本发明专利技术公开了一种安全漏洞维护方法,所述方法应用于一种包括至少两个客户端的安全漏洞维护系统,所述客户端为提交端或审核端;所述方法包括:所述提交端响应于提交者提交的待确认漏洞的漏洞相关信息,并将提交的漏洞相关信息发送至所述审核端;所述审核端响应于审核者提交的对所述漏洞相关信息的审核意见,并将所述审核意见发送至所述提交端;所述提交端根据接收到的所有审核意见确定所述待确认漏洞是否为安全漏洞,如果所述待确认漏洞是安全漏洞,则将所述漏洞相关信息进行归档。本发明专利技术能够提高安全漏洞的维护效率、降低安全漏洞的维护成本。
【技术实现步骤摘要】
本专利技术涉及计算机
,尤其涉及一种安全漏洞维护方法及系统。
技术介绍
漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。漏洞会影响到很大范围的软硬件设备,包括操作系统本身及其支撑软件、网络客户端和服务器软件、网络路由器和安全防火墙等,换言之,在这些不同的软硬件设备中都可能存在不同的安全漏洞问题,即在不同种类的软、硬件设备,同种设备的不同版本之间,由不同设备构成的不同系统之间,以及同种系统在不同的设置条件下,都会存在各自不同的安全漏洞问题。目前,各种级别的组织都有漏洞管理机构,比如国家漏洞库、中立的漏洞管理平台、各个企业组织的漏洞管理部门等。例如,各个国家的国家漏洞库是世界各国为了更好的进行信息安全漏洞的管理及控制工作而建立的一项国家安全数据库;乌云网(WooYun)是一个位于厂商和安全研究者之间的安全问题反馈平台,用户可以在线提交发现的网站安全漏洞,企业用户也可通过该平台获知自己网站的漏洞;360安全应急响应中心和华为安全应急响应中心,作为一个企业/组织管理自己产品安全漏洞的一个机构,一方面接收外部对于自己产品问题的举报,另一方面管理归档企业内部安全测试部门发现的产品漏洞。现有技术都是采用一个专门的中心机构进行安全漏洞的统一维护,即人工来收集安全问题、组织专人进行漏洞问题核实和验证、进行漏洞归档等,但是,这些维护工作需要耗费大量的人力和时间,特别是安全漏洞的核实和评审,往往需要安排统一时间,召集中心机构的所有人员进行评审会议,因此安全漏洞的维护效率较低、且维护所花费的人工成本较高。专利
技术实现思路
有鉴于此,本专利技术实施例的主要目的在于提供一种安全漏洞维护方法及系统,能够提高安全漏洞的维护效率、降低安全漏洞的维护成本。本专利技术实施例提供了一种安全漏洞维护方法,所述方法应用于一种包括至少两个客户端的安全漏洞维护系统,所述客户端为提交端或审核端;所述方法包括:所述提交端响应于提交者提交的待确认漏洞的漏洞相关信息,并将提交的漏洞相关信息发送至所述审核端;所述审核端响应于审核者提交的对所述漏洞相关信息的审核意见,并将所述审核意见发送至所述提交端;所述提交端根据接收到的所有审核意见确定所述待确认漏洞是否为安全漏洞,如果所述待确认漏洞是安全漏洞,则将所述漏洞相关信息进行归档。可选的,所述方法还包括:如果所述待确认漏洞不是安全漏洞,则当获取到提交者提交的更新后的漏洞相关信息时,继续执行所述响应于提交者提交的待确认漏洞的漏洞相关信息的步骤。可选的,所述审核端响应于审核者提交的对所述漏洞相关信息的审核意见,并将所述审核意见发送至所述提交端,包括:所述审核端显示对所述漏洞相关信息的审核意见选项;响应于审核者选择的意见选项后,将选择的意见选项发送至所述提交端。可选的,所述提交端根据接收到的所有审核意见确定所述待确认漏洞是否为安全漏洞,包括:所述提交端根据接收到的所有审核意见,统计认可所述待确认漏洞为安全漏洞的审核端数量,并根据统计结果确定所述待确认漏洞是否为安全漏洞。可选的,所述根据统计结果确定所述待确认漏洞是否为安全漏洞,包括:判断所述审核端数量是否大于预设阈值,如果是,则确认所述待确认漏洞是安全漏洞,如果否,则确认所述待确认漏洞不是安全漏洞。可选的,所述将提交的漏洞相关信息发送至所述审核端之前,还包括:判断所述提交的漏洞相关信息是否已被归档;如果是,则显示所述待确认漏洞的存在通知,如果否,则将提交的漏洞相关信息发送至所述审核端。可选的,所述将提交的漏洞相关信息发送至所述审核端,包括:根据所述漏洞相关信息生成数字签名,并将所述漏洞相关信息以及生成的数字签名发送至所述审核端;相应的,所述将所述审核意见发送至所述提交端,包括:根据所述审核意见生成数字签名,并将所述审核意见以及生成的数字签名发送至所述提交端。本专利技术实施例还提供了一种安全漏洞维护系统,所述系统包括至少两个客户端,所述客户端为提交端或审核端;所述提交端,用于响应于提交者提交的待确认漏洞的漏洞相关信息,并将提交的漏洞相关信息发送至所述审核端;所述审核端,用于响应于审核者提交的对所述漏洞相关信息的审核意见,并将所述审核意见发送至所述提交端;所述提交端,还用于根据接收到的所有审核意见确定所述待确认漏洞是否为安全漏洞,如果所述待确认漏洞是安全漏洞,则将所述漏洞相关信息进行归档。可选的,所述提交端,还用于如果所述待确认漏洞不是安全漏洞,则当获取到提交者提交的更新后的漏洞相关信息时,响应于提交者提交的待确认漏洞的漏洞相关信息。可选的,所述审核端包括:选项显示单元,用于显示对所述漏洞相关信息的审核意见选项;意见响应单元,用于响应于审核者选择的意见选项后,将选择的意见选项发送至所述提交端。可选的,所述提交端包括:数量审核单元,用于根据接收到的所有审核意见,统计认可所述待确认漏洞为安全漏洞的审核端数量;漏洞确认单元,用于根据统计结果确定所述待确认漏洞是否为安全漏洞。可选的,所述漏洞确认单元,具体用于判断所述审核端数量是否大于预设阈值,如果是,则确认所述待确认漏洞是安全漏洞,如果否,则确认所述待确认漏洞不是安全漏洞。可选的,所述提交端,还用于将提交的漏洞相关信息发送至所述审核端之前,判断所述提交的漏洞相关信息是否已被归档;如果是,则显示所述待确认漏洞的存在通知,如果否,则将提交的漏洞相关信息发送至所述审核端。可选的,所述提交端,具体用于根据所述漏洞相关信息生成数字签名,并将所述漏洞相关信息以及生成的数字签名发送至所述审核端;所述审核端,具体用于根据所述审核意见生成数字签名,并将所述审核意见以及生成的数字签名发送至所述提交端。本专利技术实施例提供的安全漏洞维护方法及系统,提交端响应于提交者提交的待确认漏洞的漏洞相关信息,并将提交的漏洞相关信息发送至审核端;审核端响应于审核者提交的对所述漏洞相关信息的审核意见,并将所述审核意见发送至提交端;提交端根据接收到的所有审核意见确定所述待确认漏洞是否为安全漏洞,如果所述待确认漏洞是安全漏洞,则将所述漏洞相关信息进行归档。由于安全漏洞维护系统中存在至少两个客户端,每个客户端既可以是提交端也可以是审核端,这种分布式集体自动维护安全漏洞的方式,可以提高维护效率且节省人力成本,不必像现有维护方式那样采用人工方式对安全漏洞进行收集汇总并安排统一时间进行集体审核,克服了其导致的维护效率低且人力成本高的缺陷。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的安全漏洞维护方法的流程示意图之一;图2为本专利技术实施例提供的安全漏洞维护方法的流程示意图之二;图3为本专利技术实施例提供的安全漏洞维护系统的组成示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前本文档来自技高网...
【技术保护点】
一种安全漏洞维护方法,其特征在于,所述方法应用于一种包括至少两个客户端的安全漏洞维护系统,所述客户端为提交端或审核端;所述方法包括:所述提交端响应于提交者提交的待确认漏洞的漏洞相关信息,并将提交的漏洞相关信息发送至所述审核端;所述审核端响应于审核者提交的对所述漏洞相关信息的审核意见,并将所述审核意见发送至所述提交端;所述提交端根据接收到的所有审核意见确定所述待确认漏洞是否为安全漏洞,如果所述待确认漏洞是安全漏洞,则将所述漏洞相关信息进行归档。
【技术特征摘要】
1.一种安全漏洞维护方法,其特征在于,所述方法应用于一种包括至少两个客户端的安全漏洞维护系统,所述客户端为提交端或审核端;所述方法包括:所述提交端响应于提交者提交的待确认漏洞的漏洞相关信息,并将提交的漏洞相关信息发送至所述审核端;所述审核端响应于审核者提交的对所述漏洞相关信息的审核意见,并将所述审核意见发送至所述提交端;所述提交端根据接收到的所有审核意见确定所述待确认漏洞是否为安全漏洞,如果所述待确认漏洞是安全漏洞,则将所述漏洞相关信息进行归档。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:如果所述待确认漏洞不是安全漏洞,则当获取到提交者提交的更新后的漏洞相关信息时,继续执行所述响应于提交者提交的待确认漏洞的漏洞相关信息的步骤。3.根据权利要求1所述的方法,其特征在于,所述审核端响应于审核者提交的对所述漏洞相关信息的审核意见,并将所述审核意见发送至所述提交端,包括:所述审核端显示对所述漏洞相关信息的审核意见选项;响应于审核者选择的意见选项后,将选择的意见选项发送至所述提交端。4.根据权利要求1所述的方法,其特征在于,所述提交端根据接收到的所有审核意见确定所述待确认漏洞是否为安全漏洞,包括:所述提交端根据接收到的所有审核意见,统计认可所述待确认漏洞为安全漏洞的审核端数量,并根据统计结果确定所述待确认漏洞是否为安全漏洞。5.根据权利要求4所述的方法,其特征在于,所述根据统计结果确定所述待确认漏洞是否为安全漏洞,包括:判断所述审核端数量是否大于预设阈值,如果是,则确认所述待确认漏洞是安全漏洞,如果否,则确认所述待确认漏洞不是安全漏洞。6.根据权利要求1至5任一项所述...
【专利技术属性】
技术研发人员:孟健,何光宇,金铸,
申请(专利权)人:东软集团股份有限公司,
类型:发明
国别省市:辽宁;21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。