本节介绍内容审核的用户控制台。 控制台 点击产品详情页左上角的【管理控制台】，页面跳转到控制台总览页面。 总览 点击左侧菜单栏【总览】，可以查看已开通能力、API调用排行榜以及平均响应时间等内容。 能力列表 点击左侧菜单栏【能力列表】，可以查看已有能力。 我的应用 点击左侧菜单栏【我的应用】，可以查看已经创建的应用。 应用监控 点击左侧菜单栏【应用监控】，可以查看所创建应用的请求次数、响应时间与请求流量。

本小节介绍安全专区管理员登录方法。 管理员直接通过天翼云控制台进行单点跳转登录。 操作步骤 1. 登录天翼云官网。 2. 选择“产品 > 安全及管理 > 安全管理 > 安全专区”，进入安全专区产品详情页面。 3. 单击“管理控制台”，进入安全专区实例管理页面。 4. 选择对应的安全专区实例，在操作列单击“控制台”，即可跳转进入安全专区管理页面。

OWL功能应用 OWL Web 界面概述 OWL Web 界面分为两大块，即： 运行模式页面 环境变量配置页面 （1）运行模式页面 该页面是使用 OWL 的主要页面，左侧为模型选择与问题输入框。 OWL 支持使用不同的大模型，您可以按需选择不同的模型。 【注意】不同模型需要依赖不同的 API Key，需要先切换到【环境变量配置】页面设置后，方可使用。 页面右侧为运行详情页，包括运行结果、运行日志、聊天历史。 【补充说明】目前聊天历史由于开源代码问题，还不支持查看历史聊条内容。后续社区修复后，科研助手平台会第一时间进行更新升级。 （2）环境变量配置页面 该页面是使用 OWL 前，配置各类大模型 API Key 的页面 。如下图所示： OWL 支持配置的大模型 API Key，都有对应的说明以及获取方式。 科研助手新增 OWL 能力 如之前所述，科研助手平台在 OWL 开源的基础上，为方便您的使用，增加了如下能力： （1）支持使用本地 QWQ32B 大模型 科研助手平台上的 OWL，已默认内置了 QWQ32B 大模型，无需任何额外的配置，开箱即用。 进入 OWL Web 界面后，您可以直接在【问题】输入框中输入问题，然后点击运行。 比如输出问题：“帮我上豆瓣查一下最近新上映的电影” 点击运行后，请等待3分钟左右，OWL 会自动打开浏览器，访问豆瓣网页。 （2）支持 bing search toolkit 目前开源的 OWL 只支持 Google Search API 和 DuckDuckGo，由于网络访问问题，无法直接使用 OWL Search Toolkit 进行内容检索。 科研助手平台为了方便您的使用，内置了国内可以访问的必应搜索。您可以在【问题】输入框，写入偏搜索的内容。比如说“帮我查一下北京附近好玩的景点”，如下图所示： 从运行日志中可以看出，OWL 正在使用必应进行内容检索。请耐心等待几分钟，检索结果如下： 注意 此处输出结果具有随机性 （3）如何更好地查看日志 如果您在 OWL Web 界面上看日志不够方便，您还可以在桌面启动 Terminal 终端，使用如下命令来查看日志。 cd owl tail f logs/xxx.log （4）选择使用不同的 toolkit 如果您觉得目前科研助手内置的 OWL toolkit 配置内容不满足您的使用需求，您也可以直接修改对应文件的 toolkit 组合。 文件路径为：/home/batchcom/Desktop/owl/owl/runlocalqwqzh.py 截至目前，我们已借助 OWL 顺利完成多项任务。同样地，您亦可运用 OWL 开展其他各类任务 。 说明 当前，科研助手所提供的 OWL 应用存在一定限制，具体如下： 1. QWQ 32B 模型尚不具备图片识别及视频解析等功能，基于该模型的 OWL 目前仅能执行较为简单的任务。 2. OWL 虽可利用 playwright 自动模拟浏览器操作，但受模型限制，其对页面内容的识别效果欠佳，通常会导致任务执行失败。 3. bing search toolkit 在免费状态下，仅能针对 Web 站点开展检索，且检索内容未作优化，检索结果可能无法达到预期目标。 尽管如此，OWL 已展现出较好的性能。未来，科研助手将持续关注社区动态，对 OWL 应用进行迭代更新。

本节介绍云安全中心的产品优势。 云安全中心作为用户侧的安全中心，产品优势如下： 安全数据全面采集 进行内部（资产、脆弱性）、外部（流量、日志）以及云端威胁情报接入等相关安全数据的全面采集，汇聚、分析。 安全威胁深度检测 对多源安全告警进行关联分析、规则分析、情报分析等，发现潜伏的高级持续性威胁，提升告警检出率和准确率。 安全态势集中监测 从多安全告警、攻击方向、攻击趋势、影响范围等多维度多视角进行态势呈现。 安全告警快速处置 对接联动安全防护设备，在安全告警发生时自动下发阻断策略，并在必要时下发通知预警，及时完成安全闭环。

此小节介绍主机风险总览。 企业主机安全在控制台提供总览页面，实时展示您所有资产的安全评分、安全风险、防护地图等，帮助您了解主机和容器的安全状态以及存在的安全风险。 查看总览 1、登录管理控制台。 2、在左侧导航树选择“总览”，进入总览页查看资产安全信息。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 区域 说明 配额数量及待升级Agent数 展示当前您已购买的各版本HSS防护配额总数和使用情况，以及待升级Agent数量。 单击对应防护配额的总数值，可跳转到防护配额界面查看防护配额列表。 单击待升级Agent数值，可跳转到Agent管理界面查看并升级Agent。 说明：企业主机安全会持续优化提升服务能力，包括但不限于新增功能、优化缺陷，因此会定期迭代版本。请及时将主机上的Agent升级为最新版，以便您可以享受到更好的企业主机安全。 安全评分 安全风险评分范围为0~100分，无风险资产默认为100分，HSS会根据资产中存在的基线风险、漏洞风险、入侵风险和资产风险等执行扣分，评分越低表示资产中存在的安全风险越多。 为了保护的您资产安全，建议您及时处理安全风险，提高安全评分： 1、在“安全评分”模块，单击“立即处理”。 2、在“安全风险处理”弹窗中，查看扣分项，单击下箭头展开扣分明细。 3、单击扣分项右侧的“前往处理”，可跳转至对应的风险列表，您可以根据风险详情和修复建议进行修复。 4、修复风险后，单击“重新体检”，刷新评分。 热点资讯 展示最新的热点漏洞信息。 安全风险 展示HSS检测到您资产中存在的安全风险。 主机风险： 需紧急处理告警/总数：处理优先级为紧急的告警数量和告警总数。 紧急优先级修复漏洞/总数：修复优先级为紧急的漏洞数量和漏洞总数。 基线风险：待处理的基线风险总数。 待处理可疑进程：待处理的可疑进程事件总数。 容器风险： 高优先级修复漏洞/总数：修复紧急度为高危的漏洞数量和漏洞总数。 安全风险趋势 展示资产最近七天的安全风险趋势图。 防护地图 展示资产开启安全防护的情况。 资产总数：当前区域下的资产总数。 未防护/主机总数：未防护主机数量和主机总数。 未防护/容器总数：未防护容器数量和容器总数。 安全防护功能开启情况：对应防护功能的开启数量和防护功能累计扫描/检测项数量。

C 示例 完整的C 签名Demo代码： using Newtonsoft.Json; using System; using System.Security.Cryptography; using System.Text; using System.Net.Http; using System.Threading.Tasks; public class Program { private static byte[] HmacSHA256(byte[] data, byte[] signKey) { string signRet string.Empty; using HMACSHA256 mac new(signKey); byte[] hash mac.ComputeHash(data); return hash; } private static string Sha256(string data) { byte[] bytes Encoding.UTF8.GetBytes(data); var hash SHA256.HashData(bytes); var strBuilder new StringBuilder(); for (int i 0; i 个人中心>安全设置>查看>AccessKey string SecurityKey ""; //填写控制台>个人中心>安全设置>查看>SecurityKey var currentTime DateTime.Now; var eopDate currentTime.ToString("yyyyMMddTHHmmssZ"); var ctyuneoprequestid Guid.NewGuid().ToString(); region 构造待签名字符串 //请参考帮助文档填写以下内容 var sortDic new SortedDictionary { { "action", "SendSms" }, //固定参数 { "phoneNumber", "" }, //请填写接收短信的目标手机号，多个手机号使用英文逗号分开 { "signName", "天翼云测试" }, //请填写您在控制台上申请并通过的短信签名。 { "templateCode", "SMS64124870510" }, //请填写您在控制台上申请并通过的短信模板，此模板为测试专用模板，可直接进行测试 { "templateParam", "{"code":"123456"}" }, //请填写短信模板对应的模板参数和值。此值为测试模板的变量及参数，可直接使用 { "extendCode", "" }, //可选，非必填 { "sessionId", "" } //可选，非必填 }; var header $"ctyuneoprequestid:{ctyuneoprequestid}neopdate:{eopDate}n"; var bodyJson JsonConvert.SerializeObject(sortDic); var body Sha256(bodyJson); var strS $"{header}nn{body}";

根据等级保护2.0要求，对系统管理员、审计管理员和安全管理员的管理主体、权限控制和管控过程提出明确要求，同时要求安全管理中心内的管理系统符合“三权分立”权限管理模式。 安全管理中心默认以下权限分配： 模块名称/角色名称 租户系统管理员 租户安全管理员 租户运维管理员 租户审计管理员 总览 √ √ √ 系统管理 用户管理 √ 白名单 √ 操作日志管理 √ √ √ 资产管理 √ √ √ 总览 √ √ √ 服务器 √ √ √ 域名 √ √ √ 运营管理 √ √ √ 安全报告 √ √ √ 组件管理 √ √ √ 安全组件 √ √ √ 威胁分析 √ √ √ 风险分析 √ √ √ 主机漏洞 √ √ √ 网站漏洞 √ √ √ 补丁漏洞 √ √ √ 基线合规 √ √ √ 病毒 √ √ √ 设置 √

功能简介 当客户端发起请求时，需要在请求头中携带签名信息，服务端会根据请求内容、签名算法和存储的秘钥信息，对签名进行校验。签名校验的目的是： 1. 身份验证：确保请求者是合法用户，防止未授权用户访问。 2. 请求完整性校验：保障传输内容完整性，防止请求在传输过程中被篡改。 3. 时效性校验：签名中包含时间戳，用于限定请求的有效时长。服务端在接收到请求时，会校验请求时间是否在允许范围内。 签名计算工具 请查看签名工具。

本文为您介绍如何编辑策略。 约束与限制 您只能对自定义策略进行编辑，您不能编辑系统策略。 操作步骤 1. 管理员登录IAM控制台。 2. 管理员在IAM控制台左侧导航窗格中，点击“策略管理”。 3. 在策略列表选择已有策略，点击右侧操作栏的“编辑”按钮，进入策略编辑页面。 4. 根据需要，编辑策略名称、策略描述后，点击“下一步”。 5. 选择“可视化视图”或“JSON视图”编辑自定义策略内容，策略内容的编辑详见策略语法。点击“保存”完成编辑。

本文介绍了边缘安全加速平台安全与加速服务API防护模块下接口滥用拦截的使用方法。 功能介绍 攻击者常通过脚本、工具频繁调用某个接口完成账号暴力破解、批量注册等恶意行为。 高频的请求不仅不符合用户正常的操作行为，并且也容易导致接口高负载出现不稳定。 接口滥用拦截可识别客户端的异常高频的API请求，并进行实时拦截，防止接口被恶意滥用。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 注意 未订购“API安全”扩展能力，接口滥用拦截功能设置“关闭”、“告警”动作，无法设置“拦截”动作。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【API安全】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入安全防护【接口滥用拦截】详细设置页。 配置说明

本节主要介绍开启和关闭SSL安全连接。 GeminiDB Influx实例支持实例创建成功后，开启或关闭SSL安全连接。 使用须知 该功能目前处于公测阶段，如需使用，请您联系客服申请开通。 开启或关闭SSL安全连接时需要重启实例。 开启SSL安全连接 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB Influx 接口”。 3. 在实例管理页面，单击目标实例名称，进入基本信息页面。 4. 在数据库信息区域，单击SSL后的，开启SSL安全连接。 图 开启SSL安全连接 关闭SSL安全连接 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB Influx 接口”。 3. 在实例管理页面，单击目标实例名称，进入基本信息页面。 4. 在数据库信息区域，单击SSL后的，关闭SSL安全连接。 图 关闭SSL安全连接

本文将向您介绍如何通过边缘安全加速平台安全与加速服务提供的访问控制功能设置网站白名单。 功能介绍 若存在您完全信任的请求，支持在边缘安全加速平台控制台配置网站白名单策略，符合条件的请求将不经过安全与加速服务任意的防护策略。 背景信息 您的域名接入边缘安全加速平台安全与加速服务后，配置防护策略将默认作用于所有符合策略的请求，若您希望某类请求不经过某个防护策略，可以分别配置对应的白名单功能。 若您希望请求针对任意防护策略加白，可以配置网站白名单，配置详情可见下文。 若防护规则集中的某条规则出现误报情况，可以配置规则白名单，配置详情可见设置Web规则白名单。 若您希望请求针对Bot防护策略加白，可以配置Bot策略白名单，配置详情可见Bot策略白名单。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通高级版及以上版本，支持使用访问控制功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【访问控制/限流】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【访问控制】详细设置。

本文介绍静态https请求包。 销售品名称 规格（万次） 标准资费价格 安全加速静态https请求包 1000 40元 安全加速静态https请求包 10000 360元 安全加速静态https请求包 100000 3200元 安全加速静态https请求包 1000000 28000元 安全加速静态https请求包 10000000 200000元

参数 说明 示例 试看参数 URL请求中用于指示试看时间的参数。 shikan。例如： 试看冗余时间 因TS试看时间所在字节位置为估算值，故为确保用户能得到预期的试看效果，全站加速节点可在预期试看时间基础上增加n秒的冗余。 2，单位为秒。表示预期试看冗余为2秒，即用户携带试看请求参数为30时，例如：

开启防护 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧导航栏中，选择“资产管理 > 主机管理 > 云服务器”，进入“云服务器”界面。 5、选择所需开启安全防护的主机，单击“操作”列“开启防护”。您可以根据自己的实际场景选择“包年/包月”或者“按需计费”，开启主机防护。 说明 按需计费仅支持选择企业版。 包年/包月模式出现配额不足时需购买主机安全防护配额。 包年/包月： 在“开启方式”对话框中，“计费模式”选择“包年/包月”，选择目标版本、分配防护配额，阅读并确认“《主机安全免责声明》”。“选择配额”分配方式： 随机分配：下拉框选择“随机选择配额”，系统优先为主机分发服务剩余时间较长的配额。 指定分配：下拉框选择具体配额ID，您可以为主机分配指定的配额。 按需计费： 在“开启方式”对话框中，“计费模式”选择“按需计费”，选择目标版本，阅读并勾选“《主机安全免责声明》。 注意 基础版在首次开启时可免费体验30天，体验结束后需购买基础版的包年/包月模式才能使用。 6、单击“确认”，开启防护。开启主机安全防护后，请在控制台上查看主机安全服务的开启状态。若目标主机的“防护状态”为“开启”，则表示基础版/企业版/旗舰版防护已开启。 您也可以通过在“主机管理 > 防护配额”页面的“操作”列中，单击“绑定主机”，为主机绑定防护配额，HSS自动为主机开启防护。 一个配额只能绑定一个主机，且只能绑定Agent在线的主机。 开启主机防护后，HSS将根据您购买的服务版本，自动对您的主机执行服务版本对应的安全检测。 自动执行的安全检测

本小节介绍处理容器告警事件。 企业主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况包括存在告警的容器、待处理告警事件、已处理告警事件。 事件列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，自行判断并处理告警，快速清除资产中的安全威胁。 告警事件处理完成后，告警事件将从“未处理”状态转化为“已处理”。 约束限制 未开启防护的服务器不支持告警事件相关操作。 操作步骤 当发生安全告警事件后，为了保障您的云服务器安全，可以根据以下方式处理安全告警事件。 说明 由于网络攻击手段、病毒样本在不断演变，实际的业务环境也有不同差异，因此，无法保证能实时检测防御所有的未知威胁，建议您基于安全告警处理、漏洞、基线检查等安全能力，提升整体安全防线，预防黑客入侵、盗取或破坏业务数据。 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版） 3、在左侧导航栏中，单击“入侵检测 > 安全告警事件 > 容器安全告警”，进入“容器安全告警”页面。 告警事件状态说明 告警事件状态 告警事件状态说明 存在告警的服务器 展示存在告警容器的数量。 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 4、 处理告警事件。 告警事件展示在“容器安全告警”页面中，事件列表仅展示最近30天的告警事件。 您需要根据自己的业务需求，自行判断并处理告警。告警事件处理完成后，告警事件将从“未处理”状态变更为“已处理”。HSS将不再对已处理的事件进行统计。 批量处理勾选的告警 a.任意选中“事件类型”，在事件列表勾选多个目标告警，单击“事件列表”下方的“处理”。 b.在弹窗中选择处理方式，确认无误，单击“确认”，完成勾选告警处理，处理方式详情如表76所示。 处理单个告警 a.选中目标“事件类型”，单击目标告警事件“操作”类的“处理”。 b.在弹窗中选择处理方式，确认无误，单击“确认”，完成单个告警处理，处理方式详情如表所示。 处理方式 处理方式说明 忽略 仅忽略本次告警。若再次出现相同的告警信息，HSS会再次告警。 手动处理 选择手动处理。您可以根据自己的需要为该事件添加“备注”信息，方便您记录手动处理该告警事件的详细信息。

请您根据以下处置建议，对系统展开检查，减少脆弱性暴漏。 体检完成后，您可以根据体检报告及漏洞详单查看互联网业务的漏洞开放、弱口令、高危端口开放等安全问题。体检报告包含推荐的处置建议，产线可根据这些建议，完成漏洞修复并及时更新线上系统，防止被攻击人员利用，造成损失。 通用处置建议 安全体检建议对存在漏洞的主机参考附件中提出的解决方案进行漏洞修补、安全增强。 建议所有Windows系统使用"Windows Update"进行更新。 对于大量终端用户而言，可以采用WSUS进行自动补丁更新，也可以采用补丁分发系统及时对终端用户进行补丁更新。 对于存在弱口令的系统，需在加强使用者安全意识的前提下，督促其修改密码，或者使用策略来强制限制密码长度和复杂性。 对于存在弱口令或是空口令的服务，在一些关键服务上，应加强口令强度，同时需使用加密传输方式，对于一些可关闭的服务来说，建议关闭该服务以达到安全目的。 对于UNIX系统订阅厂商的安全公告，与厂商技术人员确认后进行漏洞修补、补丁安装、停止服务等。 由于其他原因不能及时安装补丁的系统，考虑在网络边界、路由器、防火墙上设置严格的访问控制策略，以保证网络的动态安全。 建议网络管理员、系统管理员、安全管理员关注安全信息、安全动态及最新的严重漏洞，攻与防的循环，伴随每个主流操作系统、应用服务的生命周期。 建议采用安全体检系统定期对网络进行评估，真正做到未雨绸缪。 远程安全评估系统建议对存在不合规检查项的主机参考对应的检查点详情中提出的调整方案和标准值进行修正。

给用户组选择策略时，单击策略前面的，可以查看策略的详细内容，以系统策略“IAM ReadOnlyAccess”为例。 { "Version": "1.1", "Statement": [ { "Action": [ "iam::get", "iam::list", "iam::check" ], "Effect": "Allow" } ] }

本文介绍了边缘安全加速平台域名管理操作安全防护的使用方法。 使用场景 边缘安全加速控制台域名列表中提供域名的快捷跳转配置功能，可直接在域名列表中选择对应域名、对应配置模块跳转进行配置查看及编辑。 使用说明 1.登录边缘安全加速控制台。 2.进入安全与加速工作台域名域名管理页面，选择在目标域名，点击操作栏【安全防护】。 3.点击需要配置的模块，跳转至对应配置页面；也可以一键控制对应模块的防护开关。开关关闭，防护功能不生效。 功能模块 说明 DDoS防护 包括DDoS防护（中国内地）、DDoS防护（非中国内地），可控制是否开启DDoS防护功能。 Web应用防火墙 包括防护规则引擎、合规性检测、敏感信息防护、网页防篡改、攻击挑战、Cookie防护等安全配置。 访问控制限流 包括CC防护、访问控制、频率控制安全配置。 BOT管理 包括Bot策略白名单、高频爬虫限制、爬虫陷阱安全配置。

安全专区产品按等保级别订制4个套餐型号销售，本小节介绍安全专区套餐功能计费说明。 安全专区产品按等保级别订制4个套餐型号销售，套餐功能特性及安全组件规格如下： 等保级别 套餐型号 套餐安全功能特性 可选安全组件及规格 二级等保 入门版 云防火墙（含WAF/防篡改模块） 云防火墙：100M/200M/300M/400M/500M/800M/1G/1.6G 二级等保 入门版 云日志审计 云日志审计：10/20/50/100/200/300/500资产 二级等保 入门版 主机漏扫 安全管理中心基础版：10/20/50/100/200/300/500资产 二级等保 入门版 安全管理中心 二级等保 基础版 云防火墙（含WAF/防篡改模块） 云防火墙：100M/200M/300M/400M/500M/800M/1G/1.6G 二级等保 基础版 云日志审计 云日志审计：10/20/50/100/200/300/500资产 二级等保 基础版 终端安全EDR（防病毒/补丁/基线/微隔离） 终端安全EDR：实际资产数 二级等保 基础版 云堡垒机 云堡垒机：10/20/50/100/200/300/500资产 二级等保 基础版 主机漏扫 安全管理中心基础版：10/20/50/100/200/300/500资产 二级等保 基础版 安全管理中心 三级等保 高级版 云防火墙（含WAF/防篡改模块） 云防火墙：100M/200M/300M/400M/500M/800M/1G/1.6G 三级等保 高级版 云日志审计 云日志审计：10/20/50/100/200/300/500资产 三级等保 高级版 终端安全EDR（防病毒/补丁/基线/微隔离） 终端安全EDR：实际资产数 三级等保 高级版 云堡垒机 云堡垒机：10/20/50/100/200/300/500资产 三级等保 高级版 主机漏扫 安全管理中心基础版：10/20/50/100/200/300/500资产 三级等保 高级版 安全管理中心 三级等保 高级版 云数据库审计 云数据库审计：100M/200M/400M/600M 三级等保 旗舰版 云防火墙（含WAF/防篡改模块） 云防火墙：100M/200M/300M/400M/500M/800M/1G/1.6G 三级等保 旗舰版 云日志审计 云日志审计：10/20/50/100/200/300/500资产 三级等保 旗舰版 终端安全EDR（防病毒/补丁/基线微隔离） 终端安全EDR：实际资产数 三级等保 旗舰版 云堡垒机 云堡垒机：10/20/50/100/200/300/500资产 三级等保 旗舰版 主机漏扫 安全管理中心高级版：10/20/50/100/200/300/500资产 三级等保 旗舰版 应用漏扫 三级等保 旗舰版 安全管理中心 三级等保 旗舰版 云数据库审计 云数据库审计：100M/200M/400M/600M 安全专区根据等保等级要求配置所需的安全能力，不同套餐包含的安全组件参见上表，其中云防火墙及云数据库审计组件按应用吞吐量授权，安全管理中心、云日志审计、云堡垒机、终端安全EDR组件按资产数量授权。 用户在选定套餐后，根据业务的资产数及需求量选定组件规格。

非安全模式切换为安全模式 介绍集群从“非安全模式”切换为“安全模式+HTTP协议”或“安全模式+HTTPS协议”的操作。当集群从非安全模式变更为安全模式后，访问集群将需要进行安全认证。 1. 登录云搜索服务管理控制台。 2. 在左侧菜单栏，选择“集群管理>Elasticsearch”，进入Elasticsearch集群管理页面。 3. 选择目标集群，单击操作列的“更多>形态变更”进入更改集群规格页面。 4. 选择“更改安全模式”页签。 5. 在更改安全模式页面，打开“安全模式”的开关，输入并确认集群的管理员密码。 图 1 非安全模式切换为安全模式 6. 选择集群是否启用“HTTPS访问”。 打开开关：实现“非安全模式”切换为“安全模式+HTTPS协议”。集群通讯使用HTTPS协议，通讯数据将进行加密，且可以启用集群的公网访问功能。 关闭开关：实现“非安全模式”切换为“安全模式+HTTP协议”。集群通讯使用HTTP协议，无法启用集群的公网访问功能。 7. 单击“提交申请”，确认后将返回集群列表页面。 集群的“任务状态”列中显示为“安全模式更改中”，当“集群状态”变为“可用”表示变更成功。 安全模式切换为非安全模式 介绍集群从“安全模式+HTTP协议”或“安全模式+HTTPS协议”切换为“非安全模式”的操作。当集群从安全模式变更为非安全模式后，访问集群将不再需要进行安全认证。 说明 非安全模式的集群将无需安全认证即可访问，且采用的是HTTP协议传输数据，所以请确保集群访问环境的安全性，勿将访问接口暴露到公网环境上。 在安全模式切换为非安全模式的过程中，变更任务会删除原安全模式的集群用到的索引。切换前请做好数据备份，以免数据丢失。 如果集群已绑定公网IP，则无法将安全模式切换为非安全模式，需要先解绑公网IP，才能切换。 如果集群已启用Kibana公网访问，则无法将安全模式切换为非安全模式，需要先关闭Kibana公网访问功能，才能切换。 1. 登录云搜索服务管理控制台。 2. 左侧导航栏选择“集群管理”，进入集群列表页面，选择需要更改安全模式的集群，单击操作列的“更多>形态变更”进入更改集群规格页面。 3. 选择“更改安全模式”页签。 4. 在更改安全模式页面，关闭“安全模式”的开关。 图2 安全模式切换为非安全模式 5. 单击“提交申请”，确认后将返回集群列表页面。 集群的“任务状态”列中显示为“安全模式更改中”，当“集群状态”变为“可用”表示变更成功。

本节介绍如何快速连接RocketMQ并生产和消费消息。 本章节将为您介绍分布式消息服务RocketMQ（以下简称RocketMQ）入门的使用流程，以创建一个开启SSL的RocketMQ实例，客户端使用内网通过同一个VPC连接RocketMQ实例生产消费消息为例，帮助您快速上手RocketMQ。 1. 在ECS环境中进入“rocketmqtutorial/bin”目录。 plaintext cd rocketmqtutorial/bin 2. 运行生产普通消息命令。 命令示例如下： plaintext JAVAOPTDtls.enabletrue sh mqadmin sendMessage n "10.xxx.xxx.89:8100;10.xxx.xxx.144:8100" t Topic01 p "hello rocketmq" 10.xxx.xxx.89:8100;10.xxx.xxx.144:8100：表示RocketMQ实例的“连接地址”，即11中记录的连接地址。 Topic01：表示RocketMQ实例下创建的Topic名称，即4中创建的Topic名称。 hello rocketmq：表示生产消息的内容，可自定义。 3. 运行消费普通消息命令。 命令示例如下： plaintext JAVAOPTDtls.enabletrue sh mqadmin consumeMessage n "10.xxx.xxx.89:8100;10.xxx.xxx.144:8100" t Topic01 如上图中BODY显示的内容即为消费消息的内容。 如需停止消费使用Ctrl+C命令退出。

接口功能介绍 更改监控视图中的某一个监控项内容。 一个监控视图包含一个或多个监控项，监控项为keyvalue格式，这里更新的是监控项中的value值。 接口约束 regionID（资源池）、templateID（监控面板）、viewID（监控视图）、itemKey（监控项Key）存在。 URI POST /v4/monitor/putmonitoritem 请求参数 请求体body参数 参数 参数类型 是否必填 示例 说明 下级对象 regionID String 是 81f7728662dd11ec810800155d307d5b 资源池ID templateID String 是 466d5eb4484311eda9b7005056897257 监控面板ID viewID String 是 4cb790ae489411edb386005056897257 监控视图ID itemKey String 是 key2 要更新的监控项名称Key，即已存在的监控项Key itemVal Object 是 newVal2 监控项新Value，用来替换旧的监控项Value值，与监控项名称组成keyvalue格式，可以为任意内容 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 返回状态码（800为成功，900为失败），默认值：800 800 errorCode String 失败时的错误代码，参见公共错误码说明 message String 失败时的错误描述，一般为英文描述 Success msgDesc String 失败时的错误描述，一般为中文描述 成功 returnObj Object 返回对象 returnObj 表returnObj 参数 参数类型 说明 示例 下级对象 success Boolean 监控项内容是否更新成功 true

copy t to '/home/teledb/t.txt' (format 'text', forcequote(name)); ERROR: COPY force quote available only in CSV mode 只有使用CSV格式时才允许这个选项。 使用encoding指定导出文件内容编码 teledb copy t to '/home/teledb/t.txt' (encoding utf8); COPY 4 导出文件编码为UTF8。 teledb copy t to '/home/teledb/t.txt' (encoding gbk); COPY 4 导出文件编码为gbk。 使用set clientencoding to gbk; 也可以将文件的内容设置为需要的编码，如下所示。 teledb set clientencoding to utf8; SET teledb copy t to '/home/teledb/t.txt' with csv; COPY 4 copy from复制文件内容到数据表中 导入所有列 teledb ! cat /home/teledb/t.txt 1 张三 20001201 00:00:00 北京 2 李四 19970324 00:00:00 上海 3 王五 20040901 00:00:00 广州 4 赵六 20001201 00:00:00 N teledb truncate table t; TRUNCATE TABLE teledb copy t from '/home/teledb/t.txt'; COPY 4 teledb select from t; id name birth city +++ 1 张三 20001201 00:00:00 北京 2 李四 19970324 00:00:00 上海 3 王五 20040901 00:00:00 广州 4 赵六 20001201 00:00:00 (4 rows) 导入部分指定列 teledb

本文的安全最佳实践以在天翼云服务器CTECS上部署 WordPress 为例,详细介绍如何利用天翼云的云服务与安全措施来构建一个既安全又易于管理的 WordPress 环境。 安全设计原则 规定时间内修复已知 OS 安全漏洞，满足安全补丁管理基线；同步配置弱口令检测、病毒查杀、重要文件防勒索及网页防篡改功能。 定期备份关键数据，防意外丢失，确保数据可恢复。 对云硬盘与云数据库存储加密，配置SSL加密数据连接。 集成精细化权限管理、多因子认证及动态访问控制，构建全链路安全防护。 通过逻辑隔离与最小权限访问，阻断威胁横向渗透路径。 部署架构 在云服务器CTECS中部署WordPress使用的安全架构如下。 在部署WordPress过程中需要创建ECS实例和RDS MySQL数据库，本实践针对这两者做的安全配置如下： 弹性云主机实例 1. 通过安全组控制 CTECS 实例的出入流量安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。关于安全组的使用请参考：安全组概述。 2. 使用云硬盘快照策略对云硬盘进行周期性备份天翼云云硬盘快照是一种数据备份方式，云硬盘快照服务可以备份或者恢复整个云硬盘的数据，常用于数据备份、制作镜像、应用容灾等。关于云硬盘快照的使用请参考：云硬盘快照策略。 3. 使用 KMS 加密数据密钥管理服务（Key Management Service，KMS）是一站式密钥管理和数据加密服务平台，提供安全合规、可靠易用的资源托管及密码运算服务。同时与天翼云云硬盘、对象存储、弹性文件、关系型数据库MYSQL等云产品无缝集成，实现云上原生数据的加密保护。更多信息，请见云硬盘加密概述。 4. 使用 IAM 授权获取访问凭证统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。更多信息，请参见产品定义。 5. 使用服务器安全卫士进行防护服务器安全卫士（原生版）（CTCSS，Cloud Security System）是一款全方位保障云上服务器安全的产品，能全面识别并管理服务器中的信息资产、实时监测服务器风险并阻止非法入侵行为，当发现服务器出现安全问题时，第一时间向您发出告警通知。主要包括资产清点、漏洞扫描、入侵检测、基线检查、弱口令检测、病毒查杀、文件防勒索等功能，帮助您构建服务器安全防护体系。更多信息，请参见产品简介。 关系型数据库MySQL版 1. 使用 SSL 数据加密SSL（Secure Socket Layer，安全套接层），位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性，以实现客户端和服务器之间的安全通讯。更多信息，请参考设置SSL数据加密。 2. 使用 IAM 身份认证关系数据库MySQL版支持CTIAM身份认证和多种访问控制，多维度保障您云数据库的安全。更多信息，请参考主子账号和IAM权限管理。

本文主要介绍单行全文模式的日志采集。 概述 单行全文是指一条日志仅包含一行的内容，在采集的时候，将使用换行符来作为一条日志的结束符，即在日志文件中，以换行符分隔两条日志。日志数据本身不再进行日志结构化处理，也不会提取日志字段，每条日志都被作为一个整体被采集到云日志服务中，日志采集流程简单快捷。 示例 在单行全文模式下，日志数据本身不再进行日志结构化处理，采集器会将日志内容存放在 message字段中。如采集网站访问的日志内容。 原始日志： plaintext [24/Aug/2023:15:42:18 +0000] "GET /examplepage HTTP/1.1" 200 1265 " "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Safari/537.36" 采集到云日志服务后的日志： plaintext message：[24/Aug/2023:15:42:18+0000] "GET /examplepage HTTP/1.1" 200 1265 " "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Safari/537.36" 配置方式 在日志接入流程创建采集配置步骤中，切割模式选择单行全文即可。

如果系统预置的FunctionGraph权限，不满足您的授权要求，可以创建自定义策略。 目前支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 FunctionGraph自定义策略样例 示例1：授权用户查询函数代码和配置 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "functiongraph:function:list", "functiongraph:function:getConfig", "funcitongraph:function:getCode" ] } ] } 示例2：拒绝用户删除函数 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先。 如果您给用户授予FunctionGraph FullAccess的系统策略，但不希望用户拥有FunctionGraph FullAccess中定义的删除函数权限，您可以创建一条拒绝删除函数的自定义策略，然后同时将FunctionGraph FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对FunctionGraph执行除了删除函数外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ "Effect": "Deny", "Action": [ "functiongraph:function:delete" ] ] }

本文为坐席助手的最佳实践案例介绍。 场景及问题 整体客户咨询服务包含四个主要环节。面对海量用户咨询，运营人员主要依赖知识库通过关键词查询来提供客户服务。因此，服务能力在很大程度上依赖于知识查询效率、业务理解程度和提炼总结能力等。当前存在以下风险： 客户服务体验差 运营服务成本高 业务抗风险能力弱 在有限的运营人员情况下，如何高效且高质量地完成服务？这对传统知识库内的搜索场景提出了新的要求。 现存问题 人工： 经验依赖度高 服务： 效率低，投诉频繁 结果： 首页采纳率低 知识： 规范化程度低 内容： 运营工作量大 解决方案 解决手段： 在知识库内的搜索场景中，提供智能答复能力，以提升运营服务手段。 结合自研大模型的优势，赋能传统知识库，补充AI模块，内部实现知识搜索一键触达，降低经验依赖，使每位员工都能成为运营专家；外部则缩短会话平均时长，提高服务效率和用户满意度。 标签与意图识别： 输入用户问题，输出意图标签以定位目标知识范围。 文档检索及管理： 根据标签结果进行查询，匹配目标文档内容。 大模型问答模块： 结合目标文档内容生成回复答案及参考来源。

本页介绍了公网连接实例如何设置安全组规则。 安全组 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和文档数据库服务实例提供访问策略。 为了保障文档数据库服务的安全性和稳定性，在使用文档数据库服务实例之前，您需要设置相应的安全组规则，开通需访问数据库的IP地址和端口。 使用公网连接文档数据库服务实例时，需要为文档数据库服务所在安全组配置相应的“入方向”规则。 白名单 白名单是在安全组之上，针对单个文档数据库实例更细粒度的IP地址访问安全管理。 入方向规则配置步骤 1. 进入TeleDB数据库控制台。 2. 在“DDS”>“实例管理”页面，选择指定的目标实例，单击实例名称，进入“基本信息”页面。 3. 在“基本信息 > 网络 > 安全组”处，单击编辑，选择安全组。 4. 单击vpc名称，进入网络控制台，选择“访问控制 > 安全组”。 5. 在安全组页面，选择指定安全组，单击名称，进入安全组详情页面。 6. 在入方向规则页签下，单击“添加规则”，弹出添加入方向规则窗口。 7. 根据界面提示配置安全组规则。 8. 单击“确定”。 白名单公网访问设置 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”进入实例列表页面。 3. 点击实例状态是“运行中”实例的实例名称，进入到该实例详情页。 4. 点击选择“白名单管理”页，点击“添加白名单分组”按钮，或者对已有的白名单分组，点击操作栏的“修改”按钮。 5. 在弹窗页中，业务访问类型选择“公网访问”、再配置允许访问的公网IP名单信息，点击“确定”按钮即可完成白名单分组添加或修改。具体可参考白名单管理。

前置条件 客户端（预览版、移动端）:V3.11以上 开通方式、操作步骤 1.功能开通 （1）进入免费试用页面 操作路径：协同套件量子加密服务前往试用 （2）添加需要进行量子安全防护的用户 选择需要添加的用户 设置量子安全策略 配置说明： 量子安全介质： 软模块：仅允许用户使用软模块登录； 量子安全盾：仅允许用户使用量子安全盾登录； 软模块+量子安全盾：允许用户使用软模块或量子安全盾登录，量子安全盾优先（用于多终端登录，如大屏端使用量子安全盾登录，移动端使用软模块登录）。 限制普通登录： 是：量子安全登录失败时，不允许使用普通方式接入云电脑； 否：量子安全登录失败时，允许使用普通方式接入云电脑。

本小节介绍安全专区购买类常见问题。 安全专区是否支持试用？ 不支持。安全专区不支持试用，因安全组件需要虚机承载才可部署。 购买安全专区，是否另外还需要购买虚机？ 安全专区等保套餐内会自动包含所需云主机、存储、网络并自动计算价格，如您有闲置主机并满足硬件要求可在订购页面选择不够买云主机，主机硬件要求请参考价格详情内对应云主机基础要求。 套餐类型不同，对应产品的功能和性能是否一致？ 安全专区分为4种套餐及自定义一共5种订购方式。套餐类型不同为组件数量不同，单组件功能及性能并无差别，请根据自身防护需求选择不同套餐即可。

修改ECS的安全组规则（管理控制台） 本节介绍登录管理控制台后修改ECS安全组规则的操作步骤和方法。本章节以ECS为例介绍如何修改DNS和添加安全组，BMS操作步骤类似。 1. 在ECS详情页，单击安全组页签。 进入安全组列表页。 2. 单击具体的安全组名。 3. 单击“更改安全组规则”。 进入安全组详情页。 注：BMS的操作步骤： 1. 请单击表格中左上角的安全组ID。 2. 在对应安全组“操作”列单击“配置规则”。 3. 在“出方向规则”页签下单击“添加规则”。 4. 按下表所示添加规则。 表 安全组规则 协议 端口 类型 目的地址 说明 TCP 80 IPv4 100.125.0.0/16 用于从OBS桶下载Agent包到ECS或BMS中、获取ECS或BMS的元数据信息与鉴权信息。 TCP、UDP 53 IPv4 100.125.0.0/16 用于DNS解析域名，下载Agent时解析OBS地址、发送监控数据时解析云监控服务Endpoint地址。 TCP 443 IPv4 100.125.0.0/16 采集监控数据到云监控服务端。