[发明专利]基于区块链技术的网络安全漏洞响应平台的管理方法

说明书

本发明公开了基于区块链技术的网络安全漏洞响应平台的管理方法，通过区块链技术实现漏洞响应平台中各方（安全服务提供方、安全服务用户、平台运行管理方、业务仲裁方和监管方）的权限管理，将参与漏洞响应业务的各方身份信息与其生成的公私钥对进行绑定，并将业务过程中的所有数据进行加密、同步、存储在区块链上，通过赋予监管方区块链账本的最高权限，实现监管方对于漏洞响应流程和参与方的有效监管。

技术领域

本发明属于网络安全技术领域，特别涉及了一种网络安全漏洞响应平台的管理方法。

背景技术

随着互联网的发展，在各个领域的信息安全问题变得越发重要。有越来越多的企业对于自身系统的信息安全的需求不断提高。在此基础上产生了一批为企业提供信息安全服务的网络安全公司。这些网络安全公司通过为企业提供漏洞的检测、修复，从而保障企业的信息安全，减小因网络信息安全问题造成的损失。然而，网络安全公司的服务费用较高昂，且服务周期固定，很难满足需求方不断改变的项目测试、功能更新升级等综合需求。同时，各网络安全公司漏洞库存储了大量的安全漏洞信息，监管者很难对安全公司的漏洞库进行直接的监管、控制与收集，不利于社会整体的网络安全建设。漏洞响应平台作为安全业务的一种补充，对以中小企业为主的网络安全本可以发挥重要作用，但是局限于漏洞响应平台自身的安全性、可监管性、可信任等问题，漏洞响应平台并未成为一种被广泛认可的安全服务模式。

近年来，随着分布式账本技术（也被称为区块链技术）的发展，基于其网络更加透明可信、可清晰验证溯源、不可篡改等多种属性，有益于改变目前漏洞响应平台管理中安全服务提供方难以监管，漏洞数据难以收集等问题。使漏洞响应业务可以以更加有效监管、安全可信任的方式，对网络安全行业模式进行补充，并提高监管方对漏洞数据的管理。

发明内容

为了解决上述背景技术提到的技术问题，本发明提出了基于区块链技术的网络安全漏洞响应平台的管理方法。

为了实现上述技术目的，本发明的技术方案为：

基于区块链技术的网络安全漏洞响应平台的管理方法，所述漏洞响应平台的参与者包括安全服务提供方、安全服务用户、平台运行管理方、业务仲裁方和监管方，各方参与者作为区块链网络的节点，所述管理方法包括：

所述安全服务用户在网络安全漏洞响应平台上通过区块链智能协议发布安全漏洞检测需求智能合约；

所述安全服务提供方在区块链智能协议中提交漏洞报告，对漏洞报告进行分块、加密处理，确保无任何第三方有权限或能力知晓完整漏洞详情；

所述业务仲裁方通过匿名随机选举的方式被选举出，对安全服务提供方与安全服务用户无法达成一致意见的漏洞报告进行仲裁；

所述网络安全漏洞响应平台中各方参与者的操作记录以及各环节信息和数据均被存储于区块链分布式账本上；

所述平台运行管理方通过区块链智能系统基于透明可溯源的链上数据对各方参与者进行自动化信用评级；

以及所述监管方作为区块链网络的中央节点，具有最高的权限，能够管理并访问所有加密存储的业务数据及漏洞信息，并进行漏洞库的收录。

进一步地，所述安全漏洞检测需求智能合约包括安全漏洞检测服务合同、安全服务提供方的操作日志以及最终完整的漏洞报告；

所述安全漏洞检测服务合同的内容包括但不限于：所需要检测的系统介绍、安全服务提供方能够使用的权限范围和不同等级漏洞的奖励方式；

所述操作日志包含对于漏洞数据的挖掘、漏洞报告的生成和提交的过程，该操作日志由网络安全漏洞响应平台的区块链智能系统自动生成，并存储在区块链相应的安全漏洞检测需求智能合约上，且任意一方均不能篡改。