一种漏洞管理方法、装置、电子设备及存储介质与流程

本发明属于网络安全技术领域，具体涉及一种漏洞管理方法、装置、电子设备及存储介质。

背景技术

随着信息价值的飞速提升，互联网在全球的普及，数字经济的广泛应用，这一切都刺激着信息安全市场的不断扩大。软件破解、口令解密、间谍软件、木马病毒全部都从早期的仅做研究和向他人炫耀的目的转化为纯商业利益的运作，并迅速地传播开来，从操作系统到数据库，从应用软件到第三方程序和插件，再到遍布全球的漏洞发布中心，存在诸多0day(指还没有补丁的漏洞，而0day攻击则是指利用这种漏洞进行的攻击)。

所有的0day漏洞都是无法防御的，但是当0day漏洞公布后，软件厂商无法及时进行补丁修补，在这方面将会有极大的安全风险，黑客将会利用刚公布的漏洞进行大规模的攻击，从而影响用户利益。

技术实现要素：

鉴于此，本发明的目的在于提供一种漏洞管理方法、装置、电子设备及存储介质，以有效地改善上述问题。

本发明的实施例是这样实现的：

第一方面，本发明实施例提供了一种漏洞管理方法，包括：对多个漏洞平台进行监测，获取所述多个漏洞平台最新发布的漏洞信息；将所述多个漏洞平台最新发布的漏洞信息与本系统的软硬件设备进行比对；在确定所述本系统存在漏洞时，对存在漏洞的软件启用通信加密机制，以及对与所述存在漏洞的软件进行交互的接收设备启用通信解密机制。

第二方面，本发明实施例还提供了一种漏洞管理装置，包括：获取模块，用于对多个漏洞平台进行监测，获取所述多个漏洞平台最新发布的漏洞信息；比对模块，用于将所述多个漏洞平台最新发布的漏洞信息与本系统的软硬件设备进行比对；启动模块，用于在确定所述本系统存在漏洞时，对存在漏洞的软件启用通信加密机制，以及对与所述存在漏洞的软件进行交互的接收设备启用通信解密机制。

第三方面，本发明实施例还提供了一种电子设备，包括：处理器和存储器，所述存储器和所述处理器连接；所述存储器用于存储程序；所述处理器用于调用存储于所述存储器中的程序，以执行上述方法实施例所述的方法。

第四方面，本发明实施例还提供了一种存储介质，所述存储介质存储有处理器可执行的程序代码与计算机内，所述存储介质包括多条指令，所述多条指令被配置成使所述处理器执行上述方法实施例所述的方法。

与现有技术相比，本发明各实施例提出的漏洞管理方法、装置、电子设备及存储介质的有益效果是：对多个漏洞平台进行监测，获取所述多个漏洞平台最新发布的漏洞信息；将所述多个漏洞平台最新发布的漏洞信息与本系统的软硬件设备进行比对；在确定所述本系统存在漏洞时，对存在漏洞的软件启用通信加密机制，以及对与所述存在漏洞的软件进行交互的接收设备启用通信解密机制，通过该方法，可以解决现有的漏洞出现到补丁更新之间的安全空档期，自动化保护产品不受到漏洞的威胁。

本发明的其他特征和优点将在随后的说明书阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明实施例而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。通过附图所示，本发明的上述及其它目的、特征和优势将更加清晰。在全部附图中相同的附图标记指示相同的部分。并未刻意按实际尺寸等比例缩放绘制附图，重点在于示出本发明的主旨。

图1示出了本发明实施例提供的一种电子设备的结构示意图。

图2示出了本发明实施例提供的一种漏洞管理方法的流程图。

图3示出了本发明实施例提供的基于预设加密规则对数据进行加密处理的流程图。

图4示出了本发明实施例提供的一种漏洞管理装置的模块示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

在本发明的描述中，需要说明的是，术语“第一”、“第二”、“第三”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

如图1所示，图1示出了本发明实施例提供的一种电子设备100的结构框图。所述电子设备100包括：漏洞管理装置110、存储器120、存储控制器130和处理器140。

所述存储器120、存储控制器130、处理器140各元件相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。所述漏洞管理装置110包括至少一个可以软件或固件(firmware)的形式存储于所述存储器120中或固化在所述电子设备100的操作系统(operatingsystem，os)中的软件功能模块。所述处理器140用于执行存储器120中存储的可执行模块，例如所述漏洞管理装置110包括的软件功能模块或计算机程序。

其中，存储器120可以是，但不限于，随机存取存储器(randomaccessmemory，ram)，只读存储器(readonlymemory，rom)，可编程只读存储器(programmableread－onlymemory，prom)，可擦除只读存储器(erasableprogrammableread－onlymemory，eprom)，电可擦除只读存储器(electricerasableprogrammableread－onlymemory，eeprom)等。其中，存储器120用于存储程序，所述处理器140在接收到执行指令后，执行所述程序，后述本发明实施例任一实施例揭示的流程定义的电子设备100所执行的方法可以应用于处理器140中，或者由处理器140实现。

处理器140可能是一种集成电路芯片，具有信号的处理能力。上述的处理器可以是通用处理器，包括中央处理器(centralprocessingunit，cpu)、网络处理器(networkprocessor，np)等；还可以是数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

第一实施例

请参阅图2，为本发明实施例提供的一种应用于上述电子设备100的漏洞管理方法，下面将结合图2对其所包含的步骤进行说明。

步骤s101：对多个漏洞平台进行监测，获取所述多个漏洞平台最新发布的漏洞信息。

新型漏洞出现后，一般官方很快会更新一般防范的版本，后续会更新稳定的版本。在漏洞出现之后在对应该漏洞的更新出来之前，可以通过对各个漏洞平台进行监测，获取各个漏洞平台最新发布的漏洞信息，即新出来的漏洞信息，以便在这一空档期采取必要的防御处理。

步骤s102：将所述多个漏洞平台最新发布的漏洞信息与本系统的软硬件设备进行比对。

在获取到各个漏洞平台最新发布的漏洞信息后，将所述多个漏洞平台最新发布的漏洞信息与本系统的软硬件设备进行比对，判断本系统的软硬件设备是否存在上述的漏洞信息。

作为一种可选的实施方式，在所述对多个漏洞平台进行监测之前，所述方法还包括：基于本系统已安装的软硬件设备(比如路由器)的版本型号，制作成列表，方便漏洞的快速定位及更新。相应的，将所述多个漏洞平台最新发布的漏洞信息与本系统的软硬件设备进行比对，即为将所述多个漏洞平台最新发布的漏洞信息与本系统的所述列表进行比对。这样在进行比对时，可以快速的知道本系统中的那些软硬件设备存在漏洞，如果出现漏洞则启动防护机制，对相应的补丁更新平台持续监控，以便于获取相应的补丁。

其中，列表的原因是漏洞平台发布漏洞的时候会根据产品的版本发布漏洞，比如：ios的10.1版本出现漏洞，那么在10.1之前的版本也可能受到影响。做成列表方便定位出现漏洞的软件及版本型号，补丁管理器只需要根据列表需要和漏洞平台作对比即可，加快查询效率及快速反应的能力。

步骤s103：在确定所述本系统存在漏洞时，对存在漏洞的软件启用通信加密机制，以及对与所述存在漏洞的软件进行交互的接收设备启用通信解密机制。

在确定所述本系统存在漏洞时，采取漏洞防御机制对存在漏洞的插件或软件进行处理，例如，对存在漏洞的软件启用通信加密机制，以及对与所述存在漏洞的软件进行交互的接收设备启用通信解密机制。

其中，当确定的漏洞为插件漏洞时，对所述插件漏洞对应的软件启用通信加密机制，以及对该软件进行交互的接收设备启用通信解密机制。此外，还可以关闭与所述插件漏洞对应的插件。

其中，当确定的漏洞为软件漏洞时，对该件软件漏洞对应的软件启用通信加密机制，以及对该软件进行交互的接收设备启用通信解密机制。此外，还可以根据该软件漏洞的漏洞等级采取额外的处理方式，例如，在判断所述漏洞等级为高危漏洞时，提取所述高危漏洞的漏洞信息，关闭所述高危漏洞的利用路径，对所述高危漏洞对应的软件以及与所述软件进行交互的第二方软件启用加解密处理。

其中，对存在漏洞的软件启用通信加密机制，包括：基于预设加密规则对所述存在漏洞的软件所发送的数据进行加密处理。作为一种可选的实施方式可以基于图3所包含的步骤对这一过程进行说明。

步骤s201：将所述存在漏洞的软件的版本号作为预先获取的原始公钥哈希的头部，得到第一公钥哈希。

在获取某个漏洞对应的软件后，将该软件的版本号作为预先获取的原始公钥哈希的头部，得到对原始公钥哈希进行组合后的第一公钥哈希。

作为一种可选的实施方式，可以将该软件的版本号中的第一个字节作为预先获取的原始公钥哈希的头部，也可以是其他字节，例如，第二个字节，最后一个字节，倒数第二个字节，前几个字节，最后几个字节等。

其中，预先获取的原始公钥哈希是将预先获取到的真随机数发生器连续产生的256个随机数作为私钥；并利用预设加密算法对该私钥进行运算而生成的所述原始公钥哈希，例如，所述私钥经过secp256k1算法生成对应的原始公钥；对所述原始公钥进行ripemd160计算，得到所述原始公钥哈希。此外，也可以使用伪随机数发生器产生的256个随机数作为私钥。

步骤s202：利用sha256加密算法对所述第一公钥哈希进行至少一次运算，得到运算结果，并取所述运算结果的前4个字节作为所述原始公钥哈希的尾部，得到第二公钥哈希。

可选地，利用sha256加密算法对所述第一公钥哈希进行2次运算，得到运算结果，并取所述运算结果的前4个字节作为所述原始公钥哈希的尾部，得到第二公钥哈希。

其中，需要说明的是，利用sha256加密算法对所述第一公钥哈希进行运算时，其次数并不限于本实施例中示出的两次，可以是1次，三次，或更多次。此外，在对得到的运算结果进行提取字节时，并不限于本实施例中示出了取所述运算结果的前4个字节，也可以是提取其他位置(如中间部位，尾部)以及其他数值的字节(如，1、2、3、5等数值)。以及提取的字节可以是放在原始哈希的头部以及中间位置等位置。

步骤s203：对所述第二公钥哈希进行base58编码得到加密公钥。

得到对原始公钥哈希进行2次组合后的第二公钥哈希后，对所述第二公钥哈希进行base58编码即可得到加密时所用的加密公钥。

步骤s204：基于所述加密公钥对所述存在漏洞的软件所发送的数据进行加密处理。

得到加密公钥后，基于所述加密公钥对所述存在漏洞的软件所发送的数据进行加密处理。

其中，对与所述存在漏洞的软件进行交互的接收设备启用通信解密机制，包括：将所述存在漏洞的软件采用通信加密机制时所使用的加密公钥对应的私钥以及加密规则发送给与所述存在漏洞的软件进行交互的接收设备，以使所述接收设备在接收到来源于所述存在漏洞的软件所发送的加密数据时，基于所述私钥以及所述加密规则对所述加密数据进行解密处理。

其中，加密的算法采用非对称加密算法的方式。例如：a软件出现安全漏洞，需要和b软件进行通信，正常的数据补丁管理平台会配发一个公钥对数据进行加密，该数据只有对应的私钥进行解密，并将私钥以及对应的加密规则配发给软件b。

此外，还可以对与存在漏洞的软件进行交互的第二方软件也启用加密机制，即与存在漏洞的软件进行交互的第二方软件在向该存在漏洞的软件发送数据时进行加密处理，同时对该存在漏洞的软件接收的加密数据采用解密处理。其过程与上述相同，至少执行主体不同而已。

作为一种可选的实施方式，对存在漏洞的软件启用通信加密机制，以及对与所述存在漏洞的软件进行交互的接收设备启用通信解密机制之后，所述方法还包括：向与所述本系统存在的漏洞对应的漏洞平台获取补丁更新，以及及时修补漏洞

本发明实施例还提供了一种漏洞管理装置110，如图4所示，包括：获取模块111、比对模块112以及启动模块113。

获取模块111，用于对多个漏洞平台进行监测，获取所述多个漏洞平台最新发布的漏洞信息。

比对模块112，用于将所述多个漏洞平台最新发布的漏洞信息与本系统的软硬件设备进行比对.

启动模块113，用于在确定所述本系统存在漏洞时，对存在漏洞的软件启用通信加密机制，以及对与所述存在漏洞的软件进行交互的接收设备启用通信解密机制。其中，启动模块包括加密启动子模块和解密启动子模块。

其中，加密启动子模块，用于在确定所述本系统存在漏洞时，对存在漏洞的软件启用通信加密机制，以及还用于基于预设加密规则对所述存在漏洞的软件所发送的数据进行加密处理。

其中，加密启动子模块具体用于将预先获取到的真随机数发生器连续产生的256个随机数作为私钥；基于所述私钥以及预设加密算法生成原始公钥哈希；将所述存在漏洞的软件的版本号作为所述原始公钥哈希的头部，得到第一公钥哈希；利用sha256加密算法对所述第一公钥哈希进行至少一次运算，得到运算结果，并取所述运算结果的前4个字节作为所述原始公钥哈希的尾部，得到第二公钥哈希；对所述第二公钥哈希进行base58编码得到加密公钥；基于所述加密公钥对所述存在漏洞的软件所发送的数据进行加密处理。以及，还用于所述私钥经过secp256k1算法生成对应的原始公钥；对所述原始公钥进行ripemd160计算，得到所述原始公钥哈希。

其中，解密启动子模块，用于在确定所述本系统存在漏洞时，对与所述存在漏洞的软件进行交互的接收设备启用通信解密机制，以及还用于将所述存在漏洞的软件采用通信加密机制时所使用的加密公钥对应的私钥以及加密规则发送给与所述存在漏洞的软件进行交互的接收设备。

可选地，所述漏洞管理装置110还包括：制作模块以及补丁获取模块。

其中，制作模块，用于基于本系统已安装的软硬件设备的版本型号制作成列表。

其中，补丁获取模块，用于向与所述本系统存在的漏洞对应的漏洞平台获取补丁更新。

本发明实施例还提供了一种存储介质，所述存储介质存储有处理器可执行的程序代码与计算机内，所述存储介质包括多条指令，所述多条指令被配置成使所述处理器执行上述方法实施例所述的方法。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

本发明实施例所提供的漏洞管理装置110，其实现原理及产生的技术效果和前述方法实施例相同，为简要描述，装置实施例部分未提及之处，可参考前述方法实施例中相应内容。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，笔记本电脑，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read－onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。