用于处理支付系统安全漏洞信息的装置和方法制造方法及图纸

本发明专利技术涉及信息安全技术，特别涉及用于处理支付系统安全漏洞信息的装置和方法。按照本发明专利技术一个方面的用于处理支付系统安全漏洞信息的方法包含下列步骤：接收与一个安全漏洞相关联的消息，所述消息为发生该安全漏洞的报告或提供该安全漏洞解决方案的报告；根据该安全漏洞在安全漏洞信息数据库中的记录状态，对与该安全漏洞相关联的数据项施行添加或修改操作；以及根据该安全漏洞的安全状态级别确定是否发送报警消息。

Apparatus and method for processing security vulnerability information of payment system

The invention relates to information security technology, in particular to an apparatus and method for processing security vulnerability information in a payment system. According to one aspect of the invention is used for processing method of payment system security vulnerability information includes the following steps: receiving a security vulnerability associated with the message, the message for the vulnerability report or provide solutions to the security vulnerability report; according to the security vulnerabilities in security vulnerability information recorded in the database state related to the security vulnerabilities associated with its operations to add or modify data; and determine whether to send alarm messages according to the safety level of the security vulnerabilities.

【技术实现步骤摘要】
用于处理支付系统安全漏洞信息的装置和方法
本专利技术涉及信息安全技术，特别涉及用于处理支付系统安全漏洞信息的装置和方法。
技术介绍
基于信息技术的各种应用业务正在飞速发展，随之而来的信息安全(特别是支付安全)已经成为全社会关注的焦点问题。提高计算机处理系统安全能力的一个重要途径是及时更新和升级处理系统，对被发现的安全漏洞作出快速响应。在现有技术中，负责信息安全的管理员在收到关于安全漏洞的报告后，将评估相关的安全漏洞对处理系统的影响范围和程度，再依照严重程度向受影响子系统的开发人员发送安全预警信息。系统开发人员在收到安全预警信息后，将根据安全预警信息关于安全漏洞的描述内容提供相应合理的解决方案。但是目前的处理方法存在诸多缺点。首先是安全漏洞处理的效率低下。信息安全管理员需要手动去通知开发人员预警信息，并将修复方案通知受影响的系统负责人，当开发团队人数较多时，该项工作十分耗时。其次，受到经验等情况影响，开发人员在做问题修复方案后，可能遗漏部分受安全风险影响的系统，导致部分实际有问题的系统没有得到及时的安全处理。在现有支付系统中，信息安全管理员需要手动去检索受影响的系统，并根据受影响的程度分类，依照等级逐个以邮件方式向开发人员确认修复方案。未来随着开发团队规模的增大，将需要花费更多的时间来处理安全漏洞的预警，效率将进一步降低，遗漏的问题也会更突出。
技术实现思路
本专利技术的一个目的是提供一种用于处理支付系统安全漏洞信息的方法，其具有效率高、出错概率低等优点。按照本专利技术一个方面的用于处理支付系统安全漏洞信息的方法包含下列步骤：接收与一个安全漏洞相关联的消息，所述消息为发生该安全漏洞的报告或提供该安全漏洞解决方案的报告；根据该安全漏洞在安全漏洞信息数据库中的记录状态，对与该安全漏洞相关联的数据项施行添加或修改操作；以及根据该安全漏洞的安全状态级别确定是否发送报警消息。优选地，在上述方法中，所述数据项包括相关联的安全漏洞的特征描述域和用于安全状态级别的标志域。优选地，在上述方法中，所述标志域用于标识安全漏洞的下列状态：“已修复”、“未修复”、“未修复并多次出现”和“修复后再次出现”。优选地，在上述方法中，所述安全漏洞属于下列类型中的一种：涉及第三方类库和函数调用的安全漏洞、涉及操作系统的安全漏洞和涉及中间件的安全漏洞。优选地，在上述方法中，按照下列方式施行添加或修改操作：如果安全漏洞在安全漏洞信息数据库中无相关联的数据项，则在安全漏洞信息数据库中，根据所述消息的内容添加相应的数据项并且将数据项的标志域设置为“未修复”；如果安全漏洞在安全漏洞信息数据库中存在相关联的数据项，则根据所述消息的内容修改相应的数据项的标志域。优选地，在上述方法中，按照下列方式修改标志域：如果消息为提供该安全漏洞解决方案的报告，则将标志域设置为“已修复”；如果消息为发生该安全漏洞的报告并且标志域当前设置为“未修复”，则将标志域设置为“未修复并多次出现”；以及如果消息为发生该安全漏洞的报告并且标志域当前设置为“已修复”，则将标志域设置为“修复后再次出现”。优选地，在上述方法中，根据该安全漏洞的安全状态级别确定是否发送报警消息的步骤包括下列步骤：接收所述安全漏洞信息数据库发生更新的通知；如果确定发生的更新为添加新的数据项，则发送与新的数据项相关联的安全漏洞的报警消息；以及如果确定发生的更新为数据项的标志域被设置为“未修复并多次出现”或“修复后再次出现”，则发送与该数据项相关联的安全漏洞的报警消息。本专利技术的一个目的是提供一种用于处理支付系统安全漏洞信息的装置，其具有效率高、出错概率低等优点。按照本专利技术一个方面的用于处理支付系统安全漏洞信息的装置包含接收模块、维护模块、侦测模块和发送模块，其中，所述接收模块被配置为接收与一个安全漏洞相关联的消息，所述消息为发生该安全漏洞的报告或提供该安全漏洞解决方案的报告，所述维护模块与所述接收模块耦合，其配置为根据该安全漏洞在安全漏洞信息数据库中的记录状态，对与该安全漏洞相关联的数据项施行添加或修改操作，所述侦测模块与发送模块耦合，其被配置为根据该安全漏洞的安全状态级别确定是否通过所述发送模块发送报警消息。与现有技术相比，本专利技术有以下优点。支付系统对于响应时间和系统的可靠性有较高要求。本专利技术自动化程度高，安全响应人员仅需录入安全漏洞中部分有效信息即可将安全漏洞信息通过邮件发送至系统开发人员，对于原有安全预警流程中最耗费时间的环节，即逐一排查受安全影响的系统及子系统并发送邮件通知，对此进行了很大程度的优化，高效率的匹配安全预警信息，安全漏洞修复所用的平均时间降低了40％；对于因人工发送预警信息产生的遗漏的概率进行了很大程度的改善，显著降低分配错误的概率，高效避免支付企业的内部系统暴露在安全风险之下。附图说明本专利技术的上述和/或其它方面和优点将通过以下结合附图的各个方面的描述变得更加清晰和更容易理解，附图中相同或相似的单元采用相同的标号表示。附图包括：图1为按照本专利技术一个实施例的用于处理支付系统安全漏洞信息的装置的示意框图。图2为按照本专利技术另一个实施例的用于处理支付系统安全漏洞信息的方法的流程图。图3为可用于实现图2中的步骤220的例程的流程图。图4为可用于实现图2中的步骤230的例程的流程图。图5为可用于实现图2中的步骤240的例程的流程图。具体实施方式下面参照其中图示了本专利技术示意性实施例的附图更为全面地说明本专利技术。但本专利技术可以按不同形式来实现，而不应解读为仅限于本文给出的各实施例。给出的上述各实施例旨在使本文的披露全面完整，以将本专利技术的保护范围更为全面地传达给本领域技术人员。在本说明书中，诸如“包含”和“包括”之类的用语表示除了具有在说明书和权利要求书中有直接和明确表述的单元和步骤以外，本专利技术的技术方案也不排除具有未被直接或明确表述的其它单元和步骤的情形。图1为按照本专利技术一个实施例的用于处理支付系统安全漏洞信息的装置的示意框图。图1所示的装置10包括接收模块110、维护模块120、侦测模块130和发送模块140。接收模块110被配置为接收与一个安全漏洞相关联的消息，该消息可以是发生该安全漏洞的报告或开发人员关于提供该安全漏洞解决方案的报告。维护模块120与接收模块110耦合，其配置为根据安全漏洞在安全漏洞信息数据库20中的记录状态(例如该安全漏洞在安全漏洞信息数据库中是否存在相关联的数据项)，对与安全漏洞相关联的数据项施行添加或修改操作。侦测模块130与发送模块140耦合，其被配置为根据安全漏洞的安全状态级别确定是否通过所述发送模块发送报警消息。在本实施例中，优选地，数据项可包括相关联的安全漏洞的特征描述域和用于安全状态级别的标志域，其中，标志域用于标识安全漏洞的下列状态：“已修复”、“未修复”、“未修复并多次出现”和“修复后再次出现”。在本实施例中，安全漏洞属于下列类型中的一种：涉及第三方类库和函数调用的安全漏洞、涉及操作系统的安全漏洞和涉及中间件的安全漏洞。相应地，如图1所示，维护模块120包括三个子模块121、122和123，分别用于对与属于上述三种类型的安全漏洞相关联的数据项施行添加或修改操作。在本实施例中，维护模块120按照下列方式施行添加或修改操作：1)如果接收模块110接收的消息指示发生一个安全漏本文档来自技高网...

【技术保护点】
一种用于处理支付系统安全漏洞信息的方法，其特征在于，包含下列步骤：接收与一个安全漏洞相关联的消息，所述消息为发生该安全漏洞的报告或提供该安全漏洞解决方案的报告；根据该安全漏洞在安全漏洞信息数据库中的记录状态，对与该安全漏洞相关联的数据项施行添加或修改操作；以及根据该安全漏洞的安全状态级别确定是否发送报警消息。

【技术特征摘要】
1.一种用于处理支付系统安全漏洞信息的方法，其特征在于，包含下列步骤：接收与一个安全漏洞相关联的消息，所述消息为发生该安全漏洞的报告或提供该安全漏洞解决方案的报告；根据该安全漏洞在安全漏洞信息数据库中的记录状态，对与该安全漏洞相关联的数据项施行添加或修改操作；以及根据该安全漏洞的安全状态级别确定是否发送报警消息。2.如权利要求1所述的方法，其中，所述数据项包括相关联的安全漏洞的特征描述域和用于安全状态级别的标志域。3.如权利要求2所述的方法，其中，所述标志域用于标识安全漏洞的下列状态：“已修复”、“未修复”、“未修复并多次出现”和“修复后再次出现”。4.如权利要求1所述的方法，其中，所述安全漏洞属于下列类型中的一种：涉及第三方类库和函数调用的安全漏洞、涉及操作系统的安全漏洞和涉及中间件的安全漏洞。5.如权利要求3所述的方法，其中，按照下列方式施行添加或修改操作：如果安全漏洞在安全漏洞信息数据库中无相关联的数据项，则在安全漏洞信息数据库中，根据所述消息的内容添加相应的数据项并且将数据项的标志域设置为“未修复”；如果安全漏洞在安全漏洞信息数据库中存在相关联的数据项，则根据所述消息的内容修改相应的数据项的标志域。6.如权利要求5所述的方法，其中，按照下列方式修改标志域：如果消息为提供该安全漏洞解决方案的报告，则将标志域设置为“已修复”；如果消息为发生该安全漏洞的报告并且标志域当前设置为“未修复”，则将标志域设置为“未修复并多次出现”；以及如果消息为发生该安全漏洞的报告并且标志域当前设置为“已修复”，则将标志域设置为“修复后再次出现”。7.如权利要求6所述的方法，其中，根据该安全漏洞的安全状态级别确定是否发送报警消息的步骤包括下列步骤：接收所述安全漏洞信息数据库发生更新的通知；如果确定发生的更新为添加新的数据项，则发送与新的数据项相关联的安全漏洞的报警消息；以及如果确定发生的更新为数据项的标志域被设置为“未修复并多次出现”或“修复后再次出现”，则发送与该数据项相关联的安全漏洞的报警消息。8.一种用于处理支付系统安全漏洞信息的装置，包含接收模块、维护模块、侦测模块和发送模块，其中，所述接收模块被配置为接收与一个安全漏洞相关联...

【专利技术属性】
技术研发人员：王茜，夏智，吕苏，杨帅，翟威，陆寄豪，
申请(专利权)人：中国银联股份有限公司，
类型：发明
国别省市：上海,31