本文主要介绍如何使用客户端限速功能。 背景说明 在您使用AOne零信任服务、AOne学术加速服务时，可根据企业场景进行单客户端访问限速。 在AOne零信任场景，限速仅针对内网访问进行，若您订购的是“带宽计费”，则带宽超量达到阈值后则会进行自动限速。 若是AOne学术加速场景，限速仅针对学术加速资源进行限速，不影响其他互联网访问。 操作步骤 1.登录边缘安全加速控制台，进入AOne零信任或AOne学术加速工作台。 2.在左侧导航栏，选择设置客户端设置客户端限速，查看相应的配置和管理。 3.可根据业务需求进行相关配置操作。 功能说明 开启限速后，该企业全部用户单个客户端的对应访问带宽速率将受到影响，开启限速时，需填写限速阈值。

本节主要介绍如何启用流程。 前提条件 已激活流程版本，具体操作请参见管理流程版本。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，进入剧本管理页面后，选择“流程”页签，进入流程管理页面。 5. 在目标流程所在行的“操作”列，单击“启用”，页面弹出启用确认框。 6. 在弹出的确认框中，选择启用的流程版本后，单击“确定”，完成流程启用。

应急响应服务接入流程，含购买、准备、应急响应、验收等阶段。 服务阶段 实施任务 实施内容 交付物 购买阶段 购买应急响应服务 按照购买指引，选择自身需要的服务内容及配置，并完成购买支付 购买阶段 发起应急响应服务需求 发起应急响应服务需求，详细操作请参见获取应急响应服务序列号 准备阶段 确定评估范围、小组成员、准备《保密协议、授权书》、漏扫等工具 确定安全评估范围，项目小组成员，准备《保密协议、授权书》、漏扫等工具 《保密协议、授权书》 《服务确认及风险告知书》 应急响应阶段 信息收集 对网络现状进行资产评估，核查现有的资产信息情况 《应急响应报告》 应急响应阶段 攻击路径还原 根据用户提供的信息对服务器日志、攻击者痕迹、安全设备日志及流量的分析，还原攻击者的攻击路径，理清安全事件的真实原因 《应急响应报告》 应急响应阶段 问题文件清理 对用户服务器中可能隐藏的蠕虫病毒、后门程序、Rootkit 等恶意软件提供清理方案，通过上机排查，使用工具和手工对服务器后门进行清除 《应急响应报告》 应急响应阶段 安全漏洞复检 基于网络安全事件应急响应资产问题，服务团队提供相应的安全加固建议，在用户对资产完成加固后提供漏洞复检工作，以确认资产漏洞完全修复，避免再次出现相同的安全事件 《应急响应报告》 应急响应阶段 编制报告 编制应急响应报告 《应急响应报告》 验收阶段 工作总结会议 组织双方人员进行总结汇报 《验收材料汇编》 验收阶段 验收 提交相关技术文档 《验收材料汇编》

本节介绍什么是SSH密钥及使用限制条件。 简介 SSH密钥对是一种安全便捷的登录认证方式，由公钥和私钥组成。 SSH密钥对通过加密算法生成一对密钥，默认采用RSA 2048位的加密方式。 要使用SSH密钥对登录Linux实例，用户必须先创建一个密钥对，并在创建实例时指定密钥对，然后使用私钥连接实例。 优势 安全性：SSH密钥对登录认证更为安全可靠。密钥对安全强度远高于常规用户口令，可以杜绝暴力破解威胁，且无法通过公钥推导出私钥。 便捷性：如果客户将公钥配置在Linux实例中，那么，在本地或者另外一台实例中，您可以使用私钥通过SSH命令或相关工具登录目标实例，而不需要输入密码，便于远程登录大量Linux实例，方便管理。如果需要批量维护多台Linux实例，推荐使用这种方式登录。 使用限制 如果使用SSH密钥对登录Linux实例，将会禁用密码登录，以提高安全性。 仅支持Linux实例。 通过控制台绑定密钥对时，一台Linux实例只能绑定一个密钥对，如果用户有使用多个密钥对登录实例的需求，可以在实例内部手动修改~/.ssh/authorizedkeys文件，添加多个密钥对。创建虚拟机实例时可选是否关联密钥对。

本文主要介绍产品优势。 分布式消息服务Kafka完全兼容开源社区版本，旨在为用户提供便捷高效的消息队列。业务无需改动即可快速迁移上云，为您节省维护和使用成本。 一键式部署，免去集群搭建烦恼 您只需要在实例管理界面选好规格配置，提交订单。后台将自动创建部署完成一整套Kafka实例。 兼容开源，业务零改动迁移上云 兼容社区版Kafka的API，具备原生Kafka的所有消息处理特性。 业务系统基于开源的Kafka进行开发，只需加入少量认证安全配置，即可使用分布式消息服务Kafka，做到无缝迁移。 说明 Kafka实例兼容开源社区Kafka 1.1.0、2.3.0和2.7版本。在客户端使用上，推荐使用和服务端版本一致的版本。 安全保证 独有的安全加固体系，提供业务操作云端审计，消息存储加密等有效安全措施。 在网络通信方面，除了提供SASL（Simple Authentication and Security Layer）认证，还借助虚拟私有云（VPC）和安全组等加强网络访问控制。 数据高可靠 Kafka实例支持消息持久化，多副本存储机制。副本间消息同步、异步复制，数据同步或异步落盘多种方式供您自由选择。 集群架构与跨AZ部署，服务高可用 Kafka后台为多集群部署，支持故障自动迁移和容错，保证业务的可靠运行。 Kafka实例支持跨AZ部署，代理部署在不同的AZ，进一步保障服务高可用。不同AZ之间基于Kafka ISR（insync replica）进行数据同步，Topic需要选择数据多副本并且将不同副本分布到不同的ISR上，在ISR正常同步状态下，故障RPO（Recovery Point Objective）趋近于0。 无忧运维 云服务平台提供一整套完整的监控告警等运维服务，故障自动发现和告警，避免724小时人工值守。Kafka实例自动上报相关监控指标，如分区数、主题数、堆积消息数等，并支持配置监控数据发送规则，您可以在第一时间通过短信、邮件等获得业务消息队列的运行使用和负载状态。 海量消息堆积与弹性扩容 内建的分布式集群技术，使得服务具有高度扩展性。分区数可配置多达100个，存储空间弹性扩展，保证在高并发、高性能和大规模场景下的访问能力，轻松实现百亿级消息的堆积和访问能力。 多规格灵活选择 Kafka实例的带宽与存储资源可灵活配置，并且自定义Topic的分区数、副本数。

本节介绍如何接入安全产品的日志、告警。 开通云安全中心实例后，系统默认会接入部分日志数据并对用户进行初始化配置。您可以根据自己的业务特性修改初始化配置。 在云安全中心的集成配置页面，选择需要接入的日志类型。部分日志支持直接转告警，可以直接打开转告警开关，云安全中心会根据内置转告警规则进行转告警配置。 前提条件 已购买云安全中心实例，具体操作请参见购买云安全中心实例。 已购买天翼云上的安全服务“Web应用防火墙（原生版）、服务器安全卫士（原生版）、云等保专区、数据库审计、云堡垒机（原生版）企业版、云防火墙（原生版）”并部署在天翼云上。 操作步骤 1. 登录云安全中心控制台。 2. 在左侧导航栏，选择“设置 > 数据源监控”，打开数据源监控页面。 3. 在操作列点击“启用”，确保数据源监控处于启用状态。 4. 在左侧导航栏，选择“设置 > 集成配置”，打开数据集成配置页面。 5. 选择需要接入的日志，并打开日志接入开关。 6. 选择需要转告警的日志，并打开自动转告警的开关。 说明 系统默认会接入部分日志，用户如有需要，可以自行关闭。 需要先在数据源监控页面启用开关后，才可以在集成配置页面中开启日志和告警配置。 选择需要接入的日志时，只能针对您已经购买的云产品。 选择需要转告警的日志，只能针对已经选择接入的日志进行。

通过添加审计范围，设置需要审计的数据库范围 数据库安全审计默认提供一条“全审计规则”的审计范围，可以对成功连接数据库安全审计的所有数据库进行安全审计。您也可以通过添加审计范围，设置需要审计的数据库范围。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功添加数据库并开启审计功能。 操作步骤 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“审计规则”，进入审计规则界面。 5. 在“选择实例”下拉列表框中，选择需要添加审计范围的实例。 6. 在审计范围列表框左上方，单击“添加审计范围”。 说明 数据库安全审计默认提供一条“全审计规则”的审计范围，可以审计所有连接数据库安全审计实例的数据库。该审计规则默认开启，您只能禁用或启用该审计规则。 7. 在弹出的对话框中，设置审计范围，如下图所示，相关参数说明如下表所示。 参数名称 说明 取值样例 名称 您可以自定义审计范围的名称。 audit00 数据库名称 选择待添加审计范围的数据库。 dbss 数据库账户 可选参数。输入数据库的用户名。 源IP 可选参数。输入访问待审计数据库的IP地址或IP地址段。IP地址支持IPv4（例如，192.168.1.1）和IPv6（例如，1050:0:0:0:5:600:300c:326b）格式。 源端口 可选参数。输入访问待审计数据库的端口。 8. 单击“确定”。 添加成功，审计范围列表新增一条状态为“已启用”的审计范围。

本文介绍媒体存储如何保证我的数据不会被盗用。 在存储桶和文件是私有权限的前提下，只有桶或对象的拥有者才能访问，访问时需要提供访问密钥（AK/SK），即使用（AK/SK）加密的方法来验证某个请求发送者身份，并可通过用户控制台进行对密钥的管理。 另外还有ACL、桶策略、防盗链等多种访问控制机制保证数据的访问安全，所以不用担心您存储在媒体存储的数据会被盗用。 关于管理密钥可参考：密钥管理。 关于访问安全ACL、桶策略可参考：访问权限。 关于设置防盗链可参考：防盗链。

本文简述回源SNI功能。 功能介绍 如果一个源站IP地址绑定多个域名，且天翼云边缘安全加速平台安全与加速服务使用HTTPS协议回源时，需通过配置回源SNI的方式，在SNI中指定具体的请求域名，此时源站服务器可以返回该域名对应的SSL证书，以达到多个域名共用源站的目的。 回源SNI原理 SNI（Server Name Indication）是为了解决一个服务器使用多个域名和证书的问题，而对SSL/TLS协议所作的一个扩展。它允许服务器在同一个IP地址和TCP端口下支持多个证书，从而允许多个HTTPS网站使用相同的源站IP和端口。开启回源SNI后，边缘节点向源站发起TLS握手时，源站会根据TLS握手中携带的回源SNI信息来确认边缘节点请求的具体域名，然后返回该域名对应的SSL证书给边缘节点。 设置回源SNI后的工作流程如下： 1. 当边缘节点以HTTPS协议回源时，需要在回源SNI中设置访问的域名。 2. 源站收到请求后，返回SNI中设置的域名对应的SSL证书。 3. 边缘节点收到SSL证书后，与源站建立连接。 配置说明 1. 登录边缘安全加速控制台。 2. 单击左侧导航栏【域名管理】。 3. 在【域名管理】页面，找到目标域名，单击【操作】列的【基础配置】。 4. 单击右下方【回源配置】。 5. 在【回源SNI】模块，开启功能。 6. 配置SNI。 7. 单击【保存】，完成配置。 参数名 说明 SNI 回源SNI域名，只能配置精确域名，不支持泛域名。

本文介绍边缘接入服务IP应用加速配置模块的相应功能。 功能介绍 在IP应用加速配置模块，您可以进行域名/实例的新增、查看、编辑及其相应域名状态查询。 新增接入 登录边缘安全加速控制台，进入【边缘接入】控制台，选择【域名】【IP应用加速配置】，这个页面您可以查看已添加的域名/实例的基础信息、回源配置、访问控制、传递用户IP回源等信息。基础信息包括加速域名、实例名称、CNAME、加速区域、产品类型、创建时间等信息。点击左上角【新增接入】。 选择接入方式，填写加速域名/实例名称，选择加速区域（中国内地、全球（不含中国内地）、全球），是否启用IPv6。 域名接入方式： 无域名接入方式： 根据您的需要，配置您加速域名的【回源配置】、【访问控制】、【传递用户IP回源】等相关功能。 完成加速配置后，点击右下角的下一步，进入安全防护配置页面，按需开启DDoS防护后提交。 完成新增接入操作后，可通过【域名】【IP应用加速接入】 查看该域名/实例所处状态。 域名/实例配置完成，生成CNAME，状态变更为【已启用】，即可以在【IP应用加速接入】首页列表中，查看对应域名的详情，进行停用/启用/删除等操作，也可以开启IPv6解析开关，修改加速配置或安全防护配置等。 域名/实例新增过程中涉及的主要配置项说明如下：

设置以下参数，不允许匿名登录FTP服务器，允许本地用户登录FTP服务器，并指定FTP本地用户使用的文件目录。 anonymousenableNO 不允许匿名登录FTP服务器 localenableYES 允许本地用户登录FTP服务器 localroot/var/ftp/work01 FTP本地用户使用的文件目录 设置以下参数，限制用户只能访问自身的主目录。 chrootlocaluserYES 所有用户都被限制在其主目录 chrootlistenableYES 启用例外用户名单 chrootlistfile/etc/vsftpd/chrootlist 例外用户名单 allowwriteablechrootYES 被动模式除了需要配置主动模式所需的所有参数外，还需要配置的参数如下： 设置以下参数，配置FTP支持被动模式。并指定FTP服务器的公网IP地址，以及可供访问的端口范围，端口范围请根据实际环境进行设置。 listenYES listenipv6NO pasvaddressxx.xx.xx.xx FTP服务器的公网IP地址 pasvminport3000 被动模式下的最小端口 pasvmaxport3100 被动模式下的最大端口 4.按Esc键退出编辑模式，并输入:wq保存后退出。 5.在“/etc/vsftpd/”目录下创建“chrootlist”文件。 touch chrootlist “chrootlist”文件是限制在主目录下的例外用户名单。如果需要设置某个用户不受只可以访问其主目录的限制，可将对应的用户名写入该文件。如果没有例外也必须要有“chrootlist”文件，内容可为空。 f.执行以下命令重启vsftpd服务使配置生效。 systemctl restart vsftpd.service 3.设置安全组。 搭建好FTP站点后，需要在弹性云主机安全组的入方向添加一条放行FTP端口的规则，具体步骤参见为安全组添加安全组规则。 表 设置安全组规则 FTP模式 方向 协议 端口 源地址 主动模式 入方向 TCP 20端口和21端口 0.0.0.0/0 被动模式 入方向 TCP 21端口和配置文件“/etc/vsftpd/vsftpd.conf” 中参数“pasvminport”和“pasvmaxport”之间的所有端口。 0.0.0.0/0

场景描述 在某些情况下，您可能需要将Kafka开启公网访问。以下是一些可能的场景描述： 跨地域数据传输：如果您有多个位于不同地理位置的数据中心或云服务提供商，您可能希望在它们之间传输数据。通过将Kafka开启公网访问，您可以轻松地在不同地区之间进行数据传输。 跨组织数据共享：如果您需要与其他组织或合作伙伴共享数据，而且这些组织不在同一个网络环境中，您可以将Kafka开启公网访问，以便安全地共享数据。 远程访问和监控：有时候，您可能需要从外部网络访问和监控Kafka集群。通过配置Kafka开启公网访问，您可以远程连接到Kafka集群，监控其运行状态，并执行必要的管理操作。 请注意，在设置Kafka开启公网访问时，确保采取适当的安全措施，比如使用安全组或者用户权限来限制访问权限，以保护Kafka集群的安全性。 约束与限制 开启公网访问功能只支持绑定IPv4弹性IP地址，不支持绑定IPv6弹性IP地址。 操作步骤 （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“实例详情”后找到如下接入点信息模块。 （5）点击右上角“添加路由策略”按钮，选择“公网接入”方式。 （6）需要为每个节点设置对应的弹性IP地址，点击其右侧的“绑定”按钮，在弹窗中选择某个弹性IP绑定。如果没有足够数量的弹性IP地址，可参考申请弹性IP购买弹性IP地址。 （7）点击刷新按钮查看弹性IP绑定状态，待所有节点都绑定弹性IP后点击“确定”按钮下发开启公网后台任务。 （8）当实例状态重新变为“运行中”后，表示开启公网访问成功。 （9）开启公网访问后，需要设置好对应的安全组规则 才能成功连接Kafka，设置规则参考如下: 安全组参考规则（先判断安全组的出/入方向是否放通了对弹性ip地址的访问，如果没有，可以参考如下规则配置）： 方向 协议 类型 端口 远端(源地址) 说明 入方向 TCP IPv4 Kafka公网接入端口(8094)，或更大范围 Kafka客户端所在的IP地址或地址组 通过公网访问Kafka （10）如果创建了 网络ACL规则 ，则ACL规则也需要正确配置才能成功连接Kafka，设置规则参考如下: 网络ACL参考规则（先判断网络ACL的出/入方向是否放通了客户端地址的访问，如果没有，可以参考如下规则配置）： 方向 协议 IP版本 策略 源地址 源端口范围 目的地址 目的端口范围 描述 入方向 TCP IPv4 允许 Kafka客户端所在的IP地址或地址组 165535 VPC IP地址组 Kafka公网接入端口(8094)，或更大范围 控制入方向ACL规则 出方向 TCP IPv4 允许 VPC IP地址组 Kafka公网接入端口(8094)，或更大范围 Kafka客户端所在的IP地址或地址组 165535 控制出方向ACL规则 （11）连接Kafka可以根据开启公网访问时选择的SASLPLAINTEXT或SASLSSL协议接入。

威胁情报类型关联布局 说明 系统内置威胁情报类型已默认关联已有布局，暂不支持自定义关联布局。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。 5. 在类型管理页面，选择“威胁情报”页签，进入威胁情报类型管理页面。 6. 在威胁情报类型管理页面中，选择需要关联布局的类型，并单击目标类型所在行“操作”列的“关联布局”，页面弹出绑定布局编辑框。 7. 在绑定布局编辑框中，选择需要关联的布局。 8. 单击“确认”。 编辑已有威胁情报类型 说明 暂不支持编辑系统内置威胁情报类型。 自定义威胁情报类型新增成功后，不支持修改类型名称。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。 5. 在类型管理页面，选择“威胁情报”页签，进入威胁情报类型管理页面。 6. 在威胁情报类型管理页面中，选择需要编辑的类型，并单击目标类型所在行“操作”列的“编辑”，右侧弹出编辑页面。 7. 在编辑页面中，编辑对应类型的参数信息。 参数名称 参数说明 类型名称 自定义威胁情报的名称。 类型标识 威胁情报标识，不支持修改。 启动状态 设置威胁情报的启动状态。 ：表示启用。 ：表示禁用。 失效时间 设置威胁情报的失效时间。 永不失效：表示当前情报类型永不失效。 时间间隔：设置情报失效的间隔时间。 描述 自定义威胁情报的描述信息。 8. 在页面右下角单击“确认”。

本章节主要介绍修改密码策略 。 操作场景 该任务指导管理员用户设置密码安全规则、用户登录安全规则及用户锁定规则。由于“机机”用户密码随机生成，在MRS Manager设置密码策略只影响“人机”用户。 如需对新增用户的密码或用户修改的密码使用新的密码策略，请先参考本章节修改密码策略，再创建用户或修改密码。 须知 密码策略涉及用户管理的安全性，请根据业务安全要求谨慎修改，否则会有安全性风险。 操作步骤 在MRS Manager，单击“系统设置”。 1. 单击“密码策略配置”。 2. 根据界面提示，修改密码策略，具体参数见下表。 密码策略参数说明 参数名称 描述 最小密码长度 密码包含的最小字符个数，取值范围是8～32。默认值为“8”。 字符类型的数目 密码字符包含大写字母、小写字母、数字、空格和特殊符号（包含~!?,.:;'(){}[]/<>@ $%^&+l）的最小种类。可选择数值为“3”和“4”。默认值“3”表示至少必须使用大写字母、小写字母、数字、特殊符号和空格中的任意3种。 密码有效期（天） 密码有效使用天数，取值范围0～90，0表示永久有效。默认值为“90”。 密码失效提前提醒天数 提前一段时间提醒密码即将失效。设置后，若集群时间和该用户密码失效时间的差小于该值，则说明用户进入密码失效提醒期。用户登录MRS Manager时会提示用户密码即将过期，是否需要修改密码。取值范围为“0”“X”，（“X”为密码有效期的一半，向下取整）。“0”表示不提醒。默认值为“5”。 认证失败次数重置时间间隔（分钟） 密码输入错误次数保留的时间间隔（分钟），取值范围为0～1440。“0”表示永远有效，“1440”表示1天。默认值为“5”。 密码连续错误次数 用户输入错误密码超过配置值后将锁定，取值范围为3～30。默认值为“5”。 用户锁屏时间（分钟） 满足用户锁定条件时，用户被锁定的时长，取值范围为5～120。默认值为“5”。

查看资产详情 在资产详情页面可以查看资产的基础信息，以及该资产上存在的风险。 1. 登录云安全中心控制台。 2. 在左侧导航栏，选择“资产中心 > 资产管理”，进入资产管理页面。 3. 在资产管理页面，单击资产操作列的“查看”，即可进入资产详情页面。 在“资产信息”页签，查看资产的基础信息。 资产信息展示基础信息的丰富程度和购买的安全产品相关。购买了服务器安全卫士（原生版）或者云等保专区的主机安全产品后，其基础信息会更加丰富。 切换到“脆弱性信息”页签，查看资产的脆弱性信息，包括告警数量、漏洞扫描结果、基线检测结果、账号检测结果。 资产导入 1. 选择需要导入的资产类型。 2. 在资产列表上方，单击“导入”。 3. 在弹出的“资产导入”窗口中，单击“资产导入模板下载”，下载导入模板。 4. 按照导入模板字段说明，完成模板填写。 5. 单击“选择文件”，上传模板文件。 6. 单击“导入”，完成导入。

本节介绍如何查看扫描任务和下载任务。 任务中心页面提供统一的任务管理窗口，包括扫描任务队列和下载任务管理，在该页面可以查看各项任务的扫描状态或下载生成状态，并且在下载任务管理页面可将报表下载到本地。 查看扫描任务 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“任务中心”，进入任务中心页面。 3. 在“扫描任务队列”页面，可以查看镜像扫描任务、IaC安全扫描任务、安全合规扫描任务、弱口令检测扫描任务。 4. 扫描完成后，单击操作列的“生成扫描结果”，开始生成对应的报表任务。可在“下载任务管理”页签，查看任务状态并下载报表。 相关操作：单击任务操作列的“删除”，可以删除扫描任务。 查看并下载报表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“任务中心”，进入任务中心页面。 3. 选择“下载任务管理”页签，可以查看下载任务状态。 4. 当任务状态为“生成完成”时，单击任务操作列的“下载”，可以下载已生成的报表。 相关操作：单击任务操作列的“删除”，可以删除下载任务。

本文为您介绍什么是云专线。 云专线提供用户本地数据中心与天翼云VPC虚拟私有云之间的连接服务。云专线产品在充分利用中国电信云网融合优势的同时，依托现有的IT基础设施，灵活搭建云上云下高速、低时延、稳定安全的专属连接通道。 产品架构 云专线服务的物理专线一端连接本地数据中心的本地网关设备，一端连接云专线的专线网关，将客户本地数据中心的内部局域网连接到天翼云的接入点，对接天翼云上的虚拟专有网络VPC，实现安全、可靠、高速的内网级通信质量。 云专线服务的产品架构如下图所示： 云专线服务和VPN连接区别 云专线服务和VPN连接都是用于连接用户本地网络与天翼云平台之间的网络连接方式，但它们有一些区别。下表是它们之间的对比： 对比项 云专线服务 VPN连接 网络质量 云专线是通过专用线路物理专线来连接用户本地数据中心与天翼云数据中心，提供更可靠、低延迟的连接。 VPN是通过公共网络（如互联网）创建一个安全的加密通道，使得用户可以在不同地点之间建立私密的连接。 传输带宽 云专线兼容底层IPRAN、MSTP、MPLS VPN、OTN等多种线路类型，支持1G/10G/100G等多种端口带宽规格；同时提供端口聚合和链路能力，实现专线带宽随选和弹性扩容。 受限于公共网络的带宽，即互联网带宽为多少则VPN连接最大传输带宽是多少。 安全性 与互联网物理隔离，用户可以选择独享物理专线，用户独占一个物理端口资源，无数据泄露风险，安全性高。 基于互联网的加密通信，可以满足一般用户的网络传输安全性需求。 适用场景 云专线适用于需要大量带宽、稳定性和可扩展性的连接，比如大规模数据迁移、持续性数据传输等。 VPN连接适用于临时、小规模的连接需求。

五、我们如何保护您的信息 5.1 我们对您的信息的保护 我们非常重视您的信息安全。我们建立了数据安全管理制度，采用适当的物理、管理和技术保障措施来防止您的信息遭到未经授权访问、披露、使用、修改、损坏或丢失。 但是，由于技术的限制以及可能存在的各种恶意手段，在互联网环境下，即便竭尽所能加强安全措施，也不可能始终保证信息百分之百的安全。如不幸发生信息泄露等安全事件，我们会立即启动应急预案，阻止事件扩大，及时采取补救措施，并推送通知、公告等多种形式告知您。同时，我们还将按照监管部门要求，上报用户信息安全事件的处置情况。 5.2 您对信息的保管 尽管有前述安全措施，但请您妥善保管您的账户、密码及其他信息，避免您的信息泄露。如果您发现您的账号、密码或其他信息被他人非法使用或有使用异常的情况的，应及时通知我们，我们将采取相应安全保障措施。 六、我们如何管理您的信息 6.1 查询 打开本App成功配置连接后，您可以点击连接名称，进入连接详情页。如需查看相关配置信息，您可以点击详情页右上角的“操作”图标，点击“编辑VPN”查看配置信息。或者，通过登录天翼云VPN连接控制台查询您的相关信息。 对于您使用我们的产品或服务过程中产生的其他配置信息，如您需要，您也可以通过工单、邮件等方式联系我们查询您的配置信息。验证身份和权限后，我们将在15日内响应您的配置信息查询请求。

广泛重复的使用加密密钥，会对加密密钥的安全造成风险。建议您定期轮换密钥，更改原密钥的密钥材料。 为什么需要轮换密钥 广泛重复的使用加密密钥，会对加密密钥的安全造成风险。为了确保加密密钥的安全性，建议您定期轮换密钥，更改原密钥的密钥材料。 定期轮换密钥有如下优点： 减少每个密钥加密的数据量：一个密钥的安全性与被它加密的数据量呈反比。数据量通常是指同一个密钥加密的数据总字节数或总消息数。 增强应对安全事件的能力：在系统安全设计的初期，设计密钥轮换功能并将其作为日常运维手段。这样可以使系统在特定安全事件发生时具备实际执行能力。 加强对数据的隔离能力：轮换密钥使得轮换前后产生的密文数据形成隔离效果。特定密钥的安全事件可以被快速定义影响范围，从而采取进一步措施。 密钥轮换的两种方法 云服务提供了两种密钥轮换方法： 手动轮换密钥 使用一个新的密钥替换使用中的密钥。即创建一个新的密钥B，并使用密钥B替代当前使用的密钥A，当密钥B使用的加密材料与密钥A使用的加密材料不相同时，使用密钥B与更改密钥A的密钥材料具有相同效果。 示例： 以OBS服务为例：需要手动轮换密钥时，用户先在KMS界面创建一个新的自定义密钥，后在OBS界面将原自定义密钥替换为新的自定义密钥。 手动轮换密钥工作原理

权限 定义 拥有的菜单 超级管理员 维护系统稳定运行 所有菜单 审计管理员 负责监督和检查系统的操作和活动，确保合规性和正确性 首页、资产管理、日志审计、风险分析事件策略、报表管理、操作日志 安全管理员 制定和实施信息安全策略和政策，确保组织的信息安全 首页、资产管理、日志审计、风险分析、风险处置

本节介绍如何创建管道。 操作场景 数据传输消息主题和存储索引组合为数据管道。 当您需要使用态势感知（专业版）提供的 安全分析 、 数据分析 、智能建模功能时，需要创建管道。 前提条件 已新建工作空间，具体操作请参见新增工作空间。 已新增数据空间，具体操作请参见新增数据空间。 约束与限制 一个数据空间中最多可创建20个数据管道。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称右侧的，并在下拉选项中选择的“创建管道”，系统从右侧弹出创建管道页面。 6. 在创建管道页面中，配置管道参数，参数说明如下表所示。 参数名称 参数说明 数据空间 该管道所属的数据空间，系统默认生成。 管道名称 自定义管道的名称。命名规则如下： 名称长度取值范围为564个字符。 名称须为工作空间内唯一，不能与工作空间内的其他管道名称相同。 必须以小写英文字母开头，且只能包含小写英文字母、数字和''，且''不能在结尾，也不能连续出现。 不能以系统预留的前缀isap、csb、secmaster、sec、ssec、isec、lsec、security开头。 Shard数 该管道的Shard数量。取值范围为：164。 索引可以存储数据量超过1个节点硬件限制的数据。为满足这样的需求，Elasticsearch提供了一个能力，将一个索引拆分为多个，称为Shard。当您创建一个索引时，您可以根据实际情况指定Shard的数量。每个Shard托管在集群中的任意一个节点中，且每个Shard本身是一个独立的、全功能的“索引”。 生命周期 该管道内数据的生命周期。取值范围为：7180。 描述 可选参数，设置该管道的备注信息。 7. 单击“确定”。 创建成功后，可单击数据空间名称或数据空间栏后的，展开查看已创建的管道。

本节介绍天翼云手机的产品定义,以便您了解云手机。 天翼云手机是通过虚拟化技术在云端运行的安卓手机实例，手机上的应用可以在云上虚拟手机中运行。作为一款新型应用，云手机对传统手机起到了延伸和拓展作用，畅享移动办公、手机游戏和娱乐，企业客户也可以通过配备的全方位管控能力，实现对云端办公环境的安全管控。云手机目前提供产品版本： 天翼云手机（政企版） 向政府、金融、警务等各行业企业客户，提供安全、可管控、低成本的手机办公解决方案。 产品架构

本文主要讲述修改实例信息。 创建Kafka实例成功后，您可以根据自己的业务情况对Kafka实例的部分参数进行调整，包括实例名称、描述、安全组和容量阈值策略等。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 单击Kafka实例的名称，进入实例详情页面。 步骤 5 以下参数支持修改。 实例名称 企业项目（修改企业项目，不会重启实例） 描述 安全组 公网访问（公网访问的修改方法，请参考设置实例公网访问。） 容量阈值策略（修改容量阈值策略，不会重启实例。） Kafka自动创建Topic（修改Kafka自动创建Topic，会导致Kafka重启） 跨VPC访问（跨VPC访问的操作步骤，请参考使用DNAT访问Kafka实例。） 参数修改完成后，通过以下方式查看修改结果。 修改“容量阈值策略”、“公网访问”和“Kafka自动创建Topic”后，系统跳转到“后台任务管理”页签，并显示当前任务的操作进度和结果。 修改“实例名称”、“描述”、“企业项目”、“跨VPC访问”和“安全组”后，右上角直接提示修改结果。

本文介绍如何处理Linux云主机卡顿问题。 问题原因 当您发现云主机的运行速度变慢或云主机突然出现网络断开的现象，则可能是由以下原因导致的。 1. 云主机使用共享型实例：共享型实例在云计算中是指多个虚拟机共享同一台物理服务器的资源，这会导致资源争用，可能导致服务器卡顿问题。 2. 云主机受到恶意软件或病毒感染：恶意软件可能执行各种恶意任务，占用大量计算资源，增加云主机网络带宽和资源消耗，影响正常的服务运行等，可能导致服务器卡顿问题。 3. 云主机系统资源利用率异常：资源包括CPU、内存、磁盘和网络等，当其中一个或多个资源受到过度使用或不合理分配时，可能导致服务器卡顿问题。 问题处理 云主机使用资源共享型实例 步骤一：问题定位 检查当前云主机的规格类型，共享资源型和独享资源型实例的说明请参见规格类型。 步骤二：问题处理 独享资源型实例在云计算中独享物理服务器的资源，可以提供更稳定和可预测的性能。如果您对业务稳定性有较高要求，建议您将共享型实例变更为独享资源型实例，请参见变更规格。 云主机受到恶意软件或病毒的感染 步骤一：问题定位 定位云主机是否受到恶意软件感染，您可以运行受信任的杀毒软件或安全扫描工具，对服务器进行全面扫描。此外，您还可以检查操作系统、应用程序和安全软件是否为最新版本，并已应用最新的安全更新和补丁。 步骤二：问题处理 如果服务器受到恶意软件感染，及时采取行动非常重要。隔离服务器、运行安全扫描工具、清除恶意软件、更新系统等都是确保服务器安全的关键步骤。

本节介绍专属加密服务的功能特性。 专属加密（Dedicated Hardware Security Module，Dedicated HSM）是一种云上数据加密的服务，可处理加解密、签名、验签、产生密钥和密钥安全存储等操作。 Dedicated HSM为您提供的加密硬件，帮助您保护弹性云服务器上数据的安全性与完整性，满足FIPS 1402安全要求。同时，您能够对专属加密实例生成的密钥进行安全可靠的管理，也能使用多种加密算法来对数据进行可靠的加解密运算。 功能介绍 Dedicated HSM提供以下功能： 生成、存储、导入、导出和管理加密密钥（包括对称密钥和非对称密钥） 使用对称和非对称算法加密和解密数据 使用加密哈希函数计算消息摘要和基于哈希的消息身份验证代码 对数据进行加密签名（包括代码签名）并验证签名 以加密方式生成安全随机数据 Dedicated HSM支持的密码算法 支持国际通用密码算法，满足用户各种加密算法需求。 Dedicated HSM支持的密码算法 加密算法分类 通用密码算法 国密算法 对称密码算法 AES SM1、SM4、SM7 非对称密码算法 RSA（10244096） SM2 摘要算法 SHA1、SHA256、SHA384 SM3 Dedicated HSM支持的密码机类型 密码机类型 功能 适用场景 服务器加密机 数据加密/解密、数据签名/验签、数据摘要、支持MAC的生成和验证 满足各种行业应用中的基础密码运算需求，比如身份认证、数据保护、SSL密钥和运算卸载等。 金融加密机 支持PIN码的生成/加密/转换/验证 支持MAC生成及验证 支持CVV生成及验证 支持TAC生成及验证 支持常用Racal指令集 支持PBOC3.0常用指令集 满足金融领域密码运算需求，比如发卡系统、POS系统等。 签名服务器 签名/验签、编码/解码数字信封、编码/解码带签名的数字信封、证书验证 满足签名业务相关需求，比如CA系统、证书验证、大量数据的加密传输和身份认证。

访问控制 访问控制策略是API网关提供的API安全防护组件之一，主要用来控制访问API的IP地址和帐户，您可以通过设置IP地址或帐户的黑白名单来允许/拒绝某个IP地址或帐户访问API。 VPC通道 在API网关中创建VPC通道来访问VPC环境中的资源，并将部署在VPC中的后端服务开放API。同时VPC通道具有负载均衡功能，从而实现后端服务的负载均衡。 签名密钥 签名密钥是由一对Key和Secret组成，签名密钥需要绑定到API才能生效。签名密钥用于后端服务验证API网关的身份，在API网关请求后端服务时，保障后端服务的安全。

本章节会介绍在关系型数据库服务的管理控制台创建实例的过程。 操作场景 您可以通过关系型数据库服务的管理控制台或API创建关系型数据库实例。关于如何通过API创建的信息，请参见《关系型数据库API参考》中实例管理章节的“创建实例”的内容。本文将介绍在关系型数据库服务的管理控制台创建实例的过程。 目前，RDS for PostgreSQL支持“包年/包月”和“按需计费”购买，您可以根据业务需要定制相应计算能力和存储空间的RDS实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击“购买数据库实例”。 步骤 5 在“服务选型”页面，选择计费模式，填写并选择实例相关信息后，单击“立即购买”。 计费模式： 包年/包月 ： 若选择该模式，跳过步骤6，执行步骤7。 按需计费 ： 若选择该模式，继续执行步骤6。 表 基本信息 参数 描述 :: 区域 租户当前所在区域，也可在页面左上角切换。说明不同区域内的产品内网不互通，且创建后不能更换，请谨慎选择。 实例名称 实例名称长度在4个到64个字符之间，必须以字母开头，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 数据库引擎 PostgreSQL。 数据库版本 不同区域所支持的数据库版本不同，请以实际界面为准。 选用PostgreSQL数据库时，请根据实际业务需求选择合适的数据库引擎版本。建议您选择当前可用的最高版本数据库，因其性能更稳定，安全性更高，使用更可靠。 实例类型+可用区 主备：备机提高了实例的可靠性，创建主机的过程中，同步创建备机，备机创建成功后，用户不可见。 可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。关系型数据库服务支持在同一个可用区内或者跨可用区部署数据库主备实例，备机的选择和主机可用区对应情况：− 相同，主机和备机会部署在同一个可用区。− 不同（默认），主机和备机会部署在不同的可用区，以提供不同可用区之间的故障转移能力和高可用性。 单机：只创建一个主实例。 时区 由于世界各国家与地区经度不同，地方时也有所不同，因此会划分为不同的时区。时区可在创建实例时选择，后期可修改。 表 规格与存储 参数 描述 :: 性能规格 实例的CPU和内存。不同性能规格对应不同连接数和最大IOPS。 创建成功后可进行规格变更。 存储类型 实例的存储类型决定实例的读写速度。最大吞吐量越高，读写速度越快。 高I/O：磁盘类型SAS，最大吞吐量150MB/s 超高I/O：磁盘类型SSD，最大吞吐量350MB/s 存储池 只有选择“专属存储”的用户才有此选项，是购买专属分布式存储服务时确定的独享的存储池，该存储池与其他池物理隔离，安全性高。 存储空间 您申请的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。存储空间支持40GB到4000GB，用户选择容量大小必须为10的整数倍。 表 网络 参数 描述 虚拟私有云 关系型数据库实例所在的虚拟网络环境，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见《虚拟私有云用户指南》中的“创建虚拟私有云和子网”。 如果没有可选的虚拟私有云，关系型数据库服务默认为您分配资源。 说明 目前RDS实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建关系型数据库实例的子网默认开启DHCP功能，不可关闭。 IPv4地址： 创建实例时RDS会自动为您配置IPv4内网地址，您也可输入子网号段内未使用的IPv4内网地址。实例创建成功后该内网地址可修改。 IPv6地址： 选择支持IPv6地址的CPU和内存规格后，才能创建内网地址为IPv6的实例。 创建实例时RDS会自动为您配置IPv6内网地址，不支持指定IPv6内网地址。实例创建成功后该内网地址也不支持修改。 安全组 控制网络出/入及端口的访问，默认添加了关系型数据库实例所属的安全组访问。 安全组限制实例的安全访问规则，加强关系型数据库服务与其他服务间的安全访问。请确保所选取的安全组允许客户端访问数据库实例。 如果没有可选的安全组，关系型数据库服务默认为您分配安全组资源。 IPv6 启用IPv6前，请确保数据库实例所在的VPC和子网已开启IPv6配置，在VPC和子网开启IPv6配置的应用场景和操作步骤，请参见《虚拟私有云操作指导》中的“IPv4/IPv6双栈管理”章节。 启用IPv6后，数据库实例可在双堆栈模式下运行，即可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址。此时实例通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 表 数据库配置 参数 描述 :: 管理员帐户 数据库的登录名称默认为root。 管理员密码 所设置的密码长度为8~32个字符，至少包含大写字母、小写字母、数字、特殊字符三种字符的组合，其中允许输入 ~!@

安全管理员点击左侧导航栏的【系统管理】，进入【用户管理】页面可进行账号管理。

本节介绍天翼量子AI云电脑客户端支持的系统、浏览器版本,以及下载地址。 说明：新版本客户端目前处于灰度测试阶段，将逐步向更多用户开放，感谢您的耐心等待。 若您希望申请试用，可发送邮件至指定邮箱：clouddesktop@chinatelecom.cn 前言 欢迎广大用户下载安装天翼量子AI云电脑全新视觉客户端，当前文档适用于Windows客户端，Mac客户端，Ubuntu瘦终端，安卓瘦终端，国产化终端（银河麒麟/统信UOS），Web客户端的使用帮助文档。 产品定义 天翼量子AI云电脑是云计算技术和终端相结合的创新型产品。依托中国电信优质云网资源，结合自主研发的Clink数据安全传输协议，实现低延时、高画质、带宽占用少、多终端接入，打造从端到云全链路的安全防护体系，用户通过终端快速访问调取云端资源，实现统一管理、便捷维护，多重数据安全防护，随时随地共享数据、安全办公。 客户端支持的最低系统版本 天翼量子AI云电脑客户端支持Windows，MacOS12.0，Android7.0，iOS10、Ubuntu18.04，UOS V20，Kylin V10等以上系统版本。 Web客户端接入的最低浏览器版本 支持Chrome70+、Firefox72+、edge、UOS 5.2.1200+、奇安信1.0.1365+等浏览器接入。Web客户端访问地址：[

本文主要介绍钓鱼检测服务的相关功能。 背景 天翼云AOneMail的钓鱼检测机制是其安全体系的重要组成部分，旨在为企业用户提供高安全性的邮件通信服务。通过邮件正文检测、云端检测、AI检测等多种技术手段，AOneMail能够有效识别和拦截钓鱼邮件，保护企业用户免受钓鱼攻击的侵害。 操作步骤 1. 登录边缘安全加速控制台，选择控制台【云邮箱】； 2. 在左侧导航栏，选择【设置】，进入钓鱼能力开关页面； 3. 钓鱼能力分为五个模块，您可以通过编辑对应的卡片来处理对应的列表。 检测总开关 点击开启则进行钓鱼邮件检测，是否进行其他检测看后续开关，点击关闭则不进行任何钓鱼邮件检测。 邮件正文检测 默认开启。点击开启进行邮件正文内容检测；点击关闭则只检测发件人邮箱和主题。对本地检测、云端情报库检测和AI检测有控制是否检测正文。 云端检测开关 默认开启。点击开启则进行云端黑白情报库检测；点击关闭则只进行客户端本地引擎检测（本地规则引擎+客户端本地过黑白名单情报库）。

本文为您介绍山石防火墙如何在本地站点中加载VPN配置。 使用IPsec VPN建立站点到站点的连接时，在配置完天翼云VPN网关后，您还需在本地站点的网关设备中进行VPN配置。 前提条件 已经在天翼云VPC内创建了IPsec连接。 已经下载了IPsec连接的配置。 IPsec协议信息 配置项 示例值 IKE 认证算法 SHA256 IKE 加密算法 3DES IKE DH分组 Group14 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK aa123bb IPsec 认证算法 SHA256 IPsec 加密算法 3DES IPsec PFS DH group5 IPsec 生命周期 3600 网络配置信息 配置项 示例值 VPC 待和本地IDC互通的私网网段。 VPN网关 天翼云VPN网关的公网IP地址。 本地IDC 待和天翼云VPC互通的私网网段。 本地IDC 本地网关设备的公网IP地址。 操作步骤 1. 登录防火墙Web页面，在网络>VPN>IPsec VPN页面，在右上角的相关配置中选择P1提议，进入P1提议页面。 2. 在P1提议页面，单击“新建”，进入阶段1提议配置页面。 3. 在阶段1提议配置页面，根据天翼云IPsec连接中的配置信息进行配置，单击“确定”， 完成配置。 4. 在右上角的相关配置中选择P2提议，进入阶段2提议页面。 5. 在P2提议页面，单击“新建”，进入阶段2提议配置页面。 6. 在阶段2提议配置页面，根据天翼云IPsec连接中的配置信息进行配置，单击“确定”， 完成配置。 7. 在IPsec VPN页面， 单击“新建”，进入IPsec VPN配置页面。 8. 在IPSec VPN配置页面，展开“对端选择”下拉框，单击，进入VPN对端配置页面。 9. 在VPN对端配置页面，根据天翼云IPsec连接中的配置信息进行配置，单击“确定”，完成配置。 10. 在IPsec VPN配置页面，选择创建好的对端体，并根据天翼云IPsec连接中的配置信息完成隧道配置，单击“确定”。 11. 配置完成后，可以在IPsec VPN页面查看相关配置信息。 12. 在网络>安全域页面，单击“新建”按钮新建安全域。在安全域名称页面，输入安全域的名称，并在类型中选择三层安全域。 13. 在网络>接口页面，单击“新建”隧道接口，在隧道接口配置页面，根据提示输入配置接口名称、安全域、IP配置、绑定隧道配置（选择IPSec VPN及VPN名称）等，单击“确定”，完成配置。 14. 在策略>安全策略页面，单击“新建”，进入安全策略页面。根据提示输入配置，单击“确定”，配置完成。 15. 在网络>路由页面，单击“新建”分别添加上行和下行路由。 上行路由：目的地址为天翼云VPC的网段，下一跳为新建的隧道接口。 下行路由：如果目的网段非本地直连路由，请按需添加下行路由。 16. 测试连通性。 可以利用您的云主机和您的数据中心主机进行连通性测试。

此小节介绍数据库审计的优势。 数据库安全审计提供的旁路模式数据库审计功能，可以对风险行为进行实时告警。同时，通过生成满足数据安全标准的合规报告，可以对数据库的内部违规和不正当操作进行定位追责，保障数据资产安全。 支持海量数据库协议 支持40余种协议，包括关系型协议、非关系型协议、大数据协议及其他常见协议。 支持国内外主流数据库，包括传统的数据库系统、大数据系统和Web系统等。 数据库安全分析 内置丰富的漏洞规则，在审计过程中通过规则匹配发现数据库的配置不合理项和安全漏洞，并可根据漏洞情况提供合理的安全建议和审计规则。 智能关联分析 同时提取Web业务端和数据库端的协议流量，提取出具体业务操作请求URL、POST/GET值、业务账号、原始客户端IP、MAC地址、提交参数等。通过智能自动多层关联，关联出每条SQL语句所对应URL以及其原始客户端IP地址等信息，实现追踪溯源。 双向审计 双向审计不但包含了SQL语句执行状态、返回行数、执行时长等基本信息，同时包含数据库的返回结果内容。 功能简单、易上手 采用数据库旁路部署方式是一种简单且快速上手的数据库审计部署方式，该部署方式是在数据库服务器之外设置一个独立的审计服务器，通过旁路方式捕获数据库的操作和日志信息，实现对数据库的实时监控和记录。同时方便用户快速上手，对数据库实例操作简单。