2. 技术
  3. 一种基于多维度金融信息系统安全漏洞分类的方法与流程

一种基于多维度金融信息系统安全漏洞分类的方法与流程

allin2024-12-30  80


1.本发明涉及信息安全领域,具体涉及一种基于多维度金融信息系统安全漏洞分类的方法。


背景技术:

2.近年来,互联网技术的发展在金融行业中引起了巨大浪潮,应用云计算、大数据、人工智能、区块链、5g等最新科技到银行、保险、证券等金融业务发展中,金融业务流程正在被重塑,不仅让原有的金融体系层次和产品变得更加丰富,并且也对传统金融行业产生了深远的影响。首先无论是在资金的支付渠道还是信贷渠道方面,互联网金融都对传统金融行业进行了有力的补充。此外,在一些传统金融产品的销售上,比如对理财产品、保险产品的销售,互联网金融通过与电商平台展开深度合作,让这些传统金融产品的销售方式变得更加多样化,其销售渠道更加宽广。其次提高了金融产业信息化水平。互联网金融的出现,是对原有金融体系的一个良好补充。通过互联网的应用,能够让金融信息的搜集变得更加方便快捷,并且短时间内就能够搜集到大量数据。这些金融数据,不仅为风险征信评估提供能够了依据,也为金融机构建立个人信用体系提供了重要参考。由于互联网技术的引入,使得金融活动无论是在信息的搜集,还是信息的传播方面,其成本都变得更低,这样非常利于缓解金融机构与个人之间的金融信息不对称。但是在现有的金融交易过程中,面对各种未知的环境,金融安全也变得尤为重要,但是现有的金融信息系统,缺少多重识别的信息安全分类方法,对金融信息的安全保护造成了二次泄露的风险。因此,亟需一种基于多维度金融信息系统安全漏洞分类的方法,以解决上述问题。


技术实现要素:

3.本发明的目的在于提供一种基于多维度金融信息系统安全漏洞分类的方法,以解决现有的金融信息系统,缺少多重识别的信息安全分类方法,对金融信息的安全保护造成了二次泄露的风险的问题。
4.本发明提供一种基于多维度金融信息系统安全漏洞分类的方法,包括:
5.获取金融信息系统中的信息;
6.对获取的信息进行分类处理;
7.对分类处理的信息进行安全监测后获得漏洞信息;
8.根据信息安全系统中存储的各类安全漏洞跟安全监测到的漏洞信息进行匹配;
9.基于多维度金融信息系统确定每一个漏洞信息所处的类别并判断事故等级。
10.进一步地,获取金融信息系统中的信息的步骤中,所述信息的获取方式为用户输入至多维度金融信息系统后通过系统进行获取。
11.进一步地,获取金融信息系统中的信息的步骤中,获取到的信息包括:个人身份信息、财产信息、账户信息、信用信息、金融交易信息以及在操作过程中产生的信号、指令、数据、情况、消息。
12.进一步地,对获取的信息进行分类处理,包括:个人身份信息、财产信息、账户信息、信用信息、金融交易信息、操作信息六个类别。
13.进一步地,对分类处理的信息进行安全监测后获得漏洞信息的步骤中,所述漏洞信息包括:直接获取核心服务器权限漏洞、直接导致业务拒绝服务的漏洞、严重的逻辑设计缺陷和流程缺陷、严重的敏感信息泄漏。
14.进一步地,基于多维度金融信息系统确定每一个漏洞信息所处的类别的步骤中,若信息与多个漏洞有关,则将该信息分入严重的敏感信息泄漏。
15.进一步地,所述直接获取核心服务器权限漏洞,所述权限包括服务器权限、pc客户端权限,所述漏洞包括远程命令执行、任意代码执行、上传获取webshell、sql注入获取系统权限、可利用的activex缓冲区溢出。
16.进一步地,所述直接导致业务拒绝服务的漏洞,包括:直接导致移动网关业务api业务拒绝服务、网站应用拒绝服务造成严重影响的远程拒绝服务漏洞。
17.进一步地,所述严重的敏感信息泄漏,包括:
18.所述敏感信息包括:大量持卡人账户、资金安全、交易凭证、个人/商户清算数据;
19.所述漏洞包括:核心db的sql注入,可获取大量持卡人账户、个人/商户清算数据等接口问题引起的敏感信息泄露。
20.进一步地,所述基于多维度金融信息系统确定每一个漏洞信息所处的类别并判断事故等级,包括:
21.所述事故等级包括:
22.危害性,根据系统受危害程度,泄露信息的数据敏感性,资损,系统受危害程度来衡量危害按以下等级划分:
23.0分:未泄露敏感信息,不涉及资金损失;
24.1分:泄露内部公开的数据,或存在较少资金损失;
25.2分:泄露秘密数据,或存在一定资金损失;
26.3分:泄露绝密数据,或资金损失较大;
27.4分:获取完全验证权限,或执行管理员操作,或非法上传文件,或资金损失巨大;
28.复现难度reproducibility,根据这个漏洞是否容易复现成功的概率来按以下等级划分:
29.0分:非常困难或者不可能复现,即使内部安全人员难复现;
30.1分:很难复现,复现成功率较低,需要多种因素限制并对技术有较高要求;
31.2分:可以复现,有较长时间或存在利用条件限制;
32.3分:容易复现,需要一步或两步,可能需要变成授权用户;
33.4分:非常容易复现,仅仅一个浏览器和地址栏就能实现,不需要身份认证;
34.利用难度exploitability,使用什么工具才能实现这个攻击,按使用工具的难度来划分:
35.0分:漏洞无法利用;
36.1分:利用条件非常苛刻,如未披露的0day;
37.2分:熟练攻击者可攻击,需自定制脚本或高级攻击工具;
38.3分:中级攻击者能攻击,已存在可用工具或可被轻易利用;
39.4分:初学者短期能掌握,仅需web浏览器即可;
40.受影响用户affected users,按受影响的用户数量及业务重要性来划分:
41.0分:对用户无影响;
42.1分:一般边缘业务的少量用户;
43.2分:一般边缘业务的大量用户或核心业务的少量用户;
44.3分:核心业务的大量用户;
45.4分:所有用户或涉及多个核心业务的大量用户;
46.发现难度discoverability,按照该漏洞被发现的难易程度划分:
47.0分:非常困难,甚至不可能发现;需要源码或者管理员权限
48.1分:发现漏洞很困难,可以通过猜测或者监测网络活动来发现
49.2分:在私有区域,部分非可见,有时间或其他因素限制,需要深入挖掘的漏洞
50.3分:容易发现,错误的细节已经在外部公共平台上披露,而且可以用搜索引擎轻易发现,攻击条件较易获得
51.4分:非常容易发现,信息在web浏览器的地址栏或者表单里可见。
52.本发明的有益效果如下:本发明提供的一种基于多维度金融信息系统安全漏洞分类的方法,设置多维度的金融信息系统,针对金融信息进行多重识别信息安全分类,有效降低了金融信息二次泄露的风险。
附图说明
53.为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
54.图1为本发明实施例提供的一种基于多维度金融信息系统安全漏洞分类的方法的流程示意图。
具体实施方式
55.为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明具体实施例及相应的附图对本发明技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。以下结合附图,详细说明本发明各实施例提供的技术方案。
56.请参阅图1,本发明实施例提供一种基于多维度金融信息系统安全漏洞分类的方法,包括:
57.s101,获取金融信息系统中的信息。
58.在本实施例中,所述信息的获取方式为用户输入至多维度金融信息系统后通过系统进行获取。获取到的信息包括:个人身份信息、财产信息、账户信息、信用信息、金融交易信息以及在操作过程中产生的信号、指令、数据、情况、消息。
59.s102,对获取的信息进行分类处理。
60.在本实施例中,对获取的信息进行分类处理,包括:个人身份信息、财产信息、账户信息、信用信息、金融交易信息、操作信息六个类别。
61.s103,对分类处理的信息进行安全监测后获得漏洞信息。
62.在本实施例中,所述漏洞信息包括:直接获取核心服务器权限漏洞、直接导致业务拒绝服务的漏洞、严重的逻辑设计缺陷和流程缺陷、严重的敏感信息泄漏。
63.在本实施例中,所述直接获取核心服务器权限漏洞,所述权限包括服务器权限、pc客户端权限,所述漏洞包括远程命令执行、任意代码执行、上传获取webshell、sql注入获取系统权限、可利用的activex缓冲区溢出。
64.在本实施例中,所述直接导致业务拒绝服务的漏洞,包括:直接导致移动网关业务api业务拒绝服务、网站应用拒绝服务造成严重影响的远程拒绝服务漏洞。
65.在本实施例中,所述严重的敏感信息泄漏,包括:
66.所述敏感信息包括:大量持卡人账户、资金安全、交易凭证、个人/商户清算数据;
67.所述漏洞包括:核心db的sql注入,可获取大量持卡人账户、个人/商户清算数据等接口问题引起的敏感信息泄露。
68.s104,根据信息安全系统中存储的各类安全漏洞跟安全监测到的漏洞信息进行匹配;
69.s105,基于多维度金融信息系统确定每一个漏洞信息所处的类别并判断事故等级。
70.在本实施例中,若信息与多个漏洞有关,则将该信息分入敏感信息泄露漏洞。
71.在本实施例中,所述事故等级包括:
72.危害性,根据系统受危害程度,泄露信息的数据敏感性,资损,系统受危害程度来衡量危害按以下等级划分:
73.0分:未泄露敏感信息,不涉及资金损失;
74.1分:泄露内部公开的数据,或存在较少资金损失;
75.2分:泄露秘密数据,或存在一定资金损失;
76.3分:泄露绝密数据,或资金损失较大;
77.4分:获取完全验证权限,或执行管理员操作,或非法上传文件,或资金损失巨大;
78.复现难度reproducibility,根据这个漏洞是否容易复现成功的概率来按以下等级划分:
79.0分:非常困难或者不可能复现,即使内部安全人员难复现;
80.1分:很难复现,复现成功率较低,需要多种因素限制并对技术有较高要求;
81.2分:可以复现,有较长时间或存在利用条件限制;
82.3分:容易复现,需要一步或两步,可能需要变成授权用户;
83.4分:非常容易复现,仅仅一个浏览器和地址栏就能实现,不需要身份认证;
84.利用难度exploitability,使用什么工具才能实现这个攻击,按使用工具的难度来划分:
85.0分:漏洞无法利用;
86.1分:利用条件非常苛刻,如未披露的0day;
87.2分:熟练攻击者可攻击,需自定制脚本或高级攻击工具;
88.3分:中级攻击者能攻击,已存在可用工具或可被轻易利用;
89.4分:初学者短期能掌握,仅需web浏览器即可;
90.受影响用户affected users,按受影响的用户数量及业务重要性来划分:
91.0分:对用户无影响;
92.1分:一般边缘业务的少量用户;
93.2分:一般边缘业务的大量用户或核心业务的少量用户;
94.3分:核心业务的大量用户;
95.4分:所有用户或涉及多个核心业务的大量用户;
96.发现难度discoverability,按照该漏洞被发现的难易程度划分:
97.0分:非常困难,甚至不可能发现;需要源码或者管理员权限
98.1分:发现漏洞很困难,可以通过猜测或者监测网络活动来发现
99.2分:在私有区域,部分非可见,有时间或其他因素限制,需要深入挖掘的漏洞
100.3分:容易发现,错误的细节已经在外部公共平台上披露,而且可以用搜索引擎轻易发现,攻击条件较易获得
101.4分:非常容易发现,信息在web浏览器的地址栏或者表单里可见。
102.本发明提供的一种基于多维度金融信息系统安全漏洞分类的方法的工作原理如下:首先用户在多维度金融信息系统中输入信息或进行操作时,针对用户的操作进行实时信息监测,并将监测到的信息进行安全漏洞识别,并对监测到的漏洞信息按照sql注入漏洞、跨站脚本漏洞、弱口令漏洞、http报头追踪漏洞、私有ip地址泄露漏洞、未加密登录请求、敏感信息泄露漏洞进行分类并根据判断事故的等级分数,方便工程技术人员排查。
103.本发明实施例还提供一种存储介质,本发明实施例还提供一种存储介质,所述存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现本发明提供的一种基于多维度金融信息系统安全漏洞分类的方法的各实施例中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体(英文:read-onlymemory,简称:rom)或随机存储记忆体(英文:randomaccessmemory,简称:ram)等。
104.本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如rom/ram、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
105.以上所述的本发明实施方式并不构成对本发明保护范围的限定。

技术特征:
1.一种基于多维度金融信息系统安全漏洞分类的方法,其特征在于,包括:获取金融信息系统中的信息;对获取的信息进行分类处理;对分类处理的信息进行安全监测后获得漏洞信息;根据信息安全系统中存储的各类安全漏洞跟安全监测到的漏洞信息进行匹配;基于多维度金融信息系统确定每一个漏洞信息所处的类别并判断事故等级。2.根据权利要求1所述的一种基于多维度金融信息系统安全漏洞分类的方法,其特征在于,获取金融信息系统中的信息的步骤中,所述信息的获取方式为用户输入至多维度金融信息系统后通过系统进行获取。3.根据权利要求1所述的一种基于多维度金融信息系统安全漏洞分类的方法,其特征在于,获取金融信息系统中的信息的步骤中,获取到的信息包括:个人身份信息、财产信息、账户信息、信用信息、金融交易信息以及在操作过程中产生的信号、指令、数据、情况、消息。4.根据权利要求1所述的一种基于多维度金融信息系统安全漏洞分类的方法,其特征在于,对获取的信息进行分类处理,包括:个人身份信息、财产信息、账户信息、信用信息、金融交易信息、操作信息六个类别。5.根据权利要求1所述的一种基于多维度金融信息系统安全漏洞分类的方法,其特征在于,对分类处理的信息进行安全监测后获得漏洞信息的步骤中,所述漏洞信息包括:直接获取核心服务器权限漏洞、直接导致业务拒绝服务的漏洞、严重的逻辑设计缺陷和流程缺陷、严重的敏感信息泄漏。6.根据权利要求1所述的一种基于多维度金融信息系统安全漏洞分类的方法,其特征在于,基于多维度金融信息系统确定每一个漏洞信息所处的类别的步骤中,若信息与多个漏洞有关,则将该信息分入严重的敏感信息泄漏。7.根据权利要求5所述的一种基于多维度金融信息系统安全漏洞分类的方法,其特征在于,所述直接获取核心服务器权限漏洞,所述权限包括服务器权限、pc客户端权限,所述漏洞包括远程命令执行、任意代码执行、上传获取webshell、sql注入获取系统权限、可利用的activex缓冲区溢出。8.根据权利要求5所述的一种基于多维度金融信息系统安全漏洞分类的方法,其特征在于,所述直接导致业务拒绝服务的漏洞,包括:直接导致移动网关业务api业务拒绝服务、网站应用拒绝服务造成严重影响的远程拒绝服务漏洞。9.根据权利要求5所述的一种基于多维度金融信息系统安全漏洞分类的方法,其特征在于,所述严重的敏感信息泄漏,包括:所述敏感信息包括:大量持卡人账户、资金安全、交易凭证、个人/商户清算数据;所述漏洞包括:核心db的sql注入,可获取大量持卡人账户、个人/商户清算数据等接口问题引起的敏感信息泄露。10.根据权利要求1所述的一种基于多维度金融信息系统安全漏洞分类的方法,其特征在于,所述基于多维度金融信息系统确定每一个漏洞信息所处的类别并判断事故等级,包括:所述事故等级包括:危害性,根据系统受危害程度,泄露信息的数据敏感性,资损,系统受危害程度来衡量
危害按以下等级划分:0分:未泄露敏感信息,不涉及资金损失;1分:泄露内部公开的数据,或存在较少资金损失;2分:泄露秘密数据,或存在一定资金损失;3分:泄露绝密数据,或资金损失较大;4分:获取完全验证权限,或执行管理员操作,或非法上传文件,或资金损失巨大;复现难度reproducibility,根据这个漏洞是否容易复现成功的概率来按以下等级划分:0分:非常困难或者不可能复现,即使内部安全人员难复现;1分:很难复现,复现成功率较低,需要多种因素限制并对技术有较高要求;2分:可以复现,有较长时间或存在利用条件限制;3分:容易复现,需要一步或两步,可能需要变成授权用户;4分:非常容易复现,仅仅一个浏览器和地址栏就能实现,不需要身份认证;利用难度exploitability,使用什么工具才能实现这个攻击,按使用工具的难度来划分:0分:漏洞无法利用;1分:利用条件非常苛刻,如未披露的0day;2分:熟练攻击者可攻击,需自定制脚本或高级攻击工具;3分:中级攻击者能攻击,已存在可用工具或可被轻易利用;4分:初学者短期能掌握,仅需web浏览器即可;受影响用户affected users,按受影响的用户数量及业务重要性来划分:0分:对用户无影响;1分:一般边缘业务的少量用户;2分:一般边缘业务的大量用户或核心业务的少量用户;3分:核心业务的大量用户;4分:所有用户或涉及多个核心业务的大量用户;发现难度discoverability,按照该漏洞被发现的难易程度划分:0分:非常困难,甚至不可能发现;需要源码或者管理员权限1分:发现漏洞很困难,可以通过猜测或者监测网络活动来发现2分:在私有区域,部分非可见,有时间或其他因素限制,需要深入挖掘的漏洞3分:容易发现,错误的细节已经在外部公共平台上披露,而且可以用搜索引擎轻易发现,攻击条件较易获得4分:非常容易发现,信息在web浏览器的地址栏或者表单里可见。

技术总结
本发明提供一种基于多维度金融信息系统安全漏洞分类的方法。本发明通过获取获取信息;对获取的信息进行分类处理;对分类处理的信息进行安全监测后获得漏洞信息;根据信息安全系统中存储的各类安全漏洞跟安全监测到的漏洞信息进行匹配;基于多维度金融信息系统确定每一个漏洞信息所处的类别并判断事故等级。本发明通过设置多维度的金融信息系统,针对金融信息进行多重识别信息安全分类,有效降低了金融信息二次泄露的风险。金融信息二次泄露的风险。金融信息二次泄露的风险。


技术研发人员:方应权 严彪 陈佳霖 邱晓明 谢经纬 张道圆
受保护的技术使用者:湖南三湘银行股份有限公司
技术研发日:2022.04.06
技术公布日:2022/7/4
转载请注明原文地址: https://www.8miu.com/read-18083.html

专利

最新回复(0)