本文介绍了云防火墙（原生版）的产品定义和产品架构。 云防火墙（原生版）（CTCFW，Cloud Firewall）是一款云原生的云上边界网络安全防护产品，可提供统一的互联网边界管控与安全防护，并提供业务整体情况可视化、日志审计和分析等功能，帮助您完成网络边界防护与等保合规。 产品功能 访问控制：可统一管理互联网访问控制策略（南北向），提供流量可视、访问控制、入侵防御等功能，全面保护用户的网络安全。 入侵防御：内置复合威胁检测引擎，支持对互联网上的恶意流量、DDoS攻击，漏洞利用等攻击行为进行入侵防护，并提供精准的漏洞虚拟补丁，智能阻断入侵风险。 流量可视：提供全面的用户业务流量可视化，实现网络访问可视，网络会话可视，网络行为可视，帮助用户全面感知网络情况。 日志审计：为用户全面记录入侵防御日志、访问控制日志、流量日志和操作日志，帮助用户完成等保合规要求。 产品架构 云防火墙（原生版）整体架构主要包括3个部分，分别为中央管理平台、南北向流量控制模块和日志平台。 中央管理平台：提供策略规则的编辑和下发能力，并展示安全整体情况，为您提供可视化平台。 南北向流量控制模块：主要用于实现互联网到主机间的访问控制，支持4~7层访问控制。 日志平台：存放入侵防御日志、访问控制日志、流量日志和操作日志，并提供查询分析能力。

注意 本清单适用于天翼云AOne APP（Android 及 iOS版本）等全部终端客户端（以下单称或统称“平台”）向您提供的各项产品和服务。若某个产品与/或服务设置了单独清单，则该单独清单优先适用。 业务场景 收集目的 处理方式 信息类型 账号注册 登录认证、双因子认证、重置密码、验证码校验、应用访问权限申请和审批、员工账号管理 用户输入 手机号、电子邮箱、用户名 账号登录 登录认证 用户输入 注册用户登录账号、注册用户登录密码、验证码 设备管理 进行移动设备管理 APP收集 账号、设备ID、设备名称、设备系统 信息统计故障诊断 使用故障诊断、信息统计、服务稳定性改进、响应使用异常帮助请求 APP收集 设备名称、品牌、型号、操作系统、设备设置、IDFV（仅iOS）、IP地址、个人信息（头像） 企业/组织控制台数据配置 企业组织管理、应用范围管理、日常办公安全管理 企业管理员配置 隶属部门、办公邮箱账号、办公电话、企业账号信息、访问企业应用/资产名称、访问企业应用/资产的时长、访问过程中流量的大小 VPN服务 访问企业内部应用、产品功能正常运行 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 应用资源访问 网络日志保存、安全审计 APP收集 访问的应用名、访问的目的地址、目的端口、设备网络类型、客户端IP地址、客户端端口、访问日期和时间 AI应用中心智能对话 意图识别、关键词拆分、信息检索、提供精准搜索结果和总结性回答 用户输入 与AI应用中心交互过程中输入的内容（语音、文本、图片、文件）、对话记录（输入信息、App生成内容、对话主题） AI应用中心文件上传 智能搜索、交互服务、精准理解用户需求、提供准确搜索结果和智能推荐 用户上传 用户上传的文件内容 日程服务 日程提醒、日程安排管理 用户输入 日程安排、事件通知 消息服务 信息传输与交互、设备同步 用户输入 聊天信息（文本消息、图片消息、文件、通信录信息） 空间服务在线文档 文档管理、协作记录 用户输入 文档及文档信息（文档类型、大小、文档权限、存放位置）、参与编辑的记录、分享/创建副本/下载/浏览/变更权限设置的操作记录 空间服务搜索 搜索结果展示 用户输入 搜索关键字信息 企业微信账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 飞书账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构、设备信息与日志信息（操作系统版本号、服务日志）、个人常用设备信息 钉钉账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 音视频会议发言 音视频流传输 APP收集 音频信息、视频信息 音视频会议粘贴会议号 会议号鉴别、提升入会效率 APP收集 剪贴板中的会议号 音视频会议蓝牙连接 蓝牙设备会议交流 APP收集 蓝牙设备信息 共享屏幕 在其他应用上层显示 APP收集 悬浮窗权限、共享屏幕信息 会议记录 会议信息管理、后期查看 APP收集 会议主题、会议号、会议密码、会议创建人、参会人、会议开始和结束时间、最近入会时间及参会时长 云录制 会议内容保存、回放观看 APP收集 音频信息、视频信息、会议纪要文本数据 会议纪要生成 生成会议纪要（按主题、按章节、按发言人总结） APP收集 会议音频信息、会议主题、参会人昵称信息 全球加速 加速访问公网应用 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 生物识别登录 账号登录验证 本地验证 指纹信息/人脸信息（不采集原始图像，仅保存在用户设备上） 待办工单 工单管理 用户输入 待办工单信息 邮件服务 邮件收发 用户输入 电子邮箱地址、图片、文字、文件

天翼云网页防篡改（原生版）产品（CTWT，WebpageTampering）是一款全方位保障云上网站安全的产品，可对网站文件进行监控，若发生篡改时，实时对客户进行告警；同时通过备份恢复被篡改的文件或目录，保障客户系统的网站信息不被恶意篡改。 天翼云网页防篡改（原生版）整体架构主要包括3个部分，分别为天翼云统一管理平台、资源池数据汇总节点和服务器客户端Agent。 天翼云统一管理平台：客户通过统一的天翼云统一管理平台，查看所有的服务器信息和安全状态，并下发安全策略配置信息。 资源池数据汇总节点：服务器客户端Agent从被监控服务器中采集系统信息，上报给相应的资源池数据汇总节点。 服务器客户端Agent：使用天翼云服务器安全卫士（基础版）产品时，每台服务器客户端需安装一个Agent。

本节介绍了如何配置应用层CC告警策略。 使用场景 业务接入DDoS高防（边缘云版）后，您可以设置告警策略，当攻击事件触发告警策略时，则产生告警记录并发送告警邮件（如配置），帮助您及时掌握业务的安全状态。 前提条件 已开通DDoS高防（边缘云版）。 说明 默认脱敏显示您的联系方式等敏感信息，点击明文显示时，请您注意保护数据安全！ 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【告警管理】【告警策略】页面。 新增告警策略 点击【新增】按钮，在弹框中配置策略内容，完成后点击左下角【新增】。 配置说明： 配置项 说明 告警名称 自定义告警名称 告警类型 选择应用层CC告警 域名 选择应用层CC告警时，需要关联域名。域名为单选。 告警条件 应用层CC告警支持配置： 持续XX分钟，则产生告警 在XX分钟内，产生XX次攻击，则产生告警 攻击峰值QPS超过XX，则产生告警 支持勾选多条告警条件，当满足任一条件均会产生告警。 告警通知间隔 为避免告警策略被频繁触发，可设置告警通知间隔。当告警策略被触发后，在告警通知间隔事件内，若再次被触发，将不会产生告警记录。 勿扰时间 选填，在配置的勿扰事件范围内，将不会产生告警记录。 告警邮箱 接收告警的邮箱，支持配置多个邮箱，以分号隔开。 告警状态 是否启用该告警策略。若关闭，则告警策略不生效。 编辑告警策略 在策略列表操作栏，点击【编辑】按钮，可修改策略配置。 修改告警状态 您有两种方式可以修改告警状态： 1）点击【编辑】按钮，在编辑框中修改告警状态。 2）在策略列表，告警状态栏，直接开启或关闭告警状态。 删除规则 在策略列表操作栏，点击【删除】按钮，可删除策略配置。 注意 若告警策略的状态为开启，需先关闭后才能删除策略。

本小节介绍日志审计(原生版)产品定义。 产品介绍 日志审计（原生版）（LAS Log Audit Service）通过实时不间断采集设备、主机、操作系统、数据库以及应用系统产生的海量日志信息，进行集中化存储，为您提供安全存储、检索、审计、告警、报表等能力，帮助您满足等保合规要求。 产品功能 天翼云日志审计（原生版）系统具备资产管理、日志检索、日志审计、多维报表等功能。 资产集中管理：提供集中化的统一管理平台，将所有的日志信息收集到平台中，进行信息资产的统一日志管理。 高速日志检索：基于海量数据的高速检索能力，可以实现多重条件组合的快速检索和精确定位。 实时日志审计报警：对归并处理的日志进行实时动态分析，及时发现网络非法访问、数据违规操作、系统进程异常、设备故障等高危安全事件通过邮件、短信等方式进行报警。 丰富多维日志报表：丰富合规报表预设，支持全方位自定义报表导出，实现数据库系统、数据库服务器、网络设备的多维立体审计。 产品架构 天翼云日志审计（原生版）系统产品架构包含数据采集层、处理层、存储层、引擎层、业务层、可视化。 采集层：提供开放式的信息采集接口，实现对用户环境内各类IT资产以及所采用的各厂商安全产品或安全系统进行主动或被动的日志采集。 处理层：实现对采集到的数据做统一规范化，对数据进行关键信息提取，标签化分类，过滤，归并等数据ETL操作，为后续的数据分析做准备。 存储层：实现海量安全大数据的分布式存储，提供结构化数据和非结构化数据的存储能力，并为上层的数据分析应用提供高效的数据库功能支撑。 引擎层：综合数据处理分析的能力提供层，提供由大数据技术和架构支撑的快速检索和数据关联发掘功能。是支撑上层数据呈现和分析结果输出的计算引擎层，提供丰富的大数据统计、关联分析、数据挖掘以及态势分析能力，是系统的分析处理的核心。该层提供了基础数据处理引擎，包括流式计算引擎、复杂事件处理引擎、全文检索引擎、关联分析引擎等。 业务层：实现用户基于平台的标准化数据，依托平台报表工具，日志检索工具，分析引擎，实现用户自身业务相关的安全管理以及数据分析，监控，处置，保障业务的安全稳定。 可视化：实现对平台的数据处理，数据分析，报表分析，处置结果等通过图表可视化的方式呈现。

一站式智算服务平台是为大模型训练、推理、应用提供全栈工具链的智算服务平台,包含数据管理、模型开发与训练、模型评估、模型管理、服务部署等模块。内置丰富的基座大模型,支持国产化等异构算力,提供算子加速与模型加速,极大提升大模型训练推理效率。

一站式智算服务平台是为大模型训练、推理、应用提供全栈工具链的智算服务平台,包含数据管理、模型开发与训练、模型评估、模型管理、服务部署等模块。内置丰富的基座大模型,支持国产化等异构算力,提供算子加速与模型加速,极大提升大模型训练推理效率。

训推智算服务平台是为大模型训练、推理、应用提供全栈工具链的智算服务平台,包含数据管理、模型开发与训练、模型评估、模型管理、服务部署等模块。内置丰富的基座大模型,支持国产化等异构算力,提供算子加速与模型加速,极大提升大模型训练推理效率。

训推智算服务平台是为大模型训练、推理、应用提供全栈工具链的智算服务平台,包含数据管理、模型开发与训练、模型评估、模型管理、服务部署等模块。内置丰富的基座大模型,支持国产化等异构算力,提供算子加速与模型加速,极大提升大模型训练推理效率。

本节介绍云等保专区的产品优势。 安全合规 遵照等保2.0要求，结合云平台业务特性设计，满足合规要求。 按需交付 为不同的云使用者提供适合自身业务需求的安全能力。 统一管理 实现云管以及安全管理平台的统一，避免用户使用多重管理界面，降低安全运维管理压力。 一站式等保 提供多种不同厂商丰富的云安全原子能力，满足租户等保合规诉求，一站式等保合规。 满足XC要求 云等保专区方案全面适配XC环境，兼容主流的芯片和操作系统，实现一云多芯的安全服务能力。

参数名 类型 是否必填 名称 说明 domain list 是 域名列表 单次调用域名个数最多不超过10个，相同域名去重 productcode string 是 产品类型 “007”（安全加速） status int 是 状态操作类型 2（停用），3（启用）

服务阶段 实施任务 实施内容 交付物 购买阶段 购买安全评估服务 请您根据实际需求及服务团队沟通建议购买安全评估服务，购买指引请参见 购买阶段 发起安全评估服务需求 在控制台创建安全评估服务需求，详细操作请参见 准备阶段 确定评估范围、评估人员、评估工具及计划 确定安全评估范围，评估人员及评估工具，制定评估计划，按照计划时间开展评估工作 评估阶段 资产脆弱性扫描 利用用户漏洞扫描产品进行资产扫描，同时整合托管运营平台的脆弱性分析，从主动和被动识别两个维度进行业务资产现存漏洞问题的交叉识别，输出《业务资产安全漏洞清单》，安全服务专家对扫描出来的漏洞进行威胁分析和重要程度排序。漏洞扫描范围包含云主机、Web业务系统、数据库 《业务资产安全漏洞清单》 评估阶段 业务资产脆弱性分析 云端安全专家结合服务资产的业务特征和托管运营平台所采集的流量分析日志，综合分析业务资产存在的弱密码和明文传输等脆弱性问题，并执行脆弱性风险分析，对脆弱性问题进行排序，整合《业务资产安全漏洞清单》输出《业务资产脆弱性问题清单》 《业务资产脆弱性问题清单》 验收阶段 验收 汇总漏洞及业务脆弱性问题，提交安全评估服务报告 《安全评估服务报告》

本节介绍如何查看日志审计列表及如何进行日志设置。 日志审计会记录事件的操作时间、用户名、来源IP、操作类型、所属模块、是否执行成功、操作行为等信息。 查看日志审计列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“平台管理 > 日志审计”，进入日志审计页面。 3. 查看日志审计列表：日志列表上方支持按照“用户名”、“操作行为”、“来源IP”、“操作类型”、“所属模块”、“是否执行成功”和操作时间段进行筛选查看。系统默认筛选出近一个月内的日志信息。 日志审计参数说明： 参数 说明 操作时间 记录的操作行为发生的时间。 用户名 操作用户的用户名。 来源IP 操作用户的IP地址。 操作类型 操作类型分为更新、查看、删除、登录/退出、未知这些类型。 所属模块 操作行为对应的功能模块，包括仪表盘、告警响应、镜像安全、容器安全、节点安全、平台管理、安装配置等模块。 是否执行成功 分为“执行成功”和“执行失败”两种类型。 操作行为 具体的操作行为信息。 日志设置 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“平台管理 > 日志审计”，进入日志审计页面。 3. 单击页面右上角的“设置”图标，进入日志设置页面。 4. 可选择是否开启用户“查看类型的操作记录审计”，设置“操作审计保留时间”。 5. 单击“保存”，完成配置。

Web应用防火墙（原生版） Web应用防火墙（原生版）（CTWAF，Web Application Firewall，简称WAF）基于三大引擎（安全模型检测引擎+智能语义检测引擎+机器学习检测引擎），结合设备指纹、无感验证码、动态人机挑战、动态环境验证、随机化混淆策略、AI驱动的实时决策等关键技术，支持多种常见编码自动还原能力，提供深度攻击防逃逸功能，构建完整的动态防御闭环，有效检测 SQL 注入、XSS 等基于形式语言的攻击类型，有效应对自动化工具、0day漏洞攻击等高风险威胁。打造专业的Web安全防护能力。可为用户Web应用提供一站式安全防护，对Web业务流量进行智能全方位检测，有效识别恶意请求特征并防御，避免源站服务器被恶意入侵，保护网站核心业务安全和数据安全。更多信息请参考++Web应用防火墙++ 配置方式： 如果您拥有弹性IP、公网NAT网关、弹性负载均衡等网络资产，并需要进行公网流量出入的互联网边界防护需求，您可以在云防火墙的“互联网边界开关”页面将这些网络资产接入云防火墙，并配置相关的互联网边界访问控制规则。具体操作，请参见++防火墙开关互联网边界防火墙++、++访问控制配置互联网边界防护规则++ 如果您拥有对等连接、云间高速、云专线等网络资产，并需要针对内网互访进行VPC边界防护，您可以在云防火墙的“VPC边界开关”页面将内网互访流量接入云防火墙，并配置相关的VPC边界访问控制规则。具体操作，请参见++防火墙开关VPC边界防火墙++、++访问控制配置VPC边界防护规则++

本文介绍安全加速如何退订。 产品支持退订服务，登录官网订单管理产品产品视图退订管理，找到您要退订的订单，进行退订；客户套餐退订后，扩展服务也会一起退订。 产品退订页面

约束与限制 Windows云主机处于“运行中”状态。 已获得Windows云主机的用户名和密码。如果忘记密码，须重置云主机密码，请参考在控制台重置弹性云主机密码。 Windows云主机所在安全组的入方向已开放3389端口。 Windows防火墙未开启或开启后放通3389端口。 登录工具与Windows云主机具有网络连通性。如果使用处于公网中的终端登录，需要您的Windows云主机已绑定弹性IP。如果通过内网使用此方式登录，则不需要绑定弹性IP，例如VPN、云专线等内网网络连通场景。 Windows云主机已开启远程桌面协议RDP。 GPU实例中，部分实例不支持云平台提供的远程登录功能，需要自行安装VNC Server进行登录。推荐使用MSTSC方式登录弹性云主机。 使用MSTSC方式访问GPU型云主机时，使用WDDM驱动程序模型的GPU将被替换为一个非加速的远程桌面显示驱动程序，造成GPU加速能力无法实现。因此，如果需要使用GPU加速能力，您必须使用不同的远程访问工具，如VNC工具。如果使用管理控制中心操作界面的“远程登录”功能无法满足您的访问需求，请自行在弹性云主机上安装符合要求的远程访问工具（如Tight VNC）。 登录方式概述 请根据需要选择登录方式，登录Windows云主机。 云主机操作系统 本地主机操作系统 连接方法 条件 :::: Windows Windows 使用控制中心远程登录方式： 可参见：Windows弹性云主机远程登陆（VNC方式）、Windows弹性云主机远程登录（TeleCloudShell方式）。 不依赖弹性IP Windows 移动设备 安装远程连接工具，例如Microsoft Remote Desktop在移动设备上登录。 可参见：[]( 云主机绑定弹性IP （如果通过内网环境登录云主机，可以不绑定弹性IP，例如VPN、云专线等内网网络连通场景。） Windows Windows 使用mstsc方式登录云主机。在本地主机单击“开始”菜单，输入mstsc命令，打开远程桌面对话框。 可参见：远程桌面连接（MSTSC方式） 云主机绑定弹性IP （如果通过内网环境登录云主机，可以不绑定弹性IP，例如VPN、云专线等内网网络连通场景。） Windows Linux 安装远程连接工具，例如rdesktop，执行连接命令。 可参见：在Linux主机上登录Windows云主机 云主机绑定弹性IP （如果通过内网环境登录云主机，可以不绑定弹性IP，例如VPN、云专线等内网网络连通场景。） Windows Mac OS系统 安装远程连接工具，例如Microsoft Remote Desktop for Mac在Mac OS系统上登录。 可参见：Mac OS系统登录Windows云主机 云主机绑定弹性IP （如果通过内网环境登录云主机，可以不绑定弹性IP，例如VPN、云专线等内网网络连通场景。）

快速交付 提供软硬一体化交付方案，预置大模型、混合云管平台及高性能基础设施，支持全流程自动化部署，最快仅需2天即可完成环境搭建。 全栈管理 打造全栈式管理平台，涵盖计算、存储、网络及大模型资源的一站式管理功能，支持大模型的纳管调用，助力用户快速构建专属问答助手。 安全可控 确保本地化部署，满足政务、医疗等行业"数据不出机房"的安全要求，同时通过严格的权限隔离机制，全面保障信息安全。 极简运维 多维度监控、告警数据，帮助用户提前发现业务运行隐患；属地化运维和724小时在线服务，全方位解决客户后顾之忧。

本小节介绍服务器安全卫士的产品优势。 扫描速度快 基于Agent扫描，执行主机资产清点和风险发现功能，扫描N台主机和1台所需时间一样。 精准检测 设立数万个监测指标，建立多维度、多层次的纵深检测体系，检测结果精准。 资源占用低 CPU占用率<1%，内存占用<40M，消耗极低。 强大的统一安全管控平台 服务器安全卫士是安全问题和安全事态的可视化实时分析平台，可实现统一策略管理，分角色管理，分账号管理，有效管理大批量主机系统。 精准查杀 结合多病毒检测引擎，实时监控病毒进程，查杀率高。多方分析“实锤”病毒信息，检测结果一站化体现，坚实可靠。 丰富的扩展功能 根据不同的业务需求（Web 服务器、存储服务器等），选择不同的功能组合，可根据需求灵活定制安全方案，做到最佳适应；根据用户的业务情况，通过用户自身的业务系统与我们的API 结合，向用户输出 API 集成开发的能力。

本章节介绍密评专区知识类常见问题。 如何确定被测信息系统密码应用等级？ GB/T 397862021中的密码应用等级一般由网络安全等级保护的级别确定。 信息系统根据GB/T 222402020《信息安全技术网络安全等级保护定级指南》确定等级保护级别时，同步对应确定密码应用等级： 等保定级为第一级的网络与信息系统应遵循GB/T 397862021第一级密码应用基本要求。 等保定级为第二级的网络与信息系统应遵循GB/T 397862021第二级密码应用基本要求，以此类推。 对于未完成网络安全等级保护定级的重要信息系统，其密码应用等级至少为第三级。 因此在进行密码测评时，建议至少先完成等保的定级备案。 资源池没过密评，客户能部署云密评专区过密评，拿到测评报告吗？ 云平台是否过密评不会直接影响租户侧的密评结果。 若平台侧已经通过密评，那么云上租户在进行商用密码应用安全性评估时可复用平台侧的部分结果。如云平台已经进行了测评且拿到符合要求的密评报告，那么云上租户在进行测评时可复用物理和环境安全（即机房）的测评结果。 若平台侧没有通过密评，那么云上租户在进行密码测评时则不能复用平台侧的测评结果。需要按照密评标准GB/T 397862021《信息安全技术信息系统密码应用基本要求》逐条测评。

产品功能 功能介绍 功能描述 基础版 企业版 旗舰版 资产清点 资产清点 自动清点主机内部资产如进程、端口、账号、应用等，实时掌握主机内部资产变化，为安全分析提供数据基础。 X √ √ 风险发现 安全补丁 对安全补丁进行周期性自动检测，提供详细补丁说明和修复方案。 X √ √ 风险发现 漏洞检测() 精准本地分析漏洞，包含精准 POC探测和版本漏洞探测；支持 CVSS等漏洞信息详细描述，支持漏洞修复影响检查；提供命令级漏洞修复建议。 √ √ √ 风险发现 弱密码检查 弱口令自动检测，自动匹配账号名相关易猜解密码，支持弱口令字典自定义。 √ √ √ 风险发现 应用风险() 检测Linux关键攻击路径上常用应用的配置型风险。 X X √ 风险发现 系统风险() 检测Linux上由于系统配置的产生的安全风险。 X X √ 风险发现 账号风险() 检测Linux系统中的由于账号的配置产生的安全风险。 X X √ 入侵检测 暴力破解 实时监控主机上发生的爆破行为，并提供封停爆破来源IP的能力。 √ √ √ 入侵检测 异常登录 实时异常登录监控，发现异常IP、区域、时间等的异常登录。 √ √ √ 入侵检测 反弹shell 实时监控主机上反向连接的行为，并提供详细的攻击记录。 X √ √ 入侵检测 后门检测 精准发现系统内后门程序，提供详细后门程序分析报告与修复建议。 √ √ √ 入侵检测 本地提权() 支持实时进程提权监测，支持进程提权过程详细记录。 X √ √ 入侵检测 Web后门 多维度Web后门识别，支持规则匹配、相似度匹配、沙箱检测、模式分析引擎检测等多种机制检测，具备实时监测能力。 √ √ √ 入侵检测 可疑操作() 实时对Bash命令进行审计，发现可疑的黑客操作，支持自定义审计规则。 X √ √ 入侵检测 Web命令执行 能够发现Web RCE和进程异常的执行事件。 X √ √ 病毒查杀 病毒查杀 结合多个病毒检测引擎，能够实时准确地发现主机上的病毒进程，并提供多⻆度分析结果，以及相应的病毒处理能力，对病毒能够快速、准确、高效地实现从检测分析到处理修复的安全工作闭环。 X √ √ 合规基线 系统基线 对各版本的Linux系统、Windows 系统按照等保、CIS的基线要求检测，覆盖主流操作系统的检测。 X √ √ 合规基线 应用基线 支持对常用应用的等保、CIS基线的检测。 √ √ √ 合规基线 数据库基线 支持对主流数据库的等保、CIS基线的检测。 √ √ √ 合规基线 自定义基线 支持自定义基线，对于不同的检查基准，灵活制定不同检查强度的标准。 X √ √ 快速任务 快速任务 提供一些特定的安全任务，方便用户在日常安全工作中快速执行。 X X √ 其他功能 主机管理 提供对所有安全服务器的管理功能，可设置主机分组，标签，运维管理信息，方便用户管理主机。 √ √ √ 其他功能 报表系统 提供各类实用美观的安全报表，供汇报时使用，可支持Html，Word格式。 X X √ 其他功能 通知系统 可灵活配置接收的通知类型、通知方式及通知人。 √ √ √

注意 本清单适用于天翼云AOne APP（Android 及 iOS版本）等全部终端客户端（以下单称或统称“平台”）向您提供的各项产品和服务。若某个产品与/或服务设置了单独清单，则该单独清单优先适用。 业务场景 收集目的 处理方式 信息类型 账号注册 登录认证、双因子认证、重置密码、验证码校验、应用访问权限申请和审批、员工账号管理 用户输入 手机号、电子邮箱、用户名 账号登录 登录认证 用户输入 注册用户登录账号、注册用户登录密码、验证码 设备管理 进行移动设备管理 APP收集 账号、设备ID、设备名称、设备系统 信息统计故障诊断 使用故障诊断、信息统计、服务稳定性改进、响应使用异常帮助请求 APP收集 设备名称、品牌、型号、操作系统、设备设置、IDFV（仅iOS）、IP地址、个人信息（头像） 企业/组织控制台数据配置 企业组织管理、应用范围管理、日常办公安全管理 企业管理员配置 隶属部门、办公邮箱账号、办公电话、企业账号信息、访问企业应用/资产名称、访问企业应用/资产的时长、访问过程中流量的大小 VPN服务 访问企业内部应用、产品功能正常运行 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 应用资源访问 网络日志保存、安全审计 APP收集 访问的应用名、访问的目的地址、目的端口、设备网络类型、客户端IP地址、客户端端口、访问日期和时间 AI应用中心智能对话 意图识别、关键词拆分、信息检索、提供精准搜索结果和总结性回答 用户输入 与AI应用中心交互过程中输入的内容（语音、文本、图片、文件）、对话记录（输入信息、App生成内容、对话主题） AI应用中心文件上传 智能搜索、交互服务、精准理解用户需求、提供准确搜索结果和智能推荐 用户上传 用户上传的文件内容 日程服务 日程提醒、日程安排管理 用户输入 日程安排、事件通知 消息服务 信息传输与交互、设备同步 用户输入 聊天信息（文本消息、图片消息、文件、通信录信息） 空间服务在线文档 文档管理、协作记录 用户输入 文档及文档信息（文档类型、大小、文档权限、存放位置）、参与编辑的记录、分享/创建副本/下载/浏览/变更权限设置的操作记录 空间服务搜索 搜索结果展示 用户输入 搜索关键字信息 企业微信账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 飞书账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构、设备信息与日志信息（操作系统版本号、服务日志）、个人常用设备信息 钉钉账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 音视频会议发言 音视频流传输 APP收集 音频信息、视频信息 音视频会议粘贴会议号 会议号鉴别、提升入会效率 APP收集 剪贴板中的会议号 音视频会议蓝牙连接 蓝牙设备会议交流 APP收集 蓝牙设备信息 共享屏幕 在其他应用上层显示 APP收集 悬浮窗权限、共享屏幕信息 会议记录 会议信息管理、后期查看 APP收集 会议主题、会议号、会议密码、会议创建人、参会人、会议开始和结束时间、最近入会时间及参会时长 云录制 会议内容保存、回放观看 APP收集 音频信息、视频信息、会议纪要文本数据 会议纪要生成 生成会议纪要（按主题、按章节、按发言人总结） APP收集 会议音频信息、会议主题、参会人昵称信息 全球加速 加速访问公网应用 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 生物识别登录 账号登录验证 本地验证 指纹信息/人脸信息（不采集原始图像，仅保存在用户设备上） 待办工单 工单管理 用户输入 待办工单信息 邮件服务 邮件收发 用户输入 电子邮箱地址、图片、文字、文件

为什么要更新VMTools？ 平台会定期从virtio社区同步问题修复，每月发布更新版本可以帮您进行以下优化： 1. 问题修复和安全性： VMTools 提供了与宿主机系统的交互，包括文件共享、鼠标和键盘集成等功能。更新VMTools可以获得最新的问题修复和安全性更新，确保在您的虚拟机中使用过程中不会遇到已知问题或潜在的安全漏洞。 2. 兼容性： 更新VMTools可以确保虚拟机与宿主机的软件和硬件环境保持兼容。随着宿主机和虚拟化平台的更新，旧版本的VMTools可能会出现不兼容性问题，更新可以避免这些问题。 3. 性能优化： 新版本的VMTools通常会带来性能优化，从而提升虚拟机的性能和响应速度。通过更新，您可以获得更好的虚拟机性能体验。 4. 新功能支持： 更新VMTools可能会引入新的功能和增强，从而改善虚拟机的功能和管理能力。这些功能可以帮助您更有效地管理和操作虚拟机。 什么时候更新VMTools？ 更新VMTools的时机取决于问题的严重程度、安全性、定期更新以及您所使用的镜像类型。保持最新的VMTools版本是确保虚拟机安全、稳定和高效运行的重要措施。建议您在通过以下考虑来进行VMTools更新： 重大错误或安全问题： 如果发现VMTools中存在重大错误或安全问题，建议立即更新，以确保虚拟机的安全性和稳定性。这是保护您的虚拟机免受潜在威胁的重要步骤。 定期更新： 平台会定期将更新的VMTools版本提供至OBS桶，以确保您在制作私有镜像或安装新虚拟机时可以获得最新版本的VMTools。您可以定期检查是否有新版本可用，并在需要时进行更新。 公共镜像更新： 如果您使用平台提供的公共镜像，这些镜像会定期更新，以确保其中包含了最新版本的VMTools。在使用这些镜像时，您可以放心地获得更新的VMTools。 文档和资料同步： 平台会确保文档中的下载链接与OBS桶中的文件保持同步，以确保您能够轻松地下载到最新版本的VMTools。在需要更新时，您可以从指定的下载链接获取新版本。

平台侧确认注册成功 NVR设备注册完成后，等待大约1分钟后（不同的设备等待时间略有差异），在天翼云智能视图服务控制台的设备管理页面查看该设备，如果是在线状态，说明设备接入成功。 国标下级平台接入 添加下级平台 在添加设备的接入配置页面，下拉设备分类选择【Platform】，填写设备名称，选择GB28181凭证等相关信息后，进入下一步。 在设备配置页面，和添加国标IPC一致，选择厂商、接入区域、设备地址和所属行业等相关信息后，点击【提交】完成下级平台添加。 获取接入信息 在设备列表选中创建的下级平台，点击【查看详情】获取接入信息并提供给下级平台。 配置计费模式 下级平台注册成功后，在设备列表选中下级平台，点击【同步】获取下级平台推送的设备列表，切换至【配置信息】页面为设备配置有效的计费模式，设备才能正常上线使用。 GB35114协议接入 GB35114是公共安全视频监控联网信息安全技术标准，在GB/T 28181的基础上对监控联网视频信息以及控制信令信息保护提出了进一步的安全要求，使用国密算法、数字签名、数字证书等技术确保前端设备身份真实可信、控制信令来源可信、内容防篡改，保护视频数据不泄密。

本文为您介绍跨域VPC和云专线通过云间高速实现安全访问互联网的操作流程。 前提条件 客户在VPC网络中配置有安全管控服务。 安全管控服务具备互联网访问能力。 此场景仅限天翼云CTYUN4.0资源池 场景示例 在华北2和华东1资源池部署有云上资源。 在广州的IDC需要通过云专线接入华南2资源池，与华北2和华东1的云上资源互访。 三个区域的资源需要通过华东1部署的云上安全服务访问互联网。 组网拓扑 配置步骤 1. 创建云间高速和云企业路由器 创建云间高速 云间高速的创建，具体操作请参见：创建云间高速（标准版）实例云间高速 创建云企业路由器 在华北2、华东1、华南2三个资源池中分别创建云企业路由器。 具体操作请参见：创建云企业路由器实例云间高速 2. 加载网络实例 加载VPC网络实例 在已创建的华北2云企业路由器和华东1云企业路由器中，分别加载对应区域的VPC网络实例。 具体操作请参见：加载VPC网络实例云间高速 加载专线网络实例 在华南2云企业路由器中，加载云专线（CDA）网络实例。 具体操作请参见：加载云专线（CDA）网络实例云间高速

本文主要介绍AI加速型 AI加速型云主机（AI Accelerated Cloud Server, AIACS）是专门为AI业务提供加速服务的云主机。搭载昇腾系列芯片及软件栈。 AI推理加速型系列：搭载昇腾310芯片，为AI推理业务加速。 AI加速型实例总览 规格名称 计算 磁盘类型 网络 Ai1s CPU/内存配比：1:4 vCPU数量范围：232 处理器：第二代英特尔® 至强® 可扩展处理器 基频/睿频：2.6GHz/3.5GHz 支持开启/关闭超线程功能，详细内容请参见开启/关闭超线程。 超高IO 通用型SSD 高IO 极速型SSD 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：200万PPSl 最大内网带宽：25Gbps 说明 Ai1s支持最新的 AI推理加速增强I型Ai1s 概述 AI推理加速增强I型实例Ai1s是以昇腾310（Ascend 310）芯片为加速核心的AI加速型弹性云主机。基于Ascend 310芯片低功耗、高算力特性，实现了能效比的大幅提升，助力AI推理业务的快速普及。通过AI推理加速型实例Ai1s将Ascend 310芯片的计算加速能力在云平台上开放出来，方便用户快速简捷地使用Ascend 310芯片强大的处理能力。 AI推理加速型实例Ai1s基于Altas300I加速卡设计，更多详细信息请参考昇腾社区。 AI加速型云主机可用于机器视觉，安防监控，智慧园区，智慧城市，智慧交通，智慧零售，互联网音视频，视频编解码等业务场景。 类型 CPU基频/睿频 CPU型号 Ai1s 2.6GHz/3.5GHz 6278

本文介绍开启或关闭源/目的检查操作。 应用场景 使用虚拟机部署LVS实现高可用。 使用说明 只支持VPC网卡开启或关闭源/目的检查。 虚拟机开通后，源/目的检查状态默认开启。 启用状态，系统会检查发送的报文中源IP地址是否正确，不正确则不允许发送该报文。关闭状态，系统不会检查发送的报文中源IP地址，存在伪装报文攻击风险。 关闭源/目的检查状态后，不影响关联安全组生效与否，安全组是否生效可在网卡详情页自助开启或关闭。 操作步骤 1. 登录ECX控制台。 2. 单击左侧【边缘虚拟机>实例】导航栏，点击列表上方的地域可以切换不同地域，选择需要操作的实例，单击实例名称。 3. 进入虚拟机详情页，单击【网卡】页签，找到需要配置的VPC网卡所在位置，点击其他栏下的“源/目的检查”右侧按钮，出现弹窗提示后点击【是】，开启或关闭源/目的检查状态。

多区系统调度 1. 登录ECX控制台。 2. 单击左侧【边缘虚拟机>实例】导航栏，点击【新建实例>多区系统调度】。 3. 【区域选择】指定需要开通的区域，支持输入多个区域。 4. 【实例规格】选择需要批量多区域开通的实例规格，目前支持计算型及通用型虚拟机。 5. 【存储】设置系统盘大小，系统会根据最终开通集群所拥有的存储库存自动分配对应规格的系统盘。 6. 【开通数量】输入需要开通的总数量。 7. 【操作系统】选择用于创建虚拟机的镜像。 8. 【账号密码】设置虚拟机操作系统的登录用户及其密码。 9. 【安全组】制定虚拟机使用的安全组策略。 10. 系统会根据设置的区域、实例规格、系统盘容量及区域集群的实际库存，自动将实例尽可能分散开通在不同区域的不同集群上。 11. 目前多区系统调度开通仅支持按需计费模式。 注意 仅线下用户支持多区系统调度。

本文介绍函数运行时的Web标准API。 运行时提供了以下标准化API，供边缘运行的用户函数使用。 JavaScript标准内置对象 JavaScript内置对象都可使用。但下面这些例外： 注意 eval()出于安全原因，不允许使用。 uneval() 出于安全原因，不允许使用。 new Function 出于安全原因，不允许使用。 值属性 这些全局属性返回一个简单值，这些值没有自己的属性和方法。 globalThis Infinity NaN undefined 函数属性 全局函数可以直接调用，不需要在调用时指定所属对象，执行结束后会将结果直接返回给调用者。 eval()出于安全原因，不允许使用。 uneval()出于安全原因，不允许使用。 isFinite() isNaN() parseFloat() parseInt() decodeURI() decodeURIComponent() encodeURI() encodeURIComponent() 基本对象 顾名思义，基本对象是定义或使用其他对象的基础。基本对象包括一般对象、函数对象和错误对象。 Object Function （new Function出于安全原因，不允许使用。） Boolean Symbol 错误对象 错误对象是一种特殊的基本对象。它们拥有基本的Error类型，同时也有多种具体的错误类型。 Error RangeError ReferenceError SyntaxError TypeError URIError AggregateError InternalError 数字和日期对象 用来表示数字、日期和执行数学计算的对象。 Number BigInt Math Date 字符串 用来表示和操作字符串的对象。 String RegExp 可索引的集合对象 这些对象表示按照索引值来排序的数据集合，包括数组和类型数组，以及类数组结构的对象。 Array Int8Array Uint8Array Uint8ClampedArray Int16Array Uint16Array Int32Array Uint32Array Float32Array Float64Array BigInt64Array BigUint64Array

安全组规则 不支持的云主机类型 策略选择“拒绝” X86计算型，具体规格请参见 源/目的地址为“IP地址组” 协议端口配置为不连续端口号 X86计算型，具体规格请参见

Android 发布版本 发布时间 版本描述 2.8.1 20260105 内置浏览器使用优化、支持优选接入、可设置无流量自动关闭VPN，节省耗电，其他安全和缺陷问题修复。 2.7.0 20251028 支持钉钉、飞书认证源，认证源支持用户范围；传输协议优化，自定义网络模式。 2.6.1 20250925 全球加速引流增强，最近访问优化。 2.5.0 20250826 支持全球加速访问，UI改版优化，支持生物识别登录，支持移动端扫码客户端登录，支持诊断工具、设备授信、信滑动验证码。 2.1.0 20250409 支持超时注销登录配置。 2.0.2 20250310 登录逻辑优化，并新增deepseek功能。 2.0.1 20250207 全新UI更新， 体验优化。 1.14.2 20250117 内部的安全线上问题优化，解决并发数等一些缺陷，问题修复。 1.8.2 20241223 支持隐私协议撤回功能，第三方数据共享优化。 1.6.7 20240731 稳定性优化，问题修复。 1.4.0 20240530 补充定时刷新能力，问题修复。 1.3.0 20240511 支持账号、手机号、邮箱进行忘记密码，其他使用问题优化。 1.2.1 20240415 上下线能力补充、应用资源展示优化，问题修复。 1.2.0 20240329 首个版本发布。

云原生网关 云原生网关同时具备传统的流量网关和业务网关功能（Zuul、Spring Cloud Gateway等），提供全局性和独立业务域级别的流量管理策略，支持Nacos和K8s等多种服务发现方式，支持TLS加密通信和多种身份认证方式，构筑安全的流量入口。 功能模块 功能详情 相关文档 服务管理提升应用稳定性 打通Nacos、K8s等多种服务发现数据源，支持多种服务负载均衡策略，通过限流、熔断、降级等策略提升整个访问链路稳定性。 服务管理 丰富灵活的路由策略 支持多种路由策略进行多服务路由转发，从请求路径、请求方法、请求头和请求参数等维度进行规则设置，实现请求限流、重写、Header 设置、跨域等。 路由策略配置 防御鉴权保障应用安全 支持JWT，OIDC等多种鉴权方式，对用户进行身份验证，支持自定义访问控制策略，支持全局或者路由级别的黑白名单配置，最大限度控制安全风险。 安全认证配置 可观测能力快速定位问题 集成天翼云LTS、APM等可观测组件，提供网关实例监控、业务监控、日志分析、全链路追踪等功能，高效定位问题，提高应对核心链路问题的响应速度。 监控分析

Web应用防火墙是否支持IPv4与IPv6双栈？ 云WAF支持IPv6流量防护，且针对同一域名可以同时提供IPv6和IPv4的流量防护，支持IPv4和IPv6双栈防护。 Web应用防火墙是否支持NAT64机制？ 对于只使用IPv4协议栈回源的业务，云WAF支持NAT64机制，即云WAF提供IPv6访问流量接入及防护，检测过滤后将IPv6访问流量转化为IPv4流量返回源站，快速满足国家IPv6政策要求。 Web应用防火墙支持那些端口？ 云WAF防护开通支持HTTP标准端口80、8080，443、8443等以443结尾的HTTPS标准端口，其余非标准端口请联系工程师确认后进行开通。 Web应用防火墙可以拦截哪些类型的攻击？ 利用云WAF平台，基于云安全大数据实现，对客户网站提供一整套的47层安全防护方案，有效阻拦网站系统被篡改、被挂马、漏洞攻击，恶意扫描、非授权核心资源访问等OWASP常见攻击，并过滤恶意CC攻击，避免客户网站资产数据泄露，保障网站的安全与可用性。启用之后，客户网站所有的公网流量都会先经过云WAF平台，恶意攻击流量在云WAF平台上被检测过滤，而正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。