(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN112668025A(43)申请公布日2021.04.16(21)申请号202011626928.2G06F21/57(2013.01)(22)申请日2020.12.30H04L29/06(2006.01)(71)申请人北京永信至诚科技股份有限公司地址100094北京市海淀区丰豪东路9号院6号楼申请人北京五一嘉峪科技有限公司(72)发明人蔡晶晶陈俊郑斐斐张雅弛张雪峰(74)专利代理机构北京知呱呱知识产权代理有限公司11577代理人张永维(51)Int.Cl.G06F21/60(2013.01)G06F21/62(2013.01)G06F21/31(2013.01)权利要求书1页说明书6页附图1页(54)发明名称一种漏洞挖掘管理方法、系统、设备及可读存储介质(57)摘要本申请实施例公开了一种漏洞挖掘管理方法、系统、设备及可读存储介质，通过身份识别子系统对测试对象进行身份审核和能力认证；安全通道子系统与授权漏洞发掘的系统建立安全路径；实时监控子系统对所述测试对象的漏洞挖掘操作行为、业务日志和网络流量进行实时监控；漏洞信息安全保护子系统对所述测试对象提交的漏洞信息进行安全保护，并验证漏洞信息的有效性以及进行安全交付。从而可以防止未知攻击者的非法或不合规的系统攻击行为，并能防止真实漏洞信息的泄漏扩散和非法买卖，保障系统网络安全。CN112668025ACN112668025A权利要求书1/1页1.一种漏洞挖掘管理方法，其特征在于，所述方法应用于漏洞挖掘管理系统平台，所述方法包括：身份识别子系统对测试对象进行身份审核和能力认证；安全通道子系统与授权漏洞发掘的系统建立安全路径；实时监控子系统对所述测试对象的漏洞挖掘操作行为、业务日志和网络流量进行实时监控；漏洞信息安全保护子系统对所述测试对象提交的漏洞信息进行安全保护，并验证漏洞信息的有效性以及进行安全交付。2.如权利要求1所述的方法，其特征在于，所述漏洞信息安全保护子系统对所述测试对象提交的漏洞信息进行安全保护，包括：通过系统用户角色和权限设置，对漏洞信息查看进行访问控制，以防止非授权访问；利用密码技术对漏洞信息进行数据加密，以防止漏洞信息的明文泄露。3.如权利要求1所述的方法，其特征在于，所述实时监控子系统对所述测试对象的漏洞挖掘操作行为、业务日志和网络流量进行实时监控，还包括：对测试对象的漏洞挖掘操作行为执行状态进行实时监控，通过对执行状态的监测分析输出测试分析报告，所述测试分析报告包括所配置挖掘方法的版本信息、测试对象的文件位置及文件名。4.一种漏洞挖掘管理系统，其特征在于，所述系统包括：身份识别子系统，用于对测试对象进行身份审核和能力认证；安全通道子系统，用于与授权漏洞发掘的系统建立安全路径；实时监控子系统，用于对所述测试对象的漏洞挖掘操作行为、业务日志和网络流量进行实时监控；漏洞信息安全保护子系统，用于对所述测试对象提交的漏洞信息进行安全保护，并验证漏洞信息的有效性以及进行安全交付。5.如权利要求4所述的系统，其特征在于，所述漏洞信息安全保护子系统，具体用于：通过系统用户角色和权限设置，对漏洞信息查看进行访问控制，以防止非授权访问；利用密码技术对漏洞信息进行数据加密，以防止漏洞信息的明文泄露。6.如权利要求4所述的系统，其特征在于，所述实时监控子系统，具体用于：对测试对象的漏洞挖掘操作行为执行状态进行实时监控，通过对执行状态的监测分析输出测试分析报告，所述测试分析报告包括所配置挖掘方法的版本信息、测试对象的文件位置及文件名。7.一种设备，其特征在于，所述设备包括：数据采集装置、处理器和存储器；所述数据采集装置用于采集数据；所述存储器用于存储一个或多个程序指令；所述处理器，用于执行一个或多个程序指令，用以执行如权利要求1‑3任一项所述的方法。8.一种计算机可读存储介质，其特征在于，所述计算机存储介质中包含一个或多个程序指令，所述一个或多个程序指令用于执行如权利要求1‑3任一项所述的方法。2CN112668025A说明书1/6页一种漏洞挖掘管理方法、系统、设备及可读存储介质技术领域[0001]本申请实施例涉及信息安全技术领域，具体涉及一种漏洞挖掘管理方法、系统、设备及可读存储介质。背景技术[0002]漏洞是由于设计不周导致的系统或软件存在缺陷，从而使攻击者在非授权情况下访问或破坏系统。漏洞挖掘是对未知漏洞的探索，尽可能找到系统中潜在的漏洞。漏洞挖掘管理目的在于规范漏洞挖掘流程、防止漏洞信息泄露，从而保障系统安全性。[0003]现在漏洞挖掘管理比较粗放，存在多种不合规、不合法的问题，如非授权进行挖掘漏洞、漏洞信息肆意公开或黑市交易，甚至有些攻击者直接利用挖掘的漏洞进行系统攻击等。[0004]为促进漏洞挖掘的