本技術(shù)涉及數(shù)據(jù)安全，尤其涉及一種基于低代碼平臺的漏洞預警方法、裝置、設(shè)備及存儲介質(zhì)。

背景技術(shù)：

1、在當前信息安全環(huán)境下，新的高危漏洞不斷出現(xiàn)，企業(yè)的資產(chǎn)可能會受到潛在威脅。例如，對于招聘平臺而言，一些用戶可能會利用招聘平臺的漏洞對招聘平臺進行攻擊，如sql注入、跨站腳本攻擊等，導致招聘平臺內(nèi)的合法用戶信息被竊取或篡改，甚至導致招聘平臺崩潰。

2、面對這些漏洞，往往面臨著如何有效評估漏洞嚴重性以及確定修復優(yōu)先級的挑戰(zhàn)。目前，雖然通用漏洞評分系統(tǒng)(common?vulnerability?scoring?system，cvss)或者國家信息安全漏洞共享平臺(cnnvd)提供了一種廣泛接受的標準來評估漏洞的風險，但是這些標準在評估漏洞嚴重性時仍然不夠全面，評估漏洞嚴重性的準確度較低。

技術(shù)實現(xiàn)思路

1、有鑒于此，本技術(shù)實施例提供一種基于低代碼平臺的漏洞預警方法、裝置、電子設(shè)備、計算機可讀存儲介質(zhì)及計算機程序產(chǎn)品，用于解決上述至少一種技術(shù)問題。

2、本技術(shù)實施例提供一種基于低代碼平臺的漏洞預警方法，低代碼平臺存儲有多種漏洞中每種漏洞的多個映射關(guān)系，多個映射關(guān)系包括：漏洞所涉及的業(yè)務(wù)與業(yè)務(wù)權(quán)重之間的第一映射關(guān)系；業(yè)務(wù)訪問方式與環(huán)境權(quán)重之間的第二映射關(guān)系；漏洞公開情況、漏洞的利用成本與利用難度權(quán)重之間的第三映射關(guān)系；漏洞的影響范圍與影響范圍權(quán)重之間的第四映射關(guān)系；以及，漏洞的風險類型、漏洞類型、漏洞的名稱與漏洞自身權(quán)重之間的第五映射關(guān)系；基于低代碼平臺的漏洞預警方法包括：低代碼平臺接收到目標漏洞的相關(guān)信息后，基于目標漏洞對應(yīng)的第一映射關(guān)系，查詢出與目標業(yè)務(wù)對應(yīng)的目標業(yè)務(wù)權(quán)重；基于目標漏洞對應(yīng)的第二映射關(guān)系，查詢出與目標業(yè)務(wù)的訪問方式對應(yīng)的目標環(huán)境權(quán)重；基于目標漏洞對應(yīng)的第三映射關(guān)系，查詢出與目標漏洞的公開情況和目標漏洞的利用成本對應(yīng)的目標利用難度權(quán)重；基于目標漏洞對應(yīng)的第四映射關(guān)系，查詢出與目標漏洞的影響范圍對應(yīng)的目標影響范圍權(quán)重；基于目標漏洞對應(yīng)的第五映射關(guān)系，查詢出與目標漏洞的風險類型、目標漏洞的漏洞類型和目標漏洞的名稱對應(yīng)的目標漏洞自身權(quán)重；將目標業(yè)務(wù)權(quán)重、目標環(huán)境權(quán)重、目標利用難度權(quán)重、目標影響范圍權(quán)重和目標漏洞自身權(quán)重傳輸至預設(shè)的風險值計算腳本，風險值計算腳本用于基于接收到的權(quán)重信息計算目標漏洞的風險值；根據(jù)風險值計算腳本返回的風險值，確定目標漏洞對應(yīng)的風險等級，并在風險等級達到預定的預警風險等級時發(fā)出漏洞預警信息。

3、根據(jù)本技術(shù)的一些實施例，可選地，風險值計算腳本用于依據(jù)以下表達式計算目標漏洞的風險值：

4、f風險值＝f2×(f5×((f1×f4)2×a+f1×f3×f4×b)+f5×c)

5、其中，f風險值表示目標漏洞的風險值，f1表示目標業(yè)務(wù)權(quán)重，f2表示目標環(huán)境權(quán)重，f3表示目標利用難度權(quán)重，f4表示目標影響范圍權(quán)重，f5表示目標漏洞自身權(quán)重，a、b和c表示調(diào)整系數(shù)，a、b和c均大于0。

6、根據(jù)本技術(shù)的一些實施例，可選地，第一映射關(guān)系包括漏洞所涉及的業(yè)務(wù)、業(yè)務(wù)等級與業(yè)務(wù)權(quán)重之間的第一表格，業(yè)務(wù)等級用于表征業(yè)務(wù)所處的級別，不同業(yè)務(wù)等級對應(yīng)不同的業(yè)務(wù)權(quán)重；基于低代碼平臺的漏洞預警方法還包括：顯示低代碼平臺的界面，界面顯示有第一數(shù)據(jù)選擇按鈕和多個業(yè)務(wù)等級選擇按鈕；響應(yīng)于用戶通過第一數(shù)據(jù)選擇按鈕選擇第一表格的操作，選中并彈出顯示第一表格，以供用戶查看第一表格；若接收到用戶對于多個業(yè)務(wù)等級選擇按鈕中的目標業(yè)務(wù)等級選擇按鈕的點擊操作，則基于目標業(yè)務(wù)等級選擇按鈕對應(yīng)的目標業(yè)務(wù)等級和第一表格，查詢出與目標業(yè)務(wù)等級對應(yīng)的第一業(yè)務(wù)權(quán)重，并基于第一業(yè)務(wù)權(quán)重更改目標業(yè)務(wù)權(quán)重。

7、根據(jù)本技術(shù)的一些實施例，可選地，漏洞預警信息包括目標漏洞的修復時限，不同的預警風險等級對應(yīng)的修復時限不同。

8、根據(jù)本技術(shù)的一些實施例，可選地，漏洞的公開情況包括是否被概念驗證poc公開，漏洞的利用成本包括是否需要使用定制化的攻擊工具，第三映射關(guān)系至少設(shè)置有第一利用難度權(quán)重、第二利用難度權(quán)重和第三利用難度權(quán)重；在第三映射關(guān)系中，第一利用難度權(quán)重對應(yīng)被poc公開，且不需要使用定制化的攻擊工具；第二利用難度權(quán)重對應(yīng)未被poc公開，且不需要使用定制化的攻擊工具；第三利用難度權(quán)重對應(yīng)未被poc公開，且需要使用定制化的攻擊工具；其中，第一利用難度權(quán)重＞第二利用難度權(quán)重＞第三利用難度權(quán)重。

9、根據(jù)本技術(shù)的一些實施例，可選地，漏洞的風險類型包括應(yīng)用風險和基礎(chǔ)架構(gòu)風險，應(yīng)用風險表征應(yīng)用程序中存在潛在威脅，基礎(chǔ)架構(gòu)風險表征系統(tǒng)基礎(chǔ)架構(gòu)中存在潛在威脅；漏洞類型包括輸入驗證、身份鑒別、業(yè)務(wù)邏輯、配置基線和敏感信息泄露中的至少一項；漏洞的名稱包括遠程代碼執(zhí)行漏洞和非遠程代碼執(zhí)行漏洞。

10、根據(jù)本技術(shù)的一些實施例，可選地，將目標業(yè)務(wù)權(quán)重、目標環(huán)境權(quán)重、目標利用難度權(quán)重、目標影響范圍權(quán)重和目標漏洞自身權(quán)重傳輸至預設(shè)的風險值計算腳本，包括：將目標業(yè)務(wù)權(quán)重、目標環(huán)境權(quán)重、目標利用難度權(quán)重、目標影響范圍權(quán)重和目標漏洞自身權(quán)重填寫至低代碼平臺的表單之中，并將表單中的目標業(yè)務(wù)權(quán)重、目標環(huán)境權(quán)重、目標利用難度權(quán)重、目標影響范圍權(quán)重和目標漏洞自身權(quán)重傳輸至風險值計算腳本；在根據(jù)風險值計算腳本返回的風險值，確定目標漏洞對應(yīng)的風險等級之后，基于低代碼平臺的漏洞預警方法還包括：將風險值填寫至表單中的預設(shè)位置，并在表單中勾選目標風險等級，以及在表單中填寫與目標風險等級對應(yīng)的修復期限。

11、本技術(shù)實施例提供一種基于低代碼平臺的漏洞預警裝置，低代碼平臺存儲有多種漏洞中每種漏洞的多個映射關(guān)系，多個映射關(guān)系包括：漏洞所涉及的業(yè)務(wù)與業(yè)務(wù)權(quán)重之間的第一映射關(guān)系；業(yè)務(wù)訪問方式與環(huán)境權(quán)重之間的第二映射關(guān)系；漏洞公開情況、漏洞的利用成本與利用難度權(quán)重之間的第三映射關(guān)系；漏洞的影響范圍與影響范圍權(quán)重之間的第四映射關(guān)系；以及，漏洞的風險類型、漏洞類型、漏洞的名稱與漏洞自身權(quán)重之間的第五映射關(guān)系；基于低代碼平臺的漏洞預警裝置包括：

12、查詢模塊，用于低代碼平臺接收到目標漏洞的相關(guān)信息后，基于目標漏洞對應(yīng)的第一映射關(guān)系，查詢出與目標業(yè)務(wù)對應(yīng)的目標業(yè)務(wù)權(quán)重；基于目標漏洞對應(yīng)的第二映射關(guān)系，查詢出與目標業(yè)務(wù)的訪問方式對應(yīng)的目標環(huán)境權(quán)重；基于目標漏洞對應(yīng)的第三映射關(guān)系，查詢出與目標漏洞的公開情況和目標漏洞的利用成本對應(yīng)的目標利用難度權(quán)重；基于目標漏洞對應(yīng)的第四映射關(guān)系，查詢出與目標漏洞的影響范圍對應(yīng)的目標影響范圍權(quán)重；基于目標漏洞對應(yīng)的第五映射關(guān)系，查詢出與目標漏洞的風險類型、目標漏洞的漏洞類型和目標漏洞的名稱對應(yīng)的目標漏洞自身權(quán)重；

13、傳輸模塊，用于將目標業(yè)務(wù)權(quán)重、目標環(huán)境權(quán)重、目標利用難度權(quán)重、目標影響范圍權(quán)重和目標漏洞自身權(quán)重傳輸至預設(shè)的風險值計算腳本，風險值計算腳本用于基于接收到的權(quán)重信息計算目標漏洞的風險值；

14、預警模塊，用于根據(jù)風險值計算腳本返回的風險值，確定目標漏洞對應(yīng)的風險等級，并在風險等級達到預定的預警風險等級時發(fā)出漏洞預警信息。

15、本技術(shù)實施例提供一種電子設(shè)備，所述電子設(shè)備包括處理器以及存儲有計算機程序指令的存儲器；所述處理器執(zhí)行所述計算機程序指令時實現(xiàn)如上所述的基于低代碼平臺的漏洞預警方法的步驟。

16、本技術(shù)實施例提供一種計算機可讀存儲介質(zhì)，所述計算機可讀存儲介質(zhì)上存儲有計算機程序指令，所述計算機程序指令被處理器執(zhí)行時實現(xiàn)如上所述的基于低代碼平臺的漏洞預警方法的步驟。

17、本技術(shù)實施例提供一種計算機程序產(chǎn)品，所述計算機程序產(chǎn)品中包括計算機程序指令，所述計算機程序指令被處理器執(zhí)行時實現(xiàn)如上所述的基于低代碼平臺的漏洞預警方法的步驟。

18、采用本技術(shù)實施例提供的基于低代碼平臺的漏洞預警方法、裝置、電子設(shè)備、計算機可讀存儲介質(zhì)及計算機程序產(chǎn)品，低代碼平臺存儲有每種漏洞的多個映射關(guān)系，基于目標漏洞的相關(guān)信息和多個映射關(guān)系，可以得到目標漏洞的目標業(yè)務(wù)權(quán)重、目標環(huán)境權(quán)重、目標利用難度權(quán)重、目標影響范圍權(quán)重和目標漏洞自身權(quán)重，風險值計算腳本對上述多個權(quán)重進行計算，可以得到目標漏洞的風險值，基于風險值可以確定目標漏洞對應(yīng)的風險等級。如此，本技術(shù)充分考慮了企業(yè)內(nèi)部的具體環(huán)境、資產(chǎn)的重要性、業(yè)務(wù)訪問方式、漏洞的利用難度、可能受影響的業(yè)務(wù)流程、漏洞自身風險等多種因素對于漏洞嚴重性的影響，能夠更加全面的評估漏洞嚴重性，提高了評估漏洞嚴重性的準確度。當風險等級達到預定的預警風險等級時，發(fā)出漏洞預警信息，能夠更好的提醒操作人員對目標漏洞進行修復。通過建立統(tǒng)一的漏洞評估標準，將能夠更好地識別和分類漏洞，確定修復優(yōu)先級，并最大程度地降低潛在的安全風險，保護企業(yè)資產(chǎn)的安全性和完整性。