服务名称 所属分类 防护对象 功能差异 企业主机安全（HSS） 基础安全 提升主机整体安全性。 资产管理 漏洞管理 入侵检测 基线检查 网页防篡改 Web应用防火墙（WAF） 应用安全 保护Web应用程序的可用性、安全性。 Web基础防护 CC攻击防护 精准访问防护

双因子认证 双因子认证是指结合密码以及验证码两种条件对用户登录行为进行认证的方法。 网页防篡改 网页防篡改为用户的文件提供保护功能，避免指定目录中的网页、电子文档、图片等类型的文件被黑客、病毒等非法篡改和破坏。 集群 集群是同一个子网中一个或多个弹性云主机（又称：节点）通过相关技术组合而成的计算机群体，为容器运行提供计算资源池。 节点 在容器中，每一个节点对应一台弹性云主机（Elastic Cloud Server，ECS），容器运行在节点上。 镜像 镜像（Image）是一个特殊的文件系统，除了提供容器运行时所需的程序、库、资源、配置等文件外，还包含了一些为运行时准备的配置参数。镜像不包含任何动态数据，其内容在构建之后也不会被改变。 容器 容器（Container）是镜像的实例，容器可以被创建、启动、停止、删除、暂停等。 安全策略 安全策略是指容器运行时需要遵循的安全规则，如果容器违反了安全策略，容器安全服务控制台的“运行时安全”页面会显示容器异常。 防护配额 目标主机开启检测防护需要绑定的对象，即防护配额。 在主机安全服务购买的不同版本的数量在控制台中是以防护配额的描述呈现。 示例： 购买了1个企业版，即企业版可用防护配额数量为1个，只能绑定任意1台主机； 购买了10个旗舰版，即旗舰版可用防护配额数量为10个，可分配至10台不同主机进行分别绑定；

本节介绍使用服务器安全卫士（原生版）进行主机安全防护的最佳实践。 服务器安全卫士（原生版）是一款全方位保障云上服务器安全的产品，能全面识别并管理服务器中的信息资产、实时监测服务器风险并阻止非法入侵行为，当发现服务器出现安全问题时，第一时间向您发出告警通知。主要包括资产清点、漏洞扫描、入侵检测、基线检查、弱口令检测、病毒查杀等功能，帮助您构建服务器安全防护体系。 使用指引 服务器安全卫士（原生版）提供基础版、企业版、旗舰版供用户选择，不同版本差异请参见产品规格。 基础版防护 若您使用基础版进行防护，使用流程如下： 流程 相关文档 说明 步骤一：开通服务 开通服务器安全卫士（原生版） 用户需开通服务，才能使用基础版（免费）对云主机进行防护。 步骤二：接入防护 查看防护状态 开通服务后，需要在服务器列表页面确认云主机资产的防护状态，确保所有待防护的云主机已开启防护，且Agent状态为“在线”，防护状态为“防护中”。 步骤三：防护配置 [配置入侵检测](

查看备份恢复任务 说明 主机安全勒索防护的备份依附于云备份服务，执行备份相关操作须已购买云备份服务。 1、登录管理控制台。 2 、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在导航树选择“主动防御 > 勒索病毒防护”，单击“备份恢复任务”的数量值。 5、弹出备份恢复任务弹窗，查看所有备份恢复详情，可通过服务器名称和恢复状态来筛选或检索目标服务器，参数说明如表所示。 备份恢复任务详情 备份恢复任务参数说明 参数名称 参数说明 取值样例 服务器名称/ID 执行备份恢复任务的服务器名称/ID。 备份名称 备份的数据源文件名称。 恢复状态 目标服务器备份恢复的状态。 成功、 跳过、失败、正在进行、超时 、等待。若出现跳过、失败、超时状态，重新恢复目标备份数据源即可。 成功 开始/结束时间 备份恢复的时间段（包含开始时间和结束时间）。 恢复服务器数据 说明 主机安全勒索防护的备份依附于云备份服务，执行备份相关操作须已购买云备份服务。 1、 登录管理控制台。 2 、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3 、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4 、在导航树选择“主动防御 > 勒索病毒防护”，选择“防护服务器”，在目标服务器的“操作”列选择“更多”单击“恢复数据”。 5 、在弹窗中查看目标服务器的信息，通过筛选备份状态和搜索备份名称检索需要恢复的备份数据源，参数说明如表所示。 筛选备份数据源 备份数据源参数说明 参数名称 参数说明 取值样例l 备份名称 备份的数据存储文件名称。 备份状态 服务器数据备份的状态。 可用 、正在创建 、正在删除 、 正在恢复、错误 当为“可用”状态时，备份数据源可进行恢复。 创建时间 目标备份数据源的备份时间。 6、在目标备份数据源的“操作”列单击“恢复数据”。 说明 仅可对“备份状态”为“可用”的备份数据进行恢复。 7、 在弹出的对话框中确认服务器、是否重启等信息，确认无误，单击“确认”，执行自动恢复。 恢复服务器

账户安全 学术加速企业版服务包括二次登录验证和密码策略管理功能，支持企业根据安全需求自定义登录认证和密码策略。企业可以设定符合自身安全标准的密码规则和用户登录验证流程，从而提升账户安全和数据保护。 具体账号安全的功能及详细介绍，详细见：账户安全。 终端管理 终端资产 终端资产管理功能允许企业记录和收集员工使用学术加速客户端时的设备信息和登录状态。这有助于企业对员工的终端设备进行有效管理和监控，确保设备安全和合规使用。 具体终端资产的功能及详细介绍，详细见：终端资产终端设备管理。 设置管理 企业服务 企业服务主要是展示企业服务过程中的关键信息，比如企业认证标识、服务状态等。 具体企业服务的功能及详细介绍，详细见：企业服务。 客户端限速 可根据企业场景进行单客户端访问限速，限速仅针对学术加速资源进行限速，不影响其他互联网访问。 具体客户端限速功能及详细介绍，详细见：客户端限速。 日志分析 日志分析日志分析功能专为企业设计，用于高效管理用户终端的登录日志、访问资源网站的记录以及控制台的操作记录。 具体日志分析的功能及详细介绍，详细见：日志分析。

介绍安装HSS Agent影响。 安装HSS Agent不影响在线业务，也不会影响服务器的运行状态。 企业主机安全服务（HSS）提供的Agent，用于执行检测任务，全量扫描主机；实时监测主机的安全状态，并将收集的主机信息上报给云端防护中心。 更多有关HSS Agent的信息，请参见：什么是HSS的Agent？。

此小节介绍企业主机安全编辑策略内容。 当您创建策略组后，需要修改策略内容时，可按照本文档的指导完成策略内容的修改。 策略内容的修改，只在当前所修改的策略组生效。 默认策略组有默认配置，不建议修改。 Windows的HIPS策略目前不支持修改。 约束限制 需开启高级版、企业版、旗舰版、网页防篡改版、容器版中任一版本。 进入策略管理 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，选择“安全运营 > 策略管理”，进入“策略管理”界面，查看显示的策略组，字段说明如下所示： 说明 tenantlinuxcontainerdefaultpolicygroup：容器版linux系统预置策略，仅可被查看，不可复制和删除。 tenantlinuxenterprisedefaultpolicygroup：企业版linux系统预置策略，仅可被查看，不可被复制和删除。 tenantwindowsenterprisedefaultpolicygroup：企业版windows系统预置策略，仅可被查看，不可被复制和删除。 tenantlinuxpremiumdefaultpolicygroup：旗舰版linux系统预置策略，可通过复制该策略组来创建新的策略组。 tenantwindowspremiumdefaultpolicygroup：旗舰版windows系统预置策略，可通过复制该策略组来创建新的策略组。 可在列表右上角单击 ，手动刷新当前列表。 可单击关联服务器数的数量，查看策略组关联的服务器。 策略组列表字段说明 字段 说明 策略组名称 策略组的名称。 ID 策略组的ID号，对策略组的唯一标识。 描述 对策略组的描述。 支持的版本 策略组支持的主机安全的版本。 5、单击目标策略组名称，进入策略详情列表，单击策略名称对不同策略进行修改。 Linux策略组详情

此小节介绍企业主机安全漏洞管理类问题 漏洞管理显示的主机不存在？ 漏洞管理显示24小时内检测到的结果。若检测到主机存在漏洞后，您修改了主机的名称，检测结果会显示原主机名称，不会显示当前主机名称。 漏洞修复完毕后是否需要重启主机？ Windows系统漏洞修复完成后需要手动重启主机。 Linux系统Kernel类的漏洞修复完成后需要手动重启主机，其它类型漏洞修复完成后不重启也能生效。 如何处理漏洞？ 处理方法和步骤 1、查看漏洞检测结果。 2、按照漏洞检测结果给出的漏洞修复紧急度和解决方案逐个进行修复漏洞。 windows系统漏洞修复完成后需要手动重启。 Linux系统Kernel类的漏洞修复完成后需要手动重启。 3、企业主机安全服务每日凌晨将全面检测Linux主机和Windows主机，以及主机WebCMS的漏洞，漏洞修复完成后建议立即执行一次检测，核实修复结果。 漏洞修复后，为什么仍然提示漏洞存在？ 在企业主机安全控制台上使用漏洞管理功能修复系统软件漏洞时，如果提示漏洞修复失败，请参见以下可能原因： Windows系统服务器操作 补丁安装包下载不成功 您的服务器可能无访问公网权限，请在能访问Internet后，重新执行漏洞修复操作。 补丁安装包不匹配 请进一步确认补丁安装包的详细信息，如果补丁确实与您的服务器系统不匹配，建议您在“漏洞管理”界面中忽略该漏洞。 另一个补丁正在安装 由于服务器不能同时运行两个补丁安装程序，建议您等当前补丁安装完成后尝试重新执行漏洞修复操作。

告警策略 如果黑客暴力破解密码成功，且成功登录您的服务器，会立即发送实时告警通知用户。 如果检测到暴力破解攻击并且评估认为账户存在被破解的风险，会立即发送实时告警通知用户。 如果该次暴力破解没有成功，主机上也没有已知风险项（不存在弱口令），评估认为账户没有被破解的风险时，不会发送实时告警。企业主机安全服务会在每天发送一次的每日告警信息中通告当日攻击事件数量。您也可以登录企业主机安全控制台入侵检测页面实时查看拦截信息。 查看账户破解检测结果 1、登录管理控制台。 2、在页面左上角单击 ，选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、进入“暴力破解”页面，查看已防护的服务器上的暴力破解拦截记录。 5、单击“查看详情”，可查看已拦截的攻击源IP、攻击类型、拦截状态、拦截次数、开始拦截时间和最近拦截时间。 已拦截：表示该暴力破解行为已被HSS成功拦截。 已解除：表示您已解除对该暴力破解行为的拦截。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 若被拦截的IP在默认拦截时间内没有再继续攻击，系统自动解除拦截 。

步骤四：确认配置 确认订单 1. 在“确认配置”页面，查看云主机配置详情。 如果您对价格有疑问，可以单击“了解计费详情”来了解产品价格。 2. 企业项目 该参数针对企业用户使用。如需使用该功能，请联系客服申请开通。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理，默认项目为default。 请从下拉列表中选择所在的企业项目。 3. 设置您购买云主机的数量。 − 购买时长：选择“包年/包月”方式的用户需要设置购买时长，最短为1个月，最长为3年。 − 购买数量：设置您购买的云主机数量。 系统会显示您当前还可以购买的云主机数量。为了保证所有资源的合理分配，如果您需要的云主机数量超过当前您可以购买的最大数值，您需要单击右侧“申请扩大配额”。申请通过后，您可以购买到满足您需要的云主机数量。 − 配置费用：用户购买当前配置云主机的价格。 具体价格详情，可单击“了解计费详情”进行查看。 4. 如果您确认配置无误，单击“立即购买”。 后续处理 如果您是使用外部镜像文件制作的私有镜像创建的云主机，且未安装一键式重置密码插件，那么建议您成功创建、登录云主机后，安装密码重置插件。当云主机的密码丢失或过期时，则可以应用一键式重置密码功能，给云主机设置新密码。 具体操作请参考安装一键式重置密码插件。 对于设置了启动自动恢复功能的云主机，创建成功后，可以通过查看“失败任务”，检查自动恢复功能是否开启成功，具体操作请参见查看失败任务。

本节介绍了提升云主机安全的操作场景、防护类型简介、监控云主机、增加登录密码的强度、提升云主机的端口安全、定期升级操作系统。 操作场景 如果云主机没有设置相关的安全防护，可能受到病毒入侵或外部攻击，导致数据泄露或丢失，影响业务的正常运行。 怎样保护云主机免受攻击或病毒入侵？本节操作介绍常见的提升云主机安全的措施。 防护类型简介 提升云主机的安全性，分为云主机“外部安全防护”和“内部安全防护”两方面。 表 提升云主机安全的方法 类型 说明 防护方法 ::: 外部安全防护 常见的DDoS攻击、木马或病毒的入侵都是常见的外部安全问题。针对这类问题有多种常见的防护方案，例如开启主机安全防护、DDoS原生基础防护您可以根据您的实际业务选择合适的防护方案。 开启主机安全防护 监控云主机 开启防DDoS攻击 定期备份数据 内部安全防护 弱密码、开放错误的端口都可能引起内部安全防护问题，不提升云主机的内部安全防护，外部安全防护方案就无法有效的拦截和阻断各种外部攻击。 增加登录密码的强度 提升云主机的端口安全 定期升级操作系统

身份认证 统一身份认证IAM 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全地控制云服务和资源的访问及操作权限。具体请参考：统一身份认证IAM介绍。 企业项目 企业项目管理（Enterprise Project Management Service，简称“EPS”），为客户提供与企业组织架构和业务管理模型匹配的云治理能力。以面向企业资源管理为出发点，帮助企业以部门、项目等组织架构分级管理和项目业务结构来实现企业在云上的人、物、权管理，提供企业人员管理、项目管理、资源管理等能力。 企业项目服务申请开通后免费使用，您只需为账号中的资源付费。 企业项目更多相关内容请参见：企业项目管理。 访问控制 虚拟私有云 虚拟私有云（Virtual Private Cloud，VPC）是您在天翼云上申请的隔离的、私密的网络环境。您能够在一个安全可控、隔离的网络环境中实现云资源的高效管理和利用。虚拟私有云具备丰富的产品特性，使得您可以自定义网络地址、路由表、安全组等。同时，虚拟私有云提供丰富的网络连接，可以满足云上虚拟私有云互访、公网访问、通过专线或者VPN与线下IDC互通等网络场景。 更多内容请参见虚拟私有云产品介绍。

此小节介绍企业主机安全支持的云服务器类型和操作系统。 支持的云服务器类型 弹性云主机（Elastic Cloud Server，ECS） 支持的操作系统 企业主机安全服务的Agent可运行在CentOS、EulerOS等Linux系统以及Windows 2012、Windows 2016等Windows系统的主机上。 已停止服务的Linux系统版本或者Windows系统版本，与Agent可能存在兼容性问题，建议重装或者升级为Agent支持的操作系统版本，以便获得主机安全更好的服务体验。 CentOS 6.x版本由于Linux官网已停止更新维护，主机安全平台也不再支持CentOS 6.x及以下的系统版本，谢谢您的理解！ 说明 部分操作系统版本下的个别子版本存在不支持的情况，会陆续上线支持，感谢您的理解与支持。 HCE 2.0当前暂不支持漏洞检测和配置检测功能，将会根据后续版本迭代上线。 操作系统类型 系统架构 支持的操作系统版本 Linux X86 CentOS 7.4、7.5、7.6、7.7、7.8、7.9、8.0、8.1、8.2、9（64位） Debian 9、10、11.0.0、11.1.0（64位） EulerOS 2.2、2.3、2.5、2.7、2.9（64位） Fedora 28（64位） OpenSUSE: 15.3 (64bit) Ubuntu 16、18、20.03、20.04、22.04（64位） RedHat 7.4、7.6、8.0、8.7（64位） OpenEuler 20.03 LTS、22.03 SP3 LTS、22.03（64位） AlmaLinux 9.0（64位）RockyLinux 8.4、8.5、9.0（64位） HCE 2.0（64位） Linux ARM CentOS 7.4、7.5、7.6、7.7、7.8、7.9、8.0、8.1、8.2、9（64位） EulerOS 2.8、2.9（64位） Fedora 29（64位） OpenSUSE: 15 64bit with ARM(40GB) Ubuntu 18（64位） kylin V7、V10（64位） NeoKylin: V10 (aarch64bit) HCE 2.0（64位） 统信UOS V20（64位） Windows X86 Windows Server 2019 数据中心版 64位英文(40GB) Windows Server 2019 数据中心版 64位简体中文(40GB) Windows Server 2016 标准版 64位英文(40GB) Windows Server 2016 标准版 64位简体中文(40GB) Windows Server 2016 数据中心版 64位英文(40GB) Windows Server 2016 数据中心版 64位简体中文(40GB) Windows Server 2012 R2 标准版 64位英文(40GB) Windows Server 2012 R2 标准版 64位简体中文(40GB) Windows Server 2012 R2 数据中心版 64位英文(40GB) Windows Server 2012 R2 数据中心版 64位简体中文(40GB) 说明 若服务器安装了第三方安全防护软件，请先停止第三方安全防护软件的防护功能，待Agent安装完成后再开启。

本节描述了云主机的网站应用、企业电商、图形渲染、高性能计算的应用场景。 网站应用 对CPU、内存、硬盘空间和带宽无特殊要求，对安全性、可靠性要求高，服务一般只需要部署在一台或少量的服务器上，一次投入成本少，后期维护成本低的场景。例如网站开发测试环境、小型数据库应用。 推荐使用通用型弹性云主机，主要提供均衡的计算、内存和网络资源，适用于业务负载压力适中的应用场景，满足企业或个人普通业务搬迁上云需求。 企业电商 对内存要求高、数据量大并且数据访问量大、要求快速的数据交换和处理的场景。例如广告精准营销、电商、移动APP。 推荐使用内存优化型弹性云主机，主要提供高内存实例，同时可以配置超高IO的云硬盘和合适的带宽。 图形渲染 对图像视频质量要求高、大内存，大量数据处理，I/O并发能力。可以完成快速的数据处理交换以及大量的GPU计算能力的场景。例如图形渲染、工程制图。 推荐使用GPU图形加速型弹性云主机，G1型弹性云主机基于NVIDIA Tesla M60硬件虚拟化技术，提供较为经济的图形加速能力。能够支持DirectX、OpenGL，可以提供最大显存1GiB、分辨率为4096×2160的图形图像处理能力。 高性能计算 高计算能力、高吞吐量的场景。例如科学计算、基因工程、游戏动画、生物制药计算和存储系统。 推荐使用高性能计算型弹性云主机，主要使用在受计算限制的高性能处理器的应用程序上，适合要求提供海量并行计算资源、高性能的基础设施服务，需要达到高性能计算和海量存储，对渲染的效率有一定保障的场景。

此小节介绍企业主机安全资产指纹。 主机资产管理 查看主机资产信息 HSS提供资产管理功能，主动检测主机中的开放端口、系统运行中的进程、主机自启动项。通过资产管理，您能集中清点主机中的各项资产信息，及时发现主机中含有风险的各项资产。 资产管理仅提供风险检测功能，若发现有可疑资产信息，请手动处理。 约束限制 需开启企业版、旗舰版、网页防篡改版或容器版中任一版本。 检测周期 帐号、开放端口：实时检测。开放端口检测结果每6小时刷新一次统计数据。 进程、Web目录管理、软件信息管理、自启动：每日凌晨自动进行一次检测。 查看所有主机资产信息 1、登录管理控制台。 2、在页面左上角单击，选择“区域”，选择“安全>企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、选择“资产管理>资产指纹”，进入“资产指纹”页面，查看所有主机资产。 主机资产指纹特性 功能项 功能描述 检测周期 帐号 检测主机系统中的帐号，列出当前系统的帐号信息，帮助用户进行帐户安全性管理。根据帐号的实时信息和历史变动，您可以快速排查主机中的可疑帐号。 帐号的实时信息包括帐号的“帐号名称”、“服务器数”以及具体帐号对应的“服务器名称/IP”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 帐号的历史变动记录包括“服务器名称/IP”、“变动状态”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 实时检测 开放端口 检测主机系统中的端口，列出当前系统开放的端口列表，帮助用户识别出其中的危险端口和未知端口。 根据“本地端口”、“协议类型”以及具体端口对应的“服务器名称/IP”、“状态”、“进程PID”、“程序文件”，您能够快速排查主机中含有风险的端口。 手动关闭风险端口 如果检测到开放了危险端口或者开放了不必要的端口，需要排查这些端口是否是正常业务使用，如果不是正常业务端口，建议关闭端口。对于危险端口建议进一步检查程序文件，如果存在风险建议删除或者隔离源文件。 建议您及时优先处理危险程度为“危险”的端口，根据业务实际情况处理危险程度为“未知”的端口。 忽略风险：如果检测出的危险端口是业务正在使用的正常端口，您可以忽略该条告警。忽略之后将不再作为危险项进行记录，也不再发送告警。 实时检测 进程 检测主机系统中运行的进程，对运行中的进程进行收集及呈现，便于自主清点合法进程发现异常进程。 根据主机中“进程路径”以及具体进程对应的“服务器名称/IP”、“启动参数”、“启动时间”、“运行用户”、“文件权限”、“进程PID”以及“文件HASH”，您能够快速排查主机中的异常进程。 进程信息管理检测的机制是30天检测不到进程后，自动清除进程信息管理列表中的进程信息。 实时检测 软件 检测并列出当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 根据软件的实时信息和历史变动，您能够快速排查主机中含有风险的软件。 软件的实时信息包括“软件名称”、“服务器数”以及具体软件对应的安装该软件的“服务器名称/IP”和“版本”、“软件更新时间”和“最近扫描时间”。 软件的历史变动记录包括软件的“服务器名称/IP”、“变动状态”、“版本”、“软件更新时间”和“最近扫描时间”。 每日自动检测 自启动项 检测并列出当前所有主机系统中的自启动项，帮助用户及时发现异常自启动项，快速定位木马程序的问题。 自启动项的实时信息包括“名称”、“类型”（自启动服务、开机启动文件夹、预加载动态库、Run注册表键或者定时任务）、“服务器数”以及类型对应的“服务器名称/IP”、“路径”、“文件HASH”、“运行用户”、以及“最近扫描时间”。 自启动项的历史变动记录包括“服务器名称/IP”、“变动状态”、“路径”、“文件HASH”、“运行用户”和“最近扫描时间”。 实时检测 Web站点 统计、展示存放Web内容的目录及对外提供访问的站点信息，您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、证书信息（后续提供）、关键进程等信息。 1次/周（每周一凌晨06：00） Web框架 统计、展示Web内容对外呈现时所使用框架的详细信息，您可查看所有框架的版本、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 中间件 统计、展示所使用到的所有软件信息，您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 内核模块 统计、展示运行在内核层的全量程序模块文件，您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。 1次/周（每周一凌晨06：00） 查看单服务器的主机资产信息 1、登录管理控制台。 2、在页面左上角单击，选择“区域”，选择“安全>企业主机安全，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧导航栏，选择“资产管理>主机管理”，进入“主机管理”界面，选择“云服务器”页签，进入云服务器页面。 5、单击目标服务器名称，进入目标服务器的详情页面，选择“资产指纹”页签。 6、单击指纹列表的目标指纹类型，查看对应资产信息，资产指纹类型特性如表所示。 主机资产指纹特性 功能项 功能描述 检测周期 帐号 检测主机系统中的帐号，列出当前系统的帐号信息，帮助用户进行帐户安全性管理。根据帐号的实时信息和历史变动，您可以快速排查主机中的可疑帐号。 帐号的实时信息包括帐号的“帐号名称”、“服务器数”以及具体帐号对应的“服务器名称/IP”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 帐号的历史变动记录包括“服务器名称/IP”、“变动状态”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 实时检测 开放端口 检测主机系统中的端口，列出当前系统开放的端口列表，帮助用户识别出其中的危险端口和未知端口。根据“本地端口”、“协议类型”以及具体端口对应的“服务器名称/IP”、“状态”、“进程PID”、“程序文件”，您能够快速排查主机中含有风险的端口。 手动关闭风险端口 如果检测到开放了危险端口或者开放了不必要的端口，需要排查这些端口是否是正常业务使用，如果不是正常业务端口，建议关闭端口。对于危险端口建议进一步检查程序文件，如果存在风险建议删除或者隔离源文件。 建议您及时优先处理危险程度为“危险”的端口，根据业务实际情况处理危险程度为“未知”的端口。 忽略风险：如果检测出的危险端口是业务正在使用的正常端口，您可以忽略该条告警。忽略之后将不再作为危险项进行记录，也不再发送告警。 实时检测 进程 检测主机系统中运行的进程，对运行中的进程进行收集及呈现，便于自主清点合法进程发现异常进程。 根据主机中“进程路径”以及具体进程对应的“服务器名称/IP”、“启动参数”、“启动时间”、“运行用户”、“文件权限”、“进程PID”以及“文件HASH”，您能够快速排查主机中的异常进程。 进程信息管理检测的机制是30天检测不到进程后，自动清除进程信息管理列表中的进程信息。 实时检测 软件 检测并列出当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 根据软件的实时信息和历史变动，您能够快速排查主机中含有风险的软件。 软件的实时信息包括“软件名称”、“服务器数”以及具体软件对应的安装该软件的“服务器名称/IP”和“版本”、“软件更新时间”和“最近扫描时间”。 软件的历史变动记录包括软件的“服务器名称/IP”、“变动状态”、“版本”、“软件更新时间”和“最近扫描时间”。 每日自动检测 自启动项 检测并列出当前所有主机系统中的自启动项，帮助用户及时发现异常自启动项，快速定位木马程序的问题。 自启动项的实时信息包括“名称”、“类型”（自启动服务、开机启动文件夹、预加载动态库、Run注册表键或者定时任务）、“服务器数”以及类型对应的“服务器名称/IP”、“路径”、“文件HASH”、“运行用户”、以及“最近扫描时间”。 自启动项的历史变动记录包括“服务器名称/IP”、“变动状态”、“路径”、“文件HASH”、“运行用户”和“最近扫描时间”。 实时检测 Web站点 统计、展示存放Web内容的目录及对外提供访问的站点信息，您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、证书信息（后续提供）、关键进程等信息。 1次/周（每周一凌晨06：00） Web框架 统计、展示Web内容对外呈现时所使用框架的详细信息，您可查看所有框架的版本、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 中间件 统计、展示所使用到的所有软件信息，您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 内核模块 统计、展示运行在内核层的全量程序模块文件，您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。 1次/周（每周一凌晨06：00）

此小节介绍企业主机安全创建策略组。 您可根据自己服务器不同使用情况创建对应的策略组，创建后可对目标服务器进行更有力的扫描检测。 约束限制 需开启高级版、企业版、旗舰版、网页防篡改版、容器版中任一版本。 前提条件 已购买旗舰版。 注意 目前仅支持对旗舰版的策略组进行自定义创建，若没有开启旗舰版防护的主机，创建后不会生效。 创建策略组 以下以旗舰版的Linux策略为例。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，选择“安全运营 > 策略管理”，进入“策略管理”界面，查看显示的策略组，字段说明如表所示。 说明 tenantlinuxcontainerdefaultpolicygroup：容器版linux系统预置策略，仅可被查看，不可复制和删除。 tenantlinuxenterprisedefaultpolicygroup：企业版linux系统预置策略，仅可被查看，不可被复制和删除。 tenantwindowsenterprisedefaultpolicygroup：企业版windows系统预置策略，仅可被查看，不可被复制和删除。 tenantlinuxpremiumdefaultpolicygroup：旗舰版linux系统预置策略，可通过复制该策略组来创建新的策略组。 tenantwindowspremiumdefaultpolicygroup：旗舰版windows系统预置策略，可通过复制该策略组来创建新的策略组。 可在列表右上角单击 ，手动刷新当前列表。 可单击关联服务器数的数量，查看策略组关联的服务器。 策略组列表字段说明 字段 说明 策略组名称 策略组的名称。 ID 策略组的ID号，对策略组的唯一标识。 描述 对策略组的描述。 支持的版本 策略组支持的主机安全的版本。 5、选择tenantlinuxpremiumdefaultpolicygroup或tenantwindowspremiumdefaultpolicygroup策略组，单击该策略组“操作”列的“复制”。以下以Linux策略组为例。 复制策略组 6、在弹出的对话框中，输入“策略组名称”和“描述”。 策略组的名称不能重复，如果尝试通过复制来创建一个同名的策略组，将会失败。 “策略组名称”和“描述”只能包含中文、字母、数字、下划线、中划线、空格，并且首尾不能为空格。 创建策略组 7、单击“确认”，将会创建一个新的策略组。 8、单击已创建的策略组名称，进入策略组的策略页面。 Linux策略组详情 9、单击策略名称，修改具体的策略内容，详细信息请参见8.1.3 编辑策略内容。 10、策略内容修改完成后，单击策略所在行的“开启”或者“关闭”，开启或者关闭对应的策略。

本节介绍企业主机安全计费类的常见问题 退订重购HSS后，是否需要重新安装Agent与配置主机防护信息？ 不需要。 退订HSS时，退订的是防护配额。HSS不会自动卸载主机上已安装的Agent，也不会修改或者删除已配置的主机防护信息。 注意 请保证重购防护配额的区域与原购买区域保持一致，HSS不支持跨区域使用。

本节介绍了安全组配置示例、不同安全组内的弹性云主机内网互通、仅允许特定IP地址远程连接弹性云主机、SSH远程连接Linux弹性云主机、RDP远程连接Windows弹性云主机、公网ping ECS弹性云主机、弹性云主机作Web服务器、弹性云主机作DNS服务器、使用FTP上传或下载文件。 安全组配置示例 介绍常见的安全组配置示例。如下示例中，出方向默认全通，仅介绍入方向规则配置方法。 不同安全组内的弹性云主机内网互通 仅允许特定IP地址远程连接弹性云主机 SSH远程连接Linux弹性云主机 RDP远程连接Windows弹性云主机 公网ping ECS弹性云主机 弹性云主机作Web服务器 弹性云主机作DNS服务器 使用FTP上传或下载文件 不同安全组内的弹性云主机内网互通 场景举例： 在同一个VPC内，用户需要将某个安全组内一台弹性云主机上的资源拷贝到另一个安全组内的弹性云主机上时，用户可以将两台弹性云主机设置为内网互通后再拷贝资源。 安全组配置方法： 同一个VPC内，在同一个安全组内的弹性云主机默认互通。但是，在不同安全组内的弹性云主机默认无法通信，此时需要添加安全组规则，使得不同安全组内的弹性云主机内网互通。 在两台弹性云主机所在安全组中分别添加一条入方向安全组规则，放通来自另一个安全组内的实例的访问，实现内网互通，安全组规则如下所示。 方向 协议/应用 端口 源地址 :::: 入方向 设置内网互通时使用的协议类型 设置端口范围 另一个安全组的ID

天翼云为您提供安全的弹性云主机产品，通过多种技术手段来保障您的主机安全。但是如果云主机没有进行相应的安全设置，仍然可能收到外部的攻击或者遭到病毒入侵。 您可以从以下方面对云主机进行保护：提高账号安全、提高主机密码安全、使用密钥对、使用云监控、备份云主机、配置访问策略、定期升级操作系统。 详细内容参见提升云主机安全的方法。

您可以参考本节导出容器节点列表至本地查看。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航栏选择“资产管理 > 容器管理”，进入“容器管理”界面。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 4、选择“容器节点管理”页签。 5、在容器列表上方，单击“导出”，导出列表。如需导出部分容器节点信息，请勾选对应的容器节点，然后单击“导出”。 说明 单次最多支持导出1000条容器节点信息。

应用防护管理 前提条件 已购买主机安全版本为旗舰版、网页防篡改版或容器版。 约束限制 当前只支持操作系统为Linux的服务器。 目前仅支持Java应用接入。 未开启旗舰版、网页防篡改版、容器版防护不支持应用防护相关操作。 查看检测报告 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 应用防护 > 防护设置”，进入“防护设置”页面。 4、单击目标服务器“操作”列的“查看报告”，查看目标服务器全量检测详情。 5、单击告警名称可查看目标告警的详细信息。 告警详情页可查看目标告警的取证信息（请求信息、攻击源IP等）和扩展信息（检测规则、检测探针等），可根据取证信息和扩展信息来排查问题、添加防护措施。 关闭应用防护 前提条件 已购买主机安全版本为旗舰版、网页防篡改版或容器版。 约束限制 当前只支持操作系统为Linux的服务器。 目前仅支持Java应用接入。 未开启旗舰版、网页防篡改版、容器版防护不支持应用防护相关操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 应用防护”，进入“应用防护”页面。 4、单击目标服务器“微服务RASP防护”的图标或单击“操作”列的“关闭防护”。 5、在弹窗中确认正在关闭微服务RASP防护的服务器信息，确认无误，单击“确认”，完成防护关闭。 说明 sRASP防护关闭后，目标服务器会在“防护设置”页面进行自动删除，若需为其他服务器开启防护，可按照开启应用防护操作步骤为其他服务器开启防护。

更改默认密码 初次登录时应强制用户更改默认密码。 不应使用出厂预设的默认密码。 避免密码重复使用 不同系统和服务应使用不同的密码。 避免部门或团队内部使用相同的密码。 密码存储安全 对存储的密码进行加密处理，避免以明文形式存储。 使用安全的哈希算法，并考虑加入盐值（salt）来增加破解难度。 定期更改密码 定期更新密码，但也要考虑到频繁更改可能带来的用户体验问题。 多因素认证 在可能的情况下启用多因素认证（MFA），以增加额外的安全层。 为什么企业需要定期进行安全体检？ 企业定期进行安全体检至关重要，因为这有助于及时发现可能被黑客利用的安全漏洞。随着网络安全威胁的不断演变，新的漏洞和攻击手段层出不穷。定期的安全体检可以帮助企业保持最新的安全态势，确保关键数据和资产免受侵害。此外，定期的安全体检还能帮助企业满足合规性和监管要求，从而避免因不合规而产生的损失。 安全体检能发现哪些类型的问题？ 安全体检能够发现多种类型的安全问题，包括但不限于： 操作系统漏洞：未打补丁的操作系统可能导致攻击者利用已知漏洞。 配置错误：不当的系统配置可能暴露不必要的端口和服务，增加被攻击的风险。 弱密码：使用容易猜测的密码会增加账户被破解的可能性。 软件缺陷：第三方应用程序中的漏洞可能会被恶意利用。 恶意软件感染：安全体检还可以帮助检测是否存在已知的恶意软件。

进入控制台 1. 登录云等保专区控制台。 2. 在左侧导航选择“主机安全 > 主机安全v1.0”，进入主机安全v1.0资源列表页面。 3. 单击目标资源操作列的“配置”，跳转到主机安全v1.0控制台。 使用主机安全v1.0 了解更多主机安全v1.0相关操作内容，请下载阅读《云等保专区主机安全 v1.0 用户指南》。

本小节介绍处理主机告警事件。 主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况包括存在告警的服务器、待处理告警事件、未处理告警事件、已拦截IP和已隔离文件。 事件列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，自行判断并处理告警，快速清除资产中的安全威胁。 告警事件处理完成后，告警事件将从“未处理”状态转化为“已处理”。 约束与限制 若不需要检测高危命令执行、提权操作、反弹Shell、异常Shell或者Webshell，您可以通过“策略管理”页面手动关闭指定策略的检测。关闭检测后，HSS不对策略组关联的服务器进行检测。 其他检测项不允许手动关闭检测。 未开启防护不支持告警事件相关操作。 操作步骤 当发生安全告警事件后，为了保障您的云服务器安全，可以根据以下方式处理安全告警事件。 注意 由于网络攻击手段、病毒样本在不断演变，实际的业务环境也有不同差异，因此，无法保证能实时检测防御所有的未知威胁，建议您基于安全告警处理、漏洞、基线检查等安全能力，提升整体安全防线，预防黑客入侵、盗取或破坏业务数据。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航栏中，单击“入侵检测 > 安全告警事件 > 主机安全告警”，进入“主机安全告警”页面。 安全告警统计说明 参数名称 告警事件状态说明 时间范围 支持选择固定周期，固定周期可选择如下： 最近24小时 最近3天 最近7天 最近30天 主机安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 已拦截IP 展示已拦截的IP。单击“已拦截IP”，可查看已拦截的IP地址列表。 已拦截IP列表展示“服务器名称”、“攻击源IP”、“登录类型”、“拦截状态”、“拦截次数”、“开始拦截时间”、“最近拦截时间”。 如果您发现有合法IP被误封禁（比如运维人员因为记错密码，多次输错密码导致被封禁），可以手工解除拦截。如果发现某个主机被频繁攻击，需要引起重视，建议及时修补漏洞，处理风险项。 须知 : 解除被拦截的IP后，主机将不会再拦截该IP地址对主机执行的操作。 每种软件最多拦截10000个ip。 如果您的linux主机不支持ipset，mysql和vsftp最多拦截50个ip。 如果您的linux主机既不支持ipset不支持hosts.deny，ssh最多拦截50个ip。 已隔离文件 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中。 被成功隔离的文件一直保留在文件隔离箱中，您可以根据自己的需要进行一键恢复处理，关于文件隔离箱的详细信息，请参见管理文件隔离箱。 容器安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 威胁等级 将被告警按照不同等级进行统计：致命 、 高危 、 中危 、 低危。 TOP5事件类型 展示数量最多的前五种告警类型及数量。 4、处理告警事件。 注意 告警事件展示在“主机安全告警”页面中，事件列表仅展示最近30天的告警事件。 您需要根据自己的业务需求，自行判断并处理告警。告警事件处理完成后，告警事件将从“未处理”状态变更为“已处理”。HSS将不再对已处理的事件进行统计，并且不在“总览”页展示。 方式一：批量处理勾选的告警 任意选中“事件类型”，在事件列表勾选多个目标告警，单击“事件列表”下方的“批量处理”。 在弹窗中选择处理方式，确认无误，单击“确认”，完成勾选告警处理，处理方式详情如下表所示。 方式二：处理单个告警 选中目标“事件类型”，单击目标告警事件“操作”类的“处理”。选中目标“事件类型”，单击目标告警事件“操作”类的“处理”。 在弹窗中选择处理方式，确认无误，单击“确认”，完成单个告警处理，处理方式详情如下表所示。 处理告警事件说明 处理方式 处理方式说明 忽略 仅忽略本次告警。若再次出现相同的告警信息，HSS会再次告警。 隔离查杀 选择隔离查杀后，该程序无法执行“读/写”操作，同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱，被隔离的文件不会对主机造成威胁。 您可以单击“文件隔离箱”，查看已隔离的文件，详细信息请参见管理文件隔离箱。 程序被隔离查杀时，该程序的进程将被立即终止，为避免影响业务，请及时确认检测结果，若隔离查杀有误报，您可以执行取消隔离/忽略操作。 手动处理 选择手动处理。您可以根据自己的需要为该事件添加“备注”信息，方便您记录手动处理该告警事件的详细信息。 加入登录白名单 如果确认“暴力破解”和“异常登录”类型的告警事件是误报，且不希望HSS再上报该告警，您可以将本次登录告警事件加入登录白名单。 HSS不会对登录白名单内的登录事件上报告警。加入登录白名单后，若再次出现该登录事件，则HSS不会告警。 有以下告警事件支持加入登录白名单。 暴力破解 异常登录 加入告警白名单 如果确认以下类型的告警事件是误报，且不希望HSS再上报该告警，您可以将本次告警事件加入告警白名单。 HSS不会对告警白名单内的告警事件上报告警。加入告警白名单后，若再次出现该告警事件，则HSS不会告警。

数据安全 系统数据云端集中存储，不但能释放本地空间，还能避免宕机与丢失，使用多重安全传输协议保障数据安全。 数据不落地：所有桌面、应用和数据统一管理，集中存储在云端。 数据多副本：采用三副本技术分布式存储，灵活应对各种突发情况。 数据加密：使用多重加密算法，对数据传输、数据存储进行加密，保障用户信息安全。 多终端适配 与传统PC一致的使用体验，多种外设无缝衔接，实现多终端适配。 多终端适配：适配PC、MAC、IOS、安卓等多终端。 多外设支持：打印机、扫描仪等外设无缝衔接（备注：手机、pad等移动终端不支持USB外设）。 应用市场 帮助企业管理员监管办公桌面的应用使用环境，实现应用可管可控，保护企业信息安全，并具有应用统一分发与黑白名单管控能力。详情可查看应用市场帮助指导。 应用黑白名单：为企业提供强大的应用黑白名单功能，实现企业要求装的应用自动安装并禁止卸载，企业禁止安装的应用装不上的全方位安全管控效果。 应用快速安装：企业可创建专属应用库，管理员可将企业应用一键推送至AI云电脑中，并支持统一升级应用版本，极大的提升运维效率。

应用安全是云主机业务稳定运行的关键防线,需围绕主机防护、漏洞管理、网络隔离、流量防护及操作审计等维度,构建全流程安全体系,抵御各类恶意攻击,保障应用及背后业务数据的安全。 主机安全防护 天翼云服务器安全卫士（原生版）为用户提供漏洞扫描、异常登录、暴力破解等全方位主机安全防护功能，帮助用户及时发现并修复主机安全问题，降低安全风险。 用户在购买弹性云主机时，系统将自动为用户开启基础版云主机安全卫士服务。用户也可根据自身需求，在云主机安全卫士控制台中选择升级至更高版本，以获取更全面的安全防护能力。 若用户在创建时未开启云主机安全卫士服务，在云主机创建完成后，可至云主机详情页中查看安全防护状态，若显示为未防护则可点击“未防护”按钮转为开启。用户也可在服务器安全卫士（原生版）控制台中查看未开启防护的云主机并开启安全卫士防护。 漏洞管理与热补丁修复 漏洞管理与补丁修复是保障云主机安全的关键环节，天翼云提供漏洞管理与热补丁修复功能，帮助用户及时发现并修复漏洞，降低安全风险。 扫描和处理漏洞 ：云服务器安全卫士（原生版）具备漏洞扫描功能，能够对Linux软件漏洞、Windows系统漏洞等进行全面漏洞检测，帮助用户快速定位潜在安全漏洞。用户可根据扫描结果，及时采取修复措施，消除安全隐患。可以根据不同使用需要选择不同的云服务器安全卫士（原生版）版本，以满足不同程度的安全需求。 及时进行补丁管理： 天翼云CTyunOS操作系统支持热补丁功能，允许在系统运行过程中动态加载和应用补丁，从而修复已知的漏洞或缺陷，并且无需重启系统或中断正在进行的服务。用户可根据需要下载和安装热补丁。更多信息可查看[CTyunOS系统官网热补丁公告](

服务器安全卫士检测防护挖矿 1.提高攻击门槛，有效缩减90% 攻击面 事实证明，90% 的攻击事件都利用了未修补的漏洞，且攻击者的手段不断变化，网络安全状况也在随着安全漏洞的增加变得日益严峻。而传统的漏洞扫描器仅为按季度或按年的周期性扫描，在未进行检测期间，新的漏洞很容易被黑客利用入侵。因此，企业需要能够实现风险持续性地监测与分析产品，能够化被动为主动，深入发现内部暴露的问题和风险，持续有效地对风险进行处理，从而提高攻击门槛，缩减修复窗口期。 持续更新的补丁库以及agent 探针式的主动扫描，能及时、精准发现系统需要升级更新的重要补丁，第一时间帮助用户发现潜在可被黑客攻击的漏洞。深入检测系统中各类应用、内核模块、安装包等各类软件的重要更新补丁，结合系统的业务影响、资产及补丁的重要程度、修复影响情况，智能提供最贴合业务的补丁修复建议。 自动识别应用配置缺陷，通过比对攻击链路上的关键攻击路径，发现并处理配置中存在的问题，大大降低可被入侵的风险。如下图中黑客利用redis 应用漏洞的攻击链路，针对黑客的每一步探测，系统均会进行持续性的检测，及时发现并处理某个配置缺陷，将有效解决潜在安全隐患、阻断黑客的进一步活动。 持续关注国内外最新安全动态及漏洞利用方法，不断推出最新漏洞的检测能力，至今已积累50000+ 的高价值漏洞库，包括系统 / 应用漏洞、EXP/POC 等大量漏洞，覆盖全网 90% 安全防护。同时，基于 Agent 的持续监测与分析机制，能迅速与庞大的漏洞库进行比对，精准高效地检测出系统漏洞。 精准检测几十种应用弱密码，覆盖企业常用应用如SSH、Tomcat、MySQL、Redis、OpenVPN 等。获取应用账号密码的明文或哈希值，与弱密码表中的明文密码或者明文密码计算出的哈希值比较，确定是否为弱密码。如口令未发生新的变更，不再重复对弱口令进行检测。通过分布式的 Agent 对全量主机的弱口令检测，一方面极大的提高工作效率，另一方面对流量及业务的影响也降到了最低。同时，结合企业特征，系统能智能识别更多组合弱口令，支持用户自定义口令字典以及组合弱口令字典，能有效预防被黑客定向破译的风险。 2.多锚点的检测能力，实时发现失陷主机 传统的入侵防护方案能够很好地抵御已知的攻击，但是对于未知和迅速变化的攻击手段则缺乏相应的检测能力。因此，如何实现有效的入侵检测并提供实时的告警和响应手段已经成为安全建设亟需解决的问题。当前的攻击手段千变万化，但是攻击成功后要做的事情却是归一化的。因此，服务器安全卫士将视角从了解黑客的攻击方式，转化成对内在指标的持续监控和分析，无论多么高级的黑客其攻击行为都会触发内部指标的异常变化，从而被迅速发现并处理。 通过实时监控登录行为，可以及时且自动化地发现黑客使用不同服务尝试暴力破解用户登录密码的攻击行为，并进行自动化封停处理，使得黑客不能进行更多的尝试，自动封停后会根据预定义的封堵时间进行解封。 自动化地监控关键的Web 目录，结合恶意样本库、正则库、相似度匹配等多种检测方法，实时感知文件变化，从而能够及时发现 Web 后门，并对后门的恶意代码内容进行清晰标注。 通过对用户进程行为进行实时监控，结合行为的识别方法，及时发现进程的非法Shell 连接操作产生的反弹 Shell 行为，有效感知“0Day”漏洞利用的行为痕迹，并提供反弹 Shell 的详细进程树。 通过对用户进程行为进行实时监控，结合行为识别技术，我们能及时发现进程的提权操作并通知用户，并提供提权操作的详细信息。 通过分析常见的远程命令漏洞利用实例，利用模式识别的方式，实时监控用户进程行为的各项特征，对主机中进程异常的执行行为和执行命令内容进行精确匹配，能有效发现黑客利用漏洞执行命令的行为痕迹，并及时进行告警。告警信息提供整个漏洞利用过程的进程树信息，帮助用户准确分析黑客的入侵路径和目的，功能同时也支持用户自定义规则进行检测，可帮助适应客户多样化的业务流程，精准覆盖各类RCE 攻击的监控场景。 通过分析挖矿木马程序的行为特征，针对挖矿常见的特征研制多种检测模型，对挖矿进程执行的命令、挖矿在主机中的行为、挖矿文件的信息以及挖矿本身具备的属性都设置了相应的锚点进行监控，提供用户全方位的挖矿检测和防护能力。云端+ 客户端的双重检测模式，让挖矿程序的每一个特征和行为，都会被实时发现并上报告警，同时给出专业角度的安全分析。不仅支持对挖矿进行隔离、删除、修复验证等多种处理方式，同时也提供检测规则的高度自定义能力，方便用户对挖矿木马进行快速响应和预防。功能实现了从监控发现、检测分析、响应处理、设置预防的安全闭环能力，为用户提供稳定持续高效的安全服务。

本章节为您介绍线下IDC通过专线和代理服务器接入HSS 应用场景 随着混合云的发展，用户对于云上云下资源实现统一安全管理的需求也越发强烈。企业主机安全支持线下IDC接入纳管，用户可以通过一个控制台实现一致的主机安全防护策略，避免因为不同平台安全水位不一致导致的攻击风险。 方案架构 线下IDC通过云专线服务与云上VPC实现网络互通，再通过云上弹性云服务器代理接入HSS，如下图所示。 云专线（Direct Connect），用于搭建用户本地数据中心与云VPC之间高速、低时延、稳定安全的专属连接通道，充分利用云服务优势的同时，继续使用现有的IT设施，实现灵活一体，可伸缩的混合云计算环境。 弹性云服务器（Elastic Cloud Server），是一种可随时自助获取、可弹性伸缩的云服务器，可帮助您打造可靠、安全、灵活、高效的应用环境，确保服务持久稳定运行，提升运维效率。 资源规划 本方案示例中涉及的资源如下： 资源 资源说明 数量 云专线（CTCDA，Cloud Dedicated Access） DC，作为连接第三方主机和云上资源的专属通道。 1 弹性云主机（Elastic Cloud Server） ECS，作为代理服务器，将线下IDC的请求转发至HSS后台。 1

天翼云为您提供安全的弹性云主机产品,通过多种技术手段来保障您的主机安全。但是如果云主机没有进行相应的安全设置,仍然可能收到外部的攻击或者遭到病毒入侵。 您可以参考以下内容,提升云主机安全。 账号安全 天翼云账号注册时要求您设置复杂度极高的密码。您应该妥善保管天翼云的账号密码并定期对密码进行更换。 同时天翼云还支持账号二次认证，您可以在个人中心安全设置中开启安全验证。开启后每次登录均需要短信验证码进行登录。 主机密码安全 主机密码是弹性云主机访问时最常用的安全验证。您在创建时输入的主机密码应该确保复杂度满足要求，并且妥善保管密码。 主机密码的复杂度应满足如下要求： 不少于8个字符。 必须同时包含大写字母、小写字母、数字、符号中的三项。 符号支持： [()~!@ %^& +{}[]:;'<>,.?/](mailto:()%60~!@ %^& +{}[]:;'<>,.?/)。 密码不能以斜线号（/）开头。 密钥对 密钥对，也称为SSH密钥对，是一种用于远程登录云主机的身份验证方式，与传统的用户名和密码登录方式有所区别。通过使用密钥对，您可以提升云主机的安全性，并避免因密码被拦截或破解导致的密码泄露问题。 密钥对由公钥和私钥组成，如果用户将公钥配置在Linux云主机中，便可以使用私钥登录Linux云主机，无需输入密码。通过使用密钥对登录Linux云主机，可以防止密码被拦截或破解导致帐户密码泄露，从而提高Linux云主机的安全性。 更多内容请参见密码和密钥对。

本文介绍对网站加速及防护的产品价值。 业务特点 网站承载了企业业务的重要线上流量，官网一般承担着企业品牌宣传的重要作用，但许多网站目前还面临着诸如访问不通、访问慢、内容加载不全、网站入侵、数据信息泄露、至网站开发部署安全规范建设等的业务挑战。 客户痛点 网页访问速度慢：静态内容分发瓶颈、回源请求传输不稳定、HTTPS性能消耗大、业务高峰源站压力大。 业务安全风险：恶意爬虫威胁、Web应用攻击、DDoS流量攻击、劫持问题频发。 运营维护困难：硬件安全设备扩容慢、存在单点故障风险、存在单点故障风险、缺少全面的监测机制。 产品价值 智能加速：通过多级缓存，就近响应用户请求；实时探测，选择最优路径动态回源；IPv6一键开启。 一体化安全+防护：提供安全加速的同时，赋能安全防护能力，对威胁访问实时追踪，及时发现进行拦截，DDoS服务为大流量攻击提供保驾护航。 智能调度，快速扩容：海量资源+智能化调度支撑，724小时一对一运营支撑，提供网站整体业务及安全状况的可视化大屏分析。 企业接入访问基于最小授权原则，规避供应链四方人员导致的安全隐患。

产品功能 功能介绍 功能描述 基础版 企业版 旗舰版 资产清点 资产清点 自动清点主机内部资产如进程、端口、账号、应用等，实时掌握主机内部资产变化，为安全分析提供数据基础。 X √ √ 风险发现 安全补丁 对安全补丁进行周期性自动检测，提供详细补丁说明和修复方案。 X √ √ 风险发现 漏洞检测() 精准本地分析漏洞，包含精准 POC探测和版本漏洞探测；支持 CVSS等漏洞信息详细描述，支持漏洞修复影响检查；提供命令级漏洞修复建议。 √ √ √ 风险发现 弱密码检查 弱口令自动检测，自动匹配账号名相关易猜解密码，支持弱口令字典自定义。 √ √ √ 风险发现 应用风险() 检测Linux关键攻击路径上常用应用的配置型风险。 X X √ 风险发现 系统风险() 检测Linux上由于系统配置的产生的安全风险。 X X √ 风险发现 账号风险() 检测Linux系统中的由于账号的配置产生的安全风险。 X X √ 入侵检测 暴力破解 实时监控主机上发生的爆破行为，并提供封停爆破来源IP的能力。 √ √ √ 入侵检测 异常登录 实时异常登录监控，发现异常IP、区域、时间等的异常登录。 √ √ √ 入侵检测 反弹shell 实时监控主机上反向连接的行为，并提供详细的攻击记录。 X √ √ 入侵检测 后门检测 精准发现系统内后门程序，提供详细后门程序分析报告与修复建议。 √ √ √ 入侵检测 本地提权() 支持实时进程提权监测，支持进程提权过程详细记录。 X √ √ 入侵检测 Web后门 多维度Web后门识别，支持规则匹配、相似度匹配、沙箱检测、模式分析引擎检测等多种机制检测，具备实时监测能力。 √ √ √ 入侵检测 可疑操作() 实时对Bash命令进行审计，发现可疑的黑客操作，支持自定义审计规则。 X √ √ 入侵检测 Web命令执行 能够发现Web RCE和进程异常的执行事件。 X √ √ 病毒查杀 病毒查杀 结合多个病毒检测引擎，能够实时准确地发现主机上的病毒进程，并提供多⻆度分析结果，以及相应的病毒处理能力，对病毒能够快速、准确、高效地实现从检测分析到处理修复的安全工作闭环。 X √ √ 合规基线 系统基线 对各版本的Linux系统、Windows 系统按照等保、CIS的基线要求检测，覆盖主流操作系统的检测。 X √ √ 合规基线 应用基线 支持对常用应用的等保、CIS基线的检测。 √ √ √ 合规基线 数据库基线 支持对主流数据库的等保、CIS基线的检测。 √ √ √ 合规基线 自定义基线 支持自定义基线，对于不同的检查基准，灵活制定不同检查强度的标准。 X √ √ 快速任务 快速任务 提供一些特定的安全任务，方便用户在日常安全工作中快速执行。 X X √ 其他功能 主机管理 提供对所有安全服务器的管理功能，可设置主机分组，标签，运维管理信息，方便用户管理主机。 √ √ √ 其他功能 报表系统 提供各类实用美观的安全报表，供汇报时使用，可支持Html，Word格式。 X X √ 其他功能 通知系统 可灵活配置接收的通知类型、通知方式及通知人。 √ √ √

本节介绍如何进入主机安全v2.0版本控制台，及如何使用主机安全v2.0。 主机安全v2.0 版本由服务器安全卫士（原生版）提供服务。 进入控制台 方式一： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区控制台。 4. 在左侧导航栏，选择“主机安全 > 主机安全v2.0”，跳转到服务器安全卫士（原生版）控制台。 方式二： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 服务器安全卫士（原生版）”，进入服务器安全卫士（原生版）控制台。 使用主机安全v2.0 请参见服务器安全卫士（原生版）。