漏洞的处理方法及装置、存储介质和电子设备与流程

1.本技术涉及金融科技技术领域，具体而言，涉及一种漏洞的处理方法及装置、存储介质和电子设备。


背景技术：

2.目前对于供应链产品漏洞，相关技术中一般采用通用的cvss评分结果，而金融场景下漏洞评分和修复对资产重要程度、影响情况更加关注，因此，现有该评分依据及结果无法适用实际金融场景下资产和暴露面对漏洞评分的影响情况。
3.而且，cvss(common vulnerability scoring system)，即通用漏洞评分系统，用以评测漏洞的严重程度，确定所需反应的紧急度和重要度。主要包括8个指标：攻击矢量、攻击复杂度、权限要求、用户交互、范围、机密性影响、完整性、可用性。cvss得分基于各项维度指标的测量结果后共同计算得出，最终得分最大为10，最小为0。得分7-10分被认为是高危漏洞，得分在4-6.9分是中危漏洞，得分0-3.9分则是低危漏洞。
4.dread威胁评级模型，根据危害性(damage)、复现难度(reproducibility)、利用难度(exploitability)、受影响用户(affected users)和发现难度(discoverability)各项指标共同计算后得出，重点关注漏洞对业务可能带来的风险。
5.但是，相关技术中采用的通用漏洞评分系统和模型存在以下缺点：
6.cvss：cvss针对漏洞得出基础评分、时限评分和环境评分。评分需要选择的参数较多，且指标含义较抽象，实际操作中评分较为主观，容易出现同一个漏洞评分结果不同的情况，且cvss评分没有考虑实际场景下资产的复杂性和组件依赖关系，而在金融业等金融场景下漏洞的实际危害程度主要取决于资产的对外暴露程度，且对于信息泄露等需要针对具体场景进行评估影响的漏洞类型，cvss不容易进行评级，因此，cvss漏洞评分难以对目前金融场景下的软件漏洞进行全面和有效的安全评估。
7.dread：5个指标权重一致，难以覆盖不同场景、不同业务下的漏洞评定的侧重点，不容易区分部分中高危漏洞，需要定制化评级标准。也即，dread威胁评级模型也难以对目前金融场景下的软件漏洞进行风险评估。
8.针对相关技术中相关技术中难以对部署在金融场景下的系统中的漏洞进行风险评估，进而影响系统的安全的问题，目前尚未提出有效的解决方案。


技术实现要素：

9.本技术的主要目的在于提供一种漏洞的处理方法及装置、存储介质和电子设备，以解决相关技术中相关技术中难以对部署在金融场景下的系统中的漏洞进行风险评估，进而影响系统的安全的问题。
10.为了实现上述目的，根据本技术的一个方面，提供了一种漏洞的处理方法。该方法包括：获取n个目标指标、每个目标指标对应的目标指标值和每个目标指标对应的权重，其中，所述目标指标用于评估目标漏洞的风险等级，所述目标漏洞为目标系统中的漏洞，所述
目标系统为部署在金融场景下的系统，n为正整数；依据每个目标指标对应的目标指标值和每个目标指标对应的权重，得到第一风险评分；利用漏洞评分系统确定对所述目标漏洞的第二风险评分；依据所述第一风险评分和所述第二风险评分，确定对所述目标漏洞的风险评估结果。
11.进一步地，获取n个目标指标包括：确定目标资产的重要程度，其中，所述目标资产为与所述目标系统相关联的资产；确定攻击目标网络的困难程度，其中，所述目标网络为所述目标系统连接的网络；确定攻击所述目标系统的影响程度；依据所述目标资产的重要程度、所述攻击所述目标网络的困难程度和所述攻击所述目标系统的影响程度，得到所述n个目标指标。
12.进一步地，依据所述目标资产的重要程度、所述攻击所述目标网络的困难程度和所述攻击所述目标系统的影响程度，得到所述n个目标指标包括：依据所述目标资产的重要程度，确定s个目标指标，其中，s为正整数，s小于n；依据攻击所述目标网络的困难程度，确定t个目标指标，其中，t为正整数，t小于n；依据攻击所述目标系统的影响程度，确定k个目标指标，其中，k为正整数，k小于n；对所述s个目标指标、所述t个目标指标和所述k个目标指标进行汇总处理，得到所述n个目标指标。
13.进一步地，获取每个目标指标对应的权重包括：获取预设时间段内每个目标指标对应的指标值集合，其中，所述指标值集合中至少包括m个第一指标值，m为正整数；对所述m个第一指标值进行归一化处理，得到m个处理后的第一指标值；基于所述m个处理后的第一指标值，结合熵值法，确定每个目标指标对应的权重。
14.进一步地，基于所述m个处理后的第一指标值，结合熵值法，确定每个目标指标对应的权重包括：确定所述m个处理后的第一指标值的离散程度；依据所述m个处理后的第一指标值的离散程度，得到每个目标指标对应的权重。
15.进一步地，依据所述m个处理后的第一指标值的离散程度，得到每个目标指标对应的权重包括：依据所述m个处理后的第一指标值的离散程度，确定每个目标指标对应的熵值；依据每个目标指标对应的熵值，确定每个目标指标对应的效用值；基于每个目标指标对应的效用值，得到每个目标指标对应的权重。
16.进一步地，依据所述第一风险评分和所述第二风险评分，确定对所述目标漏洞的风险评估结果包括：依据所述第一风险评分和所述第二风险评分，得到目标风险评分；确定所述目标风险评分所在的评分区间，其中，所述评分区间至少包括：第一评分区间、第二评分区间和第三评分区间；若所述目标风险评分所在的评分区间为所述第一评分区间，则确定所述风险评估结果为所述目标漏洞对应的风险等级为第一风险等级；若所述目标风险评分所在的评分区间为所述第二评分区间，则确定所述风险评估结果为所述目标漏洞对应的风险等级为第二风险等级，其中，所述第二风险等级对应的风险低于所述第一风险等级对应的风险；若所述目标风险评分所在的评分区间为所述第三评分区间，则确定所述风险评估结果为所述目标漏洞对应的风险等级为第三风险等级，其中，所述第三风险等级对应的风险低于所述第二风险等级对应的风险。
17.进一步地，在依据所述第一风险评分和所述第二风险评分，确定对所述目标漏洞的风险评估结果之后，所述方法还包括：若所述风险评估结果表示所述目标漏洞对应的风险等级不是目标风险等级，则对第一漏洞进行风险评估，其中，所述第一漏洞为所述目标系
统中除所述目标漏洞之外的漏洞；若所述风险评估结果表示所述目标漏洞对应的风险等级是目标风险等级，则向目标对象发送报警信息，其中，所述报警信息用于提示所述目标对象对所述目标漏洞进行修复处理。
18.为了实现上述目的，根据本技术的另一方面，提供了一种漏洞的处理装置。该装置包括：第一获取单元，用于获取n个目标指标、每个目标指标对应的目标指标值和每个目标指标对应的权重，其中，所述目标指标用于评估目标漏洞的风险等级，所述目标漏洞为目标系统中的漏洞，所述目标系统为部署在金融场景下的系统，n为正整数；第一确定单元，用于依据每个目标指标对应的目标指标值和每个目标指标对应的权重，得到第一风险评分；第二确定单元，用于利用漏洞评分系统确定对所述目标漏洞的第二风险评分；第三确定单元，用于依据所述第一风险评分和所述第二风险评分，确定对所述目标漏洞的风险评估结果。
19.进一步地，所述第一获取单元包括：第一确定子单元，用于确定目标资产的重要程度，其中，所述目标资产为与所述目标系统相关联的资产；第二确定子单元，用于确定攻击目标网络的困难程度，其中，所述目标网络为所述目标系统连接的网络；第三确定子单元，用于确定攻击所述目标系统的影响程度；第四确定子单元，用于依据所述目标资产的重要程度、所述攻击所述目标网络的困难程度和所述攻击所述目标系统的影响程度，得到所述n个目标指标。
20.进一步地，所述第四确定子单元包括：第一确定模块，用于依据所述目标资产的重要程度，确定s个目标指标，其中，s为正整数，s小于n；第二确定模块，用于依据攻击所述目标网络的困难程度，确定t个目标指标，其中，t为正整数，t小于n；第三确定模块，用于依据攻击所述目标系统的影响程度，确定k个目标指标，其中，k为正整数，k小于n；第一处理模块，用于对所述s个目标指标、所述t个目标指标和所述k个目标指标进行汇总处理，得到所述n个目标指标。
21.进一步地，所述第一获取单元包括：第一获取子单元，用于获取预设时间段内每个目标指标对应的指标值集合，其中，所述指标值集合中至少包括m个第一指标值，m为正整数；第一处理子单元，用于对所述m个第一指标值进行归一化处理，得到m个处理后的第一指标值；第五确定子单元，用于基于所述m个处理后的第一指标值，结合熵值法，确定每个目标指标对应的权重。
22.进一步地，所述第五确定子单元包括：第四确定模块，用于确定所述m个处理后的第一指标值的离散程度；第五确定模块，用于依据所述m个处理后的第一指标值的离散程度，得到每个目标指标对应的权重。
23.进一步地，所述第五确定模块包括：第一确定子模块，用于依据所述m个处理后的第一指标值的离散程度，确定每个目标指标对应的熵值；第二确定子模块，用于依据每个目标指标对应的熵值，确定每个目标指标对应的效用值；第三确定子模块，用于基于每个目标指标对应的效用值，得到每个目标指标对应的权重。
24.进一步地，所述第三确定单元包括：第六确定子单元，用于依据所述第一风险评分和所述第二风险评分，得到目标风险评分；第七确定子单元，用于确定所述目标风险评分所在的评分区间，其中，所述评分区间至少包括：第一评分区间、第二评分区间和第三评分区间；第八确定子单元，用于若所述目标风险评分所在的评分区间为所述第一评分区间，则确定所述风险评估结果为所述目标漏洞对应的风险等级为第一风险等级；第九确定子单元，
用于若所述目标风险评分所在的评分区间为所述第二评分区间，则确定所述风险评估结果为所述目标漏洞对应的风险等级为第二风险等级，其中，所述第二风险等级对应的风险低于所述第一风险等级对应的风险；第十确定子单元，用于若所述目标风险评分所在的评分区间为所述第三评分区间，则确定所述风险评估结果为所述目标漏洞对应的风险等级为第三风险等级，其中，所述第三风险等级对应的风险低于所述第二风险等级对应的风险。
25.进一步地，所述装置还包括：第一评估单元，用于在依据所述第一风险评分和所述第二风险评分，确定对所述目标漏洞的风险评估结果之后，若所述风险评估结果表示所述目标漏洞对应的风险等级不是目标风险等级，则对第一漏洞进行风险评估，其中，所述第一漏洞为所述目标系统中除所述目标漏洞之外的漏洞；第一处理单元，用于若所述风险评估结果表示所述目标漏洞对应的风险等级是目标风险等级，则向目标对象发送报警信息，其中，所述报警信息用于提示所述目标对象对所述目标漏洞进行修复处理。
26.为了实现上述目的，根据本技术的另一方面，提供了一种计算机可读存储介质，所述存储介质存储程序，其中，所述程序执行上述的任意一项所述的漏洞的处理方法。
27.为了实现上述目的，根据本技术的另一方面，提供了一种电子设备，所述电子设备包括一个或多个处理器和存储器，所述存储器用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现上述的任意一项所述的漏洞的处理方法。
28.通过本技术，采用以下步骤：获取n个目标指标、每个目标指标对应的目标指标值和每个目标指标对应的权重，其中，目标指标用于评估目标漏洞的风险等级，目标漏洞为目标系统中的漏洞，目标系统为部署在金融场景下的系统，n为正整数；依据每个目标指标对应的目标指标值和每个目标指标对应的权重，得到第一风险评分；利用漏洞评分系统确定对目标漏洞的第二风险评分；依据第一风险评分和第二风险评分，确定对目标漏洞的风险评估结果，解决了相关技术中相关技术中难以对部署在金融场景下的系统中的漏洞进行风险评估，进而影响系统的安全的问题。通过获取用于评估部署在金融场景下的系统中漏洞的风险等级的n个目标指标、每个目标指标对应的目标指标值和每个目标指标对应的权重，并依据每个目标指标对应的目标指标值和每个目标指标对应的权重，得到第一风险评分，再利用漏洞评分系统确定对目标漏洞的第二风险评分，并依据第一风险评分和第二风险评分，确定对目标漏洞的风险评估结果，从而可以对部署在金融场景下的系统中的漏洞进行风险评估，进而达到了保证系统的安全的效果。
附图说明
29.构成本技术的一部分的附图用来提供对本技术的进一步理解，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
30.图1是根据本技术实施例提供的漏洞的处理方法的流程图；
31.图2是根据本技术实施例提供的漏洞的处理方法的流程图一；
32.图3是根据本技术实施例提供的漏洞的处理方法的流程图二；
33.图4是根据本技术实施例提供的漏洞的处理装置的示意图；
34.图5是根据本技术实施例提供的电子设备的示意图。
具体实施方式
35.需要说明的是，在不冲突的情况下，本技术中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本技术。
36.为了使本技术领域的人员更好地理解本技术方案，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分的实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本技术保护的范围。
37.需要说明的是，本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本技术的实施例。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
38.需要说明的是，本技术所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)，均为经用户授权或者经过各方充分授权的信息和数据，并且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准，并提供有相应的操作入口，供用户选择授权或者拒绝。
39.为了便于描述，以下对本技术实施例涉及的部分名词或术语进行说明：
40.熵值法是一种多指标决策方法，也称为基于信息熵的综合评价方法。其主要思想是利用熵和权重的概念对多个指标进行加权求和，以评估各选项之间的相对优劣。
41.熵值指的是在信息论中用来衡量随机变量的不确定度或者信源输出符号平均产生的信息量大小。
42.效用值是指某个行为或决策的效果所带来的价值或好处，通常可以通过量化方式表示。
43.下面结合优选的实施步骤对本发明进行说明，图1是根据本技术实施例提供的漏洞的处理方法的流程图，如图1所示，该方法包括如下步骤：
44.步骤s101，获取n个目标指标、每个目标指标对应的目标指标值和每个目标指标对应的权重，其中，目标指标用于评估目标漏洞的风险等级，目标漏洞为目标系统中的漏洞，目标系统为部署在金融场景下的系统，n为正整数。
45.例如，上述的n个目标指标可以根据与系统(上述的目标系统)相关联的资产重要程度、该系统(上述的目标系统)对应的攻击链路的困难程度、该系统(上述的目标系统)被攻陷后的影响情况等层面进行设置，并根据设置的多个指标获取该应用系统(上述的目标系统)对应的指标值(上述的目标指标值)，以及设置的每个指标对应的权重。且待检测的应用系统(上述的目标系统)是部署在金融场景下的软件。
46.步骤s102，依据每个目标指标对应的目标指标值和每个目标指标对应的权重，得到第一风险评分。
47.例如，可以利用当前评估漏洞(上述的目标漏洞)下每个指标的指标值，以及每个
指标对应的权重，计算每个指标在金融场景下对漏洞影响的风险程度(上述的第一风险评分)。
48.步骤s103，利用漏洞评分系统确定对目标漏洞的第二风险评分。
49.例如，可以利用cvss通用漏洞评分系统(上述的漏洞评分系统)针对该漏洞本身固有的一些特点进行基础评分(上述的第二风险评分)。
50.步骤s104，依据第一风险评分和第二风险评分，确定对目标漏洞的风险评估结果。
51.例如，可以根据计算得到的每个指标在金融场景下对漏洞影响的风险程度(上述的第一风险评分)，结合cvss基础评分(上述的第二风险评分)即该漏洞本身固有的一些特点，评估该漏洞的风险程度。
52.通过上述的步骤s101至s104，通过获取用于评估部署在金融场景下的系统中漏洞的风险等级的n个目标指标、每个目标指标对应的目标指标值和每个目标指标对应的权重，并依据每个目标指标对应的目标指标值和每个目标指标对应的权重，得到第一风险评分，再利用漏洞评分系统确定对目标漏洞的第二风险评分，并依据第一风险评分和第二风险评分，确定对目标漏洞的风险评估结果，从而可以对部署在金融场景下的系统中的漏洞进行风险评估，进而达到了保证系统的安全的效果。
53.图2是根据本技术实施例提供的漏洞的处理方法的流程图一，如图2所示，在本技术实施例提供的漏洞的处理方法中，获取n个目标指标包括：
54.步骤s201，确定目标资产的重要程度，其中，目标资产为与目标系统相关联的资产；
55.步骤s202，确定攻击目标网络的困难程度，其中，目标网络为目标系统连接的网络；
56.步骤s203，确定攻击目标系统的影响程度；
57.步骤s204，依据目标资产的重要程度、攻击目标网络的困难程度和攻击目标系统的影响程度，得到n个目标指标。
58.例如，可以先确定金融场景漏洞评分的指标，具体可以分为以下几个部分：
59.(1)应用资产重要程度
60.基于资产类别、重要性等因素，结合金融场景下资产防护的优先级，并根据资产探测技术和关联资产变化情况确定。
61.(2)攻击链路困难程度
62.识别各场景各环节下应用系统的网络链路和脆弱性，明确各环节的安全防护措施。
63.(3)攻陷影响层面
64.结合环境触发条件、被利用影响程度、修复成本确定漏洞可能的攻陷影响。
65.而且，确定的金融场景漏洞评分的指标如表1所示。
66.表1
[0067][0068][0069]
然后，可以将表1中的度量指标作为上述的n个目标指标。
[0070]
通过上述的方案，可以快速准确的从资产重要程度、攻击链路困难程度、攻陷影响情况等层面确定各个指标。
[0071]
可选地，在本技术实施例提供的漏洞的处理方法中，依据目标资产的重要程度、攻击目标网络的困难程度和攻击目标系统的影响程度，得到n个目标指标包括：依据目标资产的重要程度，确定s个目标指标，其中，s为正整数，s小于n；依据攻击目标网络的困难程度，确定t个目标指标，其中，t为正整数，t小于n；依据攻击目标系统的影响程度，确定k个目标指标，其中，k为正整数，k小于n；对s个目标指标、t个目标指标和k个目标指标进行汇总处理，得到n个目标指标。
[0072]
例如，上述的s个目标指标可以为表1中的应用安全等级指标、资产重要程度指标和关联资产情况指标；上述的t个目标指标可以为表1中的网络拓扑指标、网络防护能力指标和攻击可达情况指标；上述的k个目标指标可以为表1中的环境触发条件指标、被利用影响程度指标和修复成本指标。也即，将上述表1中的所有指标：应用安全等级指标、资产重要程度指标、关联资产情况指标、网络拓扑指标、网络防护能力指标、攻击可达情况指标、环境触发条件指标、被利用影响程度指标和修复成本指标汇总在一起，得到上述的n个目标指标。
[0073]
通过上述的方案，可以快速准确的确定用于评估金融场景下的软件漏洞的多个指标。
[0074]
图3是根据本技术实施例提供的漏洞的处理方法的流程图二，如图3所示，在本技术实施例提供的漏洞的处理方法中，获取每个目标指标对应的权重包括：
[0075]
步骤s301，获取预设时间段内每个目标指标对应的指标值集合，其中，指标值集合中至少包括m个第一指标值，m为正整数；
[0076]
步骤s302，对m个第一指标值进行归一化处理，得到m个处理后的第一指标值；
[0077]
步骤s303，基于m个处理后的第一指标值，结合熵值法，确定每个目标指标对应的权重。
[0078]
例如，在计算金融场景指标的权重时，可以先采取一定周期(上述的预设时间段)内的指标值(上述的m个第一指标值)，也即，首先需要对应用系统在一定周期内(例如一个月)采集n次指标值。并可以假设对于第i个指标si的第j次测量值用表示。然后对采集到的指标值(上述的m个第一指标值)进行归一化处理，并根据归一化处理后的指标值(上述的m个处理后的第一指标值)，使用熵值法确定每个指标(上述的每个目标指标)对应的权重。
[0079]
另外，对采集到的指标值(上述的m个第一指标值)进行归一化处理的具体内容可以为，在得到各个指标的一系列数据之后，因为每个指标的计量单位不同，因此首先需要对这些指标值进行极差变换的处理，使得不同量纲的指标值不影响指标间的处理，将指标的实际值转化为评估值。同时根据指标性质，将指标分为正向性和负向性指标，正向性指标的值越大表明指标代表的性能越好，负向性指标的值越大则表明指标代表的性能越差。
[0080]
通过上述的方案，可以快速准确的确定金融场景指标的权重。
[0081]
可选地，在本技术实施例提供的漏洞的处理方法中，基于m个处理后的第一指标值，结合熵值法，确定每个目标指标对应的权重包括：确定m个处理后的第一指标值的离散程度；依据m个处理后的第一指标值的离散程度，得到每个目标指标对应的权重。
[0082]
例如，可以确定采集指标的概率分布和熵值，且具体可以为，对于离散分布的随机变量，信息熵(熵值)的定义如下：
[0083]
h＝-∑
x∈χ
p(x)log(p(x))
[0084]
其中，χ是事件(也即指标)集合，p(x)是事件发生的概率。
[0085]
对于连续随机变量，其累积分布函数f(x)一定连续，当f(x)的导数存在时，令f(x)＝f
′
(x)，如果那么f(x)是连续随机变量的概率密度函数。于是该变量的微分熵定义如下：
[0086]
h＝-∫f(x)log(f(x))dx
[0087]
然后，可以根据指标值的离散程度确定指标权重。
[0088]
综上所述，通过确定采集的指标值的离散程度可以快速准确的得到每个指标对应的权重。
[0089]
可选地，在本技术实施例提供的漏洞的处理方法中，依据m个处理后的第一指标值的离散程度，得到每个目标指标对应的权重包括：依据m个处理后的第一指标值的离散程度，确定每个目标指标对应的熵值；依据每个目标指标对应的熵值，确定每个目标指标对应的效用值；基于每个目标指标对应的效用值，得到每个目标指标对应的权重。
[0090]
例如，可以先确定采集指标的概率分布和熵值，且确定采集指标的概率分布和熵值的过程具体可以为，对于离散分布的随机变量，信息熵(熵值)的定义如下：
[0091]
h＝-∑
x∈χ
p(x)log(p(x))
[0092]
其中，χ是事件(也即指标)集合，p(x)是事件发生的概率。
[0093]
对于连续随机变量，其累积分布函数f(x)一定连续，当f(x)的导数存在时，令f(x)＝f
′
(x)，如果那么f(x)是连续随机变量的概率密度函数。于是该变量的微分熵定义如下：
[0094]
h＝-∫f(x)log(f(x))dx
[0095]
然后可以确定指标权重，且确定指标权重的内容具体可以为，由于熵值越小，表明指标对最后的评估结果影响越大，指标的重要程度就越高，因此，熵值越小，该指标的权重应越大。取gi＝1-hi代表指标的效用值。定义第i个指标的权重为wi：
[0096][0097]
通过指标权重可以看出，指标计算得到的熵值越小，得到的效用值越大，最终的权重也就越大，这说明了该指标对评估整个系统提供的信息越多，该指标越重要。
[0098]
综上所述，通过计算得到的熵值和效用值可以快速准确的计算得到每个指标对应的权重。
[0099]
可选地，在本技术实施例提供的漏洞的处理方法中，依据第一风险评分和第二风险评分，确定对目标漏洞的风险评估结果包括：依据第一风险评分和第二风险评分，得到目标风险评分；确定目标风险评分所在的评分区间，其中，评分区间至少包括：第一评分区间、第二评分区间和第三评分区间；若目标风险评分所在的评分区间为第一评分区间，则确定风险评估结果为目标漏洞对应的风险等级为第一风险等级；若目标风险评分所在的评分区间为第二评分区间，则确定风险评估结果为目标漏洞对应的风险等级为第二风险等级，其中，第二风险等级对应的风险低于第一风险等级对应的风险；若目标风险评分所在的评分区间为第三评分区间，则确定风险评估结果为目标漏洞对应的风险等级为第三风险等级，其中，第三风险等级对应的风险低于第二风险等级对应的风险。
[0100]
例如，利用计算出的各项指标权重，可以确认度量指标在金融场景下对漏洞影响的风险程度：
[0101]rj
＝siwi[0102]
其中，si表示当前评估漏洞下第i个指标的评估值，wi表示第i个指标的权重。而且，针对要评估的具体漏洞，可以通过如下公式计算得出：
[0103]
sj＝0.5rj+0.5bj[0104]
其中，sj为第j个漏洞的风险评分，bj表示第j个漏洞cvss的基础评分。
[0105]
然后，可以确定计算得到的具体场景下的漏洞风险评分在哪个评分区间。比如，可以预先设置好评分区间，当漏洞风险评分为7-10分时，可以将7-10分这个评分区间作为上述的第一评分区间，即为高危漏洞；当漏洞风险评分为4-6.9分时，可以将4-6.9分这个评分区间作为上述的第二评分区间，即为中危漏洞；当漏洞风险评分为0-3.9分时，可以将0-3.9分这个评分区间作为上述的第三评分区间，即为低危漏洞。假设计算得到的具体场景下的
漏洞风险评分为5，则根据预先设置好的评分区间可以确定该漏洞风险评分所在的评分区间为第二评分区间，从而可以判断出该漏洞为中危漏洞；假设计算得到的具体场景下的漏洞风险评分为8，则根据预先设置好的评分区间可以确定该漏洞风险评分所在的评分区间为第一评分区间，从而可以判断出该漏洞为高危漏洞。
[0106]
通过上述的方案，根据计算得到的具体场景下的漏洞风险评分可以快速准确的确定漏洞对应的风险等级，也即，可以快速准确的判断出该漏洞是高危漏洞，还是中危漏洞，还是低危漏洞。
[0107]
可选地，在本技术实施例提供的漏洞的处理方法中，在依据第一风险评分和第二风险评分，确定对目标漏洞的风险评估结果之后，该方法还包括：若风险评估结果表示目标漏洞对应的风险等级不是目标风险等级，则对第一漏洞进行风险评估，其中，第一漏洞为目标系统中除目标漏洞之外的漏洞；若风险评估结果表示目标漏洞对应的风险等级是目标风险等级，则向目标对象发送报警信息，其中，报警信息用于提示目标对象对目标漏洞进行修复处理。
[0108]
例如，上述的目标风险等级可以设置为高危漏洞，也即，如果判断出该漏洞(上述的目标漏洞)不是高危漏洞，则继续对该系统(上述的目标系统)中的其余漏洞(上述的第一漏洞)进行风险评估；如果判断出该漏洞(上述的目标漏洞)是高危漏洞，则可以通知人员(上述的目标对象)对该漏洞(上述的目标漏洞)进行修复。
[0109]
通过上述的方案，通过对系统中的漏洞进行检测和修复，可以保证系统的安全性。
[0110]
通过本技术实施例提供的方法，例如，可以通过综合考虑资产重要程度、攻击链路困难程度、攻陷影响情况等层面及变化情况，利用熵值法确定各指标对漏洞影响的权重，结合cvss基础评分，提出一种符合金融场景的漏洞评估方法。主要流程包括：
[0111]
一、确定金融场景漏洞评分的指标
[0112]
(1)应用资产重要程度
[0113]
基于资产类别、重要性等因素，结合金融场景下资产防护的优先级，并根据资产探测技术和关联资产变化情况确定。
[0114]
(2)攻击链路困难程度
[0115]
识别各场景各环节下应用系统的网络链路和脆弱性，明确各环节的安全防护措施。
[0116]
(3)攻陷影响层面
[0117]
结合环境触发条件、被利用影响程度、修复成本确定漏洞可能的攻陷影响。
[0118]
而且，确定的金融场景漏洞评分的指标如表1所示。
[0119]
表1
[0120][0121][0122]
二、计算金融场景指标的权重
[0123]
1)采取一定周期内的指标值
[0124]
使用熵值法确定权重，首先需要对应用系统在一定周期内(例如一个月)采集n次指标值。假设对于第i个指标si的第j次测量值用表示。
[0125]
2)采用不同的方式对这两种指标进行归一化处理
[0126]
在得到各个指标的一系列数据之后，因为每个指标的计量单位不同，因此首先需要对这些指标值进行极差变换的处理，使得不同量纲的指标值不影响指标间的处理，将指标的实际值转化为评估值。根据指标性质，将指标分为正向性和负向性指标，正向性指标的值越大表明指标代表的性能越好，负向性指标的值越大则表明指标代表的性能越差。
[0127]
3)确定采集指标的概率分布和熵值。
[0128]
对于离散分布的随机变量，信息熵的定义如下：
[0129]
h＝-∑
x∈χ
p(x)log(p(x))
[0130]
其中，χ是事件(也即指标)集合，p(x)是事件发生的概率。
[0131]
对于连续随机变量，其累积分布函数f(x)一定连续，当f(x)的导数存在时，令f(x)＝f
′
(x)，如果，那么f(x)是连续随机变量的概率密度函数。于是该变量的微分熵定义如下：
[0132]
h＝-∫f(x)log(f(x))dx
[0133]
4)确定指标权重
[0134]
由于熵值越小，表明指标对最后的评估结果影响越大，指标的重要程度就越高，因此，熵值越小，该指标的权重应越大。取gi＝1-hi代表指标的效用值。定义第i个指标的权重为wi：
[0135][0136]
通过指标权重可以看出，指标计算得到的熵值越小，得到的效用值越大，最终的权重也就越大，这说明了该指标对评估整个系统提供的信息越多，该指标越重要。
[0137]
三、得出具体场景下的漏洞风险评分
[0138]
利用计算出的各项指标权重，可以确认度量指标在金融场景下对漏洞影响的风险程度：
[0139]rj
＝siwi[0140]
其中，si表示当前评估漏洞下第i个指标的评估值，wi表示第i个指标的权重。而且，针对要评估的具体漏洞，可以通过如下公式计算得出：
[0141]
sj＝0.5rj+0.5bj[0142]
其中，sj为第j个漏洞的风险评分，bj表示第j个漏洞cvss的基础评分。
[0143]
而且，针对cvss等现有评分依据及结果难以适用金融场景下资产权重、暴露面、利用等实际情况及变化情况的问题，在本实施例中可以通过综合考虑资产重要程度、攻击链路困难程度、攻陷影响情况等层面及变化情况，结合cvss基础评分即该漏洞本身固有的一些特点，提供一种符合金融场景的漏洞评估方法。
[0144]
另外，本技术实施例提供的方法有如下优点：
[0145]
(1)相比相关技术中使用cvss、dread等关注漏洞本身危害程度的评估方法，本技术实施例提供的方法更加关注金融场景下资产权重、暴露面、利用等实际情况及变化情况对漏洞评估的程度，为实际场景下的漏洞评估和制定修复方案提供参考。
[0146]
(2)与相关技术中cvss、dread等赋权方法不同，熵值法对指标权重的确定是通过指标值的离散程度确定的，避免了人为因素对权重确定的影响。此外，熵值法权重的确定反映了该指标对评价对象提供有用信息量的多少，是对指标影响程度的刻画，能更好区分指标之间的重要性。
[0147]
综上，本技术实施例提供的漏洞的处理方法，通过获取n个目标指标、每个目标指标对应的目标指标值和每个目标指标对应的权重，其中，目标指标用于评估目标漏洞的风险等级，目标漏洞为目标系统中的漏洞，目标系统为部署在金融场景下的系统，n为正整数；依据每个目标指标对应的目标指标值和每个目标指标对应的权重，得到第一风险评分；利用漏洞评分系统确定对目标漏洞的第二风险评分；依据第一风险评分和第二风险评分，确定对目标漏洞的风险评估结果，解决了相关技术中相关技术中难以对部署在金融场景下的系统中的漏洞进行风险评估，进而影响系统的安全的问题。通过获取用于评估部署在金融场景下的系统中漏洞的风险等级的n个目标指标、每个目标指标对应的目标指标值和每个目标指标对应的权重，并依据每个目标指标对应的目标指标值和每个目标指标对应的权重，得到第一风险评分，再利用漏洞评分系统确定对目标漏洞的第二风险评分，并依据第一
风险评分和第二风险评分，确定对目标漏洞的风险评估结果，从而可以对部署在金融场景下的系统中的漏洞进行风险评估，进而达到了保证系统的安全的效果。
[0148]
需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
[0149]
本技术实施例还提供了一种漏洞的处理装置，需要说明的是，本技术实施例的漏洞的处理装置可以用于执行本技术实施例所提供的用于漏洞的处理方法。以下对本技术实施例提供的漏洞的处理装置进行介绍。
[0150]
图4是根据本技术实施例的漏洞的处理装置的示意图。如图4所示，该装置包括：第一获取单元401、第一确定单元402、第二确定单元403和第三确定单元404。
[0151]
具体地，第一获取单元401，用于获取n个目标指标、每个目标指标对应的目标指标值和每个目标指标对应的权重，其中，目标指标用于评估目标漏洞的风险等级，目标漏洞为目标系统中的漏洞，目标系统为部署在金融场景下的系统，n为正整数；
[0152]
第一确定单元402，用于依据每个目标指标对应的目标指标值和每个目标指标对应的权重，得到第一风险评分；
[0153]
第二确定单元403，用于利用漏洞评分系统确定对目标漏洞的第二风险评分；
[0154]
第三确定单元404，用于依据第一风险评分和第二风险评分，确定对目标漏洞的风险评估结果。
[0155]
综上，本技术实施例提供的漏洞的处理装置，通过第一获取单元401获取n个目标指标、每个目标指标对应的目标指标值和每个目标指标对应的权重，其中，目标指标用于评估目标漏洞的风险等级，目标漏洞为目标系统中的漏洞，目标系统为部署在金融场景下的系统，n为正整数；第一确定单元402依据每个目标指标对应的目标指标值和每个目标指标对应的权重，得到第一风险评分；第二确定单元403利用漏洞评分系统确定对目标漏洞的第二风险评分；第三确定单元404依据第一风险评分和第二风险评分，确定对目标漏洞的风险评估结果，解决了相关技术中相关技术中难以对部署在金融场景下的系统中的漏洞进行风险评估，进而影响系统的安全的问题。通过获取用于评估部署在金融场景下的系统中漏洞的风险等级的n个目标指标、每个目标指标对应的目标指标值和每个目标指标对应的权重，并依据每个目标指标对应的目标指标值和每个目标指标对应的权重，得到第一风险评分，再利用漏洞评分系统确定对目标漏洞的第二风险评分，并依据第一风险评分和第二风险评分，确定对目标漏洞的风险评估结果，从而可以对部署在金融场景下的系统中的漏洞进行风险评估，进而达到了保证系统的安全的效果。
[0156]
可选地，在本技术实施例提供的漏洞的处理装置中，第一获取单元包括：第一确定子单元，用于确定目标资产的重要程度，其中，目标资产为与目标系统相关联的资产；第二确定子单元，用于确定攻击目标网络的困难程度，其中，目标网络为目标系统连接的网络；第三确定子单元，用于确定攻击目标系统的影响程度；第四确定子单元，用于依据目标资产的重要程度、攻击目标网络的困难程度和攻击目标系统的影响程度，得到n个目标指标。
[0157]
可选地，在本技术实施例提供的漏洞的处理装置中，第四确定子单元包括：第一确定模块，用于依据目标资产的重要程度，确定s个目标指标，其中，s为正整数，s小于n；第二确定模块，用于依据攻击目标网络的困难程度，确定t个目标指标，其中，t为正整数，t小于
n；第三确定模块，用于依据攻击目标系统的影响程度，确定k个目标指标，其中，k为正整数，k小于n；第一处理模块，用于对s个目标指标、t个目标指标和k个目标指标进行汇总处理，得到n个目标指标。
[0158]
可选地，在本技术实施例提供的漏洞的处理装置中，第一获取单元包括：第一获取子单元，用于获取预设时间段内每个目标指标对应的指标值集合，其中，指标值集合中至少包括m个第一指标值，m为正整数；第一处理子单元，用于对m个第一指标值进行归一化处理，得到m个处理后的第一指标值；第五确定子单元，用于基于m个处理后的第一指标值，结合熵值法，确定每个目标指标对应的权重。
[0159]
可选地，在本技术实施例提供的漏洞的处理装置中，第五确定子单元包括：第四确定模块，用于确定m个处理后的第一指标值的离散程度；第五确定模块，用于依据m个处理后的第一指标值的离散程度，得到每个目标指标对应的权重。
[0160]
可选地，在本技术实施例提供的漏洞的处理装置中，第五确定模块包括：第一确定子模块，用于依据m个处理后的第一指标值的离散程度，确定每个目标指标对应的熵值；第二确定子模块，用于依据每个目标指标对应的熵值，确定每个目标指标对应的效用值；第三确定子模块，用于基于每个目标指标对应的效用值，得到每个目标指标对应的权重。
[0161]
可选地，在本技术实施例提供的漏洞的处理装置中，第三确定单元包括：第六确定子单元，用于依据第一风险评分和第二风险评分，得到目标风险评分；第七确定子单元，用于确定目标风险评分所在的评分区间，其中，评分区间至少包括：第一评分区间、第二评分区间和第三评分区间；第八确定子单元，用于若目标风险评分所在的评分区间为第一评分区间，则确定风险评估结果为目标漏洞对应的风险等级为第一风险等级；第九确定子单元，用于若目标风险评分所在的评分区间为第二评分区间，则确定风险评估结果为目标漏洞对应的风险等级为第二风险等级，其中，第二风险等级对应的风险低于第一风险等级对应的风险；第十确定子单元，用于若目标风险评分所在的评分区间为第三评分区间，则确定风险评估结果为目标漏洞对应的风险等级为第三风险等级，其中，第三风险等级对应的风险低于第二风险等级对应的风险。
[0162]
可选地，在本技术实施例提供的漏洞的处理装置中，该装置还包括：第一评估单元，用于在依据第一风险评分和第二风险评分，确定对目标漏洞的风险评估结果之后，若风险评估结果表示目标漏洞对应的风险等级不是目标风险等级，则对第一漏洞进行风险评估，其中，第一漏洞为目标系统中除目标漏洞之外的漏洞；第一处理单元，用于若风险评估结果表示目标漏洞对应的风险等级是目标风险等级，则向目标对象发送报警信息，其中，报警信息用于提示目标对象对目标漏洞进行修复处理。
[0163]
漏洞的处理装置包括处理器和存储器，上述第一获取单元401、第一确定单元402、第二确定单元403和第三确定单元404等均作为程序单元存储在存储器中，由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
[0164]
处理器中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上，通过调整内核参数来达到保证系统的安全的效果。
[0165]
存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)，存储器包括至少一个存储芯片。
[0166]
本发明实施例提供了一种计算机可读存储介质，其上存储有程序，该程序被处理器执行时实现所述漏洞的处理方法。
[0167]
本发明实施例提供了一种处理器，所述处理器用于运行程序，其中，所述程序运行时执行所述漏洞的处理方法。
[0168]
如图5所示，本发明实施例提供了一种电子设备，设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序，处理器执行程序时实现以下步骤：获取n个目标指标、每个目标指标对应的目标指标值和每个目标指标对应的权重，其中，所述目标指标用于评估目标漏洞的风险等级，所述目标漏洞为目标系统中的漏洞，所述目标系统为部署在金融场景下的系统，n为正整数；依据每个目标指标对应的目标指标值和每个目标指标对应的权重，得到第一风险评分；利用漏洞评分系统确定对所述目标漏洞的第二风险评分；依据所述第一风险评分和所述第二风险评分，确定对所述目标漏洞的风险评估结果。
[0169]
处理器执行程序时还实现以下步骤：获取n个目标指标包括：确定目标资产的重要程度，其中，所述目标资产为与所述目标系统相关联的资产；确定攻击目标网络的困难程度，其中，所述目标网络为所述目标系统连接的网络；确定攻击所述目标系统的影响程度；依据所述目标资产的重要程度、所述攻击所述目标网络的困难程度和所述攻击所述目标系统的影响程度，得到所述n个目标指标。
[0170]
处理器执行程序时还实现以下步骤：依据所述目标资产的重要程度、所述攻击所述目标网络的困难程度和所述攻击所述目标系统的影响程度，得到所述n个目标指标包括：依据所述目标资产的重要程度，确定s个目标指标，其中，s为正整数，s小于n；依据攻击所述目标网络的困难程度，确定t个目标指标，其中，t为正整数，t小于n；依据攻击所述目标系统的影响程度，确定k个目标指标，其中，k为正整数，k小于n；对所述s个目标指标、所述t个目标指标和所述k个目标指标进行汇总处理，得到所述n个目标指标。
[0171]
处理器执行程序时还实现以下步骤：获取每个目标指标对应的权重包括：获取预设时间段内每个目标指标对应的指标值集合，其中，所述指标值集合中至少包括m个第一指标值，m为正整数；对所述m个第一指标值进行归一化处理，得到m个处理后的第一指标值；基于所述m个处理后的第一指标值，结合熵值法，确定每个目标指标对应的权重。
[0172]
处理器执行程序时还实现以下步骤：基于所述m个处理后的第一指标值，结合熵值法，确定每个目标指标对应的权重包括：确定所述m个处理后的第一指标值的离散程度；依据所述m个处理后的第一指标值的离散程度，得到每个目标指标对应的权重。
[0173]
处理器执行程序时还实现以下步骤：依据所述m个处理后的第一指标值的离散程度，得到每个目标指标对应的权重包括：依据所述m个处理后的第一指标值的离散程度，确定每个目标指标对应的熵值；依据每个目标指标对应的熵值，确定每个目标指标对应的效用值；基于每个目标指标对应的效用值，得到每个目标指标对应的权重。
[0174]
处理器执行程序时还实现以下步骤：依据所述第一风险评分和所述第二风险评分，确定对所述目标漏洞的风险评估结果包括：依据所述第一风险评分和所述第二风险评分，得到目标风险评分；确定所述目标风险评分所在的评分区间，其中，所述评分区间至少包括：第一评分区间、第二评分区间和第三评分区间；若所述目标风险评分所在的评分区间为所述第一评分区间，则确定所述风险评估结果为所述目标漏洞对应的风险等级为第一风险等级；若所述目标风险评分所在的评分区间为所述第二评分区间，则确定所述风险评估
结果为所述目标漏洞对应的风险等级为第二风险等级，其中，所述第二风险等级对应的风险低于所述第一风险等级对应的风险；若所述目标风险评分所在的评分区间为所述第三评分区间，则确定所述风险评估结果为所述目标漏洞对应的风险等级为第三风险等级，其中，所述第三风险等级对应的风险低于所述第二风险等级对应的风险。
[0175]
处理器执行程序时还实现以下步骤：在依据所述第一风险评分和所述第二风险评分，确定对所述目标漏洞的风险评估结果之后，所述方法还包括：若所述风险评估结果表示所述目标漏洞对应的风险等级不是目标风险等级，则对第一漏洞进行风险评估，其中，所述第一漏洞为所述目标系统中除所述目标漏洞之外的漏洞；若所述风险评估结果表示所述目标漏洞对应的风险等级是目标风险等级，则向目标对象发送报警信息，其中，所述报警信息用于提示所述目标对象对所述目标漏洞进行修复处理。
[0176]
本文中的设备可以是服务器、pc、pad、手机等。
[0177]
本技术还提供了一种计算机程序产品，当在数据处理设备上执行时，适于执行初始化有如下方法步骤的程序：获取n个目标指标、每个目标指标对应的目标指标值和每个目标指标对应的权重，其中，所述目标指标用于评估目标漏洞的风险等级，所述目标漏洞为目标系统中的漏洞，所述目标系统为部署在金融场景下的系统，n为正整数；依据每个目标指标对应的目标指标值和每个目标指标对应的权重，得到第一风险评分；利用漏洞评分系统确定对所述目标漏洞的第二风险评分；依据所述第一风险评分和所述第二风险评分，确定对所述目标漏洞的风险评估结果。
[0178]
当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：获取n个目标指标包括：确定目标资产的重要程度，其中，所述目标资产为与所述目标系统相关联的资产；确定攻击目标网络的困难程度，其中，所述目标网络为所述目标系统连接的网络；确定攻击所述目标系统的影响程度；依据所述目标资产的重要程度、所述攻击所述目标网络的困难程度和所述攻击所述目标系统的影响程度，得到所述n个目标指标。
[0179]
当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：依据所述目标资产的重要程度、所述攻击所述目标网络的困难程度和所述攻击所述目标系统的影响程度，得到所述n个目标指标包括：依据所述目标资产的重要程度，确定s个目标指标，其中，s为正整数，s小于n；依据攻击所述目标网络的困难程度，确定t个目标指标，其中，t为正整数，t小于n；依据攻击所述目标系统的影响程度，确定k个目标指标，其中，k为正整数，k小于n；对所述s个目标指标、所述t个目标指标和所述k个目标指标进行汇总处理，得到所述n个目标指标。
[0180]
当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：获取每个目标指标对应的权重包括：获取预设时间段内每个目标指标对应的指标值集合，其中，所述指标值集合中至少包括m个第一指标值，m为正整数；对所述m个第一指标值进行归一化处理，得到m个处理后的第一指标值；基于所述m个处理后的第一指标值，结合熵值法，确定每个目标指标对应的权重。
[0181]
当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：基于所述m个处理后的第一指标值，结合熵值法，确定每个目标指标对应的权重包括：确定所述m个处理后的第一指标值的离散程度；依据所述m个处理后的第一指标值的离散程度，得到每个目标指标对应的权重。
[0182]
当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：依据所述m个处理后的第一指标值的离散程度，得到每个目标指标对应的权重包括：依据所述m个处理后的第一指标值的离散程度，确定每个目标指标对应的熵值；依据每个目标指标对应的熵值，确定每个目标指标对应的效用值；基于每个目标指标对应的效用值，得到每个目标指标对应的权重。
[0183]
当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：依据所述第一风险评分和所述第二风险评分，确定对所述目标漏洞的风险评估结果包括：依据所述第一风险评分和所述第二风险评分，得到目标风险评分；确定所述目标风险评分所在的评分区间，其中，所述评分区间至少包括：第一评分区间、第二评分区间和第三评分区间；若所述目标风险评分所在的评分区间为所述第一评分区间，则确定所述风险评估结果为所述目标漏洞对应的风险等级为第一风险等级；若所述目标风险评分所在的评分区间为所述第二评分区间，则确定所述风险评估结果为所述目标漏洞对应的风险等级为第二风险等级，其中，所述第二风险等级对应的风险低于所述第一风险等级对应的风险；若所述目标风险评分所在的评分区间为所述第三评分区间，则确定所述风险评估结果为所述目标漏洞对应的风险等级为第三风险等级，其中，所述第三风险等级对应的风险低于所述第二风险等级对应的风险。
[0184]
当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：在依据所述第一风险评分和所述第二风险评分，确定对所述目标漏洞的风险评估结果之后，所述方法还包括：若所述风险评估结果表示所述目标漏洞对应的风险等级不是目标风险等级，则对第一漏洞进行风险评估，其中，所述第一漏洞为所述目标系统中除所述目标漏洞之外的漏洞；若所述风险评估结果表示所述目标漏洞对应的风险等级是目标风险等级，则向目标对象发送报警信息，其中，所述报警信息用于提示所述目标对象对所述目标漏洞进行修复处理。
[0185]
本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0186]
本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0187]
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0188]
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计
算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0189]
在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
[0190]
存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。存储器是计算机可读介质的示例。
[0191]
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
[0192]
还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
[0193]
本领域技术人员应明白，本技术的实施例可提供为方法、系统或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0194]
以上仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本技术的权利要求范围之内。

技术特征：
1.一种漏洞的处理方法，其特征在于，包括：获取n个目标指标、每个目标指标对应的目标指标值和每个目标指标对应的权重，其中，所述目标指标用于评估目标漏洞的风险等级，所述目标漏洞为目标系统中的漏洞，所述目标系统为部署在金融场景下的系统，n为正整数；依据每个目标指标对应的目标指标值和每个目标指标对应的权重，得到第一风险评分；利用漏洞评分系统确定对所述目标漏洞的第二风险评分；依据所述第一风险评分和所述第二风险评分，确定对所述目标漏洞的风险评估结果。2.根据权利要求1所述的方法，其特征在于，获取n个目标指标包括：确定目标资产的重要程度，其中，所述目标资产为与所述目标系统相关联的资产；确定攻击目标网络的困难程度，其中，所述目标网络为所述目标系统连接的网络；确定攻击所述目标系统的影响程度；依据所述目标资产的重要程度、所述攻击所述目标网络的困难程度和所述攻击所述目标系统的影响程度，得到所述n个目标指标。3.根据权利要求2所述的方法，其特征在于，依据所述目标资产的重要程度、所述攻击所述目标网络的困难程度和所述攻击所述目标系统的影响程度，得到所述n个目标指标包括：依据所述目标资产的重要程度，确定s个目标指标，其中，s为正整数，s小于n；依据攻击所述目标网络的困难程度，确定t个目标指标，其中，t为正整数，t小于n；依据攻击所述目标系统的影响程度，确定k个目标指标，其中，k为正整数，k小于n；对所述s个目标指标、所述t个目标指标和所述k个目标指标进行汇总处理，得到所述n个目标指标。4.根据权利要求1所述的方法，其特征在于，获取每个目标指标对应的权重包括：获取预设时间段内每个目标指标对应的指标值集合，其中，所述指标值集合中至少包括m个第一指标值，m为正整数；对所述m个第一指标值进行归一化处理，得到m个处理后的第一指标值；基于所述m个处理后的第一指标值，结合熵值法，确定每个目标指标对应的权重。5.根据权利要求4所述的方法，其特征在于，基于所述m个处理后的第一指标值，结合熵值法，确定每个目标指标对应的权重包括：确定所述m个处理后的第一指标值的离散程度；依据所述m个处理后的第一指标值的离散程度，得到每个目标指标对应的权重。6.根据权利要求5所述的方法，其特征在于，依据所述m个处理后的第一指标值的离散程度，得到每个目标指标对应的权重包括：依据所述m个处理后的第一指标值的离散程度，确定每个目标指标对应的熵值；依据每个目标指标对应的熵值，确定每个目标指标对应的效用值；基于每个目标指标对应的效用值，得到每个目标指标对应的权重。7.根据权利要求1所述的方法，其特征在于，依据所述第一风险评分和所述第二风险评
分，确定对所述目标漏洞的风险评估结果包括：依据所述第一风险评分和所述第二风险评分，得到目标风险评分；确定所述目标风险评分所在的评分区间，其中，所述评分区间至少包括：第一评分区间、第二评分区间和第三评分区间；若所述目标风险评分所在的评分区间为所述第一评分区间，则确定所述风险评估结果为所述目标漏洞对应的风险等级为第一风险等级；若所述目标风险评分所在的评分区间为所述第二评分区间，则确定所述风险评估结果为所述目标漏洞对应的风险等级为第二风险等级，其中，所述第二风险等级对应的风险低于所述第一风险等级对应的风险；若所述目标风险评分所在的评分区间为所述第三评分区间，则确定所述风险评估结果为所述目标漏洞对应的风险等级为第三风险等级，其中，所述第三风险等级对应的风险低于所述第二风险等级对应的风险。8.根据权利要求1所述的方法，其特征在于，在依据所述第一风险评分和所述第二风险评分，确定对所述目标漏洞的风险评估结果之后，所述方法还包括：若所述风险评估结果表示所述目标漏洞对应的风险等级不是目标风险等级，则对第一漏洞进行风险评估，其中，所述第一漏洞为所述目标系统中除所述目标漏洞之外的漏洞；若所述风险评估结果表示所述目标漏洞对应的风险等级是目标风险等级，则向目标对象发送报警信息，其中，所述报警信息用于提示所述目标对象对所述目标漏洞进行修复处理。9.一种漏洞的处理装置，其特征在于，包括：第一获取单元，用于获取n个目标指标、每个目标指标对应的目标指标值和每个目标指标对应的权重，其中，所述目标指标用于评估目标漏洞的风险等级，所述目标漏洞为目标系统中的漏洞，所述目标系统为部署在金融场景下的系统，n为正整数；第一确定单元，用于依据每个目标指标对应的目标指标值和每个目标指标对应的权重，得到第一风险评分；第二确定单元，用于利用漏洞评分系统确定对所述目标漏洞的第二风险评分；第三确定单元，用于依据所述第一风险评分和所述第二风险评分，确定对所述目标漏洞的风险评估结果。10.一种计算机可读存储介质，其特征在于，所述存储介质存储程序，其中，所述程序执行权利要求1至8中任意一项所述的漏洞的处理方法。11.一种电子设备，其特征在于，包括一个或多个处理器和存储器，所述存储器用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现权利要求1至8中任意一项所述的漏洞的处理方法。

技术总结
本申请公开了一种漏洞的处理方法及装置、存储介质和电子设备，涉及金融科技技术领域。该方法包括：获取N个目标指标、每个目标指标对应的目标指标值和每个目标指标对应的权重，其中，目标指标用于评估目标漏洞的风险等级，目标漏洞为目标系统中的漏洞，目标系统为部署在金融场景下的系统，N为正整数；依据每个目标指标对应的目标指标值和每个目标指标对应的权重，得到第一风险评分；利用漏洞评分系统确定对目标漏洞的第二风险评分；依据第一风险评分和第二风险评分，确定对目标漏洞的风险评估结果。通过本申请，解决了相关技术中难以对部署在金融场景下的系统中的漏洞进行风险评估，进而影响系统的安全的问题。而影响系统的安全的问题。而影响系统的安全的问题。


技术研发人员：郭煚 孙锐 丁振涛 邱偲逸
受保护的技术使用者：中国工商银行股份有限公司
技术研发日：2023.05.09
技术公布日：2023/8/4