二类节点 说明 需要用户手动设置安全组，保证页面访问和日志传输，如何配置安全组请参考安全组。 端口 协议 方向 用途 说明 514 UDP 入方向 Syslogudp采集 来源IP限制为需要上报采集的网段。 162 UDP 入方向 Snmptrap采集 来源IP限制为需要上报采集的网段。 10443 TCP 入方向 门户端口 来源IP限制为实例控制台地址，如果不开放，则无法访问Web界面。 433 HTTPS 出方向 日志审计实例心跳上报、授权许可同步到控制台 如果不开放，则会导致无法正常完成在线升级、升配、续订操作。 53 UDP 出方向 日志审计实例心跳上报、授权许可同步到控制台需要的DNS解析 如果不开放，则会导致无法正常完成在线升级、升配、续订操作 配置安全组 “一类节点”区域的实例，如何配置安全组请参考安全组。 “二类节点”区域的实例，如何配置安全组请参考安全组。 说明 日志审计（原生版）支持的区域请参见[支持的区域](

添加安全组规则 安全组中的入方向规则默认开启了22端口，当云主机的SSH登录端口修改为5000时，需要为安全组新加一条规则。 1.登录管理控制台。 2.选择“计算 > 弹性云主机”，进入云主机控制台。 3.单击云主机名称“ecsf5a2”进入详情页面。 4.选择“安全组”页签，单击展开安全组规则详情，单击列表右上角的“更改安全组规则”。 5.添加一条入方向规则，如下图所示。 图 安全组规则 编辑hosts.allow和hosts.deny “/etc/hosts.allow”和“/etc/hosts.deny”是控制远程访问的文件，通过配置该文件可以允许或者拒绝某个IP或者IP段的客户访问Linux云主机的某项服务。 比如SSH服务，通常只对管理员开放，那我们就可以禁用不必要的IP，而只开放管理员可能使用到的IP段。 因为云主机需要在不同地点登录，建议编辑“/etc/hosts.allow”允许所有IP地址登录，这样不会影响正常使用。 vim /etc/hosts.allow 在最后一行增加“sshd:ALL”。 我们可以通过一些方法识别云主机的安全风险，比如检查SSH状态，查看疑似恶意登录的IP，然后在“/etc/hosts.deny”中将这些地址禁止。

参数 参数说明 区域 集群的工作区域。 可用区 显示创建集群时所选择的可用区信息。 虚拟私有云 VPC信息，创建集群时所选。 VPC即虚拟私有云，是通过逻辑方式进行网络隔离，提供安全、隔离的网络环境。 DWS集群创建成功后，其虚拟私有云将不能更改为其他的虚拟私有云，但是您可以编辑和修改当前的虚拟私有云。单击此处的虚拟私有云名称，进入虚拟私有云详情页面，您可以对虚拟私有进行设置。有关虚拟私有云的详细操作，请参见《 子网 子网信息，创建集群时所选。 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 DWS集群创建成功后，其子网将不能更改为其他子网，但是您可以编辑和修改当前的子网。单击此处的子网名称，进入子网详情页面，您可以对子网进行设置。有关子网的详细操作，请参见《 安全组 显示创建集群时所选择的安全组信息。 DWS集群创建成功后，其安全组将不能更改为其他安全组，但是您可以编辑和修改当前的安全组，在当前的安全组中添加、删除或修改安全组规则。 单击此处的安全组名称，进入安全组详情页面，您可以对安全组进行设置。有关安全组的详细操作，请参见《

本节介绍安全云应用客户端指南内容。 安全云应用由管理台统一管理和分发，用户登录国产化AI云电脑时，快捷方式会直接生成到用户桌面，用户无需手动安装客户端及应用，点击即可直接使用。 托盘功能 安全云应用提供了一个自运维工具，常驻在系统桌面右下角任务栏，用户可根据使用情况选择对应的功能，对服务进行维护与恢复。 USB设备管理：支持通过客户端调整外设的运行环境，例如需要把打印机从UOS同步到安全云应用的WPS环境时，可通过该功能，勾选对应打印机设备后即可使用。 网络参数配置：支持在国产化AI云电脑使用安全云应用中配置的网络代理，解决在国产化AI云电脑下无相关的vpn软件。 关闭所有应用：支持通过客户端从进程上直接结束应用，从而解决应用本身的卡死问题。 重启应用服务器：支持通过客户端直接重启安全云应用的实例虚机，从而重启整个服务，解决绝大部分的异常问题。 安全云应用输入法：输入法切换，使用安全云应用内输入法还是本机输入法。

参数 描述 虚拟私有云 文档数据库实例所在的虚拟专用网络，可对不同业务进行网络隔离，方便地管理、配置内部网络，进行安全、快捷的网络变更。您需要创建或选择所需的虚拟私有云。所需虚拟私有云的使用限制请参见实例连接方式介绍。 说明 实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 实例创建成功后，可以修改子网分配的内网地址，具体请参见 安全组 安全组限制安全访问规则，加强文档数据库服务与其它服务间的安全访问。 说明 请确保所选取的安全组允许客户端访问数据库实例（如协议选择为TCP，方向选择为入方向，端口设置为8635，源地址设置为实例所属子网或所属安全组）。

操作指引 关于使用安全组时的一些常见类问题，可参考常见问题“安全类”。 关于配置安全组规则放通弹性云主机对应的常见端口，可参考文档“云主机的常用端口”。

接口功能介绍 查询安全组规则列表v3 接口约束 无 URI GET /v3/securityGroup/rule/describe 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx securityGroupOid 是 String 安全组ID 请求参数 请求头header参数 无 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码。可能值： 800：请求成功。 900：请求失败。 800 error String 错误码。 ECPC1000 message String 提示信息。 OK. returnObj Object 返回数据对象 returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 securityGroupOid String 安全组id securityGroupName String 安全组名字 osSecurityGroupName String os侧安全组名字 foreignGroupId String 安全组uuid remark String 描述 strategynetworkDTOList Array of Objects 规则列表 strategynetworkDTOList 表 strategynetworkDTOList 参数 参数类型 说明 示例 下级对象 direction Integer 规则方向。[入方向：15，出方向：10] ipAddressField String IP地址 protocolType String 端口协议。[10：自定义TCP，15：自定义UDP，20：全部ICMP，25：GRE，30：全部TCP非自定义，35：全部UDP非自定义，99：全部放通] portRange String 端口范围，例如 20000,20006，如果是全部端口则填 ALL authPolicy Integer 规则类型。[拒绝：15，允许：10] securityGroupOid String 安全组ID

本节介绍云等保专区产品的漏洞扫描配置类问题。 漏扫扫描如何进行接入配置？ 1. 用户登录后先进行资产管理设置，添加资产，便于后续对资产进行扫描，在菜单栏选择“ 资产管理 > 资产列表 ”，选择主机资产页签，点击“新增”。 在弹出的新建主机资产对话框中编辑相关信息，点击“提交”。 2. 接着创建扫描策略，制定扫描策略模板，使扫描任务更具针对性，在菜单栏选择“ 模板中心 > 漏洞模板 ”，选择主机策略页签，点击“新增”。 进入新建主机策略模板页面，编辑策略模板名称，选择策略规则（策略规则从等级、目标、类型三个维度进行分类），勾选对应的策略，点击“提交”。 3. 然后创建扫描任务，开启扫描任务后对于主机漏洞进行扫描，在菜单栏选择“ 任务管理 > 任务列表 ”，进入任务列表页面，点击“新增”，页面跳转至创建任务页面，具体操作请参见创建任务。 4. 最后扫描结束后，导出扫描报告，针对扫描结果分析资产安全风险，菜单栏选择“报告管理”，进入报告管理页面，点击“新增”。 进入新建报告页面，编辑相关信息，点击“输出报告”。

云服务分类 云服务名称 产品控制台创建资源时是否支持绑定标签 产品控制台列表是否支持绑定和解绑标签 标签字符长度限制 标签字符内容限制 单实例默认可绑定标签个数 计算 弹性云主机 是 是 128位 首尾不包含空格 50 计算 GPU云主机 是 是 128位 首尾不包含空格 50 计算 物理机 是 是 128位 首尾不包含空格 50 计算 镜像服务 是 是 128位 首尾不包含空格 50 计算 弹性伸缩服务 是 是 128位 首尾不包含空格 50 计算 云主机快照 是 是 128位 首尾不包含空格 50 计算 SSH秘钥对 是 是 128位 首尾不包含空格 50 存储 云硬盘 是 是 128位 开头不包含空格 50 存储 弹性文件服务 否 是 128位 首尾不包含空格 50 存储 对象存储 是 是 128位 首尾不包含空格 50 存储 并行文件服务HPFS 是 是 128位 首尾不包含空格 50 存储 海量文件服务OceanFS 是 是 128位 首尾不包含空格 50 存储 云硬盘备份 是 是 128位 开头不包含空格 50 存储 云主机备份 是 是 128位 开头不包含空格 50 网络 弹性负载均衡 是 是 128位 首尾不包含空格 50 网络 共享流量包 否 是 128位 首尾不包含空格 50 网络 VPC终端节点 是 是 128位 首尾不包含空格 50 网络 NAT网关 是 是 128位 首尾不包含空格 50 网络 网关负载均衡 是 是 128位 首尾不包含空格 50 网络 内网DNS 否 是 128位 首尾不包含空格 50 网络 弹性IP 否 是 128位 首尾不包含空格 50 网络 共享带宽 否 是 128位 首尾不包含空格 50 网络 虚拟私有云 否 是 128位 首尾不包含空格 50 网络 流量镜像 否 是 128位 首尾不包含空格 50 网络 对等连接 是 是 128位 首尾不包含空格 50 网络 云间高速（标准版） 否 是 128位 首尾不包含空格 50 网络 VPN连接 否 是 128位 首尾不包含空格 50 网络 云专线CDA 是 是 128位 首尾不包含空格 50 专属云 专属云（计算独享型） 是 是 128位 首尾不包括空格 50 云原生 云容器引擎 是 是 128位 首尾不包含空格 50 云原生 容器镜像服务 否 是 128位 首尾不包含空格 50 云原生 云日志服务 否 是 128位 首尾不包含空格 50 云原生 应用性能监控 否 是 128位 首尾不包含空格 20 云原生 微服务云应用平台MSAP 否 是 128位 首尾不包含空格 50 云原生 微服务引擎API网关 否 是 128位 首尾不包含空格 20 云原生 微服务引擎微服务治理 否 是 128位 首尾不包含空格 20 云原生 微服务引擎注册配置中心 否 是 128位 首尾不包含空格 20 云原生 服务网格 否 是 128位 首尾不包含空格 50 云原生 分布式缓存服务Redis版 是 是 128位 首尾不包含空格 50 云原生 分布式消息队列RocketMQ 是 是 128位 首尾不包含空格 50 云原生 分布式消息队列RabbitMQ 是 是 128位 首尾不包含空格 50 云原生 分布式消息队列Kafka 是 是 128位 首尾不包含空格 50 云原生 分布式消息队列MQTT 是 是 128位 首尾不包含空格 50 云原生 弹性容器实例ECI 否 是 128位 首尾不包含空格 50 云原生 分布式容器云平台CCE ONE 是 是 128位 首尾不包含空格 20 云原生 Serverless容器引擎 是 是 128位 首尾不包含空格 50 云原生 函数计算 否 是 128位 首尾不包含空格 50 安全及管理 Web应用防火墙（原生版） 否 是 无限制 首尾不包含空格 50 安全及管理 服务器安全卫士（原生版） 否 是 128位 首尾不包含空格 10 安全及管理 云等保专区 否 是 128位 首尾不包含空格 50 安全及管理 数据库审计 否 是 128位 首尾不包含空格 10 安全及管理 云堡垒机（原生版） 否 是 128位 首尾不包含空格 10 安全及管理 日志审计（原生版） 否 是 128位 首尾不包含空格 10 安全及管理 秘钥管理 否 是 128位 首尾不包含空格 10 安全及管理 云密评专区 否 是 128位 首尾不包含空格 10 数据库 文档数据库服务 是 是 128位 首尾不包含空格 50 数据库 分布式关系型数据库 是 是 128位 首尾不包含空格 10 数据库 关系数据库PostgreSQL版 是 是 128位 首尾不包含空格 50 数据库 关系数据库MySQL版 是 是 128位 首尾不包含空格 50 数据库 云数据库ClickHouse版 是 是 128位 首尾不包含空格 50 数据库 关系数据库SQL Server版 是 是 128位 首尾不包含空格 50 数据库 数据传输服务DTS 否 是 128位 首尾不包含空格 50

产品优势 资源独享：独享宿主机的所有资源，包括CPU、内存等，保证性能的绝对稳定和实例间互访的稳定性。 灵活扩展：根据行业特点和业务要求灵活定制所需专属云资源，也可以按需使用公共资源池资源。 安全可信赖的云生态：天翼云始终将安全与数据合规融入到云平台框架体系及云产品服务功能之中，为用户打造安全可信赖的云生态。 VIP服务：以用户为中心，724VIP用户运维服务。 场景架构 场景三：对安全有高要求的行业 场景说明 对于安全、性能及可靠性有高要求的应用场景，如金融、政府行业等。可通过计算资源物理隔离，网络及存储资源逻辑隔离来充分保障业务安全运行，为用户打造一个立体的安全防护环境。 产品优势 安全隔离：专属云通过物理手段将系统、设备或资源与公有云资源隔离开，有效防止未经授权的访问或干扰，并可减少用户之间的资源相互影响。 灵活扩展：根据行业特点和业务要求灵活定制所需专属云资源，也可以按需使用公共资源池资源。 安全可信赖的云生态：天翼云始终将安全与数据合规融入到云平台框架体系及云产品服务功能之中，为用户打造安全可信赖的云生态。 VIP服务：以用户为中心，724VIP用户运维服务。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的特殊字符访问拦截功能。 功能介绍 通过识别请求URI中的非法特殊字符进行拦截，避免源站服务器无法处理而出现错误。 用户可自定义特殊字符的类型以及触发拦截的条件。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【访问控制/限流】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【特殊字符访问拦截】详细设置。 配置说明 配置项 说明 防护模式 关闭：不开启特殊字符访问检测。 拦截：对请求URI中的特殊字符进行检测，若触发防护条件，则对请求进行拦截。 告警：对请求URI中的特殊字符进行检测，若触发防护条件，产生攻击日志，不进行拦截。 特殊字符 定义需要检测的特殊字符，支持添加多个，支持删除。 防护范围 防护粒度：支持选择PATH和URI，多个防护粒度为且关系，满足所有条件时，才触发处理动作。 逻辑符号：等于/不等于。 匹配内容：不同的粒度支持输入不同的匹配内容。一般支持输入多条，多条内容用英文符号;分隔。 防护条件 统计粒度为URI，当“检测字符数”或"检测字符类型数"达到配置值时，将触发处理动作。 检测字符数”、"检测字符类型数"两个配置条件为或关系。 检测字符数建议为5，检测字符类型数建议为3。 检测最大长度 检测的最大原始字符串长度（未解码前），若不填写默认检测前100个字符。 最大可配置2028。

总览页面分为云服务全景图（资产地图）、数据采集安全、数据传输/存储安全、数据使用安全和数据交换/删除安全共五大板块，实时呈现了用户资产的具体情况。 前提要求 已完成资产访问的授权，参考云资产委托授权/停止授权进行操作。 已完成添加数据库资产，参考数据库资产清单进行操作。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全> 数据安全中心”，进入数据安全中心总览界面。 4. 查看数据安全中心服务的总览—云服务全景图。 提供数据资产地图，帮助客户建立数据资产的全景视图，可视化呈现数据资产分布、数据敏感程度、当前的风险级别。 梳理云上数据资产：自动扫描并梳理云上数据资产，地图化展示资产分布，帮助用户解决数据在哪里的问题。 敏感数据展示：基于DSC的三层数据识别引擎、预置合规规则、自然语义识别技术、文件相似度检测技术，对数据资产进行分类分级。 对数据资产按照“风险VPC数”、“风险安全组数”、“风险主机数”、“风险RDS数”、“风险OBS数”进行分类展示。 每类资产按照“高危”、“中危”、“低危”、“未识别风险”对敏感数据进行分级定位。 风险监控和预警：基于风险识别引擎，对数据资产进行风险监控，展示每类资产的风险分布，并预警。 说明 将鼠标移动到数据资产图标处，可查看资产相关信息。 单击数据资产图标，在界面的右侧弹框中可详细查看该资产的“基本信息”、“风险信息”或者“风险安全组规则”等信息。 5. 查看数据安全中心服务的总览—数据采集安全。 DSC根据敏感数据规则对敏感数据进行识别和敏感等级分类，您可以在总览页面查看您资产中不同风险等级的数据的分布情况。 基于敏感字段在文件中出现的累计次数和敏感字段关联组来判断文件的敏感性，并根据文件的敏感程度将其划分为四个等级：“未识别风险”、“低风险”、“中风险”和“高风险”。风险等级依次递增。具体风险等级情况说明： 未识别风险：0级 低风险：1~3级 中风险：4~7级 高风险：8~10级 在柱状图中，不同高度代表该风险等级的资产数量。将鼠标箭头放置在柱状图上，可查看该风险等级的资产数量。 6. 查看数据安全中心服务的总览—数据传输/存储安全。 数据传输安全：DSC统计了以下可能存在传输安全的项，您可以直接单击具体项的名称，查看详细情况。 VPN连接数：您的资产中存在已创建的虚拟专用网络，具体的请参考《VPN服务用户指南》。 云专线连接数：您的资产中存在已创建的云专线物理连接，具体的请参考《云专线用户指南》。 ELB未采用加密通信的监听器：添加监听器时，未使用加密通信HTTPS协议的监听器数量的统计，建议您采用HTTS协议进行加密通信，具体的操作请参见修改监听器。 SSL证书订阅：您的资产中存在已购买或者已上传的证书数量，了解SSL证书请参考《SSL证书管理用户指南》。 WAF未采用加密通信的域名：WAF中添加域名时，未使用加密传输HTTPS协议的域名数量的统计，建议您采用HTTPS协议进行加密通信，具体的操作请参见修改服务器信息。 数据存储安全：该模块为您罗列了存在未加密的对象桶，为了防止您的资产存在不必要的存储安全，建议您单击对象桶名称，前往OBS界面，对未加密的对象桶进行加密。 7. 查看数据安全中心服务的总览—数据使用安全。 该模块统计了“近30分钟”、“近3小时”、“近24小时”、“近7天”、“近30天”内的数据使用安全信息。 未处理异常事件：按“数据访问异常”、“数据操作异常”、“数据管理异常”所占比例进行展示。同时，展示了异常事件总数、违例确认总数和违例排除总数。 单击“未处理异常事件”中的其中一个颜色区域，可查看指定数据异常占比。 当不需要展示某种类型的异常事件时，单击事件分布图右侧攻击类型对应的颜色方块，取消在事件分布圆环中的展示。 Top5访问源IP：前5的访问源IP的统计。 Top5被访问高风险对象：被访问的对象中，排在前5的高风险对象。 Top5访问帐号：前5的访问帐号的统计。 8. 查看数据安全中心服务的总览—数据交换/删除安全。 数据交换安全：展示了已创建的“静态脱敏任务数”以及“水印API调用次数”，如何创建数据脱敏任务请参考创建数据脱敏任务。 数据删除安全：DSC为您统计了数据库、ECS、OBS资产的当日删除数和总删除数。

参数 说明 虚拟私有云 SQL Server实例所在的虚拟专用网络，可对不同业务进行网络隔离，您可以根据需求选择所需的虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效。 安全组 安全组限制实例的安全访问规则，加强SQL Server与其他服务间的安全访问。如果选择了不同的安全组，请注意添加安全组访问规则，开通网络访问。 IP地址 这里特指用户连接数据库的VPC IP地址。提供自动分配IP及手动指定IP两个选项，手工指定IP允许用户自行指定一个未被占用的VPC IP地址。 端口 允许指定数据库端口，默认1433。

本节介绍内容安全检测服务特性说明和应用场景。 内容安全检测服务，基于丰富的违规样例库和内容审核专家经验，通过机器审核加人工审核结合的方式，帮助您准确检测出Web网站和新媒体平台上的关于涉黄、涉赌、涉毒、暴恐、涉政、惊悚、违禁广告等敏感违规内容，并提供文本内容纠错审校（错别字、生僻字、语法表述不当等有违准确性内容）。并提供专业检测报告助您自纠自查，降低内容违规风险。 特性说明 特性 说明 检测位置 检测Web网站和新媒体平台发布的内容。 检测范围 内容的合法合规性、准确性。 检测技术 机器检测：基于丰富的违规样例库进行机器初审核。 检测技术 人工审核：内容审核专家基于多年经验对机器检测结果进行再审核。 交付形式 Word形式的检测报告。 “检测类型”选择“内容安全单次检测（按需）”时，下单后的7个工作日内出报告。 “检测类型”选择“文本安全监测（按月/按年）”时，下单后的检测周期（1个月）后的7个工作日内出报告。 计费模式 包年/包月（预付费）和按需计费（后付费）两种计费方式。 文本安全监测（按年） 文本安全监测（按月） 内容安全单次检测（按需） 按“检测对象”的总个数进行收费。同一个对象再次进行扫描时，需要重新收费。例如：单次配置了10个检测对象（新媒体账号或网站网址），每个检测对象检测一次，则需要进行10次收费。

安全组 安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。安全组工作在网络层和传输层，它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 更多内容请参见安全组安全组概述。 弹性IP 弹性IP（Elastic IP Address，简称EIP）是可以独立申请的公网IP地址，将弹性IP地址和子网中关联的各项云资源绑定和解绑，可以实现VPC中的云资源通过固定的公网IP地址与互联网互通。弹性IP产品既包含公网IP地址，也可以提供公网带宽服务，与其他带宽产品组合使用，可以达到访问公网与节省成本的目的。 弹性IP需与绑定的云资源在同一个区域进行使用，不允许跨区域（Region）使用弹性IP。 更多内容请参见弹性IP产品介绍。

参数 说明 取值样例 协议端口 安全组规则作用的协议。 目前支持“全部方通”、“全部TCP”“自定义TCP”、“全部UDP”、“自定义UDP”“ICMP”和“GRE”等协议。 选择“全部放通”，表示全部协议端口。 自定义TCP 协议端口 端口：允许远端地址访问弹性云主机指定端口。 通过内网连接实例 时，输入已购买弹性云主机的目标实例的端口。 单个端口：例如22 连续端口：例如2230 全部端口：为空或165535 地址 源地址：可以是IP地址、安全组。 xxx.xxx.xxx.xxx/32（IPv4地址） xxx.xxx.xxx.0/24（子网） 0.0.0.0/0（任意地址） 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“<”和“>”。 操作 支持复制或删除一条安全组规则。只有一条安全组规则时不能删除。

开启防护 基础版/企业版/旗舰版 您可以为已购买的服务器开启基础版/高级版/企业版/旗舰版安全防护，开启后按照已购买版本所提供的能力对服务器进行安全防护。 操作须知 开启防护需要足够的防护配额，若提示配额不足，企业版可选择按需模式，其他版本需购买配额后再进行开启操作，主机防护配额购买详情请参见 购买主机安全防护配额，容器安全配额购买详情请参见购买容器安全配额。 检测周期 主机防护每日凌晨会进行全量检测。 若您在检测周期前开启防护，您需要等到次日凌晨检测后才能查看检测结果，或者立即执行手动检测。 前提条件 已购买的服务器已正常安装Agent且“Agent状态”为“在线”、“防护状态”为“未防护”。 约束条件 Linux操作系统 使用鲲鹏计算EulerOS（EulerOS with ARM）的主机，在遭受SSH帐户破解攻击时，HSS不会对攻击IP进行拦截，仅支持对攻击行为进行告警。 Windows操作系统 开启主机防护时，需要授权开启Windows防火墙，且使用主机安全服务期间请勿关闭Windows防火墙。若关闭Windows防火墙，HSS无法拦截帐户暴力破解的攻击源IP。 通过手动开启Windows防火墙，也可能导致HSS不能拦截帐户暴力破解的攻击源IP。

接口功能介绍 修改安全组v3 接口约束 无 URI POST /v3/securityGroup/update 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 securityGroupOid 是 String 安全组ID securityGroupName 是 String 安全组名称 remark 否 String 安全组备注 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码。可能值： 800：请求成功。 900：请求失败。 800 error String 错误码。 ECPC1000 message String 提示信息。 OK. returnObj String 返回数据结构体。安全组id。 sg41f5rni5zu4oufa85xwob 枚举参数 无 请求示例 请求url 无 请求头header 无 请求体body { "securityGroupOid":"sg41f5rni5zu4oufa85xwob", "securityGroupName":"securityapitest", "remark":"qqq" } 响应示例 { "statusCode":800, "message":"OK.", "returnObj":"sg41f5rni5zu4oufa85xwob" }

参数 说明 取值样例 协议端口 安全组规则作用的协议。 目前支持“全部方通”、“全部TCP”“自定义TCP”、“全部UDP”、“自定义UDP”“ICMP”和“GRE”等协议。 选择“全部放通”，表示全部协议端口。 自定义TCP 协议端口 端口：允许远端地址访问弹性云主机指定端口。 通过内网连接实例 时，输入已购买弹性云主机的目标实例的端口。 单个端口：例如22 连续端口：例如2230 全部端口：为空或165535 源地址 源地址：可以是IP地址、安全组。 xxx.xxx.xxx.xxx/32（IPv4地址） xxx.xxx.xxx.0/24（子网） 0.0.0.0/0（任意地址） 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“<”和“>”。 操作 支持复制或删除一条安全组规则。只有一条安全组规则时不能删除。

开启防护 基础版/企业版/旗舰版 您可以为已购买的服务器开启基础版/高级版/企业版/旗舰版安全防护，开启后按照已购买版本所提供的能力对服务器进行安全防护。 操作须知 开启防护需要足够的防护配额，若提示配额不足，企业版可选择按需模式，其他版本需购买配额后再进行开启操作，主机防护配额购买详情请参见 购买主机安全防护配额，容器安全配额购买详情请参见购买容器安全配额。 检测周期 主机防护每日凌晨会进行全量检测。 若您在检测周期前开启防护，您需要等到次日凌晨检测后才能查看检测结果，或者立即执行手动检测。 前提条件 已购买的服务器已正常安装Agent且“Agent状态”为“在线”、“防护状态”为“未防护”。 约束条件 Linux操作系统 使用鲲鹏计算EulerOS（EulerOS with ARM）的主机，在遭受SSH帐户破解攻击时，HSS不会对攻击IP进行拦截，仅支持对攻击行为进行告警。 Windows操作系统 开启主机防护时，需要授权开启Windows防火墙，且使用主机安全服务期间请勿关闭Windows防火墙。若关闭Windows防火墙，HSS无法拦截帐户暴力破解的攻击源IP。 通过手动开启Windows防火墙，也可能导致HSS不能拦截帐户暴力破解的攻击源IP。

安全组 安全组可重复使用，您也可以根据实际情况使用不同的安全组，请根据实际需要进行配置。 创建安全组的操作指导，请参考虚拟私有云创建安全组。 若需要为安全组添加规则，请参考虚拟私有云安全组添加安全组规则。 弹性云主机 用户若需要自己客户应用接入RocketMQ发送、消费消息，需先购买弹性云主机并确保和RocketMQ实例在同一VPC下。创建操作说明请参见创建弹性云主机。 其他工具 下载安装工具Eclipse3.6.0以上版本或者IntelliJ ，JDK 1.8.111以上版本。 生产消费验证涉及的SDK如下： rocketmq引擎版本：推荐使用的社区版Java SDK版本为4.9.3，请访问Apache RocketMQ官网下载。 ctgmq引擎版本（已调整白名单特性）：点击ctgmqSDK直接下载。

本文介绍 专属云（计算独享型）的主要应用场景和优势。 适用于对安全有高要求的行业、对系统稳定运行有要求的行业和对资源使用灵活性要求高的行业，例如金融、政府和互联网行业等等。具体如下： 场景一 对安全有高要求的行业 场景描述 对于安全、性能及可靠性有高要求的应用场景，如金融、政府行业等。用户间计算资源物理隔离，网络资源逻辑隔离，结合分布式存储及多种安全防护产品，为用户打造一个立体的安全防护环境。 产品优势 资源安全隔离—用户之间资源物理隔离、VPC网络隔离，满足用户独占物理资源的需求 计算高性能—用户专享计算资源，消除用户之间的资源影响，满足高性能场景需求 存储高并发—搭配专属云（存储独享型）产品使用实现业务数据高并发能力同时满足业务数据的安全 场景二 对于系统稳定有高要求的场景 场景描述 对于系统稳定有高要求的业务场景，专属云为用户提供专用的服务器/集群，帮助用户解决资源共享场景下服务质量恶化的情况，保障业务系统稳定运行。 产品优势 资源安全隔离—专属云资源物理隔离，企业重要应用与其他系统物理隔离，保障用户的业务平稳运行 场景三 科学计算

服务版本 适用场景说明 基础版 适用个人网站防护。 标准版 适用中小型网站，对业务没有特殊的安全需求。 企业版 适用中型企业级网站或服务对互联网公众开放的网站，关注数据安全且具有高标准的安全需求。 旗舰版 适用中大型企业网站，具备较大的业务规模，或是具有特殊定制的安全需求。

接口功能介绍 创建安全组v3 接口约束 无 URI POST /v3/securityGroup/create 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 securityGroupName 是 String 安全组名称 remark 否 String 安全组备注 strategynetworkDTOList 否 Array of Objects 安全组规则信息 strategynetworkDTOList 表 strategynetworkDTOList 参数 是否必填 参数类型 说明 示例 下级对象 direction 是 Integer 规则方向。[入方向：15，出方向：10] ipAddressField 是 String IP地址 protocolType 是 String 端口协议。[10：自定义TCP，15：自定义UDP，20：全部ICMP，25：GRE，30：全部TCP非自定义，35：全部UDP非自定义，99：全部放通] portRange 是 String 端口范围，例如 20000,20006，如果是全部端口则填 ALL authPolicy 是 Integer 规则类型。[拒绝：15，允许：10]

本章节主要介绍云搜索服务的安全模式集群。 当前我们提供的Elasticsearch 6.5.4及之后版本集群为您增加了安全模式功能，当您开启后，安全模式将会为您提供身份验证、授权以及加密等功能。 以下功能介绍以kibana可视化界面操作为例。 说明 安全模式只能在创建集群时开启。集群创建成功后，不支持开启或者关闭安全模式。 基本名词解释 安全模式名词解释 名词 描述 Permission 单个动作，例如创建索引（例如indices:admin/create）。 Action group操作组 一组权限。例如，预定义的SEARCH操作组授权角色使用search和msearchAPI。 Role角色 角色定义为权限或操作组的组合，包括对集群，索引，文档或字段的操作权限。 Backend role后端角色 （可选）来自授权后端的其他外部角色（例如LDAP / Active Directory）。 User用户 用户可以向Elasticsearch集群发出操作请求。用户具有凭证（例如，用户名和密码）、零个或多个后端角色以及零个或多个自定义属性。 Role mapping角色映射 用户在成功进行身份验证后会担任角色。角色映射，就是将角色映射到用户（或后端角色）。例如，kibanauser（角色）到jdoe（用户）的映射意味着John Doe在获得kibanauser身份验证后获得了所有权限。同样，allaccess（角色）到admin（后端角色）的映射意味着具有后端角色admin（来自LDAP / Active Directory服务器）的任何用户都获得了allaccess身份验证后的所有权限。您可以将每个角色映射到许多用户和/或后端角色。

参数 描述 虚拟私有云 文档数据库实例所在的虚拟专用网络，可对不同业务进行网络隔离，方便地管理、配置内部网络，进行安全、快捷的网络变更。您需要创建或选择所需的虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 实例创建成功后，可以修改子网分配的内网地址，具体请参见 安全组 安全组限制安全访问规则，加强文档数据库服务与其它服务间的安全访问。 说明 请确保所选取的安全组允许客户端访问数据库实例（如协议选择为TCP，方向选择为入方向，端口设置为8635，源地址设置为实例所属子网或所属安全组）。 跨网段访问配置 现在设置 配置源端对应的网段，确保在源端ECS网络与实例节点网络连通的前提下， 可以在ECS端连接实例。 说明 源端ECS连接实例的前提是与实例节点网络通信正常，如果网络不通，可以参考

参数名称 说明 取值样例 虚拟私有云 可以选择使用已有的虚拟私有云（Virtual Private Cloud，VPC）网络，或者单击“申请虚拟私有云”创建新的虚拟私有云。 vpcsec 安全组 界面显示专属加密实例已配置的安全组。选择专属加密实例的安全组后，该专属加密实例将受到该安全组访问规则的保护。 sg533c 网卡 界面显示所有可选择的子网，系统自动分配一个未使用的IP地址。 subnet1（10.1..0.0/16） 实例名称 专属加密实例的名称。 DedicatedHSM

本节介绍专属加密限制说明及操作指引。 限制说明 专属加密实例需要配合虚拟私有云（VPC）一起使用。创建专属加密实例后，需要在管理控制台中实例化专属加密实例（配置VPC网络、安全组、网卡），才能正常使用。 专属加密实例出于安全性的考虑，不对公网提供服务，您需要将专属加密实例管理工具部署到与专属加密实例同一VPC网络中，才能对专属加密实例进行管理。 操作指引 当用户需要在云上使用专属加密服务时，可通过Dedicated HSM界面创建专属加密实例。创建专属加密实例后，当用户收到Dedicated HSM邮寄的Ukey后，通过Ukey初始化，并管控专属加密实例。用户通过专属加密实例管理工具授权业务APP，允许业务用户通过业务APP访问专属加密实例。操作指引如图所示。 操作指引说明如下表所示。 操作指引说明 编号 操作步骤 说明 操作角色 1 创建专属加密实例 通过Dedicated HSM界面创建专属加密实例。 用户 2 分配专属加密实例 Dedicated HSM分配专属加密实例给用户。安全专家将通过您提供的联系方式与您联系，并确定您订购的专属加密实例是否满足您的业务要求，若满足要求，安全专家将分配专属加密实例给您。 专属加密服务安全专家 3 邮寄UKey并提供配套初始化文档及软件 安全专家将通过您提供的Ukey收件地址将Ukey邮寄给您。Ukey是Dedicated HSM提供给您的身份识别卡，此卡仅购买专属加密实例的用户持有，请妥善保管。 安全专家将会为您提供初始化专属加密实例的软件及相关指导文档。 专属加密服务安全专家 4 初始化、管控（UKey认证） 在专属加密实例管理节点上安装我们为您提供的管理工具。使用Ukey和管理工具初始化专属加密实例，并注册相应的管理员，管控专属加密实例，对密钥进行管理。 用户 5 安装安全代理软件并授权 在业务APP节点上安装我们为您提供的安全代理软件并执行相关初始化操作。 用户 6 访问 业务APP通过API或者SDK的方式访问专属加密实例。 用户

本节介绍AccessKey的管理操作说明。 AccessKey 是调用 AIuse 云电脑 SDK 和 MCP 能力的身份凭证。调用方需要使用 AccessKey ID、AccessKey Secret 和桌面编码建立连接，并在授权范围内操作云电脑。 创建 AccessKey 操作步骤如下： 1. 登录 AIuse 云电脑控制台。 2. 进入“协同套件 AIuse 云电脑”功能专区。 3. 在服务管理页面单击“创建 AccessKey”。 4. 输入 AccessKey 名称等信息。 5. 确认创建。 创建完成后，请妥善保存 AccessKey ID 和 AccessKey Secret。AccessKey Secret 属于敏感凭证，不应通过截图、聊天工具、工单附件或公开仓库传播。 命名建议 建议 AccessKey 名称包含业务含义，便于后续管理和排查。 名称示例 说明 demodevkey 演示环境使用 projectatestkey 项目 A 测试环境使用 financebatchprodkey 财务批处理生产任务使用 关联云电脑 AccessKey 创建后，需要关联指定云电脑才可使用。 操作步骤如下： 1. 在服务管理页面找到目标 AccessKey。 2. 单击“关联云电脑”。 3. 在弹窗中搜索并选择需要绑定的云电脑。 4. 单击确认，完成绑定。 AccessKey 只能操作已关联的云电脑。若调用时返回“指定桌面不属于当前用户”或类似错误，请优先检查 AccessKey 与云电脑的关联关系。 查看与复制密钥 在 AccessKey 列表中，可以查看 AccessKey ID、AccessKey Secret 和关联云电脑数量。复制密钥时，请确认当前环境安全，避免在录屏、投屏或共享屏幕场景下展示 Secret。

视频 天翼云媒体存储服务等级协议 容器与企业中间件 云容器引擎服务等级协议 微服务云应用平台服务等级协议 分布式消息服务RabbitMQ服务等级协议 分布式消息服务RocketMQ服务等级协议 分布式消息服务Kafka服务等级协议 天翼云软件开发生产线CodeArts服务等级协议 天翼云应用性能监控APM服务等级协议 天翼云容器安全卫士服务等级协议 天翼云应用服务网格服务等级协议 天翼云微服务引擎服务等级协议 天翼云容器镜像服务等级协议 天翼云函数计算服务等级协议 安全 Web应用防火墙（边缘云版）服务等级协议 天翼云高防（边缘云版）服务等级协议 天翼云网站安全监测服务等级协议 天翼云爬虫管理平台服务等级协议 天翼云容器安全平台服务等级协议 天翼云托管检测与响应服务（原生版）服务等级协议 天翼云密评专区服务等级协议 天翼云日志审计服务等级协议 天翼云证书管理服务等级协议 天翼云云堡垒机服务等级协议 天翼云密钥管理服务等级协议 天翼云云安全中心服务等级协议 天翼云Web应用防火墙（原生版）服务等级协议 天翼云云防火墙（原生版）服务等级协议 天翼云Web应用防火墙（独享版）服务等级协议 天翼云漏洞扫描（专业版）服务等级协议 天翼云企业主机安全服务等级协议 天翼云态势感知（专业版）服务等级协议 天翼云云防火墙服务等级协议 天翼云运维安全中心（云堡垒机）服务等级协议

本页介绍天翼云TeleDB数据库中强制访问控制。 强制访问是基于自定义的安全策略最终通过标签实现对用户和表的行级安全加密。安全策略(Policy)是等级(Level)和隔离区(Compartment)，组(Group)和标签(Label)的集合，最终通过绑定标签实现行级安全。其实现原理是将表和用户绑定到标签上，再由标签关联等级(必选)，隔离区(可选)和安全组(可选)，形成了一个多级的行级安全加密体系。 安全策略(Policy)：是指创建等级(Level)，隔离区(Compartment)，组(Group)和标签(Label)必须指定所属的安全策略。 等级(Level)：提供第二等级的安全控制，标签必须指定等级。 隔离区(Compartment)：提供第二等级的安全控制，可选。 组(Group)：提供第三等级的安全控制，一种树状的结构，可选。 标签(Label)：最终通过标签绑定体现行级安全。仅当用户被赋予的标签比此行标签有相同或更高等时，该行才可以被用户存取。 注意 分号(:)和逗号(,)保留用于多级安全体系的表达，安全策略中组件的名字不要使用。 在Teledb中，创建安全策略需要通过teledbxmls插件，需要创建插件 SQL CREATE EXTENSION teledbxmls; 安全策略 通过MLSCLSCREATEPOLICY()函数创建安全策略 SQL SELECT MLSCLSCREATEPOLICY(policyname, policyid) 参数描述： policyname(策略名称): 要创建的策略的名称，大小写敏感，不可以空。 policyid(策略ID): 用于标识策略的唯一ID，取值范围[1, 100]。 安全等级(Level) 通过函数MLSCLSCREATELEVEL()函数创建安全等级。 SQL SELECT MLSCLSCREATELEVEL(policyname, levelid, shortname, longname) 参数描述： policyname（策略名称）: 指定要添加安全级别的策略名称，不可以为空。 levelid（级别ID）: 用于标识安全级别的唯一ID，取值范围[0, 32767]。 shortname（名称）: 安全级别的名称，大小写敏感，不可为空，不可以含空格和tabj键。 shortname（名称）: 安全级别的名称，大小写敏感，不可为空，不可以含空格和tabj键。 longname（完整名称）: 安全级别的描述。 通过MLSCLSALTERLEVELDESCRIPTION()函数修改等级的标签描述。 SQL SELECT MLSCLSALTERLEVELDESCRIPTION(policyname, levelid, longname) 安全隔离区(Compartment) 通过MLSCLSCREATECOMPARTMENT()函数创建安全隔离区(Compartment)。 SQL SELECT MLSCLSCREATECOMPARTMENT(policyname, compartmentid, shortname, longname) 参数 描述 ： policyname（策略名称）: 指定要添加安全隔离区的策略名称。 compartmentid（隔离区ID）: 用于标识安全隔离区的唯一ID，取值范围[0, 32767]。 shortname（简称）: 安全隔离区的简称。 longname（完整名称）: 安全隔离区的完整名称。 安全组(Group) 通过MLSCLSCREATEGROUPROOT()函数创建新的安全组根节点（Group Root） SQL SELECT MLSCLSCREATEGROUPROOT(policyname, rootid, shortname, longname) 参数描述： policyname（策略名称）: 指定要创建安全组根节点的策略名称。 rootid（根节点ID）: 用于标识安全组根节点的唯一ID。 shortname（简称）: 安全组根节点的简称。 longname（完整名称）: 安全组根节点的完整名称。 通过MLSCLSCREATEGROUPNODE()函数在数据库中创建新的安全组子节点（Group Node）并将其设置为指定父节点的子节点。 SQL SELECT MLSCLSCREATEGROUPNODE(policyname, childid, shortname, longname, parentshortz) 参数描述： policyname（策略名称）: 指定要创建安全组子节点的策略名称。 childid（子节点ID）: 用于标识安全组子节点的唯一ID。 shortname（简称）: 安全组子节点的简称。 longname（完整名称）: 安全组子节点的完整名称。 parentshortname（父节点简称）: 安全组子节点所属的父节点的简称。 标签(LABEL) 通过MLSCLSCREATELABEL()函数创建或替换MLS 策略的标签（label），并将其存储到数据库中。 SQL SELECT MLSCLSCREATELABEL(policyname, labelid, labelstr) 参数描述： policyname（策略名称）: 指定要添加标签的策略名称。 labelid（标签ID）: 用于标识标签的唯一ID，取值范围[0, 32767]。 labelstr（标签名）: 标签，不可为空，长度不超过256。由 ，其compartmentids和groupids由1到N个ID构成，ID间用,分割。有效的表达形式如下： levelid:compartmentid1,compartmentid2,...compartmentidN:groupid1,groupid2,...groupidN levelid:compartmentid:groupid levelid:compartmentid: levelid::groupid levelid:: 表标签绑定 通过MLSCLSCREATETABLELABEL()函数将指定标签绑定到指定的表(Table)，并将相关数据存储到pgclstable系统表。 SQL SELECT MLSCLSCREATETABLELABEL(policyname labelid, schemaname, tablename) 参数描述： policyname（策略名称）: 指定要应用的策略名称。 labelid（标签ID）: 要应用于表的标签ID，取值范围[0, 32767]。 schemaname（模式名称）: 表所在的模式名。 tablename（表格名称）: 要应用标签的表名。 通过MLSCLSDROPTABLELABEL()函数删除绑定到表上的标签并更新pgclstable系统表数据。 SQL MLSCLSDROPTABLELABEL(policyname, schemaname, tablename) 用户标签绑定/删除 通过MLSCLSCREATEUSERLABEL()函数为指定的用户创建一个带有默认标签的用户账户，并将其存储到 pgclsuser 表中。 SQL SELECT MLSCLSCREATEUSERLABEL(policyname, username name, defreadlabel, defwritelabel, defrowlabel) 参数描述： policyname（策略名称）: 指定要应用的策略名称。 username（用户名）: 要创建标签的用户账户名称。 defreadlabel（默认读标签）: 为用户定义的默认读标签ID。 defwritelabel（默认写标签）: 为用户定义的默认写标签ID。 defrowlabel（默认行标签）: 为用户定义的默认行标签ID。 通过MLSCLSDROPUSERLABEL()函数为指定用户删除标签，并将pgclsuser 表中指定用户的标签删除，且断开指定用户当前所有的数据库连接。 SQL SELECT MLSCLSDROPUSERLABEL(username) 参数描述： username（用户名）: 要删除指定用户标签的用户账户名称。 示例： 初始化环境 SQL c mlsadmin 创建安全策略 select MLSCLSCREATEPOLICY('rlspolicy', 66); 创建安全等级 select MLSCLSCREATELEVEL('rlspolicy', 10, 'defaultlevel', 'default Level'); select MLSCLSCREATELEVEL('rlspolicy', 10, 'userlevel', 'user Level'); select MLSCLSCREATELEVEL('rlspolicy', 9, 'badlevel', 'bad Level'); select MLSCLSCREATELEVEL('rlspolicy', 100, 'goodlevel', 'good Level'); 创建隔离区 select MLSCLSCREATECOMPARTMENT('rlspolicy', 30, 'rlscom0', 'RLS compartment 0'); select MLSCLSCREATECOMPARTMENT('rlspolicy', 31, 'rlscom1', 'RLS compartment 1'); select MLSCLSCREATECOMPARTMENT('rlspolicy', 32, 'rlscom2', 'RLS compartment 2'); 创建安全组 select MLSCLSCREATEGROUPROOT('rlspolicy', 50, 'root', 'group root'); select MLSCLSCREATEGROUPNODE('rlspolicy', 51, 'child1', 'child of root node 1', 'root'); select MLSCLSCREATEGROUPNODE('rlspolicy', 52, 'child2', 'child of root node 2', 'root'); select MLSCLSCREATEGROUPNODE('rlspolicy', 511, 'child11', 'child of child1 node 1', 'child1'); select MLSCLSCREATEGROUPNODE('rlspolicy', 512, 'child12', 'child of child1 node 2', 'child1'); 创建安全标签，此时和安全等级，隔离区以及安全组进行绑定 select MLSCLSCREATELABEL('rlspolicy', 1024, 'defaultlevel:rlscom0:child12'); 将标签绑定到表 alter table public.tbl1 add column cls clsitem default '99:1024'; select MLSCLSCREATETABLELABEL('rlspolicy', 1024, 'public', 'tbl1'); 安全等级 SQL select MLSCLSCREATELABEL('rlspolicy', 1025, 'userlevel::'); select MLSCLSCREATELABEL('rlspolicy', 1026, 'badlevel::'); select MLSCLSCREATELABEL('rlspolicy', 1027, 'goodlevel::'); 将标签绑定到用户 select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike1', 1024, 1024, 1024); select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike2', 1025, 1025, 1025); select MLSCLSCREATEUSERLABEL('rlspolicy', 'badgodlike1', 1026, 1026, 1026); select MLSCLSCREATEUSERLABEL('rlspolicy', 'goodgodlike1', 1027, 1027, 1027); SQL c godlike1 insert into public.tbl1 select generateseries(1,3), generateseries(1,3); select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:1024 2 2 66:1024 3 3 66:1024 (3 rows) SQL c godlike2 insert into public.tbl1 select generateseries(4,6), generateseries(4,6); 当前用户不在隔离区，无法看到godlike1用户创建的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 4 4 66:1025 5 5 66:1025 6 6 66:1025 (3 rows） SQL c badgodlike1 低优先级的用户无法看到高优先级的用户插入的数据 select from public.tbl1 order by col1; col1 col2 cls ++ (0 rows) SQL insert into public.tbl1 select generateseries(7,9), generateseries(7,9); 低优先级用户可以看到自己创建的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 7 7 66:1026 8 8 66:1026 9 9 66:1026 (3 rows) SQL c goodgodlike1 高优先级用户可以看到低优先级用户创建的数据 同时无法看到隔离区的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 4 4 66:1025 5 5 66:1025 6 6 66:1025 7 7 66:1026 8 8 66:1026 9 9 66:1026 (6 rows) SQL insert into public.tbl1 select generateseries(10,12), generateseries(10,12); select from public.tbl1 order by col1; col1 col2 cls ++ 4 4 66:1025 5 5 66:1025 6 6 66:1025 7 7 66:1026 8 8 66:1026 9 9 66:1026 10 10 66:1027 11 11 66:1027 12 12 66:1027 (9 rows) SQL c godlike1 高优先级用户可以看到比自己低优先级用户创建的数据 无法看到比自己优先级高的用户创建的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:1024 2 2 66:1024 3 3 66:1024 4 4 66:1025 5 5 66:1025 6 6 66:1025 7 7 66:1026 8 8 66:1026 9 9 66:1026 (9 rows) SQL c commonuser0 select from public.tbl1 order by col1; col1 col2 cls ++ (0 rows) 安全隔离区 SQL c mlsadmin select MLSCLSDROPUSERLABEL('godlike1'); select MLSCLSDROPUSERLABEL('godlike2'); select MLSCLSDROPUSERLABEL('badgodlike1'); select MLSCLSDROPUSERLABEL('goodgodlike1'); 创建安全标签，并绑定隔隔离区 select MLSCLSCREATELABEL('rlspolicy', 2048, 'defaultlevel:rlscom0:'); select MLSCLSCREATELABEL('rlspolicy', 2049, 'defaultlevel:rlscom0,rlscom1,rlscom2:'); select MLSCLSCREATELABEL('rlspolicy', 2050, 'defaultlevel:rlscom1,rlscom2:'); select MLSCLSCREATELABEL('rlspolicy', 2051, 'defaultlevel:rlscom0,rlscom2:'); 将标签绑定到用户 select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike1', 2048, 2048, 2048); select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike2', 2049, 2049, 2049); select MLSCLSCREATEUSERLABEL('rlspolicy', 'badgodlike1', 2050, 2050, 2050); select MLSCLSCREATEUSERLABEL('rlspolicy', 'goodgodlike1', 2051, 2051, 2051); SQL c godlike1 insert into public.tbl1 select generateseries(1,3), generateseries(1,3); select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:2048 2 2 66:2048 3 3 66:2048 (3 rows) SQL c godlike2 insert into public.tbl1 select generateseries(4,6), generateseries(4,6); 当前用户所在隔离区含godlike1用户隔离区，可以看到godlike1的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:2048 2 2 66:2048 3 3 66:2048 4 4 66:2049 5 5 66:2049 6 6 66:2049 (6 rows) SQL c badgodlike1 insert into public.tbl1 select generateseries(7,9), generateseries(7,9); 当前用户所在隔离区无法包含前面用户的隔离区，无法看到他们插入的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 7 7 66:2050 8 8 66:2050 9 9 66:2050 (3 rows) SQL c goodgodlike1 insert into public.tbl1 select generateseries(10,12), generateseries(10,12); 相同等级，godlike1的隔离区是当前的子集，当前用户可以看到godlike1插入的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:2048 2 2 66:2048 3 3 66:2048 10 10 66:2051 11 11 66:2051 12 12 66:2051 (6 rows) SQL c godlike2 当前用户含rlscom0,rlscom1,rlscom2三个隔离区可以看到之前插入的所有数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:2048 2 2 66:2048 3 3 66:2048 4 4 66:2049 5 5 66:2049 6 6 66:2049 7 7 66:2050 8 8 66:2050 9 9 66:2050 10 10 66:2051 11 11 66:2051 12 12 66:2051 (12 rows) 安全组 SQL c mlsadmin select MLSCLSDROPUSERLABEL('godlike1'); select MLSCLSDROPUSERLABEL('godlike2'); select MLSCLSDROPUSERLABEL('badgodlike1'); select MLSCLSDROPUSERLABEL('goodgodlike1'); 创建安全标签，并绑定用户组 select MLSCLSCREATELABEL('rlspolicy', 4096, 'defaultlevel:rlscom0:root'); select MLSCLSCREATELABEL('rlspolicy', 4097, 'defaultlevel:rlscom0:child1'); select MLSCLSCREATELABEL('rlspolicy', 4098, 'defaultlevel:rlscom0:child11,child12'); 将标签绑定到用户 select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike1', 4096, 4096, 4096); select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike2', 4097, 4097, 4097); select MLSCLSCREATEUSERLABEL('rlspolicy', 'badgodlike1', 4098, 4098, 4098); SQL c badgodlike1 insert into public.tbl1 select generateseries(1,3), generateseries(1,3); select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:4098 2 2 66:4098 3 3 66:4098 (3 rows) SQL c godlike2 insert into public.tbl1 select generateseries(4,6), generateseries(4,6); 安全组根节点可以看到子节点数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:4098 2 2 66:4098 3 3 66:4098 4 4 66:4097 5 5 66:4097 6 6 66:4097 (6 rows) SQL c godlike1 insert into public.tbl1 select generateseries(7,9), generateseries(7,9); 安全组根节点可以看到所有子节点数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:4098 2 2 66:4098 3 3 66:4098 4 4 66:4097 5 5 66:4097 6 6 66:4097 7 7 66:4096 8 8 66:4096 9 9 66:4096 (9 rows) SQL c badgodlike1 子节点 无法看到根节点数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:4098 2 2 66:4098 3 3 66:4098 (3 rows)

参数 说明 区域 在下拉框选择区域。 检测类型 “内容安全单次检测（按需）”：针对单个网站或新媒体账号的文字、图片、音频、视频内容进行检测，检测完成后提供一份内容检测报告。 “文本安全监测（按月）”：针对单个网站或新媒体账号的文字内容进行内容安全监测，并在一个自然月后输出内容监测月报。 “文本安全监测（按年）”：针对单个网站或新媒体账号的文字内容进行内容安全监测，并在每一个自然月后输出内容监测月报，一个自然年后输出内容监测年报。 检测对象类型 检测对象类型包含： “新媒体”：支持主流新媒体平台的内容审查，包括文本、图片、音频、视频等。 “网站”：支持网站内容审查，可根据URL检测网站内容，可自行排查检测站内网页、链接内容，包括文本、图片、音频、视频等。 检测对象 “检测对象类型”选择“新媒体”时：输入需要检测的账号名称，并备注新媒体平台。 每一行表示一个新媒体账号，多个新媒体账号以回车换行分割；同一行内的新媒体账号和备注之间以英文逗号分割，每行最多支持500个英文字符（1个中文字符等于2个英文字符）。 “检测对象类型”选择“网站”时：输入被检测网站完整域名与备注信息。 每一行表示一个检测网址，多个网址以回车换行分割；同一行内的网址和备注之间以英文逗号分割，如无备注，可只输入网址，每行最多支持500个英文字符（1个中文字符等于2个英文字符）。