(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210355060.X (22)申请日 2022.04.06 (71)申请人 湖南三湘银行股份有限公司 地址 410000 湖南省长 沙市岳麓区滨江路 53号湖南湘江新区滨江金融中心楷林 国际D座 (72)发明人 方应权　严彪　陈佳霖　邱晓明　 谢经纬　张道圆　 (51)Int.Cl. G06F 21/57(2013.01) G06F 21/62(2013.01) G06K 9/62(2022.01) G06Q 40/00(2012.01) (54)发明名称 一种基于多维度金融信息系统安全漏洞分 类的方法 (57)摘要 本发明提供一种基于多维度金融信息系统 安全漏洞分类的方法。 本发明通过获取获取信 息； 对获取的信息进行分类处理； 对分类处理的 信息进行安全监测后获得漏洞信息； 根据信息安 全系统中存储的各类安全漏洞跟安全监测到的 漏洞信息进行匹配； 基于多维度金融信息系统确 定每一个漏洞信息所处的类别并判断事故等级。 本发明通过设置多维度的金融信息系统， 针对金 融信息进行多重识别信息安全分类， 有效降低了 金融信息二次泄 露的风险。 权利要求书2页 说明书5页 附图1页 CN 114707153 A 2022.07.05 CN 114707153 A 1.一种基于多维度金融信息系统安全漏洞分类的方法， 其特 征在于， 包括： 获取金融信息系统中的信息； 对获取的信息进行分类处 理； 对分类处 理的信息进行安全监测后获得漏洞 信息； 根据信息安全系统中存 储的各类安全漏洞跟安全监测到的漏洞 信息进行匹配； 基于多维度金融信息系统确定每一个漏洞 信息所处的类别并判断事故等级。 2.根据权利要求1所述的一种基于多维度金融信息系统安全漏洞分类的方法， 其特征 在于， 获取金融信息系统中的信息的步骤中， 所述信息的获取方式为用户输入至多维度金 融信息系统后通过系统进行获取。 3.根据权利要求1所述的一种基于多维度金融信息系统安全漏洞分类的方法， 其特征 在于， 获取金融信息系统中的信息的步骤中， 获取到的信息包括： 个人身份信息、 财产信息、 账户信息、 信用信息、 金融交易信息以及 在操作过程中产生的信号、 指令、 数据、 情况、 消息 。 4.根据权利要求1所述的一种基于多维度金融信息系统安全漏洞分类的方法， 其特征 在于， 对获取的信息进 行分类处理， 包括： 个人身份信息、 财产信息、 账户信息、 信用信息、 金 融交易信息、 操作信息六个 类别。 5.根据权利要求1所述的一种基于多维度金融信息系统安全漏洞分类的方法， 其特征 在于， 对分类处理的信息进 行安全监测后获得漏洞信息的步骤中， 所述漏洞信息包括： 直接 获取核心服务器权限漏洞、 直接导致业务拒绝服务的漏洞、 严重的逻辑设计缺陷和 流程缺 陷、 严重的敏感信息泄漏。 6.根据权利要求1所述的一种基于多维度金融信息系统安全漏洞分类的方法， 其特征 在于， 基于多维度金融信息系统确定每一个漏洞信息所处的类别的步骤中， 若信息与多个 漏洞有关， 则将该信息分入严重的敏感信息泄漏。 7.根据权利要求5所述的一种基于多维度金融信息系统安全漏洞分类的方法， 其特征 在于， 所述直接获取核心服务器权限漏洞， 所述权限包括服务器权限、 PC客户端权限， 所述 漏洞包括远程命令执行、 任意代码执行、 上传获取Webshell、 SQL注入获取系统权限、 可利用 的Active X缓冲区溢出。 8.根据权利要求5所述的一种基于多维度金融信息系统安全漏洞分类的方法， 其特征 在于， 所述直接导致业务拒绝服务的漏洞， 包括： 直接导致移动网关业务API业务拒绝服务、 网站应用拒绝 服务造成严重影响的远程拒绝 服务漏洞。 9.根据权利要求5所述的一种基于多维度金融信息系统安全漏洞分类的方法， 其特征 在于， 所述 严重的敏感信息泄漏， 包括： 所述敏感信息包括： 大量持卡人 账户、 资金安全、 交易凭证、 个人/商户清算数据； 所述漏洞包括： 核心DB的SQL注入， 可获取大量持卡人账户、 个人/商户清算数据等接口 问题引起的敏感信息泄 露。 10.根据权利要求1所述的一种基于多维度金融信息系统安全漏洞分类的方法， 其特征 在于， 所述基于多维度金融信息系统确定每一个漏洞信息所处的类别并判断事故等级， 包 括： 所述事故等级包括： 危害性， 根据系统受危害程度， 泄露信息的数据敏感性， 资损， 系统受危害程度来衡量权　利　要　求　书 1/2 页 2 CN 114707153 A 2危害按以下等级划分： 0分： 未泄 露敏感信息， 不涉及资金损失； 1分： 泄露内部公开的数据， 或存在较少资金损失； 2分： 泄露秘密数据， 或存在一定资金损失； 3分： 泄露绝密数据， 或资金损失较大； 4分： 获取完全 验证权限， 或执 行管理员操作， 或非法上传文件， 或资金损失巨大； 复现难度Reproducibility， 根据这个漏洞是否容易复现成功的概率来按以下等级划 分： 0分： 非常困难或者 不可能复现， 即使内部安全人员难复现； 1分： 很难复现， 复现成功率较低， 需要 多种因素限制并对技 术有较高要求； 2分： 可以复现， 有较长时间或存在利用条件限制； 3分： 容易复现， 需要一 步或两步， 可能需要变成授权用户； 4分： 非常容 易复现， 仅 仅一个浏览器和地址栏 就能实现,不需要 身份认证； 利用难度Exploitability， 使用什么工具才能实现这个攻击， 按使用工具的难度来划 分： 0分： 漏洞无法利用； 1分： 利用条件非常苛刻， 如未披露的0day； 2分： 熟练攻击者可攻击， 需自定制脚本或高级攻击 工具； 3分： 中级攻击者能攻击， 已存在可用工具或可被轻易利用； 4分： 初学者短期能掌握， 仅需Web浏览器即可； 受影响用户Af fected Users， 按受影响的用户数量及业 务重要性 来划分： 0分： 对用户无影响； 1分： 一般边 缘业务的少量用户； 2分： 一般边 缘业务的大量用户或核心业 务的少量用户； 3分： 核心业 务的大量用户； 4分： 所有用户或涉及多个核心业 务的大量用户； 发现难度Discoverabi lity， 按照该漏洞被发现的难易 程度划分： 0分： 非常困难， 甚至不可能发现； 需要源码或者管理员权限 1分： 发现漏洞很困难， 可以通过猜测或者 监测网络活动来发现 2分： 在私有区域， 部分非可 见， 有时间或其 他因素限制， 需要深入挖掘的漏洞 3分： 容易发现， 错误的细节已经在外部公共平台上披露， 而且可以用搜索引擎轻易发 现， 攻击条件较易获得 4分： 非常容 易发现， 信息在web浏览器的地址栏或者表单 里可见。权　利　要　求　书 2/2 页 3 CN 114707153 A 3