[发明专利]一种安全漏洞的统一描述方法和描述系统

说明书

本发明公开一种安全漏洞的统一描述方法和描述系统，用于漏洞管理技术领域，描述方法包括：列出当前操作系统及应用软件可能存在的安全漏洞作为待描述安全漏洞；识别待描述漏洞的漏洞信息；获取对应不同漏洞扫描工具的测试相关信息；根据已获取的漏洞信息和测试相关信息生成Json格式的漏洞描述。本发明的漏洞描述方法实用性强，统一的漏洞存储与交互方式，让更多的信息安全系统进行数据交互更为便利，兼容性也更强，便于将漏洞描述应用到后续的统一监控平台的数据交换协同工作中。

技术领域

本发明涉及漏洞管理技术领域，特别是一种基于JSON的安全漏洞的统一描述方法和描述系统。

背景技术

电力系统中通常包括多个信息安全系统，多个信息安全系统中漏洞扫描库内容和对安全漏洞的描述方法、形式并不一致，因此，在与统一监控平台的数据交换与协同工作中带来了很多额外的工作量，浪费人力、物力，数据交互的通用实现方式亟待解决。

名词解释

JSON（JavaScript Object Notation），即JavaScript对象表示法，它是一种基于文本，独立于语言的轻量级数据交换格式，可以作为跨平台的数据交换格式，其在JS(JavaScript的简写)中作为对象处理时没有附加的任何标记，交换产生流量较少。

CVE（Common Vulnerabilities Exposures），通用安全漏洞列表。其不是一个独立创建的安全漏洞源，而是一个字典，将各种安全漏洞源联系在一起，并基于安全漏洞的发现时间顺序列出。每个安全漏洞条目由漏洞标识符（唯一标识）、内容简述、参考库信息三部分组成。

IIS（Internet Information Service），互联网信息服务。

发明内容

本发明的目的是提供一种安全漏洞的统一描述方法和描述系统，可统一安全漏洞在各信息安全系统中的描述，方便统一监控平台的漏洞信息数据交换，减少多个信息安全系统与统一监控平台协同工作时的工作量。

本发明采取的技术方案为：一种安全漏洞的统一描述方法，包括：

S1，根据实际应用的操作系统和应用软件，列出相应操作系统和应用软件对应的已知可能存在的安全漏洞，作为待描述安全漏洞；

S2，从漏洞数据库中获取待描述安全漏洞的漏洞信息；

S3，获取对应不同漏洞扫描工具的漏洞测试相关信息；

S4，基于S2获取的漏洞信息和S3获取的对应不同漏洞扫描工具的漏洞测试相关信息，生成Json格式的安全漏洞描述，安全漏洞描述包括漏洞基本描述信息、漏洞环境描述信息、漏洞测试信息以及漏洞修补信息。

优选的，S2中，所述漏洞信息包括漏洞名称、cve编号、bugtraq编号、漏洞发布时间、漏洞产生原因、环境和配置信息、漏洞测试方法和测试代码。从漏洞数据库中获取待描述安全漏洞的漏洞信息为现有技术。

优选的，S3中，漏洞测试相关信息为：采用基于主机的漏洞扫描工具时，获取漏洞环境本地信息；采用基于网络的漏洞扫描工具时，获取远程测试信息；采用模拟攻击方式的漏洞扫描工具时，获取漏洞攻击软件的接口信息；采用特定格式脚本的漏洞扫描工具时，获取相应的脚本信息。上述各中漏洞扫描工具皆为现有技术，其相应漏洞测试相关信息的获取亦为现有技术。

优选的，S4中，所述漏洞基本描述信息包括：漏洞名称、漏洞ID、漏洞成因描述、漏洞成因分类、漏洞危害类型、漏洞威胁等级和漏洞发布信息。其中，漏洞危害类型描述的是漏洞被利用的方式，漏洞威胁等级描述的是对安全漏洞的危险性分类（按其对目标主机的危险程度分为A级、B级、C级等），漏洞发布信息包括：漏洞发布者、漏洞发布组织、漏洞发布日期、漏洞内容。