CN112769782B - 多云安全基线管理的方法与设备 - Google Patents

多云安全基线管理的方法与设备 Download PDF

Info

Publication number
CN112769782B
CN112769782B CN202011602730.0A CN202011602730A CN112769782B CN 112769782 B CN112769782 B CN 112769782B CN 202011602730 A CN202011602730 A CN 202011602730A CN 112769782 B CN112769782 B CN 112769782B
Authority
CN
China
Prior art keywords
score
cloud
security
resource
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011602730.0A
Other languages
English (en)
Other versions
CN112769782A (zh
Inventor
徐正昊
高海峰
赵平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Lianwei Panyun Technology Co ltd
Original Assignee
Shanghai Lianwei Panyun Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Lianwei Panyun Technology Co ltd filed Critical Shanghai Lianwei Panyun Technology Co ltd
Priority to CN202011602730.0A priority Critical patent/CN112769782B/zh
Publication of CN112769782A publication Critical patent/CN112769782A/zh
Application granted granted Critical
Publication of CN112769782B publication Critical patent/CN112769782B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • G06F17/18Complex mathematical operations for evaluating statistical data, e.g. average values, frequency distributions, probability functions, regression analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Mathematical Optimization (AREA)
  • Theoretical Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computational Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Mathematical Analysis (AREA)
  • Operations Research (AREA)
  • Evolutionary Biology (AREA)
  • Probability & Statistics with Applications (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Algebra (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明提供了一种多云安全基线管理的方法,应用于一用户终端,所述方法包括:获取用户的身份验证信息,所述身份验证信息匹配对应的多个公有云账号识别信息;基于所述多个公有云账号识别信息分别向多台云端设备发送多个元数据请求;接收所述多台云端设备基于所述元数据请求而发送的多条元数据,所述多条元数据包含相应公有云的资源安全信息和监控信息;对所述多条元数据执行清洗和持久化操作;根据获取的所述安全信息和所述监控信息,对各公有云账户云资源进行安全评分;统计各个规章内安全信息的条目数以及违反数,对于违反规则项目的匹配对应的违反原因以及潜在修改方案及其预期效果。

Description

多云安全基线管理的方法与设备
技术领域
本发明涉及云计算领域,尤其涉及一种多云安全基线管理的方法及系统与设备。
背景技术
经过多年的发展历程,公有云已成为众多领域内各大企业计算和存储的首选。云计算和云存储也正处于高速发展期,而多云资源安全管理是企业发展的必经阶段。
1)企业提倡信息化、数字化、敏捷化,公有云资源随取随用特性被重视。
2)企业减轻财务负担,公有云具有共享资源服务的核心属性。
3)着眼于不同公有云所各自具有的特色,越来越多的企业会选择以多云形式使用。
4)企业使用大量的多公有云资源,需要加强对资源的信息管理和安全管理。
由于公有云资源都是虚拟化并处于供应商之处,企业对于敏感信息的保护以及服务高可用性的要求将会十分重视,尤其是一些有竞争力的行业,对于用户数据以及商业机密的信息的管理就会十分严格。如何统一管理和判断多公有云的资源是否拥有强大的保密性和高可用性就至关重要。
发明内容
鉴于现有技术中的问题,本发明提供了一种多云安全基线管理的方法,应用于一用户终端,所述方法包括:
获取用户的身份验证信息,所述身份验证信息匹配对应的多个公有云账号识别信息;
基于所述多个公有云账号识别信息分别向多台云端设备发送多个元数据请求;
接收所述多台云端设备基于所述元数据请求而发送的多条元数据,所述多条元数据包含相应公有云的资源安全信息和监控信息;
对所述多条元数据执行清洗和持久化操作;
根据获取的所述安全信息和所述监控信息,对各公有云账户云资源进行安全评分;统计各个规章内安全信息的条目数以及违反数,对于违反规则项目的匹配对应的违反原因以及潜在修改方案及其预期效果;
响应于用户在所述用户终端的单一界面输入的操作指令,基于获得的安全评分和/或关于安全信息的统计结果执行对应的操作。
进一步地,所述分别向多台云端设备发送多个元数据请求的步骤,包括:
基于预设的时间间隔分别向多台云端设备发送多个元数据请求。
进一步地,针对任一公有云账户云资源进行安全评分的步骤,包括:
计算所述公有云账户云资源的总得分;
计算所述公有云账户云资源的总失分;
所述总得分减去所述总失分获得最终的安全评分。
进一步地,所述计算所述公有云账户云资源的总得分的步骤,包括:
计算单个实例中所有监控指标的得分总和,获得单个实例的得分;
计算单类资源中所有单个实例的得分总和,获得单类资源的得分;
根据单类资源的得分及其包括的实例数量,计算获得单类资源的平均得分;
将各单类资源的平均得分加权后相加,获得所述公有云账户云资源的总得分。
进一步地,单项监控指标的得分为其加分值与预设得分系数的乘积,其中所述单项监控指标的加分值由相应公有云的资源安全信息所限定。
进一步地,所述计算所述公有云账户云资源的总失分的步骤,包括:
计算单个实例中所有监控指标的失分总和,获得单个实例的失分;
计算单类资源中所有单个实例的失分总和,获得单类资源的失分;
根据单类资源的失分及其包括的实例数量,计算单类资源的平均失分;
将各单类资源的平均失分加权后相加,获得所述公有云账户云资源的总失分。
进一步地,单项监控指标的失分为其减分值、预设失分系数及风险影响系数的乘积,其中所述单项监控指标的减分值由相应公有云的资源安全信息所限定,所述风险影响系数由预设的时间风险系数与检测失效距今的天数所限定。
进一步地,针对任一公有云账户云资源进行安全评分的计算公式如下:
Figure GDA0003176049750000031
Figure GDA0003176049750000032
ω(t,u)=ut2
其中,(Ai-0)表示单项监控指标的得分值,|0-Ai|表示单项监控指标的失分值,i为单个实例中监控指标的编号,k为得分系数,j为失分系数,u为时间风险系数,t为检测失效距今的天数,n为单类资源中实例的编号,m为资源类的编号,S表示单类资源中实例的总数,ε表示单类资源的安全分数系数。
本发明还提供了一种多云安全基线管理的设备,所述设备包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器执行上述方法的操作。
本发明还提供了一种存储指令的计算机可读介质,所述指令在被执行时使得系统执行上述方法的操作。
与现有技术相比,本发明的多云安全基线管理的方法与设备将多云中获取到的资源安全和监控信息,通过统一终端集中管理,以安全基线为标准帮助企业IT人员在多云多账号的环境下,维护资源安全,保证信息私有化。采用本发明的方法与设备可以帮助用户实现威胁检测、响应、溯源的自动化安全运营闭环,保护云上资产和信息安全并满足监管合规要求,帮助用户了解云资源的漏洞以及不合规的地方,通过评分预警和分析以改善用户在云上使用的不合规设置。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1示出本发明一个实施例的一种多云安全基线管理的方法的流程;
图2是本发明一个实施例中同步任务执行的流程示意图;
图3示出可用于本发明各实施例的一种示例性系统的功能模块。
附图中相同或相似的附图标记代表相同或相似的部件。
具体实施方式
下面结合附图对本发明作进一步详细描述。
在本发明的一个典型的配置中,终端、服务网络的设备和可信方均包括一个或多个处理器(例如,中央处理器(Central Processing Unit,CPU))、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RandomAccess Memory,RAM)和/或非易失性内存等形式,如只读存储器(Read Only Memory,ROM)或闪存(Flash Memory)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(Phase-Change Memory,PCM)、可编程随机存取存储器(Programmable Random Access Memory,PRAM)、静态随机存取存储器(Static Random-Access Memory,SRAM)、动态随机存取存储器(Dynamic Random AccessMemory,DRAM)、其他类型的随机存取存储器(Random Access Memory,RAM)、只读存储器(Read-Only Memory,ROM)、电可擦除可编程只读存储器(Electrically-ErasableProgrammable Read-Only Memory,EEPROM)、快闪记忆体(Flash Memory)或其他内存技术、只读光盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、数字多功能光盘(Digital Versatile Disc,DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
本发明所指设备包括但不限于用户设备、网络设备、或用户设备与网络设备通过网络相集成所构成的设备。所述用户设备包括但不限于任何一种可与用户进行人机交互(例如通过触摸板进行人机交互)的移动电子产品,例如智能手机、平板电脑等,所述移动电子产品可以采用任意操作系统,如Android操作系统、iOS操作系统等。其中,所述网络设备包括一种能够按照事先设定或存储的指令,自动进行数值计算和信息处理的电子设备,其硬件包括但不限于微处理器、专用集成电路(Application Specific IntegratedCircuit,ASIC)、可编程逻辑器件(Programmable Logic Device,PLD)、现场可编程门阵列(Field Programmable Gate Array,FPGA)、数字信号处理器(Digital Signal Processor,DSP)、嵌入式设备等。所述网络设备包括但不限于计算机、网络主机、单个网络服务器、多个网络服务器集或多个服务器构成的云;在此,云由基于云计算(Cloud Computing)的大量计算机或网络服务器构成,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个虚拟超级计算机。所述网络包括但不限于互联网、广域网、城域网、局域网、VPN网络、无线自组织网络(Ad Hoc Network)等。优选地,所述设备还可以是运行于所述用户设备、网络设备、或用户设备与网络设备、网络设备、触摸终端或网络设备与触摸终端通过网络相集成所构成的设备上的程序。
当然,本领域技术人员应能理解上述设备仅为举例,其他现有的或今后可能出现的设备如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。
在本发明的实施方式的描述中,“多个”的含义是两个或者更多,除非另有明确具体的限定。
本实施例首先提供了一种多云安全基线管理的系统架构,该系统采用B/S模式和微服务架构,服务端选用微服务架构设计,整体结构设计分为用户层、网关层、业务层、数据层和云层五层结构,其中:
-用户层:用户通过PC电脑或Laptop访问本系统。
-网关层:用户使用专属账户登入系统,网关层进行身份识别与访问管理,并对前端和后端服务进行分布式部署,前端页面进行单独部署到Web服务器。
-业务层:应用服务可构建集群提供服务,包括数据分析、数据统计、查询服务、数据库访问服务、配置服务、定时任务服务等,用户通过网关层的Webservices或者Restful与业务层进行数据请求交互。
-数据层:数据库服务器的运行方式分为两种:双机热备、主从同步。增加单独的缓存服务器,对页面和常用数据进行缓存,用以减轻数据库的压力,解决数据库读写瓶颈,保证数据库的正常运行。
-云层:根据不同云账号信息,自定义定时任务,请求API或者SDK定时从云(阿里云、Azure、AWS、腾讯云)中同步资源数据,从云中同步元数据,通过数据清洗服务,根据定义的规则完成安全数据的分析告警或存储分析。
基于上述架构,具体而言,本实施例提供了一种多云安全基线管理的方法。该方法应用于一用户终端,并由相应的网络设备(例如云端服务器)提供支撑。参考图1,该方法包括步骤S100、步骤S200、步骤S300、步骤S400、步骤S500、步骤S600和步骤S700。以下以一用户终端为例描述本实施例的具体实施方式。
具体地,在步骤S100中,用户终端获取用户的身份验证信息。例如,用户在用户终端输入自己的用户标识(例如系统账号名称)及认证信息(例如账号密码)。
在步骤S200中,用户终端基于所述身份验证信息匹配对应的多个公有云账号识别信息,其中每个公有云账号识别信息分别对应一公有云账号。例如,管理员所登录的用户账号对应于其所管理的若干个公有云账号;在一些情形下,对于同一套系统而言,不同的管理员可能管理不同的公有云账号。
在步骤S300中,用户终端分别向多台云端设备发送多个元数据请求,其中每个元数据请求包括一公有云账号识别信息,所述公有云账号识别信息用于确定用户对相应公有云账号的访问权限。例如,多台云端设备分别对应于多个不同的云平台。用户对某个云账号的访问权限,在一些实施例中由用户提供的相关账号信息确定,例如阿里云需要获取录入accessKeyId、accessSecret字段,而Azure(微软所提供的云服务平台)需要获取录入subscriptionId、clientSecret字段。录入成功以后验证录入账号是否可用。
在步骤S400中,接收所述多台云端设备基于所述元数据请求而发送的多条元数据,所述多条元数据包含相应公有云的资源安全信息和监控信息。
在步骤S500中,用户终端根据各云平台不同的数据清洗规则,将元数据的内容清洗至相应的数据结构中,包括检查数据一致性,处理无效值和缺失值等;再将已清洗的数据做持久化操作,以便于后续安全基线管理的利用。
在步骤S600中,用户终端根据获取的所述安全信息和所述监控信息,对各公有云账户云资源进行安全评分;统计各个规章内安全信息的条目数以及违反数,对于违反规则项目的匹配对应的违反原因以及潜在修改方案及其预期效果。
在步骤S700中,用户终端响应于用户在所述用户终端的单一界面输入的操作指令,基于获得的安全评分和/或关于安全信息的统计结果执行对应的操作。
从而,用户仅在一个单一的用户界面中,即可实现对多个云账号的云资源报警进行管控,无需分别进入各个云账号进行监控管理。
其中在一些实施例中,在上述步骤S300中,用户终端基于预设的时间间隔分别向多台网络设备发送多个元数据请求。例如,在获取用户的身份验证信息后,系统自行地每隔一定时间执行前述操作,以减轻用户的操作负担和提高本地数据的实时性。
在一些实施例中,上述步骤S300包括子步骤S310、子步骤S320、子步骤S330和子步骤S340(图中未示出)。在子步骤S310中,用户终端创建任务队列,所述任务队列包括对应于所述多个公有云账号识别信息的多个元数据请求任务;在子步骤S320中,用户终端获取所述任务队列中的当前任务,并确定所述当前任务的可执行状态;在子步骤S330中,用户终端若所述当前任务的可执行状态为不可执行,将所述当前任务移至所述任务队列的队尾;在子步骤S340中,若所述当前任务的可执行状态为可以执行,用户终端执行所述当前任务以向相应的网络设备发送相应的元数据请求,并在所述当前任务执行完毕后移除所述当前任务。其中,为自动执行某些任务而减轻管理员负担,一些任务设置有循环状态,该循环状态用于表征该任务是否在本次执行后仍需再次自动执行。相应地在一些实施例中,在子步骤S340中,若所述当前任务的可执行状态为可以执行,用户终端执行所述当前任务以向相应的网络设备发送相应的元数据请求;若所述当前任务的循环状态为真,在所述当前任务执行完毕后将所述当前任务移至所述任务队列的队尾;否则在所述当前任务执行完毕后移除所述当前任务。
例如,系统对各个云账号资源(基础资源、安全信息等)信息同步的管理,同步任务创建成功后,其执行状态的变化如图2所示。系统首先读取账户访问信息,判断账户信息是否可用,如不可用,则任务状态为不可执行,任务状态码设置为-1,等待下一次访问;如可用,则开始执行同步任务,任务状态码设置为0。在任务执行过程中,任务状态码设置为2。判断任务执行是否成功,执行成功,任务状态码设置为3,任务结束;执行失败,任务状态码设置为1,等待下一次访问。
在一些实施例中,在步骤S400中,用户终端接收的多条元数据包含相应公有云的资源安全信息和监控信息,以Azure为例,可包括Azure规章遵从标准数据、Azure规章遵从性控件数据、Azure合规性评估数据、Azure评估元数据、Azure个评估数据、Azure安全分数数据、Azure安全计分控制数据等,表1至表7示出了请求上述数据的返回参数。
表1 Azure规章遵从标准数据的返回参数
Figure GDA0003176049750000091
表2 Azure规章遵从性控件数据的返回参数
Figure GDA0003176049750000092
表3 Azure合规性评估数据的返回参数
Figure GDA0003176049750000093
/>
Figure GDA0003176049750000101
表4 Azure评估元数据的返回参数
Figure GDA0003176049750000102
Figure GDA0003176049750000111
表5 Azure个评估数据的返回参数
Figure GDA0003176049750000112
表6 Azure安全分数数据的返回参数
Figure GDA0003176049750000113
表7 Azure安全计分控制数据的返回参数
Figure GDA0003176049750000121
在一些实施例中,在步骤S600中,针对任一公有云账户云资源进行安全评分的计算公式如下:
Figure GDA0003176049750000122
Figure GDA0003176049750000123
ω(t,u)=ut2 (3)
公式(1)中,等号左边的Sum表示公有云账户云资源的安全评分;等号右边分为两部分,减号左边是公有云账户云资源的总得分,减号右边是公有云账户云资源的总失分。
首先对于上述公式中的参数进行统一说明,详见以下表8。
表8
参数 说明
A 单类单例单项监控指标
i 单类单例的监控指标编号
Ai 单类单例单项监控指标分值
(Ai-0) 表示单项监控指标的得分值
|0-Ai| 表示单项监控指标的失分值
k 单类单例单项监控指标的得分系数
S 单类资源中实例的总数
m 资源类的编号
n 单类资源中实例的编号
ε 单类资源的安全分数系数
j 单类单例单项监控指标的失分系数
u 时间风险系数
t 检测失效距今的天数
以下对于模型中的各个单元以及含义做进一步的说明。
单例总得分:
公式(2)中,(Ai-0)*ki为单个实例中第i项监控指标的得分,其是单项监控指标的得分值(Ai-0)与单项监控指标的得分系数ki的乘积,从而φ(A,k)代表了单个实例中所有不同的监控指标的得分的总和,即该单例的总得分。
单类资源总得分和平均得分:
公式(1)中的
Figure GDA0003176049750000131
该式分子部分表示单类资源中所有单例的得分之和,即单类资源的总得分;分母为该单类资源中实例的总数,从而该式表示单类资源的平均得分。
公有云账户云资源总得分:
公式(1)中的
Figure GDA0003176049750000141
该式是将所有单类资源的平均得分分别乘以其相应的安全分数系数ε后再求和,从而获得公有云账户云资源的总得分。安全分数系数ε实际就是单类资源的分数权重,公有云账户云资源的总得分即是将所有单类资源的平均得分加权后的总和。
风险影响系数:
公式(3)中ω表示风险影响系数,其是时间风险系数u与时间t平方的乘积,此处t采用检测失效距今的天数。可见,时间风险系数越高,检测失效距今时间越久,则风险影响系数会越高。
单例总失分:
公式(1)中,|0-Ai|*ji*ω(t,u)为单个实例中第i项监控指标的失分,其是单项监控指标的失分值|0-Ai|与单项监控指标的失分系数ji以及风险影响系数ω的乘积,从而
Figure GDA0003176049750000142
该式代表了单个实例中所有不同的监控指标的失分的总和,即该单例的总失分。
单类资源总失分和平均失分:
公式(1)中的
Figure GDA0003176049750000143
该式分子部分表示单类资源中所有单例的失分之和,即单类资源的总失分;分母为该单类资源中实例的总数,从而该式表示单类资源的平均失分。
公有云账户云资源总失分:
公式(1)中的
Figure GDA0003176049750000151
该式是将所有单类资源的平均失分分别乘以其相应的安全分数系数ε后再求和,从而获得公有云账户云资源的总失。如前所述,安全分数系数ε实际就是单类资源的分数权重,公有云账户云资源的总失分即是将所有单类资源的平均失分加权后的总和。
公有云账户云资源的安全评分:
将上述计算获得的公有云账户云资源总得分减去其总失分,从而获得公有云账户云资源的安全评分,即公式(1)。
以下以一个阿里云的安全基线项目对公有云账户云资源的安全评分计算做进一步说明,表9示出了安全基线项目的配置规则。
表9
Figure GDA0003176049750000152
根据同步的公有云资源安全和监控信息,汇总得到如表10的分值和时间数据,其中X、V、R、O表示不同的资源类,X1、X2为资源类X中的两个实例,V1、V2为资源类V中的两个实例,R1为资源类R中的一个实例,O1、O2为资源类O中的两个实例。各资源类的安全分数系数ε均设置为1。
表10
Figure GDA0003176049750000161
计算该公有云账户云资源的总得分,算式如下:
Figure GDA0003176049750000162
即该公有云账户云资源的总得分为33.85。
计算该公有云账户云资源的总失分,算式如下:
Figure GDA0003176049750000163
即该公有云账户云资源的总失分为11.338。
从而该公有云账户云资源的安全评分为33.85-11.338=22.512。
在一些实施例中,在步骤S700中,用户终端检测用户在所述用户终端的浏览器应用中的单一界面输入的操作指令;响应于所述操作指令,用户终端基于获得的安全评分和/或关于安全信息的统计结果执行对应的操作。在此,上述相应的操作包括但不限于安全评分及统计信息的筛选、展示、图形化、汇总、输出等。具体地,显示内容可以是一个云账户的安全评分、各个规章内统计安全信息的条目数以及违反数、基于违反规则项目所罗列出的详细原因和对应的潜在修改方案及其效果、多云安全基线扫描后的数据图表、配合云账号设置的安全基线内容以及结合其数据和标准数据对比(得出相应的分数或曲线)等等。
本实施例还提供了一种计算机程序产品,当所述计算机程序产品被计算机设备执行时,如前任一项所述的方法被执行。
本实施例还提供了一种计算机设备,所述计算机设备包括:
一个或多个处理器;
存储器,用于存储一个或多个计算机程序;
当所述一个或多个计算机程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如前任一项所述的方法。
图3示出了可被用于实施本发明中所述的各个实施例的示例性系统。
如图3所示,在一些实施例中,系统1000能够作为各所述实施例中的任意一个用户终端设备。在一些实施例中,系统1000可包括具有指令的一个或多个计算机可读介质(例如,系统存储器或NVM/存储设备1020)以及与该一个或多个计算机可读介质耦合并被配置为执行指令以实现模块从而执行本发明中所述的动作的一个或多个处理器(例如,(一个或多个)处理器1005)。
对于一个实施例,系统控制模块1010可包括任意适当的接口控制器,以向(一个或多个)处理器1005中的至少一个和/或与系统控制模块1010通信的任意适当的设备或组件提供任意适当的接口。
系统控制模块1010可包括存储器控制器模块1030,以向系统存储器1015提供接口。存储器控制器模块1030可以是硬件模块、软件模块和/或固件模块。
系统存储器1015可被用于例如为系统1000加载和存储数据和/或指令。对于一个实施例,系统存储器1015可包括任意适当的易失性存储器,例如,适当的DRAM。在一些实施例中,系统存储器1015可包括双倍数据速率类型四同步动态随机存取存储器(DDR4SDRAM)。
对于一个实施例,系统控制模块1010可包括一个或多个输入/输出(I/O)控制器,以向NVM/存储设备1020及(一个或多个)通信接口1025提供接口。
例如,NVM/存储设备1020可被用于存储数据和/或指令。NVM/存储设备1020可包括任意适当的非易失性存储器(例如,闪存)和/或可包括任意适当的(一个或多个)非易失性存储设备(例如,一个或多个硬盘驱动器(Hard Disk,HDD)、一个或多个光盘(CD)驱动器和/或一个或多个数字通用光盘(DVD)驱动器)。
NVM/存储设备1020可包括在物理上作为系统1000被安装在其上的设备的一部分的存储资源,或者其可被该设备访问而不必作为该设备的一部分。例如,NVM/存储设备1020可通过网络经由(一个或多个)通信接口1025进行访问。
(一个或多个)通信接口1025可为系统1000提供接口以通过一个或多个网络和/或与任意其他适当的设备通信。系统1000可根据一个或多个无线网络标准和/或协议中的任意标准和/或协议来与无线网络的一个或多个组件进行无线通信。
对于一个实施例,(一个或多个)处理器1005中的至少一个可与系统控制模块1010的一个或多个控制器(例如,存储器控制器模块1030)的逻辑封装在一起。对于一个实施例,(一个或多个)处理器1005中的至少一个可与系统控制模块1010的一个或多个控制器的逻辑封装在一起以形成系统级封装(SiP)。对于一个实施例,(一个或多个)处理器1005中的至少一个可与系统控制模块1010的一个或多个控制器的逻辑集成在同一模具上。对于一个实施例,(一个或多个)处理器1005中的至少一个可与系统控制模块1010的一个或多个控制器的逻辑集成在同一模具上以形成片上系统(SoC)。
在各个实施例中,系统1000可以但不限于是:服务器、工作站、台式计算设备或移动计算设备(例如,膝上型计算设备、手持计算设备、平板电脑、上网本等)。在各个实施例中,系统1000可具有更多或更少的组件和/或不同的架构。例如,在一些实施例中,系统1000包括一个或多个摄像机、键盘、液晶显示器(LCD)屏幕(包括触屏显示器)、非易失性存储器端口、多个天线、图形芯片、专用集成电路(ASIC)和扬声器。
需要注意的是,本发明可在软件和/或软件与硬件的组合体中被实施,例如,可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中,本发明的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地,本发明的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本发明的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
另外,本发明的一部分可被应用为计算机程序产品,例如计算机程序指令,当其被计算机执行时,通过该计算机的操作,可以调用或提供根据本发明的方法和/或技术方案。本领域技术人员应能理解,计算机程序指令在计算机可读介质中的存在形式包括但不限于源文件、可执行文件、安装包文件等,相应地,计算机程序指令被计算机执行的方式包括但不限于:该计算机直接执行该指令,或者该计算机编译该指令后再执行对应的编译后程序,或者该计算机读取并执行该指令,或者该计算机读取并安装该指令后再执行对应的安装后程序。在此,计算机可读介质可以是可供计算机访问的任意可用的计算机可读存储介质或通信介质。
通信介质包括藉此包含例如计算机可读指令、数据结构、程序模块或其他数据的通信信号被从一个系统传送到另一系统的介质。通信介质可包括有导的传输介质(诸如电缆和线(例如,光纤、同轴等))和能传播能量波的无线(未有导的传输)介质,诸如声音、电磁、RF、微波和红外。计算机可读指令、数据结构、程序模块或其他数据可被体现为例如无线介质(诸如载波或诸如被体现为扩展频谱技术的一部分的类似机制)中的已调制数据信号。术语“已调制数据信号”指的是其一个或多个特征以在信号中编码信息的方式被更改或设定的信号。调制可以是模拟的、数字的或混合调制技术。
作为示例而非限制,计算机可读存储介质可包括以用于存储诸如计算机可读指令、数据结构、程序模块或其它数据的信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动的介质。例如,计算机可读存储介质包括,但不限于,易失性存储器,诸如随机存储器(RAM,DRAM,SRAM);以及非易失性存储器,诸如闪存、各种只读存储器(ROM,PROM,EPROM,EEPROM)、磁性和铁磁/铁电存储器(MRAM,FeRAM);以及磁性和光学存储设备(硬盘、磁带、CD、DVD);或其它现在已知的介质或今后开发的能够存储供计算机系统使用的计算机可读信息/数据。
在此,根据本发明的一个实施例包括一个装置,该装置包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,触发该装置运行基于前述根据本发明的多个实施例的方法和/或技术方案。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。

Claims (9)

1.一种多云安全基线管理的方法,其特征在于,应用于一用户终端,所述方法包括:
获取用户的身份验证信息,所述身份验证信息匹配对应的多个公有云账号识别信息;
基于所述多个公有云账号识别信息分别向多台云端设备发送多个元数据请求;
接收所述多台云端设备基于所述元数据请求而发送的多条元数据,所述多条元数据包含相应公有云的资源安全信息和监控信息;
对所述多条元数据执行清洗和持久化操作;
根据获取的所述安全信息和所述监控信息,对各公有云账户云资源进行安全评分;统计各个规章内安全信息的条目数以及违反数,对于违反规则项目的匹配对应的违反原因以及潜在修改方案及其预期效果;针对任一公有云账户云资源进行安全评分的计算公式如下:
Figure FDA0004155405650000011
Figure FDA0004155405650000012
ω(t,u)=ut2
其中,(Ai-0)表示单项监控指标的得分值,|0-Ai|表示单项监控指标的失分值,i为单个实例中监控指标的编号,k为得分系数,j为失分系数,u为时间风险系数,t为检测失效距今的天数,n为单类资源中实例的编号,m为资源类的编号,S表示单类资源中实例的总数,ε表示单类资源的安全分数系数;
响应于用户在所述用户终端的单一界面输入的操作指令,基于获得的安全评分和/或关于安全信息的统计结果执行对应的操作。
2.根据权利要求1所述的方法,其特征在于,所述分别向多台云端设备发送多个元数据请求的步骤,包括:
基于预设的时间间隔分别向多台云端设备发送多个元数据请求。
3.根据权利要求1所述的方法,其特征在于,针对任一公有云账户云资源进行安全评分的步骤,包括:
计算所述公有云账户云资源的总得分;
计算所述公有云账户云资源的总失分;
所述总得分减去所述总失分获得最终的安全评分。
4.根据权利要求3所述的方法,其特征在于,所述计算所述公有云账户云资源的总得分的步骤,包括:
计算单个实例中所有监控指标的得分总和,获得单个实例的得分;
计算单类资源中所有单个实例的得分总和,获得单类资源的得分;
根据单类资源的得分及其包括的实例数量,计算获得单类资源的平均得分;
将各单类资源的平均得分加权后相加,获得所述公有云账户云资源的总得分。
5.根据权利要求4所述的方法,其特征在于,单项监控指标的得分为其加分值与预设得分系数的乘积,其中所述单项监控指标的加分值由相应公有云的资源安全信息所限定。
6.根据权利要求3所述的方法,其特征在于,所述计算所述公有云账户云资源的总失分的步骤,包括:
计算单个实例中所有监控指标的失分总和,获得单个实例的失分;
计算单类资源中所有单个实例的失分总和,获得单类资源的失分;
根据单类资源的失分及其包括的实例数量,计算单类资源的平均失分;
将各单类资源的平均失分加权后相加,获得所述公有云账户云资源的总失分。
7.根据权利要求6所述的方法,其特征在于,单项监控指标的失分为其减分值、预设失分系数及风险影响系数的乘积,其中所述单项监控指标的减分值由相应公有云的资源安全信息所限定,所述风险影响系数由预设的时间风险系数与检测失效距今的天数所限定。
8.一种多云安全基线管理的设备,其特征在于,所述设备包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器执行根据权利要求1至7中任一项所述方法的操作。
9.一种存储指令的计算机可读介质,其特征在于,所述指令在被执行时使得系统执行根据权利要求1至7中任一项所述方法的操作。
CN202011602730.0A 2020-12-29 2020-12-29 多云安全基线管理的方法与设备 Active CN112769782B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011602730.0A CN112769782B (zh) 2020-12-29 2020-12-29 多云安全基线管理的方法与设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011602730.0A CN112769782B (zh) 2020-12-29 2020-12-29 多云安全基线管理的方法与设备

Publications (2)

Publication Number Publication Date
CN112769782A CN112769782A (zh) 2021-05-07
CN112769782B true CN112769782B (zh) 2023-06-02

Family

ID=75697253

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011602730.0A Active CN112769782B (zh) 2020-12-29 2020-12-29 多云安全基线管理的方法与设备

Country Status (1)

Country Link
CN (1) CN112769782B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11756040B2 (en) * 2021-08-09 2023-09-12 Kevin Wayne Marcum System and method for generating a contention scheme

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110719320A (zh) * 2019-09-18 2020-01-21 上海联蔚信息科技有限公司 公有云配置调整信息的生成方法和设备
CN111464583A (zh) * 2019-01-22 2020-07-28 阿里巴巴集团控股有限公司 计算资源分配方法、装置、服务器及存储介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10469330B1 (en) * 2012-06-15 2019-11-05 Amazon Technologies, Inc. Client account versioning metadata manager for cloud computing environments
US11599838B2 (en) * 2017-06-20 2023-03-07 KnowBe4, Inc. Systems and methods for creating and commissioning a security awareness program
CN110727664A (zh) * 2019-09-18 2020-01-24 上海联蔚信息科技有限公司 用于对公有云数据执行目标操作的方法与设备
CN110704851A (zh) * 2019-09-18 2020-01-17 上海联蔚信息科技有限公司 公有云数据处理方法和设备
CN111049904A (zh) * 2019-12-12 2020-04-21 上海联蔚信息科技有限公司 多公有云资源监控的方法与设备

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111464583A (zh) * 2019-01-22 2020-07-28 阿里巴巴集团控股有限公司 计算资源分配方法、装置、服务器及存储介质
CN110719320A (zh) * 2019-09-18 2020-01-21 上海联蔚信息科技有限公司 公有云配置调整信息的生成方法和设备

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
A Framework for Orchestrating Secure and Dynamic Access of IoT Services in Multi-Cloud Environments;Muhammad Kazim;《IEEE Access ( Volume: 6)》;全文 *
基于第三方可信云的安全协同工作方案;潘定;陈婷婷;;电子科技大学学报(社科版)(第06期);全文 *
对出租车上车区双上车点切换方案的研究;徐正昊;《电脑知识与技术》;全文 *
许剑 ; 靳莉.一种可量化的云计算平台安全评估模型.《电信科学》.2020,全文. *

Also Published As

Publication number Publication date
CN112769782A (zh) 2021-05-07

Similar Documents

Publication Publication Date Title
US20210297447A1 (en) Detecting and mitigating attacks using forged authentication objects within a domain
US10936717B1 (en) Monitoring containers running on container host devices for detection of anomalies in current container behavior
Chow et al. Authentication in the clouds: a framework and its application to mobile users
CN105453102B (zh) 用于识别已泄漏的私有密钥的系统和方法
US11750642B1 (en) Automated threat modeling using machine-readable threat models
CN112805740B (zh) 人工智能辅助规则生成
CN110521179A (zh) 用于强制执行动态网络安全策略的系统和方法
US10044698B2 (en) Dynamic identity checking for a software service in a virtual machine
US9710122B1 (en) Customer support interface
US11245726B1 (en) Systems and methods for customizing security alert reports
János et al. Security concerns towards security operations centers
US20230019072A1 (en) Security model
CN110268406B (zh) 密码安全性
US20210136120A1 (en) Universal computing asset registry
US9930070B2 (en) Modifying security policies of related resources
US11663329B2 (en) Similarity analysis for automated disposition of security alerts
JP2017207894A (ja) 統合監視運用システムおよび方法
CN112769782B (zh) 多云安全基线管理的方法与设备
CN111316272A (zh) 使用行为和深度分析的先进网络安全威胁减缓
WO2014187157A1 (en) Methods and systems for determining user online time
Nygard et al. Trust and Purpose in Computing
US11394629B1 (en) Generating recommendations for network incident resolution
US11163872B1 (en) Systems and methods for identifying cybersecurity status based on an ontology of vault items
Fawaz et al. Learning process behavioral baselines for anomaly detection
CN111316268A (zh) 用于银行间金融交易的高级网络安全威胁抑制

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant