The invention relates to information security technology, in particular to an apparatus and method for processing security vulnerability information in a payment system. According to one aspect of the invention is used for processing method of payment system security vulnerability information includes the following steps: receiving a security vulnerability associated with the message, the message for the vulnerability report or provide solutions to the security vulnerability report; according to the security vulnerabilities in security vulnerability information recorded in the database state related to the security vulnerabilities associated with its operations to add or modify data; and determine whether to send alarm messages according to the safety level of the security vulnerabilities.
【技术实现步骤摘要】
用于处理支付系统安全漏洞信息的装置和方法
本专利技术涉及信息安全技术,特别涉及用于处理支付系统安全漏洞信息的装置和方法。
技术介绍
基于信息技术的各种应用业务正在飞速发展,随之而来的信息安全(特别是支付安全)已经成为全社会关注的焦点问题。提高计算机处理系统安全能力的一个重要途径是及时更新和升级处理系统,对被发现的安全漏洞作出快速响应。在现有技术中,负责信息安全的管理员在收到关于安全漏洞的报告后,将评估相关的安全漏洞对处理系统的影响范围和程度,再依照严重程度向受影响子系统的开发人员发送安全预警信息。系统开发人员在收到安全预警信息后,将根据安全预警信息关于安全漏洞的描述内容提供相应合理的解决方案。但是目前的处理方法存在诸多缺点。首先是安全漏洞处理的效率低下。信息安全管理员需要手动去通知开发人员预警信息,并将修复方案通知受影响的系统负责人,当开发团队人数较多时,该项工作十分耗时。其次,受到经验等情况影响,开发人员在做问题修复方案后,可能遗漏部分受安全风险影响的系统,导致部分实际有问题的系统没有得到及时的安全处理。在现有支付系统中,信息安全管理员需要手动去检索受影响的系统,并根据受影响的程度分类,依照等级逐个以邮件方式向开发人员确认修复方案。未来随着开发团队规模的增大,将需要花费更多的时间来处理安全漏洞的预警,效率将进一步降低,遗漏的问题也会更突出。
技术实现思路
本专利技术的一个目的是提供一种用于处理支付系统安全漏洞信息的方法,其具有效率高、出错概率低等优点。按照本专利技术一个方面的用于处理支付系统安全漏洞信息的方法包含下列步骤:接收与一个安全漏洞相关联的消息,所述 ...
【技术保护点】
一种用于处理支付系统安全漏洞信息的方法,其特征在于,包含下列步骤:接收与一个安全漏洞相关联的消息,所述消息为发生该安全漏洞的报告或提供该安全漏洞解决方案的报告;根据该安全漏洞在安全漏洞信息数据库中的记录状态,对与该安全漏洞相关联的数据项施行添加或修改操作;以及根据该安全漏洞的安全状态级别确定是否发送报警消息。
【技术特征摘要】
1.一种用于处理支付系统安全漏洞信息的方法,其特征在于,包含下列步骤:接收与一个安全漏洞相关联的消息,所述消息为发生该安全漏洞的报告或提供该安全漏洞解决方案的报告;根据该安全漏洞在安全漏洞信息数据库中的记录状态,对与该安全漏洞相关联的数据项施行添加或修改操作;以及根据该安全漏洞的安全状态级别确定是否发送报警消息。2.如权利要求1所述的方法,其中,所述数据项包括相关联的安全漏洞的特征描述域和用于安全状态级别的标志域。3.如权利要求2所述的方法,其中,所述标志域用于标识安全漏洞的下列状态:“已修复”、“未修复”、“未修复并多次出现”和“修复后再次出现”。4.如权利要求1所述的方法,其中,所述安全漏洞属于下列类型中的一种:涉及第三方类库和函数调用的安全漏洞、涉及操作系统的安全漏洞和涉及中间件的安全漏洞。5.如权利要求3所述的方法,其中,按照下列方式施行添加或修改操作:如果安全漏洞在安全漏洞信息数据库中无相关联的数据项,则在安全漏洞信息数据库中,根据所述消息的内容添加相应的数据项并且将数据项的标志域设置为“未修复”;如果安全漏洞在安全漏洞信息数据库中存在相关联的数据项,则根据所述消息的内容修改相应的数据项的标志域。6.如权利要求5所述的方法,其中,按照下列方式修改标志域:如果消息为提供该安全漏洞解决方案的报告,则将标志域设置为“已修复”;如果消息为发生该安全漏洞的报告并且标志域当前设置为“未修复”,则将标志域设置为“未修复并多次出现”;以及如果消息为发生该安全漏洞的报告并且标志域当前设置为“已修复”,则将标志域设置为“修复后再次出现”。7.如权利要求6所述的方法,其中,根据该安全漏洞的安全状态级别确定是否发送报警消息的步骤包括下列步骤:接收所述安全漏洞信息数据库发生更新的通知;如果确定发生的更新为添加新的数据项,则发送与新的数据项相关联的安全漏洞的报警消息;以及如果确定发生的更新为数据项的标志域被设置为“未修复并多次出现”或“修复后再次出现”,则发送与该数据项相关联的安全漏洞的报警消息。8.一种用于处理支付系统安全漏洞信息的装置,包含接收模块、维护模块、侦测模块和发送模块,其中,所述接收模块被配置为接收与一个安全漏洞相关联...
【专利技术属性】
技术研发人员:王茜,夏智,吕苏,杨帅,翟威,陆寄豪,
申请(专利权)人:中国银联股份有限公司,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。