边云协同的基线核查和配置更新方法、系统及存储介质与流程

1.本发明涉及网络安全技术领域，尤其涉及一种边云协同的基线核查和配置更新方法、一种计算机可读存储介质、一种终端设备、一种云端服务器和一种边云协同的基线核查和配置更新系统。


背景技术：

2.随着物联网的快速发展，物联网与现有产业融合，物联网终端的迅速普及也存在着巨大的安全风险，保障终端设备日常稳定并正常运行成为迫在眉睫的事情。
3.现有的基线核查方式只是在云端服务器下发基线配置之后，被动收集终端运行状态与基线不符时上传的告警信息，而未能够依据终端设备的软硬件的变化及时更新适合的基线配置，无法应对新安全威胁，并且终端设备每次将更新的基线配置全都上传至云端服务器也会给云端服务器造成一定的计算压力。


技术实现要素：

4.本发明旨在至少在一定程度上解决相关技术中的技术问题之一。为此，本发明的第一个目的在于提出一种边云协同的基线核查和配置更新方法，通过云端服务器根据告警信息和终端设备的运行状态信息更新基线配置，能够使基线配置更加精确，保障终端设备安全运行。
5.本发明的第二个目的在于提出一种边云协同的基线核查和配置更新方法。
6.本发明的第三个目的在于提出一种计算机可读存储介质。
7.本发明的第四个目的在于提出一种终端设备。
8.本发明的第五个目的在于提出一种云端服务器。
9.本发明的第六个目的在于提出一种边云协同的基线核查和配置更新系统。
10.为达到上述目的，本发明第一方面实施例提出了一种边云协同的基线核查和配置更新方法，包括：接收云端服务器发送的基线配置，其中，基线配置由云端服务器根据终端设备的身份信息生成；获取终端设备的运行状态信息，在监测到运行状态信息与基线配置不符时，向云端服务器发送告警信息，以使云端服务器根据告警信息和运行状态信息更新基线配置；接收云端服务器发送的更新后的基线配置。
11.根据本发明实施例的边云协同的基线核查和配置更新方法，首先接收云端服务器发送的基线配置，其中，基线配置由云端服务器根据终端设备的身份信息生成，然后获取终端设备的运行状态信息，在监测到运行状态信息与基线配置不符时，向云端服务器发送告警信息，以使云端服务器根据告警信息和运行状态信息更新基线配置，最后接收云端服务器发送的更新后的基线配置。由此，该方法通过云端服务器根据告警信息和终端设备的运行状态信息更新基线配置，能够使基线配置更加精确，保障终端设备安全运行。
12.另外，根据本发明上述实施例的边云协同的基线核查和配置更新方法，还可以具有如下的附加技术特征：
13.根据本发明的一个实施例，在向云端服务器发送告警信息之后，方法还包括：接收云端服务器的协商指令；在接收到协商指令后，获取终端设备更新后运行状态信息；确定运行时间达到设定协商时间时，将更新后运行状态信息发送给云端服务器，以使云端服务器根据终端设备的运行状态信息和更新后运行状态信息更新终端设备的基线配置。
14.为达到上述目的，本发明第二方面实施例提出了一种边云协同的基线核查和配置更新方法，包括：接收多个终端设备的身份信息；根据身份信息生成基线配置，并将基线配置发送至对应终端设备；接收多个终端设备发送的告警信息和运行状态信息，并根据告警信息和运行状态信息对多个终端设备的基线配置进行更新，以及将更新后的基线配置发送至对应的终端设备。
15.根据本发明实施例的边云协同的基线核查和配置更新方法，首先接收多个终端设备的身份信息，然后根据身份信息生成基线配置，并将基线配置发送至对应终端设备，最后接收多个终端设备发送的告警信息和运行状态信息，并根据告警信息和运行状态信息对多个终端设备的基线配置进行更新，以及将更新后的基线配置发送至对应的终端设备。由此，该方法通过云端服务器根据告警信息和终端设备的运行状态信息更新基线配置，能够使基线配置更加精确，保障终端设备安全运行。
16.另外，根据本发明上述实施例的边云协同的基线核查和配置更新方法还可以具有如下的附加技术特征：
17.根据本发明的一个实施例，在接收到告警信息之后，方法还包括：根据告警信息确定基线配置更新类型；在基线配置更新类型为应用程序更新时，向终端设备发送协商指令；接收终端设备更新后运行状态信息，并根据终端设备的运行状态信息和更新后运行状态信息更新终端设备的基线配置。
18.根据本发明的一个实施例，在接收到告警信息之后，方法还包括：根据告警信息确定当前基线配置影响终端设备的正常运行时，将上一时刻的基线配置发送至对应的终端设备。
19.根据本发明的一个实施例，将更新后的基线配置发送至对应的终端设备包括：更新所有与终端设备具有相似身份信息的终端设备的基线配置。
20.为达到上述目的，本发明第三方面实施例提出的一种计算机可读存储介质，其上存储有边云协同的基线核查和配置更新程序，该边云协同的基线核查和配置更新程序被处理器执行时实现上述的边云协同的基线核查和配置更新方法。
21.本发明实施例的计算机可读存储介质，通过执行上述的边云协同的基线核查和配置更新方法，能够使基线配置更加精确，保障终端设备安全运行。
22.为达到上述目的，本发明第四方面实施例提出的一种终端设备，包括：处理器、存储器以及存储在存储器上并可在处理器上运行的边云协同的基线核查和配置更新程序，处理器执行边云协同的基线核查和配置更新程序时，实现上述的边云协同的基线核查和配置更新方法。
23.本发明实施例的终端设备，通过执行第一方面实施例的边云协同的基线核查和配置更新方法，能够使基线配置更加精确，保障终端设备安全运行。
24.为达到上述目的，本发明第五方面实施例提出的一种云端服务器，包括：处理器、存储器以及存储在存储器上并可在处理器上运行的边云协同的基线核查和配置更新程序，
处理器执行边云协同的基线核查和配置更新程序时，实现上述的边云协同的基线核查和配置更新方法。
25.本发明实施例的云端服务器，通过执行第二方面实施例的边云协同的基线核查和配置更新方法，能够使基线配置更加精确，保障终端设备安全运行。
26.为达到上述目的，本发明第六方面实施例提出了一种边云协同的基线核查和配置更新系统，包括上述的终端设备和云端服务器。
27.本发明实施例的边云协同的基线核查和配置更新系统，通过包含上述的终端设备和云端服务器，能够使基线配置更加精确，保障终端设备安全运行。
28.本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。
附图说明
29.图1为根据本发明实施例的边云协同的基线核查和配置更新方法的流程图；
30.图2为根据本发明实施例的边云协同的基线核查和配置更新方法的交互示意图；
31.图3为根据本发明另一个实施例的边云协同的基线核查和配置更新方法的流程图；
32.图4为根据本发明实施例的终端设备的方框示意图；
33.图5为根据本发明实施例的云端服务器的方框示意图；
34.图6为根据本发明实施例的边云协同的基线核查和配置更新系统的方框示意图。
具体实施方式
35.下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。
36.下面参考附图描述本发明实施例提出的边云协同的基线核查和配置更新方法、计算机可读存储介质、终端设备、云端服务器和边云协同的基线核查和配置更新系统。
37.在本发明的实施例当中，终端设备可以为个人计算机(personal computer，pc)、智能移动设备(例如智能手机)、基于微处理器的系统、机顶盒等。终端设备可以为1个或多个，与云端服务器进行连接，每个用户可以对应一个终端设备，云端服务器可以与多个终端设备进行通信连接。其中，终端设备是对实体计算机的称呼，可以提供给虚拟机硬件环境，云端服务器作为云计算处理系统，是指建立在互联网技术网络设备基层之上的多用户按照特定规则进行数据交流、分析、统计的决策系统。
38.图1为根据本发明实施例的边云协同的基线核查和配置更新方法的流程图。
39.如图1所示，本发明实施例的边云协同的基线核查和配置更新方法可以包括以下步骤：
40.s1，接收云端服务器发送的基线配置，其中，基线配置由云端服务器根据终端设备的身份信息生成。
41.具体而言，参见图2所示，首先终端设备向云端服务器发送接入请求，将终端设备与云端服务器进行通信连接，例如，可通过wi-fi(无线通信技术)进行通信连接。在成功连
接后，终端设备将自身的身份信息上传至云端服务器，其中，身份信息可包括终端设备的唯一编号、系统版本、硬件模块、安装容器与应用等相关信息，云端服务器可根据终端设备身份信息生成基线配置并发送给终端设备。其中，基线配置相当于使终端设备或者终端设备中应用程序正常运行时系统或者应用程序所配置的基准信息(运行状态信息)。
42.s2，获取终端设备的运行状态信息，在监测到运行状态信息与基线配置不符时，向云端服务器发送告警信息，以使云端服务器根据告警信息和运行状态信息更新基线配置。
43.s3，接收云端服务器发送的更新后的基线配置。
44.具体而言，参见图2所示，通过安装在终端设备中的基线核查软件实时监控终端设备的运行状态信息(例如，基线配置信息如当前操作系统的配置参数、终端设备中应用程序的配置参数等)，当监控到终端设备的运行状态信息与基线配置不符时，向云端服务器上报告警信息，云服务器根据告警信息和当前终端设备的运行状态信息更新基线配置并发送给终端设备，终端设备接收云端服务器发送的更新后的基线配置。其中，告警信息可包括操作系统的基线配置更新和终端设备中应用程序的基线配置更新。
45.举例而言，云端服务器根据告警信息确定基线配置更新类型，当告警信息为操作系统的基线配置更新时，如攻击者使用软件扫描目标终端设备，得到目标终端设备网络端口的开放情况。通过端口开放情况可以获得目标终端设备提供的服务，例如：21端口提供ftp(file transfer protocol，文件传输协议)服务，25端口提供smtp(simple mail transfer protocol，简单邮件传输协议)服务，80端口提供http(hyper text transfer protocol，超文本传输协议)服务，135端口提供rpc(remote procedure call，远程过程调用)服务等。由于提供服务就一定有服务的一些漏洞，根据这些漏洞，攻击者可以对终端设备进行攻击，例如，一般我们使用80端口进行网页浏览，即80端口处于打开状态，而8080端口处于关闭状态。即当前终端设备所配置的基线信息中8080端口处于关闭状态，当攻击者通过某些操作打开8080端口后，该端口可被各种病毒程序所利用，此时基线核查软件发现基线配置发生变化，并向云服务器端上报告警信息，云端服务器判断更改后的基线配置对终端设备会造成危害，影响终端设备的正常运行时，云端服务器可将上一时刻的基线配置发送至对应的终端设备，终端设备接收云端服务器发送的更新后的基线配置，也就是说将终端设备的基线配置恢复到8080端口关闭时基线配置状态，以此保证终端设备的安全。另外，如果上一时刻的基线配置信息丢失，或者当前基线配置与终端设备不匹配造成设备无法正常运行时，还可将终端设备的基线配置恢复到默认的出厂设置。
46.需要说明的是，基线核查软件监控到终端设备的运行状态信息与基线配置不符时，该配置信息的更改可能是被动的(如受到攻击者或者病毒等)更改，也可能是用户主动的更改基线配置。
47.而当用户需要进行某些操作打开某些端口时，如为了在两台终端设备之间实现文件的上传与下载，可打开两台终端设备的21端口，当基线核查软件发现基线配置发生变化时，向云端服务器上报告警信息，若云端服务器判断更改后的基线配置不会对终端设备造成危害，或者危害不大，可将更新后的基线配置发送至所有同类型的终端设备(如身份信息相似的终端设备为同类型的终端设备)中，终端设备接收云端服务器发送的更新后的基线配置。需要说明的是，当云端服务器根据告警信息判断出更改后的基线配置不会对终端设备造成危害时，可将更新后基线配置发送至所有同类型的终端设备，还可以只对当前终端
设备的基线配置进行更新，也可以对终端设备的基线配置不进行更新。例如，用户只在本次使用在两台终端设备之间实现文件的上传与下载服务时，将两台终端设备的21端口打开，而接下来几次不需要使用此端口，就可以不更新终端设备当前的基线配置，以此可以防止某些端口的开启可能会给系统带来漏洞，给木马或者病毒进攻终端设备的途径，对终端设备造成危害。
48.根据本发明的一个实施例，在向云端服务器发送告警信息之后，方法还包括：接收云端服务器的协商指令；在接收到协商指令后，获取终端设备更新后运行状态信息；确定运行时间达到设定协商时间时，将更新后运行状态信息发送给云端服务器，以使云端服务器根据终端设备的运行状态信息和更新后运行状态信息更新终端设备的基线配置。其中，设定协商时间可根据实际情况而设置。
49.具体而言，参见图2所示，云端服务器根据告警信息确定基线配置更新类型，当基线配置更新类型为应用程序更新时，向终端设备发送协商指令，终端设备接收到云端服务器发送的协商指令后，并获取更新后的运行状态信息。举例而言，当终端设备中某一应用程序在使用过程中出现崩溃、卡顿、获取不到数据等现象时，影响应用程序的正常运行，如应用程序连接的服务器发生更改或者是连接的数据库发生更改，开发者一般会对应用程序进行版本的更新，发布新的版本，以减少软件出错的情况。当用户对应用程序进行更新时，云端服务器根据告警信息确定配置更新类型为应用程序更新，并向终端设备发送协商指令，终端设备接收协商指令，并获取更新后的基线配置，终端设备初步判断新基线配置是否影响应用程序正常运行，如影响则驳回，不影响则更新，在应用程序进行更新完成时(达到设定协商时间)，将更新后的运行状态信息发送给云端服务器，云端服务器可根据更新后的基线配置与更新前的基线配置进行比较，若更新后的基线配置可以使终端设备正常运行则确定更新后的基线配置为新的基线配置，并将更新后的基线配置发送至所有同类型的终端设备(如具有相似身份信息的终端设备为同类型的终端设备)中，终端设备接收云端服务器发送的更新后的基线配置。若更新后的基线配置导致终端设备运行异常，则将终端的基线配置回退至上一时刻的基线配置。
50.而当一些配置的更改不影响应用程序正常运行时，可以对终端设备的基线配置进行更新，也可以不进行更新，保持当前的基线配置不变。如应用程序中一些保存程序运行日志等信息的文件夹的位置发生更改，基线核查软件监控到应用程序的配置发生变化，向云端服务器发出告警信息，云端服务器根据告警信息确定配置更新类型为应用程序更新，并向终端设备发送协商指令，终端设备接收协商指令，并获取更新后的基线配置，终端设备初步判断新基线配置是否影响应用程序正常运行，如影响则驳回，不影响则更新，在应用程序进行更新完成时(达到设定协商时间)，将更新后的运行状态信息发送给云端服务器。云端服务器可根据更新后的基线配置与更新前的基线配置进行比较，若更新后的基线配置可以使终端设备正常运行，则确定更新后的基线配置为新的基线配置，并将更新后的基线配置发送至所有同类型的终端设备。另外，由于该配置的更改不影响应用程序正常运行，也可以不对终端设备进行更新，保持当前的基线配置不变。
51.综上所述，本发明实施例的边云协同的基线核查和配置更新方法，首先接收云端服务器发送的基线配置，其中，基线配置由云端服务器根据终端设备的身份信息生成，然后获取终端设备的运行状态信息，在监测到运行状态信息与基线配置不符时，向云端服务器
发送告警信息，以使云端服务器根据告警信息和运行状态信息更新基线配置，最后接收云端服务器发送的更新后的基线配置。由此，该方法通过云端服务器根据告警信息和终端设备的运行状态信息更新基线配置，能够使基线配置更加精确，保障终端设备安全运行。
52.对应上述实施例，本发明还提出了一种边云协同的基线核查和配置更新方法。
53.如图3所示，本发明实施例的边云协同的基线核查和配置更新方法包括以下步骤：
54.s101，接收多个终端设备的身份信息。
55.s102，根据身份信息生成基线配置，并将基线配置发送至对应终端设备。
56.具体而言，参见图2所示，云端服务器可与多个终端设备进行通信连接，例如，可通过wi-fi(无线通信技术)进行通信连接。在成功连接后，接收每个终端设备发送的身份信息，不同终端设备具有不同的身份信息，例如，不同终端设备的唯一编号不同，不同终端设备安装的操作系统及版本不同，不同终端设备安装的硬件模块、安装容器与应用不同等。云端服务器根据身份信息确定对应的基线配置，并将基线配置根据终端设备的唯一编号发送至对应的终端设备。
57.s103，接收多个终端设备发送的告警信息和运行状态信息，并根据告警信息和运行状态信息对多个终端设备的基线配置进行更新，以及将更新后的基线配置发送至对应的终端设备。
58.根据本发明的一个实施例，在接收到告警信息之后，方法还包括：根据告警信息确定当前基线配置影响终端设备的正常运行时，将上一时刻的基线配置发送至对应的终端设备。
59.根据本发明的一个实施例，将更新后的基线配置发送至对应的终端设备包括：更新所有与终端设备具有相似身份信息的终端设备的基线配置。
60.具体而言，参见图2所示，通过安装在终端设备中的基线核查软件实时监控终端设备的运行状态信息(例如，基线配置信息如当前操作系统的配置参数、终端设备中应用程序的配置参数等)，当监控到终端设备的运行状态信息与基线配置不符时，根据终端设备的唯一编号向云端服务器上报告警信息，云服务器根据终端设备唯一编号以及告警信息和当前终端设备的运行状态信息更新基线配置并发送给终端设备，终端设备接收云端服务器发送的更新后的基线配置。其中，告警信息可包括操作系统的基线配置更新和终端设备中应用程序的基线配置更新。
61.举例而言，云端服务器根据告警信息确定基线配置更新类型，当告警信息为操作系统的基线配置更新时，如攻击者使用软件扫描目标终端设备，得到目标终端设备网络端口的开放情况。通过端口开放情况可以获得目标终端设备提供的服务，例如：21端口提供ftp(file transfer protocol，文件传输协议)服务，25端口提供smtp(simple mail transfer protocol，简单邮件传输协议)服务，80端口提供http(hyper text transfer protocol，超文本传输协议)服务，135端口提供rpc(remote procedure call，远程过程调用)服务等。由于提供服务就一定有服务的一些漏洞，根据这些漏洞，攻击者可以对终端设备进行攻击。例如，在唯一编号为a1的终端设备中，一般我们使用80端口进行网页浏览，即80端口处于打开状态，而8080端口处于关闭状态。即当前终端设备所配置的基线信息中8080端口处于关闭状态，当攻击者通过某些操作打开8080端口后，该端口可被各种病毒程序所利用，此时基线核查软件发现基线配置发生变化，并向云服务器端上报告警信息，云端
服务器判断更改后的基线配置对终端设备会造成危害，影响终端设备的正常运行时，云端服务器可将上一时刻的基线配置发送至唯一编号为a1的终端设备，该终端设备接收云端服务器发送的更新后的基线配置，也就是说将终端设备的基线配置恢复到8080端口关闭时基线配置状态，以此保证终端设备的安全。另外，如果上一时刻的基线配置信息丢失，或者当前基线配置与终端设备不匹配造成设备无法正常运行时，还可将终端设备的基线配置恢复到默认的出厂设置。
62.需要说明的是，基线核查软件监控到终端设备的运行状态信息与基线配置不符时，该配置信息的更改可能是被动的(如受到攻击者或者病毒等)更改，也可能是用户主动的更改基线配置。
63.而当用户需要进行某些操作打开某些端口时，如在唯一编号为a2的终端设备中，为了与唯一编号为a3的终端设备之间实现文件的上传与下载，可打开两台终端设备的21端口，当基线核查软件发现基线配置发生变化时，向云端服务器上报告警信息，若云端服务器判断更改后的基线配置不会对唯一编号为a2终端设备造成危害，或者危害不大，可将更新后的基线配置发送至所有同类型的终端设备(如唯一编号为a2与唯一编号为a3的身份信息相似为同类型的终端设备)中，唯一编号为a2和唯一编号为a3的终端设备接收云端服务器发送的更新后的基线配置。
64.需要说明的是，当云端服务器根据告警信息判断出更改后的基线配置不会对终端设备造成危害时，可将更新后基线配置发送至所有同类型的终端设备，还可以只对当前终端设备的基线配置进行更新，也可以对终端设备的基线配置不进行更新。例如，用户只在本次使用在唯一编号为a2和唯一编号为a3两台终端设备之间实现文件的上传与下载服务时，将两台终端设备21端口打开，而接下来几次不需要使用此端口，就可以不更新唯一编号为a2的终端设备当前的基线配置，以此可以防止某些端口的开启可能会给系统带来漏洞，给木马或者病毒进攻终端设备的途径，对终端设备造成危害。
65.根据本发明的一个实施例，在接收到告警信息之后，方法还包括：根据告警信息确定基线配置更新类型；在基线配置更新类型为应用程序更新时，向终端设备发送协商指令；接收终端设备更新后运行状态信息，并根据终端设备的运行状态信息和更新后运行状态信息更新终端设备的基线配置。
66.具体而言，参见图2所示，云端服务器根据告警信息确定基线配置更新类型，当基线配置更新类型为应用程序更新时，向终端设备发送协商指令，终端设备接收到云端服务器发送的协商指令后，并获取更新后的运行状态信息。举例而言，当唯一编号为a1的终端设备中某一应用程序在使用过程中出现崩溃、卡顿、获取不到数据等现象时，影响应用程序的正常运行，如应用程序连接的服务器发生更改或者是连接的数据库发生更改，开发者一般会对应用程序进行版本的更新，发布新的版本，以减少软件出错的情况。当用户对应用程序进行更新时，云端服务器根据告警信息确定配置更新类型为应用程序更新，并向唯一编号为a1的终端设备发送协商指令，终端设备接收协商指令，并获取更新后的基线配置，终端设备初步判断新基线配置是否影响应用程序正常运行，如影响则驳回，不影响则更新，在应用程序进行更新完成时(达到设定协商时间)，将更新后的运行状态信息发送给云端服务器，云端服务器可根据更新后的基线配置与更新前的基线配置进行比较，若更新后的基线配置可以使终端设备正常运行，则确定更新后的基线配置为新的基线配置，并将更新后的基线
配置发送至所有同类型的终端设备(如具有相似身份信息的终端设备)中，终端设备接收云端服务器发送的更新后的基线配置。若更新后的基线配置导致终端设备运行异常，则将终端的基线配置回退至上一时刻的基线配置。
67.而当一些配置的更改不影响应用程序正常运行时，可以对终端设备的基线配置进行更新，也可以不进行更新，保持当前的基线配置不变。如在唯一编号为a1的终端设备中，某一应用程序中一些保存程序运行日志等信息的文件夹的位置发生更改，基线核查软件监控到应用程序的配置发生变化，向云端服务器发出告警信息，云端服务器根据告警信息确定配置更新类型为应用程序更新，并向终端设备发送协商指令，终端设备接收协商指令，并获取更新后的基线配置，终端设备初步判断新基线配置是否影响应用程序正常运行，如影响则驳回，不影响则更新，在应用程序进行更新完成时(达到设定协商时间)，将更新后的运行状态信息发送给云端服务器，云端服务器可根据更新后的基线配置与更新前的基线配置进行比较，若更新后的基线配置可以使终端设备正常运行，则确定更新后的基线配置为新的基线配置，并将更新后的基线配置发送至所有同类型的终端设备。另外，由于该配置的更改不影响应用程序正常运行，也可以不对终端设备进行更新，即保持应用程序更新前的基线配置。
68.综上所述，本发明实施例的边云协同的基线核查和配置更新方法，首先接收多个终端设备的身份信息，然后根据身份信息生成基线配置，并将基线配置发送至对应终端设备，最后接收多个终端设备发送的告警信息和运行状态信息，并根据告警信息和运行状态信息对多个终端设备的基线配置进行更新，以及将更新后的基线配置发送至对应的终端设备。由此，该方法通过云端服务器根据告警信息和终端设备的运行状态信息更新基线配置，能够使基线配置更加精确，保障终端设备安全运行。
69.对应上述实施例，本发明还提出了一种计算机可读存储介质。
70.本发明的计算机可读存储介质，其上存储有边云协同的基线核查和配置更新程序，该边云协同的基线核查和配置更新程序被处理器执行时实现上述的边云协同的基线核查和配置更新方法。
71.本发明的计算机可读存储介质，通过执行上述的边云协同的基线核查和配置更新方法，能够使基线配置更加精确，保障终端设备安全运行。
72.对应上述实施例，本发明还提出了一种终端设备。
73.如图4所示，本发明的终端设备200可包括：存储器210、处理器220。
74.其中，该存储器210用于存储边云协同的基线核查和配置更新程序，并将该程序代码传输给该处理器220。换言之，该处理器220可以从存储器210中调用并运行边云协同的基线核查和配置更新程序，以实现本技术实施例中的方法。
75.如图4所示，本发明的终端设备200还可包括：收发器230，该收发器230可连接至该处理器220或存储器210。
76.其中，处理器220可以控制该收发器230与其他设备进行通信，具体地，可以向其他设备发送信息或数据，或接收其他设备发送的信息或数据。收发器230可以包括发射机和接收机。
77.应当理解，该终端设备中的各个组件通过总线系统相连，其中，总线系统除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。
78.本发明的终端设备，通过执行上述的边云协同的基线核查和配置更新方法，能够使基线配置更加精确，保障终端设备安全运行。
79.对应上述实施例，本发明还提出了一种云端服务器。
80.如图5所示，本发明的云端服务器300可包括：存储器310、处理器320。
81.其中，该存储器310用于存储边云协同的基线核查和配置更新程序，并将该程序代码传输给该处理器320。换言之，该处理器320可以从存储器310中调用并运行边云协同的基线核查和配置更新程序，以实现本技术实施例中的方法。
82.例如，该处理器320可用于根据该边云协同的基线核查和配置更新程序中的指令执行上述方法实施例。
83.如图5所示，该云端服务器还可包括：收发器330，该收发器330可连接至该处理器320或存储器310。
84.其中，处理器320可以控制该收发器330与其他设备进行通信，具体地，可以向其他设备发送信息或数据，或接收其他设备发送的信息或数据。收发器330可以包括发射机和接收机。
85.应当理解，该云端服务器中的各个组件通过总线系统相连，其中，总线系统除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。
86.本发明的云端服务器，通过执行上述的边云协同的基线核查和配置更新方法，能够使基线配置更加精确，保障终端设备安全运行。
87.对应上述实施例，本发明还提出了一种边云协同的基线核查和配置更新系统。
88.如图6所示，本发明的边云协同的基线核查和配置更新系统400，可包括终端设备200和云端服务器300。
89.本发明的边云协同的基线核查和配置更新系统，通过包含上述的终端设备和云端服务器，能够使基线配置更加精确，保障终端设备安全运行。
90.需要说明的是，在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(ram)，只读存储器(rom)，可擦除可编辑只读存储器(eprom或闪速存储器)，光纤装置，以及便携式光盘只读存储器(cdrom)。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。
91.应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下
列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(pga)，现场可编程门阵列(fpga)等。
92.在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
93.此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。
94.在本发明中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或成一体；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通或两个元件的相互作用关系，除非另有明确的限定。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。
95.尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。