏洞进行修复。
53.本实施例中，在确定漏洞不在漏洞库内时，需通知相关的技术人员对漏洞进行修复，在技术人员对漏洞进行修复后，将技术人员的修复过程及使用到的脚本、补丁生成为修复脚本包，及生成为对应的修复方法。同时，将漏洞及对应的修复方法存入漏洞库中，具体地，可以是将漏洞主键及对应的修复脚本包存入漏洞库中。在将漏洞及对应的修复方法存入漏洞库后，后续再遇到重复漏洞时，可以直接调用对应的修复方法对该漏洞进行修复。
54.一实施例中，在对漏洞进行修复，并将漏洞及对应的修复方法存入漏洞库中之后，对目标资产进行复测，以确定目标资产的漏洞修复完成。
55.本实施例中，在一个扫描任务中的所有目标资产中所扫描出的漏洞全修复完成之
后，可以将扫描任务、目标资产的资产主键及漏洞主键存入查询数据库中，以供用户或技术人员从查询数据库中查询资产、漏洞及任务的相关信息，以便于及时了解资产的安全状态，进而提高资产的安全性。其中，查询数据库可以是elasticsearch数据库。
56.本实施例中，在通过调用修复方法或安排技术人员对目标资产的所有漏洞进行修复之后，可以将目标资产的状态修改为已修复。同时，定期生成对目标资产的复测任务，以确定目标资产中的漏洞已经修复完成，同时也检查目标资产是否存在新的漏洞。
57.本技术实施例中，通过对漏洞从生成，扫描，修复及管理的全生命周期进行管理，有效提高对漏洞修复效率及管理效率，进而提高资产安全性。其中，通过获取目标资产所存在的漏洞，并与漏洞库中的既有漏洞进行对比，可以快速判断目标资产所存在的漏洞是否与已修复过的既有漏洞相同，在不相同时，即确定漏洞不在漏洞库内时，向技术人员反馈并修复，将漏洞及技术人员对漏洞的修复方法保存，可以便于后续资产中出现相同的漏洞时，可以快速调用对应的修复方法对重复漏洞进行修复，从而减少技术人员对漏洞修复的工作量，调用修复方法对漏洞直接简化修复过程，提高对漏洞的修复效率，提高资产安全性，及时对漏洞进行修复，减少因漏洞导致的财产损失。
58.请参阅图3，图3为本技术实施例提供的一种资产漏洞管理装置的结构框图，资产漏洞管理装置200包括：处理模块210和扫描模块220。
59.扫描模块220，用于对目标资产进行扫描，获取目标资产所存在的漏洞；
60.处理模块210，与扫描模块连接，可以调用资产数据库和漏洞库，用于将漏洞与漏洞库中的已修复的既有漏洞进行对比；
61.处理模块210，还用于在确定漏洞为不在漏洞库时，向技术人员反馈漏洞信息，以使技术人员对漏洞进行修复，并将漏洞及对应的修复方法存入漏洞库中，以使发生与漏洞相同的重复漏洞时，调用修复方法对重复漏洞进行修复。
62.处理模块210，还用于获取漏洞的漏洞信息；将漏洞信息与既有漏洞的既有漏洞信息对比；在漏洞信息与所述既有漏洞信息的相似度小于预设阈值时，确定该漏洞不在漏洞库内；在漏洞信息与既有漏洞信息的相似度大于预设阈值时，确定漏洞为重复漏洞。
63.处理模块210，还用于对漏洞信息进行ik分词，获取分词结果，并将分词结果与既有漏洞的既有漏洞信息进行对比。
64.处理模块210，还用于基于用户的操作录入资产及对应的资产信息；对资产信息进行加密，生成资产对应的资产主键并存入资产数据库中，资产主键为用于表征资产信息的标识字符串。
65.处理模块210，还用于基于用户所选择的目标资产创建扫描任务；基于扫描任务的数量从预先创建的多线程中获取相同数量的线程执行扫描任务，分别对扫描任务对应的所述目标资产进行扫描，其中，线程与漏洞扫描引擎数量相同且一对一绑定。
66.处理模块210，还与用户所使用的终端远程连接，用于接收用户使用的终端录入的资产信息，并对资产信息加密后，存入资产数据库中。处理模块还可以接收用户在所使用的终端创建的资产扫描任务，以完成对目标资产的扫描与漏洞修复。
67.扫描模块220，还用于对目标资产进行复测，以确定目标资产的漏洞修复完成。
68.可以理解，本技术提供的资产漏洞管理装置200与本技术提供的资产漏洞管理方法对应，为使说明书简洁，相同或相似部分可以参照资产漏洞管理方法部分的内容，在此不
再赘述。
69.上述资产漏洞管理装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于服务器中的处理器中，也可以以软件形式存储于服务器中的存储器中，以便于处理器调用执行以上各个模块对应的操作。该处理器可以为中央处理单元(cpu)、微处理器、单片机等。
70.上述资产漏洞管理方法或存储装置可以实现为一种计算机可读指令的形式，计算机可读指令可以在如图4所示的电子设备上运行。
71.本技术实施例还提供的一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机可读指令，该处理器执行该程序时实现上述的资产漏洞管理方法。
72.图4为根据本技术的一个实施例的电子设备的内部结构示意图，电子设备可以为服务器。请参阅图4，该电子设备包括通过系统总线连接的处理器、非易失性存储介质、内存储器、输入装置、显示屏和网络接口。其中，该电子设备的非易失性存储介质可存储操作系统和计算机可读指令，该计算机可读指令被执行时，可使得处理器执行本技术各实施例的一种资产漏洞管理方法，该方法的具体实现过程可参考图1、图3的具体内容，在此不再赘述。该电子设备的处理器用于提供计算和控制能力，支撑整个电子设备的运行。该内存储器中可储存有计算机可读指令，该计算机可读指令被处理器执行时，可使得处理器执行一种资产漏洞管理方法。电子设备的输入装置用于各个参数的输入，电子设备的显示屏用于进行显示，电子设备的网络接口用于进行网络通信。本领域技术人员可以理解，图4中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的电子设备的限定，具体的电子设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
73.基于同一发明构思，本技术实施例还提供一种计算机可读存储介质，可读存储介质中存储有计算机程序，当计算机程序在计算机上运行时，使得计算机执行资产漏洞管理方法。
74.在本技术所提供的实施例中，应该理解到，所揭露的方法和装置，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的。在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
75.所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
76.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应所述以权利要求的保护范围为准。
77.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。