一種基于互聯網的漏洞信息云服務方法

專利名稱：一種基于互聯網的漏洞信息云服務方法
技術領域：
本發明涉及信息安全技術領域，尤其涉及一種基于互聯網的漏洞信息云服務方法。
背景技術：
云計算是新興產業的重要組成部分，云計算是一種IT資源的交付和使用模式，指通過網絡(包括互聯網hternet和企業內部網htranet)以按需、易擴展的方式獲得所需的硬件、平臺、軟件及服務等資源；提供資源的網絡被稱為“云”，其計算能力通常是由分布式的大規模集群和服務器虛擬化軟件搭建。云計算的優勢在于“云”中的資源在用戶端看來是可以無限擴展，并且可以隨時獲取、按需使用、隨時擴展、按使用付費。
漏洞信息作為重要的信息安全數據，對國家信息安全發展具有重要意義。漏洞信息服務開展較好的NVD (National Vulnerability Database)，嚴格采用《通用漏洞披露》 (Common Vulnerability and Exposures)的命名標準，即所有的漏洞都有CVE編號；漏洞評級遵照《通用漏洞評估系統》CVSS(Common Vulnerability Scoring System)進行；受影響的系統和軟件使用《通用平臺列舉》CPE (Common Platform Enumeration)規范的語言進行描述；漏洞分類則按照《通用缺陷列舉》CWE(Common Weakness Enumeration)劃分， 十分權威。2009年，我國漏洞庫建設工作有了突破性進展，開始建立中國國家漏洞庫，即 CNNVD (China National Vulnerability Database of Information Security)。但目前漏洞信息服務還處在探索和實踐階段，服務方式也較為傳統和單一，其普及程度尚不顯著，成效亦不甚明顯。
鑒于漏洞信息服務的現狀結合云計算的諸多優勢，可以采用一種基于互聯網的漏洞信息云服務方法，將漏洞信息服務與云計算有效結合起來。發明內容
本發明提供一種為相關政府部門、“8+2”重要行業、廣大信息安全廠商及社會各界提供豐富信息安全數據的基于互聯網的漏洞信息云服務方法，以解決現有漏洞信息服務的不足。
為實現上述目的，本發明采用以下技術方案
—種基于互聯網的漏洞信息云服務方法，主要包括以下步驟
(1)首先選取數據源。漏洞信息云服務的數據來源是中國國家信息安全漏洞庫 (以下簡稱“漏洞庫”)。從漏洞庫中抽取特征漏洞，再確定核心數據源，建立數據集，批量導出某一時間段的查詢結果；進行統計趨勢分析，包括建立散點圖、累計分布函數圖等各類統計圖，對其進行統計趨勢分析；通過不同的時間點把一個漏洞的生命周期分為若干階段， 每個階段反映出各自的狀態以及所伴隨的風險，與這些狀態相關的四個時間點是漏洞的發現、發布、利用和補丁時間；
(2)提供漏洞信息云服務該環節包含漏洞基本通報服務、漏洞定向通報服務、兼容性服務。漏洞基本通報服務和漏洞定向通報服務是兼容性服務的基礎，三者依次進行，最終可提供漏洞信息云服務。進行漏洞基本通報服務用戶通過該平臺注冊并激活后，系統依據最受關注漏洞及信息安全月報的更新情況自動為其發送服務郵件，同時管理員根據實際情況為用戶發送宣傳性郵件；進行漏洞定向通報服務用戶通過該平臺注冊并激活后，選擇相應的廠商和產品名稱，服務平臺獲取到相關廠商或產品的最新漏洞信息后主動推送至用戶郵箱；進行兼容性服務用戶接入云服務端，獲取服務。本發明所述的基于互聯網的漏洞信息云服務方法的有益效果為主要包含漏洞基本通報服務、漏洞定向通報服務、兼容性服務，結合云計算模式、開展基于互聯網的漏洞信息云服務，有利于實現內部應用、支持領導決策、向公眾普及信息安全的信息、輔助信息安全態勢評估等功能；此方法模式具有極大的靈活性，足以適應各個軟件開發和部署階段的各種類型和規模的應用程序。


下面根據附圖對本發明作進一步詳細說明。圖1是本發明實施例所述基于互聯網的漏洞信息云服務方法流程示意圖。
具體實施例方式如圖1所示，本發明實施例所述的基于互聯網的漏洞信息云服務方法，其結構組成主要包括①首先建立基礎層與業務層以基礎層作為數據資源平臺并且為中心開展各項業務提供基礎數據資源；業務層主要包含信息安全產品測評、系統認定、服務資質認定、人員資質認定，基于資源平臺和相關核心業務，制定產品測評專項應用(子系統)、服務資質認定專項應用(子系統)、系統認定專項應用(子系統)及人員資質認定專項應用(子系統)；②基礎層和業務層組成內部展示區，此展示層即外部展示區并且主要包含 CNNVD(China National Vulnerability Database of Information Security)及夕卜網網站，此服務層即服務區并且包含三個系列，即服務于決策含數據分析子系統、數據挖掘引擎、多維數據展示子系統；服務于業務含服務工具支撐子系統、插件式專項應用子系統(漏洞分析子系統等)、應用服務支撐體系；服務于公眾含對外業務專項應用子系統(信息安全產品測評專項應用子系統、 服務資質認定專項應用子系統、系統認定專項應用子系統及人員資質認定專項應用子系統)、專業服務子系統等。本發明實施例所述的基于互聯網的漏洞信息云服務方法，主要包括以下步驟(1)首先選取數據源，從資源平臺上抽取特征漏洞，例如具有CVE-ID的漏洞，再確定核心數據源，如OSVDB(The Open Source Vulnerability Database)、NVD等；再建立數據集，批量導出某一時間段的查詢結果(XML格式)；進行統計趨勢分析，包括建立散點圖、累計分布函數圖等各類統計圖，對其進行統計趨勢分析；通過不同的時間點把一個漏洞的生命周期分為若干階段，每個階段反映出各自的狀態以及所伴隨的風險，與這些狀態相關的四個時間點是漏洞的發現、發布、利用和補丁時間；其中的漏洞法則包含的核心元素包含但不限于半衰期、流行性、持續性、可利用性；
(2)提供漏洞信息云服務該環節所包含的漏洞基本通報服務、漏洞定向通報服務、 兼容性服務各場景實現的具體方案如下
漏洞基本服務主要面向因工作需要或個人興趣而對信息安全、漏洞感興趣的人群，云服務端提供最受關注漏洞及信息安全月報；用戶通過該平臺注冊并激活后，系統依據最受關注漏洞及信息安全月報的更新情況自動為其發送服務郵件，同時管理員根據實際情況為用戶發送宣傳性郵件；
漏洞定向通報服務針對因工作需要從云服務端獲得針對產品和廠商相關漏洞信息的各類信息安全的專業人士 ；用戶通過該平臺注冊并激活后，用戶根據自己的需要，選擇相應的廠商和產品名稱，服務平臺獲取到相關廠商或產品的最新漏洞信息后主動推送至用戶郵箱；
兼容性服務主要服務是信息安全廠商，用戶接入云服務端，獲取服務。
以上本發明實施例所述的基于互聯網的漏洞信息云服務方法，現將具體實施中兼容性服務的部分代碼實現展示如下
<data_list> <data>
<!-編號--> <data_no> 1 </data_no> <!-- CVE 編號--> <cve_id>CVE-201 l-2092</cve_id> <!-BUGTRACK 編號--> <bugtrack—id /> <!-- VUPEN 編號--> <vupen_id /> <!-- SECURA 編號--> <secura_id /> <!-- OSVDB 編號--> <osvdb_id /> </data> <data><!-編號--> <data_no>2</data_no> <!-- CVE 編號--> <cve_id>CVE-2011-065 8</cve_id>
<!-- BUGTRACK 編號--〉 <bugtrack_id /> <!-- VUPEN 編號--> <vupen_id /> <!-- SECURA 編號--> <secura_id /> <!-- OSVDB 編號--> <osvdb_id /> </data>
</data_list>漏洞詳情數據XML格式定義
<data_list> <data>
<!--編號--> 〈data—no> 1 </data_no> <!-- CNNVD 編號-->
<cnnvd_id>CNNVD-201106-172</cnnvd_id></data> <data><!-編號--> <data_no>2</data_no> <!-- CNNVD 編號--><cnnvd_id>CNNVD-201106-164</cnnvd_id> </data> <data><!--編號--> <data_no>2</data_no> <!-- CNNVD 編號--> <cnnvd_id> 1234</cnnvd_id> </data> </data_list>
以上實施例是本發明較優選具體實施方式
的一種，本領域技術人員在本技術方案范圍內進行的通常變化和替換應包含在本發明的保護范圍內。
權利要求
1. 一種基于互聯網的漏洞信息云服務方法，其特征在于，主要包括以下步驟(1)首先選取數據源，從資源平臺上抽取特征漏洞，再確定核心數據源，建立數據集，批量導出某一時間段的查詢結果；進行統計趨勢分析，包括建立散點圖、累計分布函數圖等各類統計圖，對其進行統計趨勢分析；通過不同的時間點把一個漏洞的生命周期分為若干階段，每個階段反映出各自的狀態以及所伴隨的風險，與這些狀態相關的四個時間點是漏洞的發現、發布、利用和補丁時間；(2)提供漏洞信息云服務該環節包含漏洞基本通報服務、漏洞定向通報服務、兼容性服務；進行漏洞基本服務用戶通過該平臺注冊并激活后，系統依據最受關注漏洞及信息安全月報的更新情況自動為其發送服務郵件，同時管理員根據實際情況為用戶發送宣傳性郵件；進行漏洞定向通報服務用戶通過該平臺注冊并激活后，選擇相應的政府部門、“8+2” 重要行業、廠商和產品名稱等，服務平臺獲取到相關政府部門、8+2重要行業、廠商或產品的最新漏洞信息后主動推送至用戶郵箱；進行兼容性服務用戶接入云服務端，獲取服務。
全文摘要
本發明涉及一種基于互聯網的漏洞信息云服務方法，首先選取數據源，從資源平臺上抽取特征漏洞，再確定核心數據源，建立數據集，進行統計趨勢分析，對其進行統計趨勢分析；通過不同的時間點把一個漏洞的生命周期分為若干階段，每個階段反映出各自的狀態以及所伴隨的風險；進行數據預處理、映射、繪制、顯示。本發明有益效果為通過對漏洞等數據進行數據分析、數據挖掘、數據展示，結合云計算模式、開展基于互聯網的漏洞信息云服務，有利于實現內部應用、支持領導決策、向公眾普及信息安全的信息、輔助信息安全態勢評估等功能；此方法模式具有極大的靈活性，足以適應各個軟件開發和部署階段的各種類型和規模的應用程序。
文檔編號G06F21/00GK102495884SQ201110404809
公開日2012年6月13日 申請日期2011年12月8日 優先權日2011年12月8日
發明者劉彥釗, 劉暉, 葉林, 吳世忠, 張建軍, 張磊, 徐斌, 易錦, 曾昭沛, 李欣, 林濤, 王峰, 白露, 謝慶慶, 趙向輝, 閔京華 申請人:上海三零衛士信息安全有限公司, 中國信息安全測評中心