技術(shù)領(lǐng)域

本發(fā)明涉及信息安全技術(shù)領(lǐng)域，尤其涉及一種基于互聯(lián)網(wǎng)的漏洞信息云服務(wù)方法。

背景技術(shù)

云計(jì)算是新興產(chǎn)業(yè)的重要組成部分，云計(jì)算是一種IT資源的交付和使用模式，指通過(guò)網(wǎng)絡(luò)(包括互聯(lián)網(wǎng)Internet和企業(yè)內(nèi)部網(wǎng)Intranet)以按需、易擴(kuò)展的方式獲得所需的硬件、平臺(tái)、軟件及服務(wù)等資源；提供資源的網(wǎng)絡(luò)被稱(chēng)為“云”，其計(jì)算能力通常是由分布式的大規(guī)模集群和服務(wù)器虛擬化軟件搭建。云計(jì)算的優(yōu)勢(shì)在于“云”中的資源在用戶(hù)端看來(lái)是可以無(wú)限擴(kuò)展，并且可以隨時(shí)獲取、按需使用、隨時(shí)擴(kuò)展、按使用付費(fèi)。

漏洞信息作為重要的信息安全數(shù)據(jù)，對(duì)國(guó)家信息安全發(fā)展具有重要意義。漏洞信息服務(wù)開(kāi)展較好的NVD(National?Vulnerability?Database)，嚴(yán)格采用《通用漏洞披露》(Common?Vulnerability?and?Exposures)的命名標(biāo)準(zhǔn)，即所有的漏洞都有CVE編號(hào)；漏洞評(píng)級(jí)遵照《通用漏洞評(píng)估系統(tǒng)》CVSS(Common?Vulnerability?Scoring?System)進(jìn)行；受影響的系統(tǒng)和軟件使用《通用平臺(tái)列舉》CPE(Common?Platform?Enumeration)規(guī)范的語(yǔ)言進(jìn)行描述；漏洞分類(lèi)則按照《通用缺陷列舉》CWE(Common?Weakness?Enumeration)劃分，十分權(quán)威。2009年，我國(guó)漏洞庫(kù)建設(shè)工作有了突破性進(jìn)展，開(kāi)始建立中國(guó)國(guó)家漏洞庫(kù)，即：CNNVD(China?National?Vulnerability?Database?of?Information?Security)。但目前漏洞信息服務(wù)還處在探索和實(shí)踐階段，服務(wù)方式也較為傳統(tǒng)和單一，其普及程度尚不顯著，成效亦不甚明顯。

鑒于漏洞信息服務(wù)的現(xiàn)狀結(jié)合云計(jì)算的諸多優(yōu)勢(shì)，可以采用一種基于互聯(lián)網(wǎng)的漏洞信息云服務(wù)方法，將漏洞信息服務(wù)與云計(jì)算有效結(jié)合起來(lái)。

發(fā)明內(nèi)容

本發(fā)明提供一種為相關(guān)政府部門(mén)、“8+2”重要行業(yè)、廣大信息安全廠(chǎng)商及社會(huì)各界提供豐富信息安全數(shù)據(jù)的基于互聯(lián)網(wǎng)的漏洞信息云服務(wù)方法，以解決現(xiàn)有漏洞信息服務(wù)的不足。

為實(shí)現(xiàn)上述目的，本發(fā)明采用以下技術(shù)方案：

一種基于互聯(lián)網(wǎng)的漏洞信息云服務(wù)方法，主要包括以下步驟：

(1)首先選取數(shù)據(jù)源。漏洞信息云服務(wù)的數(shù)據(jù)來(lái)源是中國(guó)國(guó)家信息安全漏洞庫(kù)(以下簡(jiǎn)稱(chēng)“漏洞庫(kù)”)。從漏洞庫(kù)中抽取特征漏洞，再確定核心數(shù)據(jù)源，建立數(shù)據(jù)集，批量導(dǎo)出某一時(shí)間段的查詢(xún)結(jié)果；進(jìn)行統(tǒng)計(jì)趨勢(shì)分析，包括建立散點(diǎn)圖、累計(jì)分布函數(shù)圖等各類(lèi)統(tǒng)計(jì)圖，對(duì)其進(jìn)行統(tǒng)計(jì)趨勢(shì)分析；通過(guò)不同的時(shí)間點(diǎn)把一個(gè)漏洞的生命周期分為若干階段，每個(gè)階段反映出各自的狀態(tài)以及所伴隨的風(fēng)險(xiǎn)，與這些狀態(tài)相關(guān)的四個(gè)時(shí)間點(diǎn)是漏洞的發(fā)現(xiàn)、發(fā)布、利用和補(bǔ)丁時(shí)間；

(2)提供漏洞信息云服務(wù)：該環(huán)節(jié)包含漏洞基本通報(bào)服務(wù)、漏洞定向通報(bào)服務(wù)、兼容性服務(wù)。漏洞基本通報(bào)服務(wù)和漏洞定向通報(bào)服務(wù)是兼容性服務(wù)的基礎(chǔ)，三者依次進(jìn)行，最終可提供漏洞信息云服務(wù)。

進(jìn)行漏洞基本通報(bào)服務(wù)：用戶(hù)通過(guò)該平臺(tái)注冊(cè)并激活后，系統(tǒng)依據(jù)最受關(guān)注漏洞及信息安全月報(bào)的更新情況自動(dòng)為其發(fā)送服務(wù)郵件，同時(shí)管理員根據(jù)實(shí)際情況為用戶(hù)發(fā)送宣傳性郵件；

進(jìn)行漏洞定向通報(bào)服務(wù)：用戶(hù)通過(guò)該平臺(tái)注冊(cè)并激活后，選擇相應(yīng)的廠(chǎng)商和產(chǎn)品名稱(chēng)，服務(wù)平臺(tái)獲取到相關(guān)廠(chǎng)商或產(chǎn)品的最新漏洞信息后主動(dòng)推送至用戶(hù)郵箱；

進(jìn)行兼容性服務(wù)：用戶(hù)接入云服務(wù)端，獲取服務(wù)。

本發(fā)明所述的基于互聯(lián)網(wǎng)的漏洞信息云服務(wù)方法的有益效果為：主要包含漏洞基本通報(bào)服務(wù)、漏洞定向通報(bào)服務(wù)、兼容性服務(wù)，結(jié)合云計(jì)算模式、開(kāi)展基于互聯(lián)網(wǎng)的漏洞信息云服務(wù)，有利于實(shí)現(xiàn)內(nèi)部應(yīng)用、支持領(lǐng)導(dǎo)決策、向公眾普及信息安全的信息、輔助信息安全態(tài)勢(shì)評(píng)估等功能；此方法模式具有極大的靈活性，足以適應(yīng)各個(gè)軟件開(kāi)發(fā)和部署階段的各種類(lèi)型和規(guī)模的應(yīng)用程序。

附圖說(shuō)明

下面根據(jù)附圖對(duì)本發(fā)明作進(jìn)一步詳細(xì)說(shuō)明。

圖1是本發(fā)明實(shí)施例所述基于互聯(lián)網(wǎng)的漏洞信息云服務(wù)方法流程示意圖。

具體實(shí)施方式