一种漏洞的整改方法、装置、设备及存储介质与流程

1.本发明属于网络安全的技术领域，尤其涉及一种漏洞的整改方法、装置、设备及存储介质。


背景技术：

2.目前国内外网络安全形势严峻，网络攻击手段层出不穷，各类it资产，如电子设备，面临的网络安全威胁日益增大，相关网络安全漏洞频繁爆出，高效、高质推进自身的网络安全漏洞整改工作至关重要。
3.目前传统的网络安全漏洞整改时限的评估方法主要依照该漏洞的危害等级(划分要求为访问路径、利用复杂度和影响程度三个方面)，确定统一的通用网络安全漏洞整改时限，如超危、高危漏洞整改时限为10个工作日，中危、低危漏洞整改时限为30个工作日。这样规定的整改时限往往带来以下问题：
4.(1)只考虑到漏洞的危害级别，未考虑其他影响因素的情况下确定出来的整改时限，并不能准确地满足各漏洞修复的需求。
5.(2)仅根据危害等级确定整改漏洞的优先级，难以及时解决危害性大的漏洞，存在安全隐患，同时还会导致整改漏洞的力量分配不佳。


技术实现要素：

6.本发明提供了一种漏洞的整改方法、装置、设备及存储介质，以解决现有技术中仅对漏洞进行简单的危害等级的划分带来的问题，以确保对漏洞整改时限评估的准确度与实时性，实现及时地、有效地控制风险。
7.根据本发明的第一方面，提供了一种漏洞的整改方法，其特征在于，包括：
8.查找在网络安全上存在漏洞的电子设备；
9.依据所述漏洞的危害等级对各个所述电子设备计算整改所述漏洞的候选时限；
10.计算各个所述电子设备在多个资产维度上呈现的特征值；
11.根据多个所述特征值对各个所述电子设备的所述候选时限进行调节，得到对各个所述电子设备整改所述漏洞的目标时限；
12.对各个所述电子设备发布漏洞整改任务，所述漏洞整改任务要求在所述目标时限内整改各个所述电子设备的所述漏洞。
13.根据本发明的第二方面，提供了一种漏洞的整改装置，包括：
14.查找模块，用于查找在网络安全上存在漏洞的电子设备；
15.候选时限计算模块，用于依据所述漏洞的危害等级对各个所述电子设备计算整改所述漏洞的候选时限；
16.特征值计算模块，用于计算各个所述电子设备在多个资产维度上呈现的特征值；
17.调节模块，用于根据多个所述特征值对各个所述电子设备的所述候选时限进行调节，得到对各个所述电子设备整改所述漏洞的目标时限；
18.发布模块，用于对各个所述电子设备发布漏洞整改任务，所述漏洞整改任务要求在所述目标时限内整改各个所述电子设备的所述漏洞。
19.根据本发明的另一方面，提供了一种电子设备，所述电子设备包括：
20.至少一个处理器；以及
21.与所述至少一个处理器通信连接的存储器；其中，
22.所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行本发明任一实施例所述的一种漏洞的整改方法。
23.根据本发明的另一方面，提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使处理器执行时实现本发明任一实施例所述的一种漏洞的整改方法。
24.本技术实施例中提供了一种漏洞的整改方法，可以先查找在网络安全上存在漏洞的电子设备，然后依据漏洞的危害等级对各个电子设备计算整改漏洞的候选时限，此时确定的候选时限还未能很好地明确各电子设备对应的紧急程度，可以计算各个电子设备在多个资产维度上呈现的特征值，根据多个特征值对各个电子设备的候选时限进行调节，得到对各个电子设备整改漏洞的目标时限，对各个电子设备发布漏洞整改任务，漏洞整改任务要求在目标时限内整改各个电子设备的漏洞，能有效提高对存在漏洞的电子设备整改时限评估的准确度与实时性，可以在限定的人力成本条件下，及时、有效地控制风险。
25.应当理解，本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征，也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。
附图说明
26.为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
27.图1是根据本发明实施例一提供的一种漏洞的整改方法的流程图；
28.图2是根据本发明实施例二提供的一种漏洞的整改装置的结构示意图；
29.图3是实现本发明实施例的一种漏洞的整改方法的电子设备的结构示意图。
具体实施方式
30.为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
31.需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或
描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
32.实施例一
33.图1为本公开实施例一提供的一种漏洞的整改方法的流程图。
34.对于目前网络安全面临的问题，如何在限定的人力成本条件上，合理评估每类电子设备网络安全漏洞整改时限，是实现高效、高质推进网络安全漏洞整改工作的关键。
35.目前，通用网络安全漏洞整改时限的确定，只考虑到漏洞的危害级别，未考虑有修复补丁的漏洞与暂无修复补丁的漏洞的差异、以及不同网络安全保障时期对漏洞整改时限要求的变化。另外，网络安全漏洞整改时限未综合考虑各类电子设备所面临的攻击暴露面、资产类别、资产使用频数等因素，未明确各类电子设备漏洞整改的轻重缓急，造成前期安全漏洞整改力量分散，导致网络安全漏洞整改事倍功半。
36.可通过本发明实施例提出的漏洞的整改方法，提高电子设备网络安全漏洞整改时限评估的准确度与实时性，从而实现高效、高质的漏洞整改。
37.该方法可以由一种漏洞的整改装置来执行，该用于漏洞的整改装置可以采用硬件和/或软件的形式实现。
38.如图1所示，本实施例可以包括如下步骤：
39.s110，查找在网络安全上存在漏洞的电子设备。
40.本实施例中，可以是基于具有查找漏洞功能的平台，针对电子设备进漏洞扫描等操作，以确定出在指定范围内，在网络安全上存在漏洞的电子设备。
41.示例性的，对于企业内部而言，电子设备可以包括各类业务系统、网络设备、安全设备、主机设备、办公终端、办公外设等。
42.在一种实施例中，步骤s110，包括如下步骤：
43.s110-1，获取在指定的渠道中发布的漏洞信息，漏洞信息包括软件和/或硬件的第一版本信息。
44.在本实施例中，指定的渠道可以是指国家网络安全监管机构、互联网网络安全漏洞主流发布平台等，这些指定的渠道会公布最新的、与网络安全漏洞相关的信息，也就是漏洞信息。具体的，从指定的渠道中，可以获取得到软件和/或硬件具体的版本，以及对应版本存在的具体漏洞。
45.s110-2，查询指定范围内各个电子设备在软件和/或硬件的第二版本信息。
46.在本实施中，指定范围内各个电子设备，可以是指某个管理范围内的所有电子设备，示例性的，如针对某企业进行漏洞的整改，则指定范围内各个电子设备可以是该企业内部的所有电子设备。
47.对指定范围内各个电子设备的软件和/或硬件对应的版本进行查询后，可以确定出具体的电子设备所存有的软件和/或硬件，所对应的版本信息，即得到第二版本信息。
48.s110-3，若某个电子设备的第二版本信息与第一版本信息相同，则确定电子设备在网络安全上存在漏洞。
49.本实施例中，从指定的渠道中获取得到第一版本信息，以及通过查找确定第二版
本信息后，可以将第一版本信息与第二版本信息进行匹配，若某个电子设备的第二版本信息与第一版本信息相同，则可以确定出该电子设备在网络安全上存在漏洞，受漏洞影响。可以排查出指定范围内所有的在网络安全上存在同一漏洞的电子设备。
50.s120，依据漏洞的危害等级对各个电子设备计算整改漏洞的候选时限。
51.在一种实施例中，在确定漏洞后，可以对漏洞的危害等级进行划分，并确定出不同危害等级对应的整改时限。
52.可以根据漏洞对不同层面所带来的影响，设置不同的权重，还可以根据漏洞已经发布的时长来设置不同的权重，还可以根据指定范围具体的使用需求来设置不同的权重。示例性的，当指定范围是银行企业，那么与交易流程相关的漏洞对银行企业的威胁性较大，此时可以对于交易流程相关的漏洞设置相应的权重，以缩短整改时限。
53.然后，可以根据不同危害等级对应的整改时限以及确定出来的各权重进行候选时限的计算。
54.在一种实施例中，步骤s120，包括如下步骤：
55.s120-1，查询漏洞的危害等级。
56.在本实施例中，可以预先针对所有的漏洞进行危害等级的划分，生成漏洞危害等级的划分信息。在确定电子设备存在的漏洞后，可以从预先生成的漏洞危害等级的划分信息中进行查询，确定出电子设备存在的漏洞对应的危害等级。具体的，危害等级可以分为超危、高危、中危以及低危。
57.s120-2，将危害等级映射为各个电子设备配置整改漏洞原始时限，其中，原始时限与危害等级负相关。
58.在本实施例中，不同的危害等级对应的整改时限不相同，危害等级指示的危害越大，其整改时限要求更高，也就是时限越短。可以将危害等级映射为各个电子设备配置整改漏洞原始时限，示例性的，危害等级为超危、高危的漏洞，原始时限为10个工作日，危害等级为中危、低危的漏洞，原始时限为30个工作日。
59.s120-3，分别在多个安全维度下对各个电子设备配置多个调节系数。
60.本实施例中，凭危害等级的划分映射的整改漏洞原始时限，难以准确符合整改漏洞的紧急性，并且存在导致整改力量分配不合理的问题。因此，可以针对不同的应用场所设置不同的安全维度，并在多个安全维度下对各个电子设备配置多个调节系数，对漏洞的整改时限进行进一步的精准细化，以得到更合理的整改时限。示例性的，安全维度可以是当前所处的时期是否为网络安全保障时期、漏洞发布的时长、漏洞影响的层面等等。
61.在一种实施例中，步骤s120-3，包括如下步骤：
62.查询漏洞已发布的时长；
63.按照时长对各个电子设备配置调节系数，调节系数与时长正相关；
64.查询电子设备所处网络环境的安全保障级别；
65.按照安全保障级别对各个电子设备配置调节系数，调节系数与安全保障级别负相关；
66.查询漏洞对电子设备的软件和/或硬件产生安全影响的层面；
67.按照层面对各个电子设备配置调节系数，模组层面的对外访问的权限与安全保障级别负相关。
68.在本实施例中，安全维度可以是漏洞已发布的时长、电子设备所处网络环境的安全保障级别以及漏洞对电子设备的软件和/或硬件产生安全影响的层面。
69.漏洞已发布的时长的可以从指定的渠道发布的漏洞信息中查询确定，按照时长对各个电子设备配置调节系数，调节系数与时长正相关。可以将a1作为按照时长对各个电子设备配置调节系数。示例性的，对于时长为0天的漏洞、时长为1天的漏洞、n天的漏洞，a1可相应设置为0.5、0.7、1等3个系数，0天的漏洞意味着是未发布官方补丁的漏洞，危害极大，整改时限要求越高，对应的调节系数越小。在一种实施例中，若仅考虑漏洞已发布的时长，对于时长为0天的高危漏洞整改时限可以为原始时限的10天与调节系数相乘，即10
×
0.5＝5个工作日。
70.电子设备所处网络环境的安全保障级别可以是由当前发现漏洞的时间节点确定。由于不同的网络环境处理的信息不同，部分网络环境处理的信息关乎国家安全、社会秩序、公共利益等，因此，需要每隔一段时间进行测评，不同的测评时间段的紧急程度可以不一样。由于测评时存在更具针对性的漏洞，也就是存在安全隐患更大，当处于测评时间段内时，需要对漏洞进行更快速的修复以确保信息的安全。
71.a2为按照安全保障级别对各个电子设备配置调节系数，调节系数与安全保障级别负相关。示例性的，安全保障级别可以分为特级、一级、二级、日常网络安全保障期间，a2可相应设置为0.7、0.8、0.9、1等4个调节系数，即等级越高，调节系数越高。在一种实施例中，若仅考虑安全保障级别，当前处于特级网络安全保障期间，此时高危漏洞整改时限可以为原始时限的10天与调节系数相乘，即10
×
0.7＝7个工作日。
72.可以预先针对不同的漏洞所影响的层面进行划分，然后查询出当前的漏洞对电子设备的软件和/或硬件产生安全影响的层面，示例性的，不同的层面可以有应用层面、数据库层面、操作系统层面。
73.由于应用端口、数据库端口、操作系统端口对外访问权限由宽变窄，a3按照层面对各个电子设备配置调节系数，模组层面的对外访问的权限与安全保障级别负相关，a3可相应设置为0.5、1、2等3个系数。在一种实施例中，若仅考虑所影响的层面，当前漏洞为操作系统层面的漏洞，此时高危漏洞为操作系统层面的漏洞，整改时限可以为原始时限的10天与调节系数相乘，即10
×
2＝20个工作日。
74.s120-4，针对同一电子设备，将原始时限与多个调节系数相乘，得到对电子设备整改漏洞的候选时限。
75.在一种实施例中，当根据多个安全维度确定出多个调节系数后，在确定对电子设备整改漏洞的候选时限时，可以将原始时限与多个调节系数相乘。
76.可以采用如下公式确定出候选时限：
77.t1＝t0×
a1×
a2×
a378.其中，t1为对电子设备整改漏洞的候选时限，t0为原始时限，a1为按照时长对各个电子设备配置调节系数，a2为按照安全保障级别对各个电子设备配置调节系数，a3为按照层面对各个电子设备配置调节系数。
79.可以知道，针对具有同一漏洞的电子设备所确定出来的候选时限是相同的。
80.s130，计算各个电子设备在多个资产维度上呈现的特征值。
81.在本实施例中，还可以结合资产维度对整改时限进行综合考虑，以确定受漏洞影
响的各电子设备对应的，更具实时性、更具安全性的整改时限。
82.具体的，可以采用对角矩阵的方式来表示多个资产维度上呈现的特征值。
83.在一种实施例中，步骤s130包括如下步骤：
84.s130-1，对各个电子设备查询在多个资产维度上的资产信息。
85.资产维度可以预先确定，针对存在漏洞的电子设备，可以从电子设备所属的指定范围对资产信息进行查询，示例性的，指定范围为某企业内部时，对于企业内部而言，对电子设备在多个资产维度上的部分资产信息会存有记录，可以直接从企业内部所记录的信息中查询得到，另外，部分的资产信息还可以从历史的网络环境数据中查询得到，如用户数量、访问量等。
86.在一种实施例中，步骤s130-1包括：
87.对各个电子设备分别查询资产类别信息、资产暴露面信息与资产使用信息，作为资产信息；
88.其中，资产类别信息包括业务系统、信息基础设施、终端设备、办公外设；
89.资产暴露面信息包括互联网应用、与互联网应用有数据交互的第一内网系统、跨区域访问的第二内网系统、单区域访问的第三内网系统；
90.资产使用信息包括第一使用信息、第二使用信息、第三使用信息、第四使用信息；第一使用信息的用户量级与第二使用信息的用户量级均属于第一量级，第三使用信息的用户量级与第四使用信息的用户量级均属于第二量级，第一量级大于第二量级；第一使用信息的访问量级与第三使用信息的访问量级均属于第三量级，第二使用信息的访问量级与第四使用信息的访问量级均属于第四量级，第三量级大于第四量级。
91.具体的，信息基础设施包含网络设备、安全设备和主机设备。第一使用信息可以理解为用户数多且访问量大，第二使用信息可以理解为用户数多且访问量少，第三使用信息可以理解为用户数少且访问量大，第四使用信息可以理解为用户数少且访问数少。
92.s130-2，将资产信息映射为特征值。
93.可以根据实际的应用情况，对资产信息中的各信息进行特征值的确定和调整，并在确定了存在漏洞的电子设备的资产信息后，进行映射，确定出各资产信息对应的特征值。
94.在一种实施例中，步骤s130-2包括：
95.分别将资产类别信息、资产暴露面信息与资产使用信息映射至资产值；
96.其中，业务系统的特征值小于信息基础设施的特征值、信息基础设施的特征值小于终端设备的特征值、终端设备的特征值小于办公外设的特征值；
97.互联网应用的特征值小于与第一内网系统的特征值、第一内网系统的特征值小于第二内网系统的特征值、第二内网系统的特征值小于第三内网系统的特征值；
98.第一使用信息的特征值小于第二使用信息的特征值、第二使用信息的特征值小于第三使用信息的特征值、第三使用信息的特征值小于第四使用信息的特征值。
99.具体的，业务系统的特征值、终端设备的特征值、信息基础设施的特征值以及终端设备的特征值可以分别对应地设置为1、1.5、1.8、2。
100.互联网应用的特征值、第一内网系统的特征值、第二内网系统的特征值以及第三内网系统的特征值可以分别对应地设置为0.8、1、1.5、2。
101.第一使用信息的特征值、第二使用信息的特征值、第三使用信息的特征值以及第
四使用信息的特征值可以分别对应地设置为1、1.5、1.5、2。
102.s130-3，针对同一资产维度，将各个电子设备的特征值写入同一对角矩阵中。
103.在本实施例中，在确定了各电子设备在不同的资产维度下对应的特征值后，可以将各个电子设备的特征值写入对角矩阵中，其中，属于相同的资产维度的特征值写入同一对角矩阵中。
104.在一种实施例中，步骤s130-3，包括：
105.将各个电子设备在资产类别信息中的特征值写入一个对角矩阵中；
106.将各个电子设备在资产暴露面信息中的特征值写入另一个对角矩阵中；
107.将各个电子设备在资产使用信息中的特征值写入又一个对角矩阵中。
108.具体的，可以采用对角矩阵c＝diag{c1，c2，
…
，cn}表示存在漏洞的各电子设备对应的资产类别信息中的特征值，其中，ci表示电子设备si对应的资产类别信息中的特征值。当业务系统的特征值、终端设备的特征值、信息基础设施的特征值以及终端设备的特征值可以分别对应地设置为1、1.5、1.8、2时，则ci∈{1，1.5，1.8，2}。
109.可以采用对角矩阵e＝diag{e1，e2，
…
，en}表示存在漏洞的各电子设备对应的在资产暴露面信息中的特征值，其中，ei表示电子设备si对应的资产暴露面信息中的特征值。当互联网应用的特征值、第一内网系统的特征值、第二内网系统的特征值以及第三内网系统的特征值可以分别对应地设置为0.8、1、1.5、2时，则ei∈{0.8，1，1.5，2}。
110.可以采用对角矩阵u＝diag{u1，u2，
…
，un}表示存在漏洞的各电子设备对应的资产使用信息中的特征值，其中，ui表示电子设备si对应的资产使用信息中的特征值。当第一使用信息的特征值、第二使用信息的特征值、第三使用信息的特征值以及第四使用信息的特征值可以分别对应地设置为1、1.5、1.5、2时，则ui∈{1，1.5，1.5，2}。
111.s140，根据多个特征值对各个电子设备的候选时限进行调节，得到对各个电子设备整改漏洞的目标时限。
112.由于候选时限是基于危害等级确定的，可以根据多个特征值对各个电子设备的候选时限进行调节，得到对各个电子设备整改漏洞的目标时限，实现多方面的考虑，确定出对各个电子设备整改漏洞更具备实时性、更能确保安全性的目标时限。
113.在一种实施例中，步骤s140，包括如下步骤：
114.将各个电子设备的候选时限与资产类别信息对应的对角矩阵、资产暴露面信息对应的对角矩阵、资产使用信息对应的对角矩阵相乘，得到对各个电子设备整改漏洞的目标时限。
115.具体的，可以采用如下公式确定各个受漏洞影响的电子设备整改漏洞的目标时限：
116.tn＝(t1，t1，
…
，t1)1×n×cn
×n×en
×n×
un×n＝(t
11
，t
12
，
…
，t
1n
)1×n117.其中，tn为受某漏洞影响的各电子设备整改漏洞的目标时限，t1为存在该漏洞的电子设备对应的候选时限，t
1i
表示电子设备si对应的目标时限。
118.s150，对各个电子设备发布漏洞整改任务。
119.具体的，在确定各存在漏洞的电子设备对应的目标时限后，可以生成漏洞整改任务，并对各个电子设备发布漏洞整改任务。其中，漏洞整改任务要求在目标时限内整改各个电子设备的漏洞。
120.本发明实施例提供了一种漏洞的整改方法，可以先查找在网络安全上存在漏洞的电子设备，然后依据漏洞的危害等级对各个电子设备计算整改漏洞的候选时限，此时确定的候选时限还未能很好地明确各电子设备对应的紧急程度，可以计算各个电子设备在多个资产维度上呈现的特征值，根据多个特征值对各个电子设备的候选时限进行调节，得到对各个电子设备整改漏洞的目标时限，对各个电子设备发布漏洞整改任务，漏洞整改任务要求在目标时限内整改各个电子设备的漏洞，能有效提高对存在漏洞的电子设备整改时限评估的准确度与实时性，可以在限定的人力成本条件下，及时、有效地控制风险。
121.实施例二
122.图2提供了一种漏洞的整改装置的结构示意图，如图2所示，所述装置包括：
123.查找模块210，用于查找在网络安全上存在漏洞的电子设备；
124.候选时限计算模块220，用于依据所述漏洞的危害等级对各个所述电子设备计算整改所述漏洞的候选时限；
125.特征值计算模块230，用于计算各个所述电子设备在多个资产维度上呈现的特征值；
126.调节模块240，用于根据多个所述特征值对各个所述电子设备的所述候选时限进行调节，得到对各个所述电子设备整改所述漏洞的目标时限；
127.发布模块250，用于对各个所述电子设备发布漏洞整改任务，所述漏洞整改任务要求在所述目标时限内整改各个所述电子设备的所述漏洞。
128.在一种实施例中，所述查找模块210，包括如下子模块：
129.漏洞信息获取子模块，用于获取在指定的渠道中发布的漏洞信息，所述漏洞信息包括软件和/或硬件的第一版本信息；
130.第二版本信息查询子模块，用于查询指定范围内各个电子设备在软件和/或硬件的第二版本信息；
131.执行子模块，用于当某个所述电子设备的所述第二版本信息与所述第一版本信息相同，则确定所述电子设备在网络安全上存在漏洞。
132.在一种实施例中，所述候选时限计算模块220，包括如下子模块：
133.危害等级查询子模块，用于查询所述漏洞的危害等级；
134.第一映射子模块，用于将所述危害等级映射为各个所述电子设备配置整改所述漏洞原始时限，其中，所述原始时限与所述危害等级负相关；
135.调节系数配置子模块，用于分别在多个安全维度下对各个所述电子设备配置多个调节系数；
136.候选时限确定子模块，用于针对同一所述电子设备，将所述原始时限与多个所述调节系数相乘，得到对所述电子设备整改所述漏洞的候选时限。
137.在一种实施例中，所述调节系数配置子模块，具体用于：
138.查询所述漏洞已发布的时长；
139.按照所述时长对各个所述电子设备配置调节系数，所述调节系数与所述时长正相关；
140.查询所述电子设备所处网络环境的安全保障级别；
141.按照所述安全保障级别对各个所述电子设备配置调节系数，所述调节系数与所述
安全保障级别负相关；
142.查询所述漏洞对所述电子设备的软件和/或硬件产生安全影响的层面；
143.按照所述层面对各个所述电子设备配置调节系数，所述模组层面的对外访问的权限与所述安全保障级别负相关。
144.在一种实施例中，所述特征值计算模块230，包括如下子模块：
145.资产信息查询子模块，用于对各个所述电子设备查询在多个资产维度上的资产信息；
146.第二映射子模块，用于将所述资产信息映射为特征值；
147.写入特征值子模块，用于针对同一所述资产维度，将各个所述电子设备的所述特征值写入同一对角矩阵中。
148.在一种实施例中，
149.所述资产信息查询子模块，具体用于：
150.对各个所述电子设备分别查询资产类别信息、资产暴露面信息与资产使用信息，作为资产信息；
151.其中，所述资产类别信息包括业务系统、信息基础设施、终端设备、办公外设；
152.所述资产暴露面信息包括互联网应用、与互联网应用有数据交互的第一内网系统、跨区域访问的第二内网系统、单区域访问的第三内网系统；
153.所述资产使用信息包括第一使用信息、第二使用信息、第三使用信息、第四使用信息；所述第一使用信息的用户量级与所述第二使用信息的用户量级均属于第一量级，所述第三使用信息的用户量级与所述第四使用信息的用户量级均属于第二量级，所述第一量级大于所述第二量级；所述第一使用信息的访问量级与所述第三使用信息的访问量级均属于第三量级，所述第二使用信息的访问量级与所述第四使用信息的访问量级均属于第四量级，所述第三量级大于所述第四量级；
154.所述第二映射子模块，具体用于：
155.分别将所述资产类别信息、所述资产暴露面信息与所述资产使用信息映射至资产值；
156.其中，所述业务系统的特征值小于所述信息基础设施的特征值、所述信息基础设施的特征值小于所述终端设备的特征值、所述终端设备的特征值小于所述办公外设的特征值；
157.所述互联网应用的特征值小于与所述第一内网系统的特征值、所述第一内网系统的特征值小于所述第二内网系统的特征值、所述第二内网系统的特征值小于所述第三内网系统的特征值；
158.所述第一使用信息的特征值小于所述第二使用信息的特征值、所述第二使用信息的特征值小于所述第三使用信息的特征值、所述第三使用信息的特征值小于所述第四使用信息的特征值；
159.所述写入特征值子模块，具体用于：
160.将各个所述电子设备在所述资产类别信息中的所述特征值写入一个对角矩阵中；
161.将各个所述电子设备在所述资产暴露面信息中的所述特征值写入另一个对角矩阵中；
162.将各个所述电子设备在所述资产使用信息中的所述特征值写入又一个对角矩阵中。
163.在一种实施例中，所述调节模块240，具体用于：
164.将各个所述电子设备的所述候选时限与所述资产类别信息对应的所述对角矩阵、所述资产暴露面信息对应的所述对角矩阵、所述资产使用信息对应的所述对角矩阵相乘，得到对各个所述电子设备整改所述漏洞的目标时限。
165.本发明实施例所提供的一种漏洞的整改装置可实现本发明实施例一所提供的一种漏洞的整改方法，具备执行方法相应的功能模块和有益效果。
166.实施例三
167.图3示出了可以用来实施本发明的实施例的电子设备10的结构示意图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本发明的实现。
168.如图3所示，电子设备10包括至少一个处理器11，以及与至少一个处理器11通信连接的存储器，如只读存储器(rom)12、随机访问存储器(ram)13等，其中，存储器存储有可被至少一个处理器执行的计算机程序，处理器11可以根据存储在只读存储器(rom)12中的计算机程序或者从存储单元18加载到随机访问存储器(ram)13中的计算机程序，来执行各种适当的动作和处理。在ram13中，还可存储电子设备10操作所需的各种程序和数据。处理器11、rom12以及ram13通过总线14彼此相连。输入/输出(i/o)接口15也连接至总线14。
169.电子设备10中的多个部件连接至i/o接口15，包括：输入单元16，例如键盘、鼠标等；输出单元17，例如各种类型的显示器、扬声器等；存储单元18，例如磁盘、光盘等；以及通信单元19，例如网卡、调制解调器、无线通信收发机等。通信单元19允许电子设备10通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
170.处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(cpu)、图形处理单元(gpu)、各种专用的人工智能(ai)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(dsp)、以及任何适当的处理器、控制器、微控制器等。处理器11执行上文所描述的各个方法和处理，例如一种漏洞的整改方法。
171.在一些实施例中，一种漏洞的整改方法，可被实现为计算机程序，其被有形地包含于计算机可读存储介质，例如存储单元18。在一些实施例中，计算机程序的部分或者全部可以经由rom12和/或通信单元19而被载入和/或安装到电子设备10上。当计算机程序加载到ram13并由处理器11执行时，可以执行上文描述的一种漏洞的整改方法的一个或多个步骤。备选地，在其他实施例中，处理器11可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行一种漏洞的整改方法。
172.本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(fpga)、专用集成电路(asic)、专用标准产品(assp)、芯片上系统的系统(soc)、负载可编程逻辑设备(cpld)、计算机硬件、固件、软件、和/或它们的组合中实
现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
173.用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器，使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
174.在本发明的上下文中，计算机可读存储介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。备选地，计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或快闪存储器)、光纤、便捷式紧凑盘只读存储器(cd-rom)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
175.为了提供与用户的交互，可以在电子设备上实施此处描述的系统和技术，该电子设备具有：用于向用户显示信息的显示装置(例如，crt(阴极射线管)或者lcd(液晶显示器)监视器)；以及键盘和指向装置(例如，鼠标或者轨迹球)，用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
176.可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如，作为数据服务器)、或者包括中间件部件的计算系统(例如，应用服务器)、或者包括前端部件的计算系统(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将系统的部件相互连接。通信网络的示例包括：局域网(lan)、广域网(wan)、区块链网络和互联网。
177.计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器，又称为云计算服务器或云主机，是云计算服务体系中的一项主机产品，以解决了传统物理主机与vps服务中，存在的管理难度大，业务扩展性弱的缺陷。
178.应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本发明的技术方案所期望的结果，本文在此不进行限制。
179.上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。