本發(fā)明涉及信息安全領域，尤其涉及一種新公開漏洞影響范圍識別與修復管理系統(tǒng)及方法。

背景技術：

信息化作為推進全球化的一支重要力量，深刻地改變著人們的生活。網(wǎng)絡空間和現(xiàn)實生活緊密相連，構成一個開放的復雜的巨大系統(tǒng)，信息安全成為影響網(wǎng)絡空間健康發(fā)展的關鍵因素?；ヂ?lián)網(wǎng)計算機數(shù)量以及網(wǎng)上應用的飛速發(fā)展，使各種網(wǎng)絡空間的安全問題、安全環(huán)境變得的日趨復雜。無論是國家層面的網(wǎng)絡安全戰(zhàn)略還是社會層面的信息安全防護，信息安全漏洞已成為攻防雙方博弈的核心問題之一，不斷暴露的信息安全漏洞與信息安全事件已對廣大普通群眾產(chǎn)生了直接的影響。

面對復雜的it環(huán)境以及不斷增長的信息安全漏洞，企業(yè)現(xiàn)有的漏洞排查-修復方法一般為人工排查-修復，具體流程為：工作人員定期去漏洞發(fā)布的主流網(wǎng)站查看漏洞發(fā)布情況，根據(jù)新發(fā)布的漏洞信息排查企業(yè)內(nèi)部全部用戶所安裝的軟件是否與新發(fā)布的漏洞類型、版本相匹配，當新公開漏洞的類型、版本相匹配時再根據(jù)漏洞中攜帶的修復信息下載相應的補丁并進行安裝，在補丁安裝完畢之后對相應的軟件進行驗證，從而確定漏洞是否修復完畢。

然而，在現(xiàn)有的漏洞排查-修復方法中，單個漏洞從通報、排查到修復完成的時間將以天計，難以做到快速修復，由于較長的修復周期，給攻擊者留下的攻擊時間也相應變長，對企業(yè)內(nèi)部的信息安全造成了極大的影響。

技術實現(xiàn)要素：

為克服相關技術中存在的問題，公開了如下技術方案：

第一方面，提供了一種新公開漏洞影響范圍識別與修復管理系統(tǒng)，包括：

資產(chǎn)信息采集模塊，用于采集管控設備中的資產(chǎn)信息；

新公開漏洞采集模塊，用于獲取最新公開的漏洞信息；

漏洞影響檢測模塊，用于根據(jù)采集到的所述資產(chǎn)信息和漏洞信息檢測受影響的資產(chǎn)；

漏洞修復建議模塊，用于根據(jù)檢測到的受影響資產(chǎn)信息和漏洞信息自動下載新版本補丁并生成修復命令；

漏洞修復驗證流程管理模塊，用于根據(jù)所述漏洞影響檢測模塊提供的受影響資產(chǎn)信息和所述漏洞修復建議模塊提供的新版本補丁以及修復命令進行漏洞修復和驗證；

所述資產(chǎn)信息采集模塊以及新公開漏洞采集模塊均分別連接所述漏洞影響檢測模塊和漏洞修復建議模塊，所述漏洞影響檢測模塊和漏洞修復建議模塊分別連接所述漏洞修復驗證流程管理模塊。

可選地，所述漏洞修復驗證流程管理模塊還包括：

工單流程管理模塊，用于根據(jù)漏洞影響檢測模塊提供的受影響資產(chǎn)信息和漏洞修復建議模塊提供的修復命令生成和下發(fā)漏洞處置工單；

修復檢驗模塊，用于根據(jù)所述漏洞處置工單狀態(tài)進行修復后驗證與整體流程跟蹤考核。

可選地，所述修復檢驗模塊包括：

自動化修復檢驗子模塊，用于供用戶進行一鍵修復驗證；

自定義修復檢驗子模塊，用于供用戶進行自定義修復驗證。

第二方面，提供了一種新公開漏洞影響范圍識別與修復管理方法，包括：

獲取管控設備的資產(chǎn)信息并保存至本地資產(chǎn)信息庫，其中，所述資產(chǎn)信息包括所述管控設備安裝的軟硬件名稱、版本和模塊信息；

獲取最新公開漏洞信息，將所述漏洞信息進行解析和格式化，并將格式化后的漏洞信息保存至本地漏洞庫；

根據(jù)所述資產(chǎn)信息和所述漏洞信息中的影響范圍數(shù)據(jù)檢測所述管控設備中受影響資產(chǎn)；

根據(jù)所述受影響資產(chǎn)和所述漏洞信息中的修復信息自動下載新版本補丁并生成對應所述新版本補丁的修復命令；

根據(jù)所述新版本補丁和修復命令進行漏洞修復。

可選地，所述獲取管控設備的資產(chǎn)信息包括：

通過客戶機代理、安全外殼協(xié)議ssh命令執(zhí)行、配置文件解析和簡單網(wǎng)絡管理協(xié)議snmp方式定期采集管控設備安裝的軟硬件名稱、版本和模塊信息。

可選地，所述獲取最新公開漏洞信息包括：

通過網(wǎng)絡爬蟲持續(xù)從預設漏洞信息發(fā)布網(wǎng)站獲取最新公開漏洞信息。

可選地，所述根據(jù)所述資產(chǎn)信息和所述漏洞信息中的影響范圍數(shù)據(jù)檢測受影響資產(chǎn)包括：

持續(xù)檢測所述本地漏洞庫和本地資產(chǎn)信息庫，當所述本地漏洞庫和本地資產(chǎn)信息庫內(nèi)任一數(shù)據(jù)發(fā)生變化時，逐一對變化的數(shù)據(jù)進行讀取和匹配。

可選地，所述當所述本地漏洞庫和本地資產(chǎn)信息庫內(nèi)任一數(shù)據(jù)發(fā)生變化時，逐一對變化的數(shù)據(jù)進行讀取和匹配，包括：

當所述本地漏洞庫新增漏洞時，檢測所述本地資產(chǎn)庫中是否存在與所述新增漏洞同類型的資產(chǎn)；

若存在與所述新增漏洞同類型的資產(chǎn)，則判斷所述同類型的資產(chǎn)版本是否與所述新增漏洞攜帶的版本信息一致；

若所述同類型的資產(chǎn)版本與所述新增漏洞攜帶的版本信息一致，則判斷所述新增漏洞是否已修復；

若所述新增漏洞未修復，則發(fā)送漏洞未修復指令；

或，

當所述本地資產(chǎn)庫新增資產(chǎn)時，檢測所述本地漏洞庫中是否存在與所述新增資產(chǎn)同類型的漏洞；

若存在與所述新增資產(chǎn)同類型的漏洞，則判斷所述新增資產(chǎn)的版本是否與所述同類型的漏洞攜帶的版本信息一致；

若所述新增資產(chǎn)的版本與所述同類型的漏洞攜帶的版本信息一致，則判斷所述新增資產(chǎn)是否已修復；

若所述新增資產(chǎn)未修復，則發(fā)送漏洞未修復指令。

可選地，所述根據(jù)所述新版本補丁和修復命令進行漏洞修復包括：

根據(jù)所述新版本補丁和修復命令，生成和下發(fā)漏洞處置工單；

根據(jù)所述漏洞處置工單狀態(tài)進行修復后驗證與整體流程跟蹤考核。

可選地，所述修復后驗證包括一鍵修復驗證和自定義修復驗證。

本發(fā)明實施例提供的新公開漏洞影響范圍識別與修復管理系統(tǒng)包括資產(chǎn)信息采集模塊、新公開漏洞采集模塊、漏洞影響檢測模塊、漏洞修復建議模塊以及漏洞修復驗證流程管理模塊，資產(chǎn)信息采集模塊實時采集管控設備上的資產(chǎn)信息，新公開漏洞采集模塊實時獲取新公開漏洞信息，漏洞影響檢測模塊根據(jù)獲取的資產(chǎn)信息和漏洞信息檢測受影響的資產(chǎn)，漏洞修復建議模塊，根據(jù)檢測到的受影響資產(chǎn)信息和漏洞信息自動下載新版本補丁并生成修復命令，漏洞修復驗證流程管理模塊，根據(jù)漏洞影響檢測模塊提供的受影響資產(chǎn)信息和漏洞修復建議模塊提供的修復命令進行漏洞修復和驗證。本發(fā)明實施例通過實時的對資產(chǎn)信息和漏洞信息進行獲取、匹配并根據(jù)匹配結(jié)果及時下發(fā)處理工單，能夠極大地縮短漏洞從發(fā)現(xiàn)到修復的實時限，降低信息系統(tǒng)的暴露時間。

附圖說明

為了更清楚地說明本發(fā)明的技術方案，下面將對實施例中所需要使用的附圖作簡單地介紹，顯而易見地，對于本領域普通技術人員而言，在不付出創(chuàng)造性勞動性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明實施例提供的一種新公開漏洞影響范圍識別與修復管理系統(tǒng)的結(jié)構示意圖；

圖2為本發(fā)明實施例提供的一種新公開漏洞影響范圍識別與修復管理方法的流程圖；

圖3為本發(fā)明實施例提供的一種檢測受影響資產(chǎn)的方法的流程圖。

具體實施方式

為了使本技術領域的人員更好地理解本發(fā)明中的技術方案，下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例。

參見圖1，為本發(fā)明實施例提供的一種新公開漏洞影響范圍識別與修復管理系統(tǒng)的結(jié)構示意圖，如圖1所示，本發(fā)明實施例提供的新公開漏洞影響范圍識別與修復管理系統(tǒng)包括一種新公開漏洞影響范圍識別與修復管理系統(tǒng)，包括：

資產(chǎn)信息采集模塊，資產(chǎn)信息采集模塊與信息系統(tǒng)或管控設備連接，用于采集管控設備中的資產(chǎn)信息。

新公開漏洞采集模塊，新公開漏洞采集模塊與知名漏洞共享平臺連接，用于獲取最新公開的漏洞信息，為了保證能夠在新漏洞發(fā)布之后最短時間內(nèi)獲取新漏洞的信息，可以連接過個漏洞共享平臺，彌補各個漏洞共享平臺分布漏洞的時間差。

漏洞影響檢測模塊，用于根據(jù)采集到的資產(chǎn)信息和漏洞信息檢測受影響的資產(chǎn)。漏洞信息中包含有漏洞所針對的軟件名稱、版本型號以及漏洞補丁的相關信息，通過檢測管控設備中是否存在與新公開漏洞相同的軟件以及軟件版本型號是否一致來判斷是否存在受影響的資產(chǎn)。

漏洞修復建議模塊，用于根據(jù)檢測到的受影響資產(chǎn)信息和漏洞信息自動下載新版本補丁并生成修復命令，由于漏洞信息中包含有補丁信息，因此，當檢測到管控上設備中存在與漏洞信息相匹配的資產(chǎn)時可以根據(jù)漏洞信息自動下載對應的補丁。

漏洞修復驗證流程管理模塊，用于根據(jù)漏洞影響檢測模塊提供的受影響資產(chǎn)信息和漏洞修復建議模塊提供的新版本補丁以及修復命令進行漏洞修復和驗證，在根據(jù)漏洞修復建議模塊提供的新版本補丁以及修復命令進行漏洞修復后，為了確保漏洞進行了完好的修復還需要進行漏洞，即重新的攻擊資產(chǎn)所存在的漏洞，如果無法攻破則證明漏洞已修復完成。

資產(chǎn)信息采集模塊以及新公開漏洞采集模塊均分別連接漏洞影響檢測模塊和漏洞修復建議模塊，漏洞影響檢測模塊和漏洞修復建議模塊分別連接漏洞修復驗證流程管理模塊。

本發(fā)明實施例還包括：工單流程管理模塊，用于根據(jù)漏洞影響檢測模塊提供的受影響資產(chǎn)信息和漏洞修復建議模塊提供的修復命令生成和下發(fā)漏洞處置工單；

修復檢驗模塊，用于根據(jù)漏洞處置工單狀態(tài)進行修復后驗證與整體流程跟蹤考核。

另外，為了可以滿足多種用戶的需求，修復檢驗模塊包括：

自動化修復檢驗子模塊，用于供用戶進行一鍵修復驗證；

自定義修復檢驗子模塊，用于供用戶進行自定義修復驗證；

用戶可以根據(jù)各自的需求選擇是一鍵修復驗證還是自定義修復驗證。

本發(fā)明實施例還提供了一種新公開漏洞影響范圍識別與修復管理方法，適用于本發(fā)明實施例提供的新公開漏洞影響范圍識別與修復管理系統(tǒng)。

參見圖2，為本發(fā)明實施例提供的一種新公開漏洞影響范圍識別與修復管理方法的流程圖，如圖2所示，本發(fā)明實施例提供的新公開漏洞影響范圍識別與修復管理方法包括：

s10：獲取管控設備的資產(chǎn)信息并保存至本地資產(chǎn)信息庫，其中，資產(chǎn)信息包括管控設備安裝的軟硬件名稱、版本和模塊信息。

通過客戶機代理、ssh命令執(zhí)行、配置文件解析、snmp等方式定期采集管控設備安裝的軟硬件名稱、版本、模塊信息，然后轉(zhuǎn)換為key-value格式的配置記錄并保存到本地資產(chǎn)信息庫中，其格式如下：

s20：獲取最新公開漏洞信息，將漏洞信息進行解析和格式化，并將格式化后的漏洞信息保存至本地漏洞庫。

新公開漏洞采集模塊通過網(wǎng)絡爬蟲持續(xù)從預設漏洞信息發(fā)布網(wǎng)站獲取最新公開漏洞信息，經(jīng)解析后格式化保存至本地漏洞庫，其格式如下：

fix_info如果方法為patch，提供補丁名稱或id；如果方法為update，提供需要更新到的版本；如果方法為config，提供需要修改的配置信息

s30：根據(jù)資產(chǎn)信息和漏洞信息中的影響范圍數(shù)據(jù)檢測管控設備中受影響資產(chǎn)。

s40：根據(jù)受影響資產(chǎn)和漏洞信息中的修復信息自動下載新版本補丁并生成修復命令。

s50：根據(jù)新版本補丁和修復命令進行漏洞修復。

具體的，根據(jù)新版本補丁和修復命令進行漏洞修復包括：

根據(jù)所述新版本補丁和修復命令，生成和下發(fā)漏洞處置工單；

根據(jù)所述漏洞處置工單狀態(tài)進行修復后驗證與整體流程跟蹤考核。

為了可以滿足多種用戶的需求，修復后驗證包括一鍵修復驗證和自定義修復驗證。

參見圖3，為本發(fā)明實施例提供的一種檢測受影響資產(chǎn)的方法的流程圖，如圖3所示，步驟s30還包括：

s301：持續(xù)檢測本地漏洞庫和本地資產(chǎn)信息庫，當本地漏洞庫和本地資產(chǎn)信息庫內(nèi)任一數(shù)據(jù)發(fā)生變化時，逐一對變化的數(shù)據(jù)進行讀取和匹配。

在持續(xù)檢測本地漏洞庫和本地資產(chǎn)信息庫時包含兩種可能一種為本地漏洞褲新增數(shù)據(jù)以為為本地資產(chǎn)信息庫新增數(shù)據(jù)，當本地漏洞庫新增漏洞時，執(zhí)行步驟如下：

s302：檢測本地資產(chǎn)庫中是否存在與新增漏洞同類型的資產(chǎn)。

若存在與新增漏洞同類型的資產(chǎn)，則執(zhí)行步驟s303：判斷同類型的資產(chǎn)版本是否與新增漏洞攜帶的版本信息一致。

若同類型的資產(chǎn)版本與新增漏洞攜帶的版本信息一致，則執(zhí)行步驟s304：判斷新增漏洞是否已修復。

若新增漏洞未修復，則執(zhí)行步驟s308：發(fā)送漏洞未修復指令。

當本地資產(chǎn)庫新增資產(chǎn)時，執(zhí)行步驟如下：

s305：檢測本地漏洞庫中是否存在與新增資產(chǎn)同類型的漏洞；

若存在與新增資產(chǎn)同類型的漏洞，則執(zhí)行步驟s306：判斷新增資產(chǎn)的版本是否與同類型的漏洞攜帶的版本信息一致；

若新增資產(chǎn)的版本與同類型的漏洞攜帶的版本信息一致，則執(zhí)行步驟s307：判斷新增資產(chǎn)是否已修復。

若新增資產(chǎn)未修復，則執(zhí)行步驟s308：發(fā)送漏洞未修復指令。

漏洞影響檢測模塊持續(xù)檢測本地漏洞庫和本地資產(chǎn)信息庫，當本地漏洞庫和本地資產(chǎn)信息庫內(nèi)任一數(shù)據(jù)發(fā)生變化時，便逐一對變化的數(shù)據(jù)進行讀取并進行匹配，將匹配的信息形成受影響資產(chǎn)信息，其格式如下：

本發(fā)明實施例提供的新公開漏洞影響范圍識別與修復管理系統(tǒng)包括資產(chǎn)信息采集模塊、新公開漏洞采集模塊、漏洞影響檢測模塊、漏洞修復建議模塊以及漏洞修復驗證流程管理模塊，資產(chǎn)信息采集模塊實時采集管控設備上的資產(chǎn)信息，新公開漏洞采集模塊實時獲取新公開漏洞信息，漏洞影響檢測模塊根據(jù)獲取的資產(chǎn)信息和漏洞信息檢測受影響的資產(chǎn)，漏洞修復建議模塊，根據(jù)檢測到的受影響資產(chǎn)信息和漏洞信息自動下載新版本補丁并生成修復命令，漏洞修復驗證流程管理模塊，根據(jù)漏洞影響檢測模塊提供的受影響資產(chǎn)信息和漏洞修復建議模塊提供的修復命令進行漏洞修復和驗證。本發(fā)明實施例通過實時的對資產(chǎn)信息和漏洞信息進行獲取、匹配并根據(jù)匹配結(jié)果及時下發(fā)處理工單，能夠極大地縮短漏洞從發(fā)現(xiàn)到修復的實時限，降低信息系統(tǒng)的暴露時間。

需要說明的是，在本文中，術語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者設備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者設備所固有的要素。在沒有更多限制的情況下，由語句“包括一個……”限定的要素，并不排除在包括所述要素的過程、方法、物品或者設備中還存在另外的相同要素。

以上所述僅是本發(fā)明的具體實施方式，使本領域技術人員能夠理解或?qū)崿F(xiàn)本發(fā)明。對這些實施例的多種修改對本領域的技術人員來說將是顯而易見的，本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下，在其它實施例中實現(xiàn)。因此，本發(fā)明將不會被限制于本文所示的這些實施例，而是要符合與本文所公開的原理和新穎特點相一致的最寬的范圍。

以上所述的本發(fā)明實施方式并不構成對本發(fā)明保護范圍的限定。