参数 说明 区域 在下拉框选择区域。 检测类型 “内容安全单次检测（按需）”：针对单个网站或新媒体账号的文字、图片、音频、视频内容进行检测，检测完成后提供一份内容检测报告。 “文本安全监测（按月）”：针对单个网站或新媒体账号的文字内容进行内容安全监测，并在一个自然月后输出内容监测月报。 “文本安全监测（按年）”：针对单个网站或新媒体账号的文字内容进行内容安全监测，并在每一个自然月后输出内容监测月报，一个自然年后输出内容监测年报。 检测对象类型 检测对象类型包含： “新媒体”：支持主流新媒体平台的内容审查，包括文本、图片、音频、视频等。 “网站”：支持网站内容审查，可根据URL检测网站内容，可自行排查检测站内网页、链接内容，包括文本、图片、音频、视频等。 检测对象 “检测对象类型”选择“新媒体”时：输入需要检测的账号名称，并备注新媒体平台。 每一行表示一个新媒体账号，多个新媒体账号以回车换行分割；同一行内的新媒体账号和备注之间以英文逗号分割，每行最多支持500个英文字符（1个中文字符等于2个英文字符）。 “检测对象类型”选择“网站”时：输入被检测网站完整域名与备注信息。 每一行表示一个检测网址，多个网址以回车换行分割；同一行内的网址和备注之间以英文逗号分割，如无备注，可只输入网址，每行最多支持500个英文字符（1个中文字符等于2个英文字符）。

实例内 GuestOS 应用系统安全 登录安全配置 创建Linux云主机时，推荐用户选择登录名为ecsuser。创建成功后，云主机登录账号权限默认为非root权限，只能执行被授权的操作，若涉及系统敏感的操作，则用户需要在本地通过su或sudo提权至root权限执行。Windows云主机建议使用8位以上、包含特殊字符的复杂密码作为登录凭证。 Linux云主机：默认非root账号登陆云主机。如果您使用root用户登录Linux云主机，则您可以获得系统最高权限。该方式虽然便于您进行系统运维操作，但如果您的主机遭到入侵，就会面临严重的数据安全风险。建议您使用ecsuser用户登录云主机。 Windows云主机：设置复杂的密码并定期更换，养成良好的安全运维习惯。 避免服务弱口令 如果您的服务器使用弱口令登录，黑客可能会非法登录您的服务器，窃取服务器数据或破坏服务器。建议您为服务器设置复杂的登录口令，并定期提升登录口令的安全性。口令提升方法： 设置复杂口令。 不使用常见或公开的弱口令。 定期修改口令。 云主机的口令需设置为强密码：长度为830个字符，必须同时包含三项（大写字母、小写字母、数字、 ()~!@ $%^&+{}[]:;'<>,.?/ 中的特殊符号），不能以斜线号（/）开头，不能包含3个及以上连续字符，如abc、123。 数据传输加密 通过配置安全组或防火墙，限制仅允许加密网络服务端口通信，采用 TLS 1.2 及以上版本等加密协议，对客户端与实例间传输的敏感数据进行加密，防止数据在传输过程中被监听、截取或篡改。 监控与审计 利用云监控、云审计、VPC 流日志等功能，构建异常资源与权限访问监控告警体系。云监控可实时监控云资源状态，设置告警通知；操作审计记录云资源操作日志，用于安全分析与合规审计；VPC 流日志记录网络流量信息，助力网络故障排查与安全分析。

本节介绍云等保专区产品的漏洞扫描配置类问题。 漏扫扫描如何进行接入配置？ 1. 用户登录后先进行资产管理设置，添加资产，便于后续对资产进行扫描，在菜单栏选择“ 资产管理 > 资产列表 ”，选择主机资产页签，点击“新增”。 在弹出的新建主机资产对话框中编辑相关信息，点击“提交”。 2. 接着创建扫描策略，制定扫描策略模板，使扫描任务更具针对性，在菜单栏选择“ 模板中心 > 漏洞模板 ”，选择主机策略页签，点击“新增”。 进入新建主机策略模板页面，编辑策略模板名称，选择策略规则（策略规则从等级、目标、类型三个维度进行分类），勾选对应的策略，点击“提交”。 3. 然后创建扫描任务，开启扫描任务后对于主机漏洞进行扫描，在菜单栏选择“ 任务管理 > 任务列表 ”，进入任务列表页面，点击“新增”，页面跳转至创建任务页面，具体操作请参见创建任务。 4. 最后扫描结束后，导出扫描报告，针对扫描结果分析资产安全风险，菜单栏选择“报告管理”，进入报告管理页面，点击“新增”。 进入新建报告页面，编辑相关信息，点击“输出报告”。

安全组 安全组可重复使用，您也可以根据实际情况使用不同的安全组，请根据实际需要进行配置。 创建安全组的操作指导，请参考虚拟私有云创建安全组 若需要为安全组添加规则，请参考虚拟私有云安全组添加安全组规则 弹性公网IP（可选） 若需要通过公网访问RabbitMQ实例，则需要申请弹性公网IP，否则不需要申请弹性公网IP。申请弹性公网IP的操作指导请参考购买弹性IP。 实例规格选择说明 节点可选择3节点、5节点、7节点、9节点，实例规格可选择4C8G、8C16G、16C32G。 存储类型可选择普通IO（SATA）、高IO（SAS）、超高IO（SSD）。 （1）填写实例名称，长度在 4 到 64个字符，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 （2）选择引擎类型，默认选择云原生引擎，海量消息堆积能力，支持更多连接和队列数，稳定性高。也可选择rabbitmq引擎，完全支持开源RabbitMQ生态，功能完备。 （3）选择计费模式：包年包月/按需计费，两种模式说明参见计费模式。 （4）购买时长按照计费模式选择变化： 计费模式为包年包月，可选择购买时长16个月、13年。该模式提供自动续期功能，勾选后可以自动续期购买时长：16个月、13年。 计费模式为按需计费，则该选项隐藏无需选择。 （5）部署方式有单可用区和多可用区两个选项，目前仅支持单可用区和3可用区部署,单可用区部署请选中任意一个AZ；多可用区部署请选中3个AZ，系统会自动将Broker节点平均分配至各可用区。 （6）设置节点数，可选择3/5/7/9。RabbitMQ 的节点数是指 RabbitMQ 集群中的节点数量。在 RabbitMQ 集群中，可以有多个节点组成一个集群，每个节点都是一个独立的 RabbitMQ 服务器实例。 （7）下拉选择主机类型，可选择通用型和计算增强型。通用型云主机共享宿主机的CPU资源，主要提供基本水平的vCPU性能、平衡的计算、内存和网络资源，具有较高性价比，支持通用的业务运行。计算增强型云主机独享宿主机的CPU资源，实例间无CPU争抢，并且没有进行资源超配，同时搭载全新网络加速引擎，实现接近物理服务器的强劲稳定性能。 （8）选择实例规格，分布式消息服务RabbitMQ提供通用型和计算增强型各3类规格，各规格详细说明参见弹性云主机规格。 （9）选择存储空间，包括磁盘类型和空间。 磁盘类型提供高IO/超高IO三类。普通IO适用于大容量、读写速率中等、事务性处理较少的应用场景。高IO：适用于主流的高性能、高可靠应用场景。超高IO：适用于超高IOPS、超大带宽需求的读写密集型应用场景。了解更多磁盘类型说明参见云硬盘规格。 磁盘空间以100G起步，可以以100倍数增加磁盘空间。 （10）选择已有虚拟私有云，若无虚拟私有云，点击创建跳转到虚拟私有云页面新增，了解更多内容参见虚拟私有云。 （11）选择已有子网，若无子网，点击创建跳转到子网页面新增。 （12）选择已有安全组，若无安全组，点击创建跳转到安全组页面新增。

本文介绍 AIuse 云电脑在接入、凭证管理、资源隔离和文件传输方面的安全建议。 凭证安全 AIuse 云电脑通过 AccessKey 进行调用鉴权。AccessKey ID 和 AccessKey Secret 应作为敏感信息管理。 建议： 不要将 AccessKey Secret 提交到代码仓库。 不要在前端页面或客户端安装包中内置 Secret。 不要在日志、截图或错误信息中输出完整 Secret。 不同项目、环境和任务批次使用不同 AccessKey。 AccessKey 疑似泄露时立即禁用并更换。 权限最小化 AccessKey 应只关联必要的云电脑。对于临时任务、测试任务和生产任务，建议使用不同 AccessKey，并分别控制其可访问资源。 桌面环境隔离 AIuse 云电脑任务运行在云端桌面环境中。为降低任务之间的相互影响，建议： 高风险任务使用独立云电脑。 不同业务线使用不同云电脑。 批量任务按资源池分配桌面。 任务完成后清理临时文件和中间结果。 文件安全 FileSystem 能力可读取和写入云电脑中的文件。业务系统应对可访问路径进行限制，避免误操作系统目录或敏感目录。 建议： 为任务分配独立工作目录。 对输入和输出文件进行命名规范管理。 对临时下载地址设置有效期。 对重要文件写入前进行路径校验。 对任务输出中的敏感数据进行脱敏或加密处理。 截图安全 截图可能包含业务数据、个人信息或系统敏感信息。建议： 仅在必要时保存截图。 对截图设置访问权限和保存期限。 对外共享截图前进行脱敏。 不在公开文档、工单或即时通讯中传播包含敏感信息的截图。

本文介绍 AIuse 云电脑在接入、凭证管理、资源隔离和文件传输方面的安全建议。 凭证安全 AIuse 云电脑通过 AccessKey 进行调用鉴权。AccessKey ID 和 AccessKey Secret 应作为敏感信息管理。 建议： 不要将 AccessKey Secret 提交到代码仓库。 不要在前端页面或客户端安装包中内置 Secret。 不要在日志、截图或错误信息中输出完整 Secret。 不同项目、环境和任务批次使用不同 AccessKey。 AccessKey 疑似泄露时立即禁用并更换。 权限最小化 AccessKey 应只关联必要的云电脑。对于临时任务、测试任务和生产任务，建议使用不同 AccessKey，并分别控制其可访问资源。 桌面环境隔离 AIuse 云电脑任务运行在云端桌面环境中。为降低任务之间的相互影响，建议： 高风险任务使用独立云电脑。 不同业务线使用不同云电脑。 批量任务按资源池分配桌面。 任务完成后清理临时文件和中间结果。 文件安全 FileSystem 能力可读取和写入云电脑中的文件。业务系统应对可访问路径进行限制，避免误操作系统目录或敏感目录。 建议： 为任务分配独立工作目录。 对输入和输出文件进行命名规范管理。 对临时下载地址设置有效期。 对重要文件写入前进行路径校验。 对任务输出中的敏感数据进行脱敏或加密处理。 截图安全 截图可能包含业务数据、个人信息或系统敏感信息。建议： 仅在必要时保存截图。 对截图设置访问权限和保存期限。 对外共享截图前进行脱敏。 不在公开文档、工单或即时通讯中传播包含敏感信息的截图。

参数 参数类型 说明 示例 下级对象 securityGroupID String 安全组ID sgxxxxxxxx7x securityGroupName String 安全组名称 DefaultSecurityGroup

功能介绍 敏感词防护功能支持对网站返回的内容进行脱敏展示，过滤内容包括敏感信息（如身份证、手机号、银行卡、邮箱等）。您可以根据实际需要设置敏感词防护规则，满足数据安全保护和等保合规需求。 注意 防护敏感信息泄露功能目前只支持识别中华人民共和国境内（中国香港特别行政区、中国澳门特别行政区、中国台湾暂不支持）的身份证号、手机号、银行卡号、邮箱。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为基础版及以上版本，支持防护敏感信息泄露相关功能。 背景信息 个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。根据《GBT 352732017信息安全技术个人信息安全规范》解读：个人敏感信息包括：身份证号码，个人生物识别信息，银行账号，通信记录和内容，财产信息，征信信息，行踪轨迹，住宿信息，健康信息，交易信息，14岁以下（含）儿童的个人信息等。防护敏感信息泄露功能对网站的敏感内容脱敏处理，避免重要数据泄露带来的风险。 说明 默认脱敏显示您的联系方式等敏感信息，点击明文显示时，请您注意保护数据安全！

本章节主要介绍安全配置。 设置安全通道加密 默认情况下，组件间的通道是不加密的。您可以配置如下参数，设置安全通道是加密的。 参数修改入口：在FusionInsight Manager系统中，选择“集群 > 待操作集群的名称 > 服务 > 服务名 > 配置”，展开“全部配置”页签。在搜索框中输入参数名称。 说明 配置后需要重启对应服务。 详见下表：参数说明 配置参数 说明 缺省值 hbase.rpc.protection 设置HBase通道是否加密，包含HBase客户端访问HBase服务端的RPC（remote procedure call）通道，HMaster和RegionServer间的RPC通道。设置为“privacy”表示通道加密，认证、完整性和隐私性功能都全部开启，设置为“integrity”表示不加密，只开启认证和完整性功能，设置为“authentication”表示不加密，仅要求认证报文，不要求完整性和隐私性。 说明 privacy会对传输内容进行加密，包括用户token等敏感信息，以确保传输信息的安全，但是该方式对性能影响很大，对比另外两种方式，会带来约60%的读写性能下降。请根据企业安全要求修改配置，且客户端与服务端中该配置项需使用相同设置。 dfs.encrypt.data.transfer 设置客户端访问HDFS的通道和HDFS数据传输通道是否加密。HDFS数据传输通道包括DataNode间的数据传输通道，客户端访问DataNode的DT（Data Transfer）通道。设置为“true”表示加密，默认不加密。 “false” dfs.encrypt.data.transfer.algorithm 设置客户端访问HDFS的通道和HDFS数据传输通道是否加密。只有在dfs.encrypt.data.transfer配置项设置为true，此参数才会生效。 缺省值为“3des”，表示采用3DES算法进行加密。此处的值还可以设置为“rc4”，避免出现安全隐患，不推荐设置为该值。 “3des” hadoop.rpc.protection 设置Hadoop中各模块的RPC通道是否加密。包括： 客户端访问HDFS的RPC通道。 HDFS中各模块间的RPC通道，如DataNode与NameNode间。 客户端访问Yarn的RPC通道。 NodeManager和ResourceManager间的RPC通道。 Spark访问Yarn，Spark访问HDFS的RPC通道。 MapReduce访问Yarn，Mapreduce访问HDFS的RPC通道。 HBase访问HDFS的RPC通道。 默认设置为“privacy”表示加密，“authentication”表示不加密。 说明 您可以在HDFS组件的配置界面中设置该参数的值，设置后全局生效，即Hadoop中各模块的RPC通道是否加密全部生效。 安全模式：privacy 普通模式：authentication

视频 天翼云媒体存储服务等级协议 容器与企业中间件 云容器引擎服务等级协议 微服务云应用平台服务等级协议 分布式消息服务RabbitMQ服务等级协议 分布式消息服务RocketMQ服务等级协议 分布式消息服务Kafka服务等级协议 天翼云软件开发生产线CodeArts服务等级协议 天翼云应用性能监控APM服务等级协议 天翼云容器安全卫士服务等级协议 天翼云应用服务网格服务等级协议 天翼云微服务引擎服务等级协议 天翼云容器镜像服务等级协议 天翼云函数计算服务等级协议 安全 Web应用防火墙（边缘云版）服务等级协议 天翼云高防（边缘云版）服务等级协议 天翼云网站安全监测服务等级协议 天翼云爬虫管理平台服务等级协议 天翼云容器安全平台服务等级协议 天翼云托管检测与响应服务（原生版）服务等级协议 天翼云密评专区服务等级协议 天翼云日志审计服务等级协议 天翼云证书管理服务等级协议 天翼云云堡垒机服务等级协议 天翼云密钥管理服务等级协议 天翼云云安全中心服务等级协议 天翼云Web应用防火墙（原生版）服务等级协议 天翼云云防火墙（原生版）服务等级协议 天翼云Web应用防火墙（独享版）服务等级协议 天翼云漏洞扫描（专业版）服务等级协议 天翼云企业主机安全服务等级协议 天翼云态势感知（专业版）服务等级协议 天翼云云防火墙服务等级协议 天翼云运维安全中心（云堡垒机）服务等级协议

参数 参数类型 说明 示例 下级对象 securityGroupID String 安全组ID c6e1d96acff845c097db91fca62b5f26 securityGroupName String 安全组名称 VM79ab13b6

操作事件 字段 同步资产 SYNCASSETS 卸载agent UNINSTALLAGENT 切换版本 SWITCHVERSION 开启防护 OPENPROTECT 关闭防护 CLOSEPROTECT 基线检测 BASELINEDETECT 基线策略管理 BASELINERULEMANAGEMENT 基线白名单管理 BASELINEWHITELISTMANAGEMENT 弱口令检测 WEAKPASSDETECTION 弱口令定时检测设置 WEAKPASSTIMINGDETECTIONSETTING 病毒检测 VIRUSDETECTION 病毒文件操作 VIRUSFILEOPERATION 病毒定时检测设置 PERIODICVIRUSDETECTIONSETTING 漏洞扫描 VULNERABILITYSCANNING 漏洞操作 VULNERABILITYOPERATION 漏洞白名单管理 VULNERABILITYWHITELISTMANAGEMENT 漏洞定时扫描设置 VULNERABILITYTIMINGSCANSETTINGQUERY 异常登录操作 ILLEGALLOGINOPERATION 异常登录白名单管理 ILLEGALLOGINWHITELIST 暴力破解白名单管理 BRUTEFORCEWHITELIST 后门检测操作 BACKDOORDETECTIONOPERATION 后门检测白名单管理 BACKDOORDETECTIONwhitelistmanagement 可疑操作审核 SUSPECTOPERATIONAUDIT 可疑操作自定义规则配置 SUSPECTOPERATIONUSERDEFINEDRULES 网页防篡改告警忽略 TAMPERPROOFALARMIGNORE 网页防篡改防护管理 TAMPERPROOFPROTECTIONMANAGEMENT 网页防篡改配额管理 TAMPERPROOFQUOTAMANAGEMENT 服务器安全卫士配额管理 QUOTAMANAGEMENT 同步资产设置 SYNCASSETSSETTING 用户登录 USERLOGIN 用户下线 USERLOGOUT 修改基本信息 MODIFYBASICINFO 修改密码 MODIFYPASS 用户管理操作 USERMANAGEMENT 资产收集 ASSERTCOLLECTION 安全配置开关配置 SECURITYCONFIGSWITCH 告警中心告警处理 ALERTCENTERHANDLE 告警中心白名单处理 ALERTCENTERWHITE 安全配置异常登录规则配置 SECURITYCONFIGSSH 安全配置暴力破解规则配置 SECURITYCONFIGBRUTE 业务分组配置 BUSINESSGROUP 主机业务分组修改 BUSINESSGROUPMOVE 主机私有IP修改 HOSTIPUPDATE 自动绑定配额开关配置 AUTOBINDQUOTA 主机实例名称修改 EDITDISPLAYNAME 主机删除 HOSTDELETE 告警通知配置 ALERTCONFIG 安全配置防勒索配置 SECURITYCONFIGBLACKMAIL 安全配置自定义检测规则配置 SECURITYCONFIGCHECKRULE 通知联系人配置 ALERTUSERCONFIG 发送联系人验证信息 SENDVERIFYCODE 验证联系人验证信息 CHECKVERIFYCODE 云安全中心配置 CSCLOGCONFIG 文件隔离箱操作 FILEQUARANTINEHANDLE 文件一致性保护配置 INTEGRITYPROTECTIONCONFIG 文件一致性保护事件处理 INTEGRITYPROTECTIONHANDLE 安全配置端口蜜罐配置 SECURITYCONFIGPORTSCAN 安全配置webshell配置 SECURITYCONFIGWEBSHELL 基线检测应用凭证配置 APPPROOFRULE IP拦截记录处理 IPBLOCKHANDLE

接口功能介绍 删除安全组v3 接口约束 无 URI POST /v3/securityGroup/delete 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 securityGroupOid 是 String 安全组ID 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码。可能值： 800：请求成功。 900：请求失败。 800 error String 错误码。 ECPC1000 message String 提示信息。 OK. returnObj String 返回数据结构体。安全组id。 sgxxxxxxxxxxx 枚举参数 无 请求示例 请求url 无 请求头header 无 请求体body { "securityGroupOid":"sg41f5rni5zu4oufa85xwob" } 响应示例 { "statusCode":800, "message":"OK.", "returnObj":"sg41f5rni5zu4oufa85xwob" } 状态码 请参考 状态码 错误码 请参考 错误码

脱敏规则 配置数据脱敏任务时，您可以选择手动配置所需字段对应的脱敏规则，或者一键选择数据安全专区提供的脱敏模板。 如您希望创建自己的脱敏模板，可单击“管理”按钮，进入对应配置页面配置自定义脱敏模板。选择“保存”后单击“刷新” ，即可在下拉框中选择新创建的自定义模板。 您在配置完成后，可以单击“效果预览”查看脱敏效果。 非结构化实例 “非结构化实例”页面展示所有非结构化实例的详细数据，包括已被删除的非结构化任务对应的实例。 非监控结构化实例 1.使用系统管理员登录数据脱敏实例。 2.在左侧导航栏选择“脱敏/水印任务 > 非结构化实例 ”，进入“非结构化实例”页面。 3.选择需要监控的实例，单击“操作”列的“监控”按钮，可进入监控页面，您可选择从“运行日志”、“文件明细”两个角度对实例运行情况进行查看。

检查弹性伸缩组云防火墙 接口功能介绍 用于检查该账户下，哪些安全组被伸缩配置所使用 接口约束 无 URI POST /v4/scaling/config/securitygroupscheck 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必选 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 81f7728662dd11ec810800155d307d5b securityGroupIDList 是 Array of Strings 安全组ID列表 ['sgnd1h63d2j8'] 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 返回码：800表示成功，900表示失败 800 errorCode String 业务细分码，为product.module.code三段式码 Scaling.Group.NotFound 错误码 message String 失败时的错误描述，一般为英文描述 scaling group info not found description String 失败时的错误描述，一般为中文描述 未找到弹性伸缩组信息 returnObj Object 成功时返回的数据，参见表returnObj returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 securityGroupIDList Array of Strings 安全组ID列表 ['sgnd1h63d2j8'] 请求示例 请求头header 无 请求体body json { "regionID": "81f7728662dd11ec810800155d307d5b", "securityGroupIDList": ["sgnd1h63d2j8"] }

WAF界面配置 登录Web应用防火墙 1. 登录云等保专区控制台。 2. 在左侧导航栏，选择“Web应用防火墙”，单击操作列的“配置”，即可单点登录至Web应用防火墙。 配置WAF网卡接口 1. 创建eth1 点击Web应用防火墙Web界面“系统管理网络配置工作组添加”。 2. 点击“系统管理网络配置工作组eth1编辑”。 3. 地址设置 将IP地址及掩码按照申请的网卡地址正确填写到IP地址所在位置。并设置工作口网关。 4. 配置WAF VRRP。 1. 点击“系统管理系统部署VRRP配置新建”进入VRRP配置。 勾选eth1网卡。 2. 新建完成后点击右边“操作VRRP实例管理”。 单击“添加”。 自定义填写分组号以及优先级后（数字越高，优先级越高），在虚拟IP地址位置点击“+”号，默认勾选启用，然后申请的虚拟IP地址填入地址栏，点击保存。 备机同此配置，将初始状态改为Backup状态后确认保存配置。 3. 在VRRP配置页面，查看状态。 主： 备： 注意 由于目前WAF策略同步还处于适配阶段，故两台WAF的策略需手动同步，或在“安全管理 > 站点防护”中配置的安全策略保持一致，且在进行反代策略配置时，接入接口选择eth1口，代理IP地址选择虚拟IP。

安全办公场景 场景特点： 需要对员工行为做一定约束，对敏感岗位的电脑数据安全需要做到事前防控和事后审计，需要较丰富的管理功能。 推荐方案： 开通天翼AI云电脑（政企版）+ 管控策略+翼甲卫士（需要单独开通，详见翼甲卫士帮助指导）。 方案优势： 1、按需提供基于私网、公网的接入方式。 2、通过精细到品牌、型号的外设管控策略，防止未经授权的设备接入AI云电脑。 3、通过包括翼加密、屏幕水印、登录鉴权、登录审计在内的方式，加强信息泄露的事前威慑、事中管控、事后审计。 4、通过应用黑白名单、安全组、翼甲上网行为管理等组件，强化敏感岗位的员工行为管理。 5、提供包括文件剪切板权限、桌面工具栏权限、关机还原在内的其他个性化策略，帮助企业实现更多精细化、个性化的数据安全管理。 用户场景图：

接口功能介绍 查询用户指定的资源池vpc网络中的安全组列表。 接口约束 天翼云用户。 URI POST /osm/v2/console/listSecurityGroup 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 pageNumber 是 Integer 当前分页 1 pageSize 是 Integer 分页显示的数据条数 10 regionId 是 String 资源池id sec700c065cbbd35b8 vpcId 是 String vpc id vpc8293jdks732 响应参数 参数 参数类型 说明 示例 下级对象 error String 接口错误详情 statusCode String 接口请求状态码 00000表示成功，其他为失败 message String 请口操作结果说明 操作成功或失败说明 page Object 返回数据对像 page returnObj Array of Objects 返回数据对像数组 returnObj 表 page 参数 参数类型 说明 示例 下级对象 current Integer 当前分页 3 size Integer 分页数据记录数 10 total Integer 总数据量 54 表 returnObj 参数 参数类型 说明 示例 下级对象 vpcID String vpc id vpc077343 securityGroupID String 安全组id sec88238sjad securityGroupName String 安全组名称 secosm vpcName String vpc名称 vpcosm bandwidth String 带宽 100Mbps createdAt String 创建时间 2024/10/10 10:10 expireDate String 到期时间 2024/10/10 10:10

Web安全 相关Web应用层面的安全问题与事件,包括各种Web组件、协议、应用等。 正则防护 经验规则集，自动为网站防御SQL注入、XSS跨站、Webshell上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等通用的Web攻击。 网站白名单 通过设置网站白名单，可以让满足条件的请求不经过任何Web应用防火墙防护模块的检测，直接访问源站服务器。 IP黑名单 支持一键阻断来自指定IP地址、IP地址段以及指定地理区域的IP地址的访问请求。 0day漏洞 0day是指在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。 CC安全防护 根据访问者的URL，频率、行为等访问特征，智能识别CC攻击，迅速识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 防敏感信息泄露 帮助网站过滤服务器返回内容（异常页面或关键字）中的敏感信息（例如身份证号、银行卡号、电话号码和敏感词汇），脱敏展示敏感信息或返回默认异常响应页面。 网络爬虫 又称为网页蜘蛛，网络机器人，是一种按照一定的规则，自动地抓取万维网信息的程序或者脚本。 挖矿 借助大量计算能力来计算产生虚拟货币。

数据安全中心用户指南 天翼云数据安全中心用户指南.pdf

本节介绍安全分析功能使用流程。 安全分析功能使用具体流程： 子流程 说明 新增工作空间 新增工作空间，用于资源隔离和控制。 数据集成 配置需要接入的数据。态势感知（专业版）支持集成存储、管理与监管、安全等多种云产品的日志数据。集成后，可以检索并分析所有收集到的日志。 （可选）新增数据空间 创建用于存储收集日志数据的数据空间。通过控制台接入的数据，系统将创建默认数据空间，无需再进行创建。 （可选）创建管道 创建用于日志数据的采集、存储和查询的数据管道。通过控制台接入的数据，系统将创建默认数据管道，无需再进行创建。 配置索引 配置索引条件，缩小查询范围。 查询与分析 对接入的数据进行查询、分析。 下载日志 支持将原始日志或查询分析后的日志下载到本地。 图表统计 当您执行了查询分析语句后，态势感知（专业版）支持通过图表统计的形式对查询和分析的结果进行可视化展示。目前支持表格、折线图、柱状图和饼图方式进行展示。

订购说明 用户可以选择“区域”、“可用区”和“性能规格”，选择可用区和性能规格如下： 数据库安全审计版本规格和性能各版本的说明如下： 版本 支持的数据库实例 系统资源要求 性能参数 基础版 最多支持3个数据库实例 CPU：4U 内存：16GB 硬盘：500GB 吞吐量峰值：3,000条/秒 入库速率：360万条/小时 4亿条在线SQ语句存储 50亿条归档SQ语句存储 专业版 最多支持6个数据库实例 CPU：8U 内存：32GB 硬盘：1T 吞吐量峰值：6,000条/秒 入库速率：720万条/小时 6亿条在线SQ语句存储 100亿条归档SQ语句存储 高级版 最多支持30个数据库实例 CPU：16U 内存：64GB 硬盘：2T 吞吐量峰值：30,000条/秒 入库速率：1080万条/小时 15亿条在线SQ语句存储 600亿条归档SQ语句存储 注意 数据库实例通过数据库 IP+ 数据库端口计量。 如果同一数据库IP具有多个数据库端口，数据库实例数为数据库端口数。1个数据库IP只有1个数据库端口，即为一个数据库实例；1个数据库IP具有N个数据库端口，即为N个数据库实例。例如：用户有2个数据库资产分别为IP~1~和IP ~2~ ，IP~1~有一个数据库端口，则为1个数据库实例；IP~2~有3个数据库端口，则为3个数据库实例。IP~1~和IP~2~合计为4个数据库实例，选择服务版本规格时需要大于或等于4个数据库实例，即选用专业版（最多支持审计6个数据库实例）。 不支持修改规格。若要修改，请退订后重购。 本表中在线SQL语句的条数，是按照每条SQL语句的容量为1KB来计算的。 数据库安全审计实例参数说明如下： 参数名称 说明 虚拟私有云 您可以选择使用区域中已有的虚拟私有云（Virtual Private Cloud，VPC）网络，或者单击“查看虚拟私有云”，跳转到VPC管理控制台创建新的虚拟私有云。 说明 l 请选择Agent安装节点（应用端或数据库端）所在的VPC。 l 不支持修改VPC。若要修改，请退订后重购。 安全组 您可以选择区域中已有的安全组，或者在VPC管理控制台创建新的安全组。选择实例的安全组后，该实例将受到该安全组访问规则的保护。 子网 您可以选择VPC中已配置的子网，或者在VPC管理控制台为VPC创建新的子网。 实例名称 您可以自定义实例的名称。

本节介绍云等保专区产品的数据库审计配置类问题。 数据库审计如何进行接入配置？ 1. 首先进入到数据库审计原子能力后先修改管理口IP，在菜单栏选择“ 系统管理 > 系统配置 ”进入系统配置页面，选择网络页签，点击操作列中的“编辑”。 在弹出的编辑网口对话框中修改网口的IPv4地址、子网掩码、IPv6等配置信息，点击“保存”。 如果该网口是管理口，除修改网口的IPv4地址、子网掩码、IPv6配置信息，还可设置IPv4网关。 在网口管理区域的操作列中点击是否启用开关，可启用或禁用选中的网口（管理口无法被禁用）。 2. 然后添加系统需要审计的数据库，在菜单栏选择“ 资产 > 资产管理 ”进入资产管理页面，选择资产管理页签，点击“添加”。 在弹出的添加资产页面编辑相关信息。 如需配置其他更多信息，可点击“更多配置”，选择单向审计或双向审计，设置加密协议审计。 3. 然后配置数据库的安全规则和过滤规则，在菜单栏选择“ 规则配置 > 安全规则 ”进入安全规则页面，选择规则管理页签，点击“推荐”，切换至“全部”。 用户也可以管理自定义的规则，新增自定义安全规则的操作方法如下：在菜单栏选择“ 规则配置 > 安全规则 ”进入安全规则页面，选择规则管理页签，点击“新增”。 在新增规则对话框中编辑相关信息，点击“保存”。 接着启用规则，在菜单栏选择“规则配置 > 安全规则”进入安全规则页面，选择规则管理页签，在规则列表中勾选目标规则，点击“启用选中项”。 在弹出对话框中勾选资产，点击“确定”，则可将已启用的规则直接应用到选择的资产上。 4. 最后便于用户及时了解数据库的运行状态及安全告警信息，可查看报表订阅和告警通知，在菜单栏选择“报表中心 > 报表预览”进入报表预览页面，点击页面右上角的“订阅”。 进入添加订阅任务页面，编辑相关信息，点击“保存”。 系统支持多种消息通知模式，可及时将当前资产告警情况以及系统本身的状态信息提供给管理员，目前支持邮件、短信、企业微信、钉钉、SNMP、Syslog六种通知方式，详情阅读用户手册进行设置。

本节介绍如何购买云安全中心实例。 云安全中心支持包年/包月计费方式，目前提供标准版的主资源，两种扩展资源：日志分析量、态势大屏。您可以根据业务规模选择云安全中心规格。 前提条件 已注册天翼云账号并完成实名认证。 规格限制 态势大屏只可购买一次。 日志分析量扩展资源的购买资源最小单位为50G，即购买时只能选择50G的整数倍。 约束条件 同一账号在同一个区域只能开通一个云安全中心实例，对应一个服务版本。 开通云安全中心实例，必须购买主资源，主资源生效期间，支持叠加购买扩展资源，扩展资源与主资源绑定，到期时间与主资源一致，不支持单独续订、退订。 适用场景 用户购买了天翼云上的安全服务“Web应用防火墙（原生版）、服务器安全卫士（原生版）、云等保专区、数据库审计、云堡垒机（原生版）企业版、云防火墙（原生版）”并部署在天翼云上。 操作步骤 1. 登录天翼云控制中心。 2. 在控制台列表页，选择“安全 > 云安全中心”，进入云安全中心控制台。 3. 单击“立即购买”，进入购买页面。 4. 选择版本信息、扩展资源、购买时长。 参数 说明 基本信息 版本选择 支持“标准版”。规格详情请参见产品规格。 基本信息 计费模式 支持“包年包月”。 扩展配置 购买态势大屏 默认为“现在购买”，也可以选择“暂不购买”。 说明 态势大屏只可购买一次。 扩展配置 购买日志分析量 默认为“现在购买”，也可以选择“暂不购买”。 说明 云安全中心标准版免费提供50G的日志分析额度，如果您需要额外的额度，请另外购买。 日志分析量扩展资源的购买资源最小单位为50G，即购买时只能选择50G的整数倍。 订购 购买时长 拖动时间轴设置购买时长。 订购 自动续订 开启“自动续订”后，当服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 按月购买，自动续费周期默认为3个月。 按年购买，自动续费周期默认为1年。 如需要修改自动续费周期，可进入天翼云“费用中心 > 订单管理 > 续订管理”页面，找到对应的资源进行修改。 5. 确认配置参数和配置费用，阅读《云安全中心服务协议》并勾选“我已阅读，理解并接受《云安全中心服务协议》”，单击“立即购买”。 6. 进入“付款”页面，完成付款。

本节为您介绍数据安全中心提供的功能。 功能特性 说明 数据安全总览 展示数据安全全生命周期各个阶段的状态，包括云服务全景图（资产地图）、数据采集安全、数据传输/存储安全和数据交换/删除安全，实时呈现了用户资产的具体情况。 资产地图 通过可视化方式，从资产概况、分类分级、权限配置、数据存储、敏感数据等多个维度查看资产的安全状态，可快速发现风险资产并进行快速风险处理。 资产管理 资产列表：支持管理OBS、数据库、大数据和MRS数据资产。 数据目录：可查看不同业务域或不同类型数据的统计信息。 数据探索：查看当前已添加的所有数据资产详细信息，并对数据库、数据表以及数据视图等添加描述、标签、密级和分类操作，从而实现数据资产分级分类管理。 元数据任务：采集原数据。 数据管理：对现有数据进行分组管理。 敏感数据识别 数据自动分级分类：在AI和专家知识库的双重加权下，精确识别敏感数据和文件，覆盖结构化（RDS）和非结构化（OBS）两种数据类型，实现云上全场景覆盖。 文件类型：支持近200种非结构化文件。 数据类型：支持数十种个人隐私数据类型，包含中英文。 图片类型：支持识别（png、jpeg、xportablepixmap、tiff、bmp、gif、jpx、jp2总共8种类型）图片中的敏感文字，包含中英文。 合规模板：多种内置合规知识库，如GDPR，PCI DSS，HIPAA等。 自动识别敏感数据： 自动识别敏感数据及个人隐私数据。 支持自定义规则，场景适配不同行业。 提供可视化识别结果。 DSC服务敏感数据的识别时长将由您所扫描数据源的数据量、扫描规则数、扫描模式决定。 数据风险检测 用户异常行为分析：基于深度行为识别技术，建立用户行为基线，实现基线外异常操作实时告警，行为操作实时查询，行为轨迹可视化，风险事件关联识别，针对风险事件关联用户操作，完善溯源审计链条。 通常情况下，以下行为均被视为异常事件： 非法用户在未经授权的情况下对敏感数据进行了访问、下载。 合法用户对敏感数据进行了访问、下载、修改、权限更改、权限删除。 合法用户对敏感数据的桶进行权限更改、权限删除。 访问敏感数据的用户登录终端异常等情况。 数据脱敏 DSC的数据脱敏支持静态脱敏和动态脱敏。 DSC的数据脱敏特点： 不影响用户数据：从原始数据库读取数据，通过精确的脱敏引擎，对用户的敏感数据实施静态脱敏，脱敏结果另行存放，不会影响原始的用户数据。 支持云上各类场景：支持RDS，ECS自建数据库，大数据合规。 满足多种脱敏需求：用户可以通过20+种预置脱敏规则，或自定义脱敏规则来对指定数据库表进行脱敏。 实现一键合规：基于扫描结果自动提供脱敏合规建议，一键配置脱敏规则。 DSC通过内置和自定义脱敏算法，实现对RDS、Elasticsearch数据进行脱敏。 数据水印 针对PDF、PPT、Word、Excel格式的文件提供了添加和提取水印的功能。 版权证明：嵌入数据拥有者的信息，保证资产唯一归属，实现版权保护。 追踪溯源：嵌入数据使用者的信息，在发生数据泄露事件时，追踪其泄露源头。 同时，DSC提供了数据动态添加水印和提取数据水印的API接口供您使用。 告警通知 通过设置告警通知，当敏感数据检测完成后或异常事件处理监测到异常事件时，数据安全中心会将其检测结果通过用户设置的接收通知方式发送给用户。

接口功能介绍 将安全组复制到账号的其它资源池下。 接口约束 无 URI POST /v3/securityGroup/copySecurityGroup 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 securityGroupOidList 是 Array of Strings 要复制的安全组ID列表 targetRegionIdList 否 Array of Strings 复制的目标资源池ID列表, 非必传, 不传默认复制到账号下所有资源池 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码。可能值： 800：请求成功。 900：请求失败。 800 error String 错误码。 ECPC1000 message String 提示信息。 OK. returnObj Object 返回数据结构体。 returnObj 枚举参数 无 请求示例 请求url 请求头header 无 请求体body { "securityGroupOidList":["sgxxxa","sgxxxb"], "targetRegionIdList":["region1","region2"] } 响应示例 { "statusCode":800, "message":"OK.", "returnObj":{ } }

支持安全设备型号 设备子类 设备型号 防火墙 迪普防火墙、东软NetEye防火墙、H3C防火墙、Fortigatet防火墙、hillstone防火墙、Checkpoint防火墙等 IDS&IPS&IDP 启明星辰天阗IDS、安氏领信IDS、绿盟冰之眼IDS、SnortIDS、juniperIDP、启明IDS、华为IDS、网神IDS等 异常流量分析 Arbor异常流量分析系统、NTGGenie流量分析系统或攻击溯源、绿盟异常流量分析系统NTA等 数据库审计 imperva数据库审计系统、网御数据库审计系统、中安新云数据库审计、天融信数据加密系统、安华金和数据库审计系统等 企业网关 NeTrust企业网关、启明星辰天清汉马UTM、联想网御UTM等 异常流量清洗 迪普DDOS、绿盟黑洞DDOS网关等 VPN NeTrustSSLVPN、Array VPN系统、Juniper SSL VPN、F5 SSL VPN、天融信VPN等 网页防篡改系统 中创InforGuard、安恒网页防篡改 网络安全操作审计系统 UMAP堡垒机、福富4A、启明星辰网络安全审计系统等 安全扫描系统 安恒应用系统漏洞扫描、安恒应用系统数据库漏洞扫描、安恒操作系统漏洞扫描等 一次性口令审计 联创亚信一次性口令、上海众人一次性口令 其他安全设备 logdbftp、logdbdb 上网行为管理 深信服有线上网行为管理设备、黑盾无线上网行为管理设备、云讯通综合网管平台、5GSA核心网系统 深度威胁发现设备 亚信深度威胁设备TDA、360天眼、启明APT威胁检测、启明CS检测探针等 虚拟化安全设备 亚信虚拟化安全设备、朗维dlp、优炫dlp等 防病毒 网神防毒墙、瑞星、卡巴斯基反病毒、亚信防病毒、赛门铁克防病毒、趋势防病毒等 网闸 国保金泰网闸、网御星云网闸、天行网安网闸、南瑞网闸、天融信网闸等 终端安全 360、瑞星、金山、北信源、冠群金辰、Symantec等 AntiDDoS 绿盟DDoS、金盾DDoS、启明星辰DDoS、天融信DDoS、华为DDoS、H3CDDoS、网神DDoS等 网络运维审计系统 启明星辰、齐治、谐润、福富4A等 WAF 绿盟WAF、安信华WAF、知道创宇WAF、黑盾web应用防火墙等 蜜罐 魅影蜜罐、君立华域蜜罐、谛听蜜罐等 僵木蠕 恒安嘉兴僵木蠕

本节介绍专属加密服务的优势。 云上使用 专属加密旨在满足用户将线下加密设备能力转移到云上的要求，降低运维成本。 弹性扩容 灵活调整专属加密的数量，满足不同业务的加解密运算要求。 安全管理 专属加密实例设备管理与内容（敏感信息）管理权限分离，用户作为设备使用者完全控制密钥的产生、存储和访问授权，Dedicated HSM只负责监控和管理设备及其相关网络设施。即使Dedicated HSM的运维人员也无法获取到用户的密钥。 权限认证 敏感指令支持分类授权控制，有效防止越权行为。支持用户名口令认证、数字证书认证等多种权限认证方式。 可靠性 专属加密实例之间独享加密芯片，即使部分硬件芯片损坏也不影响使用。 安全合规 Dedicated HSM为您提供专属加密实例，帮助您保护弹性云服务器上数据的安全性和隐私性要求，满足监管合规要求。 应用广泛 Dedicated HSM可提供认证合规的金融加密机、服务器加密机以及签名验签服务器等，灵活支撑用户业务场景。

场景示例 下面提供了多种防护配置场景，您可以以此为参考结合自己网站的实际场景进行安全防护配置。如果以下使用场景示例均无法解决您的问题，您也可以通过联系我们说明您的需求，由天翼云安全专家提供解决方案。 防止网页被篡改 当攻击者通过系统漏洞入侵了您的系统后，可能会通过篡改数据或劫持网络等方式对网站内容进行恶意篡改，导致您的页面显示的被恶意篡改后的内容。此时，您可以使用安全与加速服务中的网页防篡改功能，添加您需要进行保护的页面。网页防篡改功能用于保护网站核心静态页面，通过对比源站响应与媒体存储中心缓存的响应，保护网站因为源站页面被恶意篡改带来的负面影响，同时您可以根据需要配置防篡改规则。 需要自定义防护场景 当您需要限制某些特殊接口的请求规则和请求频率时，您可以通过配置访问控制、频率控制策略来实现。又或者是遭受到CC等特殊攻击时，您可以配置CC防护等策略来拦截特殊的Web攻击内容。 敏感词信息泄露 敏感词防护功能支持对网站返回的内容进行脱敏展示，过滤内容包括敏感信息（如身份证、手机号、银行卡、邮箱等）。您可以根据实际需要设置敏感词防护规则，满足数据安全保护和等保合规需求。

Web应用防火墙（边缘云版）适用于天翼云以及天翼云外所有用户，包含但不限于网站类业务广泛应用于政府门户、金融证券、电子商务、新闻媒体、游戏、教育等行业的Web应用类安全防护。 应用场景 业务特点 Web应用防火墙（边缘云版）可解决的业务痛点 政企网站 作为政府、企业的互联网信息服务的重要渠道，保障网站的稳定运行是服务提供的关键。 集成各类业务平台，业务接口多。 信息数据量大，用户信息价值高。 对Web类攻击进行多维度识别和防御，防止网站被挂马、篡改影响网站声誉。 智能AI与大数据协同，在现有的防护体系上扩充防护规则，提高防护效果。 降低硬件防护压力，利用边缘云安全、算力优势，减少硬件维护成本。 0day虚拟补丁第一时间生成防护策略，避免漏洞被利用带来负面影响。 金融行业 网站上存在大量的用户敏感信息，非法者利用刷库、撞库等手段获取用户账号信息。 常收到境外攻击团队勒索邮件，遭受攻击较多。 受行业监管要求，金融机构每年定期组织安全演练。 信用卡中心的各种推广活动，引来“羊毛党”通过恶意程序、软件等工具进行营销欺诈。 “云端+本地”双重保障，对攻击进行层层识别和防御，避免数据泄漏造成负面影响。 行业情报共享，不断优化安全防护模板。 爬虫防护，精准的人机识别，在拦截爬虫的同时，保障业务的正常进行。 新闻媒体 对外服务站点多，暴露面广，容易成为黑客突破口。 站点脆弱性未知，存在大量的漏洞未修复。 舆论、监管压力大，受主管、监管单位严格监管。 爬虫、钓鱼重灾区，竞争对手恶意竞争。 CNAME接入防御，自助配置，隐藏并保护源站，保障网站内容不被黑客入侵篡改。 通过业务分析及攻击分析定制防护策略，有效提升防护的精准度。 情报共享，全网攻击数据分析入库，反哺优化护网期间的攻击策略。 提供爬虫和 IP 情报特征，快速识别恶意爬虫行为。 教育行业 大量用户集中访问，高并发易卡顿。 跨区域运营商访问慢。 站点脆弱性未知，漏洞利用风险高。 挂马、数据篡改等事件高发时段。 域名CNAME接入，不改变源站架构，快速接入防护策略。 智能选路，分布式部署，资源弹性扩容，从容应对高并发。 0day漏洞快速修复，避免漏洞被利用带来负面影响。 支持防篡改，以及网站安全监测，提前预警防患于未然。

本节介绍如何在漏洞扫描中进行Syslog日志外发配置。 前提条件 已购买漏洞扫描资源，且资源状态为“运行中”。 操作步骤 1. 登录云等保专区控制台，在左侧导航栏，选择“漏洞扫描”，在目标资源右侧操作列单击“配置”，进入漏洞扫描系统。 2. 在漏洞扫描左侧导航栏，选择“系统管理 > 配置”，选择“系统配置”页签，找到“syslog同步设置”。 3. 配置syslog同步设置参数，配置完成后，单击“确定”，即可完成Syslog外送配置。 状态：设置为“开启”。 syslog ip：配置外送目的地IP。 syslog端口：配置目的地端口。

此章节为您介绍如何选购密码服务的相关业务。 若您需要购买密码服务的相关业务，可参考本章节进行选购。 说明 您在控制台购买密码服务业务前，请先提交工单申请开通购买白名单。 操作步骤 1. 登录密码服务管理控制台。 2. 单击右上角的“订购密评专区”，跳转至订购页面。 3. 选择您业务所需要的部署地域和可用区。 4. 选择需要购买的产品和规格。 配置项 配置项说明 密码产品 综合安全网关服务 每个服务支持1000并发，可叠加，最多支持购买10个，建议搭配EIP使用。 密码产品 密钥管理服务 提供安全、可靠的密钥管理服务，密钥管理购买后保存的密钥请在密钥管理服务中查询。 密码产品 数据加密网关服务 提供重要数据的加密和解密服务，满足密评中对重要数据传输和存储的机密性要求。 密码产品 协同签名服务 每个服务支持1000并发，可叠加，最多支持购买10个。 密码产品 数字证书认证系统 支持1万证书签发，5个CA，兼容RSA、ECC、SM2算法。 国密套件 国密浏览器 选择需购买的国密浏览器个数，兼容主流国产操作系统，满足国密安全传输要求。 国密套件 智能密码钥匙 选择需购买的密钥钥匙个数。 国密套件 协同签名客户端 支持IOS、Android、Windows、Linux等操作系统，每个客户端占1个配额，最多支持购买10000个。 国密套件 证书管理服务 提供权威证书管理服务（证书有效期至少为一年，购买时长小于一年会默认为一年时长）。 国密证书、国际证书购买后会保存至证书管理服务控制台。 密评服务 密评咨询服务 为应用设计密码应用方案，协助密评机构开展密评，单个应用配置1套。 密评服务 密评测评服务 支持1个应用密码应用安全性评估。 密评服务 密码改造服务 项目特殊需求定制服务，下单前请提前和产品经理沟通并评估工作量，根据工作量确定下单数量。 5. 购买密码产品，还需要配置企业项目、网络信息。 配置项 配置项说明 企业项目 选择此次购买的密评服务所属的企业项目，方便您进行管理。 虚拟私有云 选择密码产品实例所要配置的虚拟私有云。 注意 成功创建后，VPC不可更换，请谨慎选择。 安全组 选择密码产品实例所在的安全组。 子网 选择密码产品实例所属的子网。 6. 购买密码产品，还需要配置密码产品管理员账号初始账密。 配置项 配置项说明 用户名 设置购买的密码产品实例管理员初始账号。 密码 设置购买的密码产品实例管理员初始密码。 确认密码 二次确认购买的密码产品实例管理员初始密码。 7. 选择购买密码产品、证书管理服务的时长。 支持开启“到期自动续费”。开启自动续费后，当服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 8. 配置完成后，勾选“我已阅读并同意《天翼云密码服务服务协议》《隐私政策声明》”后，单击“提交订单”。