(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号CN112769782A (43)申请公布日2021.05.07 (21)申请号202011602730.0 (22)申请日2020.12.29 (71)申请人上海联蔚盘云科技有限公司 地址200231上海市徐汇区平福路188号2 号楼五楼 (72)发明人徐正昊高海峰赵平 (74)专利代理机构上海剑秋知识产权代理有限 公司31382 代理人杨飞 (51) Int.CI . H04L29/06(2006.01) G06F 17/18 (2006.01) 权利要求书2页说明书16页附图3页 (54)发明名称 多云安全基线管理的方法与设备 (57)摘要 本发明提供了一种多云安全基线管理的方 获取用户的身份验证信息 法，应用于一用户终端，所述方法包括：获取用户 的身份验证信息，所述身份验证信息匹配对应的 基于所选身份验证信息匹配对息的多个公 多个公有云账号识别信息；基于所述多个公有云 分别向多台云端设备发送多个元数据请求 账号识别信息分别向多台云端设备发送多个元 数据请求接收所述多台云端设备基于所述元数 据请求而发送的多条元数据，所述多条元数据包 含相应公有云的资源安全信息和监控信息；对所 对所述多条元数据执行清洗和待久化操作 述多条元数据执行清洗和持久化操作；根据获取 的所述安全信息和所述监控信息，对各公有云账 户云资源进行安全评分；统计各个规章内安全信 息的条目数以及违反数，对于违反规则项目的匹 配对应的违反原因以及潜在修改方案及其预期 结来 3 权利要求书 CN 112769782 A 1/2页 1.一种多云安全基线管理的方法，其特征在于，应用于一用户终端，所述方法包括： 获取用户的身份验证信息，所述身份验证信息匹配对应的多个公有云账号识别信息； 基于所述多个公有云账号识别信息分别向多台云端设备发送多个元数据请求； 接收所述多台云端设备基于所述元数据请求而发送的多条元数据，所述多条元数据包 含相应公有云的资源安全信息和监控信息； 对所述多条元数据执行清洗和持久化操作； 根据获取的所述安全信息和所述监控信息，对各公有云账户云资源进行安全评分：统 计各个规章内安全信息的条目数以及违反数，对于违反规则项目的匹配对应的违反原因以 及潜在修改方案及其预期效果； 响应于用户在所述用户终端的单一界面输入的操作指令，基于获得的安全评分和/或 关于安全信息的统计结果执行对应的操作。 2.根据权利要求1所述的方法，其特征在于，所述分别向多台云端设备发送多个元数据 请求的步骤，包括： 基于预设的时间间隔分别向多台云端设备发送多个元数据请求。 3.根据权利要求1所述的方法，其特征在于，针对任一公有云账户云资源进行安全评分 的步骤，包括： 计算所述公有云账户云资源的总得分； 计算所述公有云账户云资源的总失分； 所述总得分减去所述总失分获得最终的安全评分。 4.根据权利要求3所述的方法，其特征在于，所述计算所述公有云账户云资源的总得分 的步骤，包括： 计算单个实例中所有监控指标的得分总和,获得单个实例的得分； 根据单类资源的得分及其包括的实例数量，计算获得单类资源的平均得分； 5.根据权利要求4所述的方法，其特征在于，单项监控指标的得分为其加分值与预设得 分系数的乘积，其中所述单项监控指标的加分值由相应公有云的资源安全信息所限定 6.根据权利要求3所述的方法，其特征在于，所述计算所述公有云账户云资源的总失分 的步骤，包括： 计算单个实例中所有监控指标的失分总和,获得单个实例的失分； 根据单类资源的失分及其包括的实例数量，计算单类资源的平均失分； 将各单类资源的平均失分加权后相加，获得所述公有云账户云资源的总失分。 7.根据权利要求6所述的方法，其特征在于，单项监控指标的失分为其减分值、预设失 分系数及风险影响系数的乘积，其中所述单项监控指标的减分值由相应公有云的资源安全 信息所限定，所述风险影响系数由预设的时间风险系数与检测失效距今的天数所限定 8.根据权利要求1所述的方法，其特征在于，针对任一公有云账户云资源进行安全评分 的计算公式如下： 2 权利要求书 CN 112769782 A 2/2页 m=max m=max (n'*)0 * [ * 'V - 0l xvu=)) xpu=u7 En=max pn(A, k) Sum = 3 Sm Sm i=max Φ(A,k) = (A; - 0) * ki i=1 (t,u)=ut2 其中，（A,-0)表示单项监控指标的得分值，0-A，|表示单项监控指标的失分值，i为单个 实例中监控指标的编号，k为得分系数，j为失分系数，u为时间风险系数，t为检测失效距今 的天数，n为单类资源中实例的编号，m为资源类的编号，S表示单类资源中实例的总数，表 示单类资源的安全分数系数。 9.一种多云安全基线管理的设备，其特征在于，所述设备包括： 处理器；以及 被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器 执行根据权利要求1至8中任一项所述方法的操作。 10.一种存储指令的计算机可读介质，其特征在于，所述指令在被执行时使得系统执行 根据权利要求1至8中任一项所述方法的操作。 3