一种IoT设备安全管理方法、系统、介质及设备与流程

一种iot设备安全管理方法、系统、介质及设备
技术领域
1.本公开涉及物联网技术领域，更为具体来说，本公开涉及一种iot设备安全管理方法、系统、介质及设备。


背景技术：

2.iot是internet of things(物联网)的缩写。物联网是基于互联网、广播电视网、传统电信网等信息载体，让所有能够被独立寻址的普通物理对象实现互联互通的网络。
3.随着iot技术演进与下沉，万物互联时代正在到来。目前，全球物联网设备数量达到100亿，预计到2025年将增加到220亿。和移动互联网的发展历程类似，原本独立、隔离、安全的传统设备通过网络连接成为万物互联中的终端。设备本身拥有很多的入口和控制方式，这为用户带来操作便利性的同时，也形成了更多暴露面、攻击面。
4.一方面，iot设备的严重碎片化现象以及设计开发人员安全意识薄弱，导致出厂的固件中存在着各种各样的漏洞。另一方面，由于iot本身使用的操作系统数量多，使用的架构不统一，固件格式更是因厂商而异，多样化给iot设备带来定制化与差异化的同时，也给固件安全自动化检测带来了挑战。
5.基于人工的固件解压、风险分析技术未能解决对固件文件系统的全面风险评估；而对于现有的插件化固件安全检测技术方案，仍是依赖对单一固件的自动化分析、简要风险结果输出，未能解决iot固件种类、数量繁多，需流程化、批量完成安全评估的问题。
6.目前，物联网中很多物联网设备大小不一、且对安全问题的防御能力也不同。一旦有一个物联网设备出现安全问题，则该出现问题的物联网设备会成为攻击整个物联网的一个突破口，这会影响整个物联网的安全。
7.因此，在物联网应用中，一种物联网设备的安全管控方法是亟待解决的技术问题。


技术实现要素：

8.为解决现有技术的缺乏物联网设备的安全管控方法的技术问题。
9.为实现上述技术目的，本公开提供了一种iot设备安全管理方法，包括：
10.通过与服务器之间已建立连接的云管理平台发布服务器的最新安全检测策略库；其中，所述最新安全检测策略库是由所述云管理平台基于漏洞披露标准平台实时披露的最新漏洞信息、以及所述iot设备的设备指纹信息生成的；其中，所述设备指纹信息用于指示所述物联网设备正常运行时的状态信息；
11.当监控到操作事件时，获取所述iot设备的当前参数值，当依据所述当前参数值与所述最新安全检测策略库中的目标参数值确定存在漏洞时，产生告警日志并将所述告警日志和所述当前参数值发送至云管理平台进行安全管控策略确定；
12.其中，所述当前参数值包括所述iot设备当前具备的且与所述最新安全检测策略库中安全检测策略所要求的各目标监控指标相对应的具体参数值；所述最新安全检测策略库中的安全检测策略还包含各目标监控指标所对应的目标参数值；
13.依据所述云管理平台确定的所述安全管控策略进行漏洞控制以阻断所述漏洞。
14.进一步，所述当依据所述当前参数值与所述最新安全检测策略库中的目标参数值确定存在漏洞具体包括：
15.利用获取到的扫描相关参数信息调度漏洞扫描工具，所述扫描相关参数信息基于漏洞扫描请求获取，并同步至云管理平台；
16.利用所述漏洞扫描工具对获取到的相关数据中的待扫描数据进行漏洞扫描，输出漏洞扫描结果；
17.根据所述漏洞扫描结果、漏洞情报数据、渗透情况进行关联分析，得到受漏洞影响的数据,评估所述受漏洞影响的数据的漏洞修复优先级。
18.进一步，所述利用获取到的扫描相关参数信息调度漏洞扫描工具，所述扫描相关参数信息基于漏洞扫描请求获取，并同步至云管理平台具体包括：
19.使用云提供商api，访问云管理平台中维护的工作负载的块存储卷；识别所访问的块存储卷中的已安装的软件应用；
20.分析所识别的已安装的软件应用以确定相关联的软件版本；
21.访问软件应用的多个版本的已知软件漏洞的数据结构；
22.在所述数据结构中执行所标识的已安装软件版本的查找以标识已知漏洞；
23.以及，使用网络可访问性信息和至少一个端口进行标识所述已知软件漏洞和所述标识已知软件漏洞中的一个或多个，其中，所述已知软件漏洞和所述标识已知软件漏洞易受到来自所述工作负载外部的攻击。
24.进一步，所述网络可访问性信息包括以下各项中的至少一项：来自外部数据源的数据、云提供商信息和/或至少一个网络捕获日志。
25.进一步，所述在所述数据结构中执行所标识的已安装软件版本的查找以标识已知漏洞具体包括：
26.由至少一个处理器通过网络收集与多个网络资源有关的数据，所述数据包括应用风险等级和网络位置；
27.利用所述至少一个处理器通过执行包括以下的操作来查找以标识已知漏洞；
28.确定所述网络资源的脆弱性对应的脆弱性得分；
29.基于所述应用风险等级和所述网络资源的网络位置来确定所述网络资源的严重性分数；
30.整合所述网络资源的每个脆弱性评分和对应的严重性评分，以创建二维风险排名；
31.计算脆弱性指数，作为与应用程序和主机相关联的脆弱性的加权和；
32.以及生成用户界面，所述用户界面显示基础设施脆弱性指数和应用程序脆弱性指数的比较。
33.为实现上述技术目的，本公开还能够提供一种iot设备安全管理系统，包括：
34.检测测量构建模块，用于通过与服务器之间已建立连接的云管理平台发布服务器的最新安全检测策略库；
35.其中，所述最新安全检测策略库是由所述云管理平台基于漏洞披露标准平台实时披露的最新漏洞信息、以及所述iot设备的设备指纹信息生成的；其中，所述设备指纹信息
用于指示所述物联网设备正常运行时的状态信息；
36.漏洞检测模块，用于获取所述iot设备的当前参数值，当依据所述当前参数值与所述最新安全检测策略库中的目标参数值确定存在漏洞时，产生告警日志并将所述告警日志和所述当前参数值发送至云管理平台进行安全管控策略确定；
37.其中，所述当前参数值包括所述iot设备当前具备的且与所述最新安全检测策略库中安全检测策略所要求的各目标监控指标相对应的具体参数值；所述最新安全检测策略库中的安全检测策略还包含各目标监控指标所对应的目标参数值；
38.漏洞阻断模块，用于依据所述云管理平台确定的所述安全管控策略进行漏洞控制以阻断所述漏洞。
39.进一步，所述当依据所述当前参数值与所述最新安全检测策略库中的目标参数值确定存在漏洞具体包括：
40.利用获取到的扫描相关参数信息调度漏洞扫描工具，所述扫描相关参数信息基于漏洞扫描请求获取，并同步至云管理平台；
41.利用所述漏洞扫描工具对获取到的相关数据中的待扫描数据进行漏洞扫描，输出漏洞扫描结果；
42.根据所述漏洞扫描结果、漏洞情报数据、渗透情况进行关联分析，得到受漏洞影响的数据,评估所述受漏洞影响的数据的漏洞修复优先级；
43.所述利用获取到的扫描相关参数信息调度漏洞扫描工具，所述扫描相关参数信息基于漏洞扫描请求获取，并同步至云管理平台具体包括：
44.使用云提供商api，访问云管理平台中维护的工作负载的块存储卷；识别所访问的块存储卷中的已安装的软件应用；
45.分析所识别的已安装的软件应用以确定相关联的软件版本；
46.访问软件应用的多个版本的已知软件漏洞的数据结构；
47.在所述数据结构中执行所标识的已安装软件版本的查找以标识已知漏洞；
48.以及，使用网络可访问性信息和至少一个端口进行标识所述已知软件漏洞和所述标识已知软件漏洞中的一个或多个，其中，所述已知软件漏洞和所述标识已知软件漏洞易受到来自所述工作负载外部的攻击。
49.进一步，所述在所述数据结构中执行所标识的已安装软件版本的查找以标识已知漏洞具体包括：
50.由至少一个处理器通过网络收集与多个网络资源有关的数据，所述数据包括应用风险等级和网络位置；
51.利用所述至少一个处理器通过执行包括以下的操作来查找以标识已知漏洞；
52.确定所述网络资源的脆弱性对应的脆弱性得分；
53.基于所述应用风险等级和所述网络资源的网络位置来确定所述网络资源的严重性分数；
54.整合所述网络资源的每个脆弱性评分和对应的严重性评分，以创建二维风险排名；
55.计算脆弱性指数，作为与应用程序和主机相关联的脆弱性的加权和；
56.以及生成用户界面，所述用户界面显示基础设施脆弱性指数和应用程序脆弱性指
数的比较。
57.为实现上述技术目的，本公开还能够提供一种计算机存储介质，其上存储有计算机程序，计算机程序被处理器执行时用于实现上述的iot设备安全管理的方法的步骤。
58.为实现上述技术目的，本公开还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现上述的iot设备安全管理的方法的步骤。
59.本公开的有益效果：
60.本公开的方法和系统基于输入的iot设备在漏洞时生成的告警日志、iot设备的当前参数值、以及指定时间内iot设备的运行日志确定安全管控策略，保证安全管控策略确定的更精确，进一步提高iot设备的安全管控，保障了物联网的安全。
附图说明
61.图1示出了本公开的实施例1的方法的流程示意图；
62.图2示出了本公开的实施例1的用户界面示意图；
63.图3示出了本公开的实施例2的系统的结构示意图；
64.图4示出了本公开的实施例4的结构示意图。
具体实施方式
65.以下，将参照附图来描述本公开的实施例。但是应该理解，这些描述只是示例性的，而并非要限制本公开的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本公开的概念。
66.在附图中示出了根据本公开实施例的各种结构示意图。这些图并非是按比例绘制的，其中为了清楚表达的目的，放大了某些细节，并且可能省略了某些细节。图中所示的各种区域、层的形状以及它们之间的相对大小、位置关系仅是示例性的，实际中可能由于制造公差或技术限制而有所偏差，并且本领域技术人员根据实际所需可以另外设计具有不同形状、大小、相对位置的区域/层。
67.在以多网络的离散制造主承制单位开展的科研设计以及批量总装生产的计划任务下，开展组织众多供应商在有计划的时间节点提供众多品类物资，以保证开发设计阶段以及批量供货阶段的协同配套供货，完成开发或制造交付任务是一个整体的行业协同配合，而这协同过程又严重被主承制单位的多网络的要求变得效率不高、管理成本高、人力投入大，且无法控制避免人为出错风险。
68.漏洞管理是指在软件开发阶段或者软件运行期间中捕捉、跟踪、评估和修复软件中存在的漏洞的过程。漏洞管理的目的是确保产品在发布之前或者上线后快速修复安全漏洞并及时修复漏洞产生不必要的损失。
69.漏洞管理包括以下几个重要环节：
70.1.漏洞发现：漏洞可以由漏洞扫描工具、黑客攻击，以及用户反馈等多种途径发现。发现漏洞需要及时记录漏洞信息，以便对漏洞进行跟踪和排查。
71.2.漏洞跟踪：跟踪漏洞的状态包括漏洞的触发时间、漏洞的级别、漏洞修复的时间等信息，以方便开发人员更快速地进行修复。
72.3.漏洞分级：漏洞分类是指对漏洞的危害程度进行分类，根据漏洞的严重程度分为高、中、低三个级别，以便快速识别并处理漏洞。
73.4.漏洞修复：漏洞的修复是漏洞管理的核心步骤之一。开发人员需要对漏洞进行深入分析和修复，以消除安全隐患。
74.5.漏洞验证：漏洞修复后需要进行验证，确保不存在已修复但没有完全消除的漏洞问题。
75.6.漏洞审查：漏洞审查是指对漏洞修复的过程进行审查，以确保修复的漏洞能够完全消除安全隐患。
76.7.漏洞总结：及时总结漏洞击破程序中存在的安全漏洞和弱点，并及时修复，以避免同类问题重现。
77.iot应用漏洞管理是指在iot(物联网)应用领域中发现、监测、评估和修复应用程序漏洞的过程。在这种管理过程中，需要对iot应用程序中存在的漏洞进行评估，确定漏洞的严重程度和可利用性，并采取相应的应对措施，最大限度地减少iot应用程序被攻击的风险。
78.iot应用漏洞管理是一个逐步演化的过程，包括以下主要的步骤：
79.1.发现漏洞：通过各种方式监测iot应用程序和设备中的漏洞，例如发现新的漏洞，固定现有漏洞，或者是监测漏洞进行可重复测试。
80.2.评估漏洞：确定漏洞的严重程度，包括可利用性分析、攻击难度评估和漏洞导致的业务影响分析等。
81.3.进行漏洞管理：生成解决方案，通过合适的手段和程序加以隔离或纠正漏洞，减少安全风险，并确保系统的可用性和完整性。
82.4.监测漏洞：对已修复的漏洞和未修复的漏洞进行监测和管理，确保漏洞不会在系统中二次出现，总结经验，不断修正，以保障应用及系统的安全性。
83.5.预防措施：同时对新采购设备进行严格审查，确保设备在批准上线前已经经过充分安全测试，同时企业也要加强iot应用中的安全隐患防范和管理，如设备访问控制、漏洞扫描和弱口令检查等。
84.iot应用漏洞管理是保证iot应用、设备和系统安全和可靠性的关键环节。在进行iot应用开发、部署和维护时，应该采取合适的漏洞管理措施，及时发现和修复漏洞，保护业务机密、用户信息及iot设备本身安全。
85.漏洞管理是软件开发和运营过程中非常重要的一环。通过全面系统的漏洞管理流程，对软件中的安全漏洞及时发现、评估和修复，从而保证了软件的安全性和可靠性，确保软件始终能够保持一手的运行状态。
86.实施例一：
87.针对iot应用的漏洞管理方法通常包括以下几个方面：
88.1.iot设备及应用漏洞管理：对iot设备及应用程序进行漏洞管理，包括漏洞收集、分析、评估和修复措施的实施等。在漏洞管理过程中，可以进行漏洞的发现、披露、修复以及验证等环节，确保iot设备和应用程序的安全。
89.2.安全漏洞数据库：建立安全漏洞数据库记录漏洞，定期更新漏洞信息和与之相关的安全风险，以及对系统的影响和防御措施。
90.3.iot安全漏洞扫描：进行定期安全扫描，自动化对iot设备和应用进行安全漏洞测试，并向管理员提供识别和生产漏洞报告的功能。
91.4.安全漏洞分析：对新发现或报告的漏洞进行评估和分析，包括漏洞的攻击技术、影响范围、风险等级等，以确定漏洞程度和优先级。
92.5.安全漏洞修复：按照评估和分析的漏洞等级和优先级，及时采取相应的修复措施，包括补丁更新、配置更改、授权更改等，以消除漏洞的风险。
93.综上所述，对于iot设备和应用程序的漏洞管理，需要建立完整的漏洞管理系统，包括漏洞的发现、记录、评估、修复等全生命周期管理策略。此外，还应该定期对iot设备和应用程序进行监测和安全扫描，发现并修复漏洞，最大限度保障iot系统的安全和可靠性。
94.基于上述常规的iot漏洞管理方法进行改进，如图1所示：
95.本公开提供了一种iot设备安全管理方法，包括：
96.s101：通过与服务器之间已建立连接的云管理平台发布服务器的最新安全检测策略库；
97.其中，所述最新安全检测策略库是由所述云管理平台基于漏洞披露标准平台实时披露的最新漏洞信息、以及所述iot设备的设备指纹信息生成的；
98.其中，所述设备指纹信息用于指示所述物联网设备正常运行时的状态信息；
99.这里的设备指纹信息可包括如下至少一个信息：
100.a)设备安全启动类信息。在应用中，举例物联网设备的启动步骤按顺序依次为：
101.bootrom-》bootloader-》内核/操作系统-》设备应用。而每一个步骤都有可能被非法篡改，所以每个步骤都要进行完整性与合法性校验，校验通过后说明是未被篡改/合法的，才可以进行下一步骤的启动。基于此，作为一个实施例，这里的设备安全启动类信息可包括物联网设备的启动步骤中各硬件的完整性与合法性验证参数比如哈希值/数字签名，比如，设备安全启动类信息依次可包括：bootrom的哈希值/数字签名值；bootloader的哈希值/数字签名值；内核/操作系统的哈希值/数字签名值；设备应用的哈希值/数字签名值。可选地，这里设备安全启动类信息可为设备出厂时的信息。
102.b)设备运行状态类信息。在应用中，设备运行状态信息包括以下至少一个：进程黑名单/白名单、文件黑名单/白名单、网络连接黑名单/白名单、网络流量阈值区间、操作系统配置白名单。可选地，进程白名单/白名单可包括：进程名，父进程名，进程哈希值。文件黑名单/白名单可包括：文件名，文件哈希值；网络连接黑名单/白名单可包括：ip地址(设备对外连接或外部内联)、端口、协议；网络流量预置区间可为设备正常运行状态下流量预置区间；操作系统配置白名单：操作系统所有功能的正常基线配置。可选地，这里设备运行状态类信息可为设备出厂时的信息。
103.c)设备资源占用类信息。在应用中，设备资源占用信息包括以下至少一个：cpu占有率阈值、内存占有阈值、磁盘占有阈值、内核对象数、网络连接数。可选地，这里设备资源占用类信息可为设备出厂时的信息。
104.d)设备正常能耗信息。可选地，这里设备正常能耗信息可为设备出厂时的信息。
105.所述最新安全检测策略库中的安全检测策略还包含各目标监控指标所对应的目标参数值。
106.本公开的实施例一的方案中，对iot漏洞的扫描检测，依照版本、信息、指纹、已披
露的漏洞利用程序、脆弱性配置、异常行为等进行。
107.s102：当监控到操作事件时，获取所述iot设备的当前参数值，当依据所述当前参数值与所述最新安全检测策略库中的目标参数值确定存在漏洞时，产生告警日志并将所述告警日志和所述当前参数值发送至云管理平台进行安全管控策略确定；
108.其中，所述当前参数值包括所述iot设备当前具备的且与所述最新安全检测策略库中安全检测策略所要求的各目标监控指标相对应的具体参数值；所述最新安全检测策略库中的安全检测策略还包含各目标监控指标所对应的目标参数值；
109.s103：依据所述云管理平台确定的所述安全管控策略进行漏洞控制以阻断所述漏洞。
110.本实施例在确定相匹配的用于阻断漏洞的安全管控策略时，是由设备分析模型基于输入的iot设备在漏洞时生成的告警日志、iot设备的当前参数值、以及指定时间内iot设备的运行日志确定的，这参考了之前的日志进行分析，提高了确定安全管控策略的精准度。
111.需要说明的是，本公开的iot设备安全管理方法以及漏洞管理平台可以用于对漏洞进行汇总，进行资产管理、漏洞信息规范化、威胁程度评价(基于设备位置、访问管理和漏洞危害性)、厂家是否发布修复补丁、是否能够通过安全产品进行防护、态势展现、外部威胁情况、工单流转。
112.进一步，所述当依据所述当前参数值与所述最新安全检测策略库中的目标参数值确定存在漏洞具体包括：
113.利用获取到的扫描相关参数信息调度漏洞扫描工具，所述扫描相关参数信息基于漏洞扫描请求获取，并同步至云管理平台；
114.利用所述漏洞扫描工具对获取到的相关数据中的待扫描数据进行漏洞扫描，输出漏洞扫描结果；
115.根据所述漏洞扫描结果、漏洞情报数据、渗透情况进行关联分析，得到受漏洞影响的数据,评估所述受漏洞影响的数据的漏洞修复优先级。
116.进一步，所述利用获取到的扫描相关参数信息调度漏洞扫描工具，所述扫描相关参数信息基于漏洞扫描请求获取，并同步至云管理平台具体包括：
117.使用云提供商api，访问云管理平台中维护的工作负载的块存储卷；识别所访问的块存储卷中的已安装的软件应用；
118.分析所识别的已安装的软件应用以确定相关联的软件版本；
119.访问软件应用的多个版本的已知软件漏洞的数据结构；
120.在所述数据结构中执行所标识的已安装软件版本的查找以标识已知漏洞；
121.以及，使用网络可访问性信息和至少一个端口进行标识所述已知软件漏洞和所述标识已知软件漏洞中的一个或多个，其中，所述已知软件漏洞和所述标识已知软件漏洞易受到来自所述工作负载外部的攻击。
122.进一步，所述网络可访问性信息包括以下各项中的至少一项：来自外部数据源的数据、云提供商信息和/或至少一个网络捕获日志。
123.进一步，所述在所述数据结构中执行所标识的已安装软件版本的查找以标识已知漏洞具体包括：
124.由至少一个处理器通过网络收集与多个网络资源有关的数据，所述数据包括应用
风险等级和网络位置；
125.利用所述至少一个处理器通过执行包括以下的操作来查找以标识已知漏洞；
126.确定所述网络资源的脆弱性对应的脆弱性得分；
127.基于所述应用风险等级和所述网络资源的网络位置来确定所述网络资源的严重性分数；
128.整合所述网络资源的每个脆弱性评分和对应的严重性评分，以创建二维风险排名；
129.计算脆弱性指数，作为与应用程序和主机相关联的脆弱性的加权和；
130.以及生成用户界面，所述用户界面显示基础设施脆弱性指数和应用程序脆弱性指数的比较。所述用户界面如图2所示。
131.计算机网络系统在设计、实施、操作和控制过程中存在的可能被攻击者利用从而造成系统安全危害的缺陷称为脆弱性(vulnerability)。由于网络应用程序或者其他程序的瑕疵不可避免，入侵者很容易利用网络系统中存在的脆弱性实施攻击，获取被攻击系统的机密信息，甚至取得被攻击系统的超级权限为所欲为。以上这些行为都可能导致系统的保密性、完整性和可用性受到损害。
132.为了便于国家相关职能部门对网络脆弱性指数的理解，需要对网络脆弱性指数进行定性的描述和定义。按照网络脆弱性指数的计算结果，将网络脆弱性分为“优、良、中、差、危”5个等级，各等级的具体含义见表1。
133.表1网络脆弱性指数定性描述
134.[0135][0136]
实施例二：
[0137]
如图2所示：
[0138]
为了解决上述技术问题，本公开还能提供一种iot设备安全管理系统，包括：
[0139]
检测测量构建模块201，用于通过与服务器之间已建立连接的云管理平台发布服务器的最新安全检测策略库；
[0140]
其中，所述最新安全检测策略库是由所述云管理平台基于漏洞披露标准平台实时披露的最新漏洞信息、以及所述iot设备的设备指纹信息生成的；其中，所述设备指纹信息用于指示所述物联网设备正常运行时的状态信息；
[0141]
漏洞检测模块202，用于获取所述iot设备的当前参数值，当依据所述当前参数值与所述最新安全检测策略库中的目标参数值确定存在漏洞时，产生告警日志并将所述告警日志和所述当前参数值发送至云管理平台进行安全管控策略确定；
[0142]
其中，所述当前参数值包括所述iot设备当前具备的且与所述最新安全检测策略库中安全检测策略所要求的各目标监控指标相对应的具体参数值；所述最新安全检测策略库中的安全检测策略还包含各目标监控指标所对应的目标参数值；
[0143]
漏洞阻断模块203，用于依据所述云管理平台确定的所述安全管控策略进行漏洞控制以阻断所述漏洞。
[0144]
进一步，所述当依据所述当前参数值与所述最新安全检测策略库中的目标参数值确定存在漏洞具体包括：
[0145]
利用获取到的扫描相关参数信息调度漏洞扫描工具，所述扫描相关参数信息基于漏洞扫描请求获取，并同步至云管理平台；
[0146]
利用所述漏洞扫描工具对获取到的相关数据中的待扫描数据进行漏洞扫描，输出漏洞扫描结果；
[0147]
根据所述漏洞扫描结果、漏洞情报数据、渗透情况进行关联分析，得到受漏洞影响的数据,评估所述受漏洞影响的数据的漏洞修复优先级；
[0148]
所述利用获取到的扫描相关参数信息调度漏洞扫描工具，所述扫描相关参数信息基于漏洞扫描请求获取，并同步至云管理平台具体包括：
[0149]
使用云提供商api，访问云管理平台中维护的工作负载的块存储卷；识别所访问的块存储卷中的已安装的软件应用；
[0150]
分析所识别的已安装的软件应用以确定相关联的软件版本；
[0151]
访问软件应用的多个版本的已知软件漏洞的数据结构；
[0152]
在所述数据结构中执行所标识的已安装软件版本的查找以标识已知漏洞；
[0153]
以及，使用网络可访问性信息和至少一个端口进行标识所述已知软件漏洞和所述标识已知软件漏洞中的一个或多个，其中，所述已知软件漏洞和所述标识已知软件漏洞易受到来自所述工作负载外部的攻击。
[0154]
进一步，所述在所述数据结构中执行所标识的已安装软件版本的查找以标识已知漏洞具体包括：
[0155]
由至少一个处理器通过网络收集与多个网络资源有关的数据，所述数据包括应用风险等级和网络位置；
[0156]
利用所述至少一个处理器通过执行包括以下的操作来查找以标识已知漏洞；
[0157]
确定所述网络资源的脆弱性对应的脆弱性得分；
[0158]
基于所述应用风险等级和所述网络资源的网络位置来确定所述网络资源的严重性分数；
[0159]
整合所述网络资源的每个脆弱性评分和对应的严重性评分，以创建二维风险排名；
[0160]
计算脆弱性指数，作为与应用程序和主机相关联的脆弱性的加权和；
[0161]
以及生成用户界面，所述用户界面显示基础设施脆弱性指数和应用程序脆弱性指数的比较。
[0162]
实施例三：
[0163]
本公开还能够提供一种计算机存储介质，其上存储有计算机程序，计算机程序被处理器执行时用于实现上述的iot设备安全管理的方法的步骤。
[0164]
本公开的计算机存储介质可以采用半导体存储器、磁芯存储器、磁鼓存储器或磁盘存储器实现。
[0165]
半导体存储器，主要用于计算机的半导体存储元件主要有mos和双极型两种。mos元件集成度高、工艺简单但速度较慢。双极型元件工艺复杂、功耗大、集成度低但速度快。nmos和cmos问世后，使mos存储器在半导体存储器中开始占主要地位。nmos速度快，如英特尔公司的1k位静态随机存储器的存取时间为45ns。而cmos耗电省，4k位的cmos静态存储器存取时间为300ns。上述半导体存储器都是随机存取存储器(ram),即在工作过程中可随机进行读出和写入新内容。而半导体只读存储器(rom)在工作过程中可随机读出但不能写入，它用来存放已固化好的程序和数据。rom又分为不可改写的熔断丝式只读存储器
──
prom
和可改写的只读存储器eprom两种。
[0166]
磁芯存储器，具有成本低，可靠性高的特点，且有20多年的实际使用经验。70年代中期以前广泛使用磁芯存储器作为主存储器。其存储容量可达10位以上，存取时间最快为300ns。国际上典型的磁芯存储器容量为4ms～8mb，存取周期为1.0～1.5μs。在半导体存储快速发展取代磁芯存储器作为主存储器的位置之后，磁芯存储器仍然可以作为大容量扩充存储器而得到应用。
[0167]
磁鼓存储器，一种磁记录的外存储器。由于其信息存取速度快，工作稳定可靠，虽然其容量较小，正逐渐被磁盘存储器所取代，但仍被用作实时过程控制计算机和中、大型计算机的外存储器。为了适应小型和微型计算机的需要，出现了超小型磁鼓，其体积小、重量轻、可靠性高、使用方便。
[0168]
磁盘存储器，一种磁记录的外存储器。它兼有磁鼓和磁带存储器的优点，即其存储容量较磁鼓容量大，而存取速度则较磁带存储器快，又可脱机贮存，因此在各种计算机系统中磁盘被广泛用作大容量的外存储器。磁盘一般分为硬磁盘和软磁盘存储器两大类。
[0169]
硬磁盘存储器的品种很多。从结构上，分可换式和固定式两种。可换式磁盘盘片可调换，固定式磁盘盘片是固定的。可换式和固定式磁盘都有多片组合和单片结构两种，又都可分为固定磁头型和活动磁头型。固定磁头型磁盘的容量较小，记录密度低存取速度高，但造价高。活动磁头型磁盘记录密度高(可达1000～6250位/英寸)，因而容量大,但存取速度相对固定磁头磁盘低。磁盘产品的存储容量可达几百兆字节，位密度为每英寸6 250位,道密度为每英寸475道。其中多片可换磁盘存储器由于盘组可以更换,具有很大的脱体容量,而且容量大,速度高,可存储大容量情报资料，在联机情报检索系统、数据库管理系统中得到广泛应用。
[0170]
实施例四：
[0171]
本公开还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现上述的iot设备安全管理的方法的步骤。
[0172]
图4为一个实施例中电子设备的内部结构示意图。如图4所示，该电子设备包括通过系统总线连接的处理器、存储介质、存储器和网络接口。其中，该计算机设备的存储介质存储有操作系统、数据库和计算机可读指令，数据库中可存储有控件信息序列，该计算机可读指令被处理器执行时，可使得处理器实现一种iot设备安全管理的方法。该电设备的处理器用于提供计算和控制能力，支撑整个计算机设备的运行。该计算机设备的存储器中可存储有计算机可读指令，该计算机可读指令被处理器执行时，可使得处理器执行一种iot设备安全管理的方法。该计算机设备的网络接口用于与终端连接通信。本领域技术人员可以理解，图4中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
[0173]
该电子设备包括但不限于智能电话、计算机、平板电脑、可穿戴智能设备、人工智能设备、移动电源等。
[0174]
所述处理器在一些实施例中可以由集成电路组成，例如可以由单个封装的集成电路所组成，也可以是由多个相同功能或不同功能封装的集成电路所组成，包括一个或者多
个中央处理器(central processing unit，cpu)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。所述处理器是所述电子设备的控制核心(control unit)，利用各种接口和线路连接整个电子设备的各个部件，通过运行或执行存储在所述存储器内的程序或者模块(例如执行远端数据读写程序等)，以及调用存储在所述存储器内的数据，以执行电子设备的各种功能和处理数据。
[0175]
所述总线可以是外设部件互连标准(peripheral component interconnect，简称pci)总线或扩展工业标准结构(extended industry standard architecture，简称eisa)总线等。该总线可以分为地址总线、数据总线、控制总线等。所述总线被设置为实现所述存储器以及至少一个处理器等之间的连接通信。
[0176]
图4仅示出了具有部件的电子设备，本领域技术人员可以理解的是，图4示出的结构并不构成对所述电子设备的限定，可以包括比图示更少或者更多的部件，或者组合某些部件，或者不同的部件布置。
[0177]
例如，尽管未示出，所述电子设备还可以包括给各个部件供电的电源(比如电池)，优选地，电源可以通过电源管理装置与所述至少一个处理器逻辑相连，从而通过电源管理装置实现充电管理、放电管理、以及功耗管理等功能。电源还可以包括一个或一个以上的直流或交流电源、再充电装置、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。所述电子设备还可以包括多种传感器、蓝牙模块、wi-fi模块等，在此不再赘述。
[0178]
进一步地，所述电子设备还可以包括网络接口，可选地，所述网络接口可以包括有线接口和/或无线接口(如wi-fi接口、蓝牙接口等)，通常用于在该电子设备与其他电子设备之间建立通信连接。
[0179]
可选地，该电子设备还可以包括用户接口，用户接口可以是显示器(display)、输入单元(比如键盘(keyboard))，可选地，用户接口还可以是标准的有线接口、无线接口。可选地，在一些实施例中，显示器可以是led显示器、液晶显示器、触控式液晶显示器以及oled(organic light-emitting diode，有机发光二极管)触摸器等。其中，显示器也可以适当的称为显示屏或显示单元，用于显示在电子设备中处理的信息以及用于显示可视化的用户界面。
[0180]
进一步地，所述计算机可用存储介质可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序等；存储数据区可存储根据区块链节点的使用所创建的数据等。
[0181]
在本发明所提供的几个实施例中，应该理解到，所揭露的设备，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。
[0182]
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
[0183]
另外，在本发明各个实施例中的各功能模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单
元既可以采用硬件的形式实现，也可以采用硬件加软件功能模块的形式实现。
[0184]
以上对本公开的实施例进行了描述。但是，这些实施例仅仅是为了说明的目的，而并非为了限制本公开的范围。本公开的范围由所附权利要求及其等价物限定。不脱离本公开的范围，本领域技术人员可以做出多种替代和修改，这些替代和修改都应落在本公开的范围之内。

技术特征：
1.一种iot设备安全管理方法，其特征在于，包括：通过与服务器之间已建立连接的云管理平台发布服务器的最新安全检测策略库；其中，所述最新安全检测策略库是由所述云管理平台基于漏洞披露标准平台实时披露的最新漏洞信息、以及所述iot设备的设备指纹信息生成的；其中，所述设备指纹信息用于指示所述物联网设备正常运行时的状态信息；当监控到操作事件时，获取所述iot设备的当前参数值；利用获取到的扫描相关参数信息调度漏洞扫描工具，所述扫描相关参数信息基于漏洞扫描请求获取，并同步至云管理平台；利用所述漏洞扫描工具对获取到的相关数据中的待扫描数据进行漏洞扫描，输出漏洞扫描结果；根据所述漏洞扫描结果、漏洞情报数据、渗透情况进行关联分析，得到受漏洞影响的数据,评估所述受漏洞影响的数据的漏洞修复优先级；产生告警日志并将所述告警日志和所述当前参数值发送至云管理平台进行安全管控策略确定；其中，所述当前参数值包括所述iot设备当前具备的且与所述最新安全检测策略库中安全检测策略所要求的各目标监控指标相对应的具体参数值；所述最新安全检测策略库中的安全检测策略还包含各目标监控指标所对应的目标参数值；依据所述云管理平台确定的所述安全管控策略进行漏洞控制以阻断所述漏洞。2.根据权利要求1所述的方法，其特征在于，所述利用获取到的扫描相关参数信息调度漏洞扫描工具，所述扫描相关参数信息基于漏洞扫描请求获取，并同步至云管理平台具体包括：使用云提供商api，访问云管理平台中维护的工作负载的块存储卷；识别所访问的块存储卷中的已安装的软件应用；分析所识别的已安装的软件应用以确定相关联的软件版本；访问软件应用的多个版本的已知软件漏洞的数据结构；在所述数据结构中执行所标识的已安装软件版本的查找以标识已知软件漏洞；以及，使用网络可访问性信息和至少一个端口进行标识所述已知软件漏洞和所述标识已知软件漏洞中的一个或多个，其中，所述已知软件漏洞和所述标识已知软件漏洞易受到来自所述工作负载外部的攻击。3.根据权利要求2所述的方法，其特征在于，所述网络可访问性信息包括以下各项中的至少一项：来自外部数据源的数据、云提供商信息和/或至少一个网络捕获日志。4.根据权利要求2所述的方法，其特征在于，所述在所述数据结构中执行所标识的已安装软件版本的查找以标识已知漏洞具体包括：由至少一个处理器通过网络收集与多个网络资源有关的数据，所述数据包括应用风险等级和网络位置；利用所述至少一个处理器通过执行包括以下的操作来查找以标识已知漏洞；确定所述网络资源的脆弱性对应的脆弱性得分；基于所述应用风险等级和所述网络资源的网络位置来确定所述网络资源的严重性分数；
整合所述网络资源的每个脆弱性评分和对应的严重性评分，以创建二维风险排名；计算脆弱性指数，作为与应用程序和主机相关联的脆弱性的加权和；以及生成用户界面，所述用户界面显示基础设施脆弱性指数和应用程序脆弱性指数的比较。5.一种iot设备安全管理系统，其特征在于，包括：检测测量构建模块，用于通过与服务器之间已建立连接的云管理平台发布服务器的最新安全检测策略库；其中，所述最新安全检测策略库是由所述云管理平台基于漏洞披露标准平台实时披露的最新漏洞信息、以及所述iot设备的设备指纹信息生成的；其中，所述设备指纹信息用于指示所述物联网设备正常运行时的状态信息；漏洞检测模块，用于获取所述iot设备的当前参数值；利用获取到的扫描相关参数信息调度漏洞扫描工具，所述扫描相关参数信息基于漏洞扫描请求获取，并同步至云管理平台；利用所述漏洞扫描工具对获取到的相关数据中的待扫描数据进行漏洞扫描，输出漏洞扫描结果；根据所述漏洞扫描结果、漏洞情报数据、渗透情况进行关联分析，得到受漏洞影响的数据,评估所述受漏洞影响的数据的漏洞修复优先级；所述利用获取到的扫描相关参数信息调度漏洞扫描工具，所述扫描相关参数信息基于漏洞扫描请求获取，并同步至云管理平台具体包括：使用云提供商api，访问云管理平台中维护的工作负载的块存储卷；识别所访问的块存储卷中的已安装的软件应用；分析所识别的已安装的软件应用以确定相关联的软件版本；访问软件应用的多个版本的已知软件漏洞的数据结构；在所述数据结构中执行所标识的已安装软件版本的查找以标识已知漏洞；以及，使用网络可访问性信息和至少一个端口进行标识所述已知软件漏洞和所述标识已知软件漏洞中的一个或多个，其中，所述已知软件漏洞和所述标识已知软件漏洞易受到来自所述工作负载外部的攻击；产生告警日志并将所述告警日志和所述当前参数值发送至云管理平台进行安全管控策略确定；其中，所述当前参数值包括所述iot设备当前具备的且与所述最新安全检测策略库中安全检测策略所要求的各目标监控指标相对应的具体参数值；所述最新安全检测策略库中的安全检测策略还包含各目标监控指标所对应的目标参数值；漏洞阻断模块，用于依据所述云管理平台确定的所述安全管控策略进行漏洞控制以阻断所述漏洞。6.根据权利要求5所述的系统，其特征在于，所述在所述数据结构中执行所标识的已安装软件版本的查找以标识已知漏洞具体包括：由至少一个处理器通过网络收集与多个网络资源有关的数据，所述数据包括应用风险等级和网络位置；利用所述至少一个处理器通过执行包括以下的操作来查找以标识已知漏洞；
确定所述网络资源的脆弱性对应的脆弱性得分；基于所述应用风险等级和所述网络资源的网络位置来确定所述网络资源的严重性分数；整合所述网络资源的每个脆弱性评分和对应的严重性评分，以创建二维风险排名；计算脆弱性指数，作为与应用程序和主机相关联的脆弱性的加权和；以及生成用户界面，所述用户界面显示基础设施脆弱性指数和应用程序脆弱性指数的比较。7.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现权利要求1～4任一项中所述的iot设备安全管理方法对应的步骤。8.一种计算机存储介质，其上存储有计算机程序指令，其特征在于，所述程序指令被处理器执行时用于实现权利要求1～4任一项中所述的iot设备安全管理方法对应的步骤。

技术总结
本公开涉及一种IoT设备安全管理方法、系统、介质及设备，所述方法包括：通过与服务器之间已建立连接的云管理平台发布服务器的最新安全检测策略库；当监控到操作事件时，获取所述IoT设备的当前参数值，当依据所述当前参数值与所述最新安全检测策略库中的目标参数值确定存在漏洞时，产生告警日志并将所述告警日志和所述当前参数值发送至云管理平台进行安全管控策略确定；依据所述云管理平台确定的所述安全管控策略进行漏洞控制以阻断所述漏洞。本公开的方法和系统基于输入的IoT设备在漏洞时生成的告警日志、IoT设备的当前参数值、以及指定时间内IoT设备的运行日志确定安全管控策略，保证安全管控策略更精确，提高IoT设备的安全管控，保障物联网的安全。保障物联网的安全。保障物联网的安全。


技术研发人员：杨雁翔 王彬 杨卓伟 冯谦
受保护的技术使用者：北京门石信息技术有限公司
技术研发日：2023.07.12
技术公布日：2023/10/15