账号安全配置 目前数据库安全网关支持配置安全认证、登录超时、账号有效期策略，默认都不开启。 安全认证 ：在菜单栏选择“安全运维 > 数据库访问账号 > 账号安全配置”进入页面，单击击用户认证模块的“修改”按钮，开启安全认证开关，当启用安全认证后，若运维人员未能及时前往进行身份验证，系统将自动禁止其使用已分配的数据库访问账号进行数据库的登录操作。若验证通过后在验证有效时间段内访问数据库方可登录。 登录超时 ：在菜单栏选择“安全运维 > 数据库访问账号 > 账号安全配置”进入页面，单击击用户认证模块的“修改”按钮，开启登录超时开关，当启用登录超时后，若数据库访问账号在设定的时长内未对数据库进行任何操作，系统将自动默认阻断其会话连接，若该账号需要重新进行数据库操作，必须重新进行登录验证。 账号有效期 ：在菜单栏选择“安全运维 > 数据库访问账号 > 账号安全配置”进入页面，单击击用户认证模块的“修改”按钮，开启账号有效期开关，当启用账号有效期后，新建的数据库访问账号将自动被赋予一个默认的有效期限，一旦账号达到其设定的有效期，系统将自动阻断该账号对数据库的访问权限，直至账号更新有效期。 配置项说明： 配置项 说明 安全认证 可启用或禁用，默认禁用。 验证有效时间 有效值143200 分钟，默认5 分钟，验证通过后该时间段内访问数据库登录放行。 登录超时 可启用或禁用，默认禁用。 登录超时时间 有效值1120 分钟，默认10 分钟，当数据库访问账号超过设定时长对数据库无操作时默认阻断，再次操作需重新登录。 账号有效期 可启用或禁用，默认禁用。 账号有效期时间 有效值159999 天，默认值180 天，数据库访问账号新建时默认有有效期，若超过有效期则阻断。

本文通过完全开源的RAGFlow服务与云搜索服务的OpenSearch向量数据库与搜索大模型快速构建智能知识问答(RAG)服务。 RAGFlow 是一款基于深度文档理解的开源RAG（检索增强生成）引擎。它为企业级用户提供了一套端到端的 RAG 解决方案，通过结合大语言模型（LLM） 的能力，实现对多样化复杂格式数据的精准解析与知识检索，为用户提供依据充分、真实可靠的问答服务，并确保所有回答均附带可追溯的引用来源。 RAG（Retrieveraugmented Generation）是一种结合了信息检索和生成的自然语言处理（NLP）技术，特别适用于需要从大量数据中检索信息并生成自然语言文本的场景。它在处理复杂任务时能够提升生成模型的性能，尤其是在模型缺乏足够上下文或知识的情况下。 RAG的优势 RAG通过检索外部知识库或数据库中的相关信息，能够在生成过程中动态地补充实时或特定领域的知识，弥补了生成模型的“知识盲区”。这使得模型能够在没有训练时直接获得的信息基础上进行更加准确的回答或内容生成。针对企业内部包含的敏感数据（如薪资标准、客户资料等）以及大量专有信息（包括产品文档、客户案例、流程手册等），RAG提供了安全的解决方案。由于这些非公开信息无法直接预置到大模型中，RAG通过外部知识调用的方式，既满足了信息需求，又确保了数据安全性。

本章节主要介绍翼MapReduce服务KrbServer健康检查指标项说明。 KerberosAdmin服务可用性检查 指标项名称： KerberosAdmin服务可用性 指标项含义 ：系统对KerberosAdmin服务状态进行检查，如果检查结果不正常，则KerberosAdmin服务不可用。 恢复指导： 如果该指标项检查结果不正常，原因可能是KerberosAdmin服务所在节点故障，或者SlapdServer服务不可用。操作人员进行KerberosAdmin服务恢复时，请尝试如下操作： 1. 检查KerberosAdmin服务所在节点是否故障。 2. 检查SlapdServer服务是否不可用。 KerberosServer服务可用性检查 指标项名称： KerberosServer服务可用性 指标项含义 ：系统对KerberosServer服务状态进行检查，如果检查结果不正常，则KerberosServer服务不可用。 恢复指导： 如果该指标项检查结果不正常，原因可能是KerberosServer服务所在节点故障，或者SlapdServer服务不可用。操作人员进行KerberosServer服务恢复时，请尝试如下操作： 1. 检查KerberosServer服务所在节点是否故障。 2. 检查SlapdServer服务是否不可用。 服务健康状态 指标项名称： 服务状态 指标项含义 ：系统对KrbServer服务状态进行检查，如果检查结果不正常，则KrbServer服务不可用。 恢复指导： 如果该指标项检查结果不正常，原因可能是KrbServer服务所在节点故障或者LdapServer服务不可用。详细操作请参见告警ALM25500处理。 检查告警 指标项名称： 告警信息 指标项含义 ：系统对KrbServer服务的告警信息进行检查。如果存在告警信息，则KrbServer服务可能存在异常。 恢复指导： 如果该指标项检查结果不正常，建议根据告警内容，查看对应的告警资料，并进行相应的处理。

本章节主要介绍翼MapReduce服务配置服务参数。 用户可以根据实际业务场景，在MRS Manager中快速查看和修改服务默认的配置，及导出或导入配置。 对系统的影响 配置HBase、HDFS、Hive、Spark、Yarn、Mapreduce服务属性后，需要重新下载并更新客户端配置文件。 集群中只剩下一个DBService角色实例时，不支持修改DBService服务的参数。 操作步骤 修改服务参数 1. 单击“服务管理”。 2. 单击服务列表中指定的服务名称。 3. 单击“服务配置”。 4. 在“参数类别”选择“全部配置”，界面上将显示该服务的全部配置参数导航树，导航树从上到下的根节点分别为服务名称和角色名称。 5. 在导航树选择指定的参数，修改参数值。支持在“搜索”输入参数名直接搜索并显示结果。 修改某个参数的值后需要取消修改，可以单击恢复。 说明 如果需要批量修改服务某个角色多个实例的配置，可以使用主机组实现实例参数的批量配置。在“角色”选择角色名称，然后在“主机”打开“ ”。“主机组名”填写一个名称，“主机”列表中勾选要修改的主机并加入“已选择的主机”，单击“确定”添加主机组。添加的主机组可以在“主机”中选择，且仅在当前页面有效，刷新页面后将无法保存。 6. 单击“保存配置”，勾选“重新启动受影响的服务或实例。”并单击“确定”重启服务。 界面提示“操作成功。”，单击“完成”，服务成功启动。 说明 更新YARN服务队列的配置且不重启服务时，选择“更多 > 刷新队列”更新队列使配置生效。

本章节主要介绍翼MapReduce的添加资源池操作。 操作场景 在集群中，管理员可从逻辑上对所有Yarn的节点进行分区，使多个NodeManager形成一个Yarn资源池。每个NodeManager只能属于一个资源池。管理员通过FusionInsight Manager添加一个自定义的资源池，并将未加入自定义资源池的主机加入此资源池，便于指定的队列利用这些计算资源。 系统中默认包含了一个名为“default”的资源池，所有未加入用户自定义资源池的NodeManager属于此资源池。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“租户资源 > 资源池”。 3. 单击“添加资源池”。 4. 设置资源池的属性。 “集群”：选择待添加资源池的集群名称。 “名称”：填写资源池的名称。长度为1~50个字符，可包含数字、字母或下划线（ ） ，且不能以下划线 （ ）开头。 “资源标签”：配置资源池的资源标签，包括数字、字母、下划线（ ）或减号（），长度为1~50个字符，且只能以数字或者字母开头。 “资源”：在界面左边可用主机列表中，勾选指定的主机，单击，将选中的主机加入已选主机列表。只支持选择本集群中的主机。资源池中的主机列表可以为空。 说明 根据业务需求，可以通过主机名称、CPU、内存、操作系统和平台类型，筛选需要选取的资源主机。 5. 单击“确定”保存。 完成资源池创建后，管理员可以在资源池的列表中查看资源池的名称、成员、类型。已加入自定义资源池的主机，不再是“default”资源池的成员。

本章节主要介绍翼MapReduce的添加资源池操作。 操作场景 在集群中，管理员可从逻辑上对所有Yarn的节点进行分区，使多个NodeManager形成一个Yarn资源池。每个NodeManager只能属于一个资源池。管理员通过FusionInsight Manager添加一个自定义的资源池，并将未加入自定义资源池的主机加入此资源池，便于指定的队列利用这些计算资源。 系统中默认包含了一个名为“default”的资源池，所有未加入用户自定义资源池的NodeManager属于此资源池。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“租户资源 > 资源池”。 3. 单击“添加资源池”。 4. 设置资源池的属性。 “集群”：选择待添加资源池的集群名称。 “名称”：填写资源池的名称。长度为1~50个字符，可包含数字、字母或下划线（），且不能以下划线（）开头。 “资源标签”：配置资源池的资源标签，包括数字、字母、下划线（）或减号（），长度为1~50个字符，且只能以数字或者字母开头。 “资源”：在界面左边可用主机列表中，勾选指定的主机，单击，将选中的主机加入已选主机列表。只支持选择本集群中的主机。资源池中的主机列表可以为空。 说明 根据业务需求，可以通过主机名称、CPU、内存、操作系统和平台类型，筛选需要选取的资源主机。 5. 单击“确定”保存。 完成资源池创建后，管理员可以在资源池的列表中查看资源池的名称、成员、类型。已加入自定义资源池的主机，不再是“default”资源池的成员。

本章节主要介绍翼MapReduce的查看主机概览操作。 总览 登录FusionInsight Manager以后，单击“主机”，在主机列表单击指定的主机名称，可以访问主机详情页面，主要包含基本信息区、磁盘状态区、角色列表区和监控图表等。 基本信息区 主机详情页面的基本信息包含该主机的各个关键信息，例如管理IP地址、业务IP地址、主机类型、机架、防火墙、CPU核数、操作系统等信息。 磁盘状态区 磁盘状态区包含了该主机所有为集群配置的磁盘分区，并显示每个磁盘分区的使用情况。 实例列表区 实例列表区显示了该主机所有安装的角色实例，并显示每个角色实例的状态，单击角色实例名称后的日志文件，可在线查看该实例对应日志文件内容。 告警和事件的历史记录 告警和事件的历史记录区显示了当前主机上报的关键告警与事件记录，系统最多可显示20条历史记录。 图表 主机详情页面的右侧展示图表区，包含该主机的各个关键监控指标报表。 用户可以单击右上角的“ > 定制”，自定义在图表区展示的监控报表。选择时间区间后，单击“ > 导出”，可以导出指定时间区间内的详细监控指标数据。 单击监控指标标题后的可以打开监控指标的解释说明。 单击主机的“图表”页签，可直接查看该主机的全量监控图表信息。

使用须知 对于“包年/包月”模式的数据库实例，您需要进行订单退订才可删除实例。 删除实例后，该实例上的数据以及相关的自动备份将全部被清除，且不可恢复，请谨慎操作。 文档数据库服务默认保留所有手动备份，实例删除后，可用来恢复。 开启操作保护的用户，在进行敏感操作时，通过进行二次认证再次确认您的身份，进一步提高帐号安全性，有效保护您安全使用云产品。关于如何开启操作保护，具体请参考《统一身份认证服务用户指南》中敏感操作的内容。 操作步骤 步骤 6 登录管理控制台。 步骤 30 单击管理控制台左上方的，选择区域和项目。 步骤 31 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 32 在“实例管理”页面，选择指定的实例，选择“更多 > 删除实例”。 步骤 33 若您已开启操作保护，在“删除实例”弹出框，单击“去验证”，跳转至验证页面，单击“免费获取验证码”，正确输入验证码并单击“认证”，页面自动关闭。 步骤 34 在弹出框中，单击“是”，删除实例。 回收站 设置回收站策略 （待测试） 文档数据库服务支持将退订后的包年/包月实例和删除的按需实例，加入回收站管理。

请您根据以下处置建议，对系统展开检查，减少脆弱性暴漏。 体检完成后，您可以根据体检报告及漏洞详单查看互联网业务的漏洞开放、弱口令、高危端口开放等安全问题。体检报告包含推荐的处置建议，产线可根据这些建议，完成漏洞修复并及时更新线上系统，防止被攻击人员利用，造成损失。 通用处置建议 安全体检建议对存在漏洞的主机参考附件中提出的解决方案进行漏洞修补、安全增强。 建议所有Windows系统使用"Windows Update"进行更新。 对于大量终端用户而言，可以采用WSUS进行自动补丁更新，也可以采用补丁分发系统及时对终端用户进行补丁更新。 对于存在弱口令的系统，需在加强使用者安全意识的前提下，督促其修改密码，或者使用策略来强制限制密码长度和复杂性。 对于存在弱口令或是空口令的服务，在一些关键服务上，应加强口令强度，同时需使用加密传输方式，对于一些可关闭的服务来说，建议关闭该服务以达到安全目的。 对于UNIX系统订阅厂商的安全公告，与厂商技术人员确认后进行漏洞修补、补丁安装、停止服务等。 由于其他原因不能及时安装补丁的系统，考虑在网络边界、路由器、防火墙上设置严格的访问控制策略，以保证网络的动态安全。 建议网络管理员、系统管理员、安全管理员关注安全信息、安全动态及最新的严重漏洞，攻与防的循环，伴随每个主流操作系统、应用服务的生命周期。 建议采用安全体检系统定期对网络进行评估，真正做到未雨绸缪。 远程安全评估系统建议对存在不合规检查项的主机参考对应的检查点详情中提出的调整方案和标准值进行修正。

本文为您介绍云容灾服务与其他服务的关系。 云容灾与其他服务的关系如下表所示： 服务名称 交互功能 位置 弹性云主机 保护组创建完成后，将需要容灾的云主机添加到指定的保护组中。 启动容灾复制后，连续复制时容灾中心会创建复影云主机。 当故障切换或容灾演练时，云上容灾恢复拉起时会部署云主机。 配置跨可用区容灾 云硬盘 挂载在复影云主机下，存放实时复制的数据。 对复影云主机下的磁盘的历史时间节点打快照，供容灾恢复使用。 启动容灾复制 虚拟私有云 为弹性云主机构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。云容灾的生产中心和容灾中心，都需要配置VPC。 创建保护组

本节描述了ECX的定义、边缘计算的定义、边缘计算的特点等。 ECX的定义 智能边缘云(Edge Cloud X, ECX)是将传统的云计算中心移向了网络边缘，以降低延迟、提升响应速度和性能，满足行业数字化中的敏捷连接、实时业务、应用智能等关键需求。 什么是边缘计算 在深入了解ECX前，您需要先了解什么是边缘计算。 边缘计算是一种分布式计算架构，它将数据处理、存储和服务功能移近数据产生的边缘位置，即接近数据源和用户的位置，而不是依赖中心化的数据中心或云计算平台。通过将计算移动到边缘设备，可以更快速地处理数据，并在本地存储和分析数据，从而减少对中心云计算数据中心的依赖。同时，边缘计算还可以提高安全性和隐私性，因为数据不需要传输到中心云上进行处理。 边缘计算的应用场景包括边缘推理、智慧园区、云游戏、内容分发网络CDN、视频监控、工业物联网等，其中智慧园区、视频监控、工业物联网可划属于2B业务，云游戏可划属于2C业务。边缘计算应用场景使用的关键能力主要包括：海量网络联接与管理、实时数据采集与处理、本地业务自治、 边云协同、图像识别与视频分析、AR/VR、游戏渲染与呈现，以及数据安全与隐私保护等。

本文介绍了边缘安全加速平台域名管理操作安全防护的使用方法。 使用场景 边缘安全加速控制台域名列表中提供域名的快捷跳转配置功能，可直接在域名列表中选择对应域名、对应配置模块跳转进行配置查看及编辑。 使用说明 1.登录边缘安全加速控制台。 2.进入安全与加速工作台域名域名管理页面，选择在目标域名，点击操作栏【安全防护】。 3.点击需要配置的模块，跳转至对应配置页面；也可以一键控制对应模块的防护开关。开关关闭，防护功能不生效。 功能模块 说明 DDoS防护 包括DDoS防护（中国内地）、DDoS防护（非中国内地），可控制是否开启DDoS防护功能。 Web应用防火墙 包括防护规则引擎、合规性检测、敏感信息防护、网页防篡改、攻击挑战、Cookie防护等安全配置。 访问控制限流 包括CC防护、访问控制、频率控制安全配置。 BOT管理 包括Bot策略白名单、高频爬虫限制、爬虫陷阱安全配置。

参数 类型 是否必传 名称 描述 starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 interval string 否 时间粒度 时间粒度，目前支持1m，5m，1h和24h，默认5m。 producttype List<string> 否 产品类型列表 产品类型列表，不传默认名下所有产品，可多个产品类型，作为统计筛选项。支持：“001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速),“014”(下载加速闲时),“007”(安全加速),“005”(直播加速),“006”(全站加速),“009”(应用加速),“010”(web应用防火墙（边缘云版）),“011”(高防DDoS（边缘云版）) domain list<string> 否 域名列表 域名，不传默认名下所有域名，可多个域名，作为统计筛选项。 province list<int> 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项， isp list<string> 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项， networklayerprotocol string 否 网络层协议 网络层协议，不传默认所有网络层协议，支持作为统计筛选项，可以为ipv4、ipv6，other。 applicationlayerprotocol string 否 应用层协议 应用层协议，不传默认所有络层协议，支持作为统计筛选项，可以为http，https，rtmp，quic，other。 groupby list<string> 否 结果聚合维度 指标在计算结果的聚合维度，不传或为空默认按照时间粒度聚合，可多个统计维度，可以为producttype，domain，province，isp，networklayerprotocol，applicationlayerprotocol。

参数 类型 是否必传 名称 描述 starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 interval string 否 时间粒度 时间粒度，目前支持1m，5m，1h和24h，默认5m。 producttype List 否 产品类型列表 产品类型列表，不传默认名下所有产品，可多个产品类型，作为统计筛选项。支持：“001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速),“014”(下载加速闲时),“007”(安全加速),“005”(直播加速),“006”(全站加速),“009”(应用加速),“010”(web应用防火墙（边缘云版）),“011”(高防DDoS（边缘云版）) domain list 否 域名列表 域名，不传默认名下所有域名，可多个域名，作为统计筛选项。 province list 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项， isp list 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项， networklayerprotocol string 否 网络层协议 网络层协议，不传默认所有网络层协议，支持作为统计筛选项，可以为ipv4、ipv6，other。 applicationlayerprotocol string 否 应用层协议 应用层协议，不传默认所有络层协议，支持作为统计筛选项，可以为http，https，rtmp，quic，other。 groupby list 否 结果聚合维度 指标在计算结果的聚合维度，不传或为空默认按照时间粒度聚合，可多个统计维度，可以为producttype，domain，province，isp，networklayerprotocol，applicationlayerprotocol。

本章节主要介绍云搜索服务如何绑定企业项目。 每个集群必须设置其对应的企业项目，如果不需要此参数进行区分时，您可以将集群绑定至“default”项目。对于绑定企业项目特性上线前创建的集群，集群的企业项目将被绑定至“default”项目。您可以根据实际情况修改绑定企业项目。 绑定企业项目 在创建集群时，您可以在企业项目参数中绑定，详细操作步骤及参数解释请参见 创建Elasticsearch类型集群（安全模式）。 修改企业项目 针对之前已创建的集群，其绑定的企业项目可根据实际情况进行修改。 1.在“云搜索服务”管理控制台，单击“集群管理”进入集群列表。 2.在集群列表中，单击集群名称进入集群“基本信息”页面。 3.在集群“基本信息”页面中，单击“企业项目”参数右侧的参数值，进入“资源管理”的“项目管理”页面。 4.在资源页签下，选择对应“区域”，然后在“服务”中选择“ES”服务。此时，资源列表将筛选出对应的ES集群。 详见下图： 筛选ES集群 5.勾选需要修改企业项目的集群，然后单击“迁出”。 6.在“迁出资源”页面，选择“迁出方式”，再选择“请选择要迁入的企业项目”，然后单击“确定”。 详见下图： 迁出资源 7.迁出完成后，在原始的项目管理页面中，无法再获取此集群信息。您可以通过两种方式查看此集群绑定的企业项目。 进入云搜索服务集群列表页面，此集群对应的“企业项目”列的值，将更换为修改后的企业项目。 详见下图： 查看集群对应的企业项目 在资源管理服务中，在左侧导航栏选择“项目管理”，在企业项目管理页面，单击“查看迁出迁入事件”，可获取到此集群的信息。 详见下图：查看资源

请求JSON参数 参数 类型 是否必传 名称 描述 ::: starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 interval string 否 时间粒度 时间粒度，目前支持1m，5m，1h和24h，默认5m。 producttype List 否 产品类型列表 产品类型列表，不传默认名下所有产品，可多个产品类型，作为统计筛选项。支持： “001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速), “014”(下载加速闲时),“007”(安全加速),“005”(直播加速),“006”(全站加速),“009”(应用加速), “010”(web应用防火墙（边缘云版）),“011”(高防DDoS（边缘云版）) domain list 否 域名列表 域名，不传默认名下所有域名，可多个域名，作为统计筛选项。 province list 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项，点击查看省份及对应的省编码 isp list 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项，点击查看运营商及对应的运营商编码 networklayerprotocol string 否 网络层协议 网络层协议，不传默认所有网络层协议，支持作为统计筛选项，可以为ipv4、ipv6，other。 applicationlayerprotocol string 否 应用层协议 应用层协议，不传默认所有络层协议，支持作为统计筛选项，可以为http，https，rtmp，quic，other。 groupby list 否 结果聚合维度 指标在计算结果的聚合维度，不传或为空默认按照时间粒度聚合，可多个统计维度，可以为 producttype，domain，province，isp，networklayerprotocol，applicationlayerprotocol。

典型配置场景：添加定制角色，只允许访问安全与加速服务，但不允许编辑 新增策略列表： 平台最小权限（必选） 资源最小权限 （必选） 安全与加速菜单总览 安全与加速菜单域名 安全与加速菜单加速 安全与加速菜单安全 安全与加速菜单工具 安全与加速菜单运营管理 安全与加速菜单计费 典型配置场景：添加定制角色，只允许访问零信任服务，允许编辑 新增策略列表： 平台最小权限（必选） 资源最小权限 （必选） 零信任菜单 典型配置场景：添加定制角色，允许访问所有菜单，允许编辑，但限制可管理的安全与加速服务域名 新增策略列表： 平台最小权限（必选） 资源最小权限 （必选） 安全与加速服务可编辑权限 所有菜单权限 限制可管理的安全与加速服务域名： 1. 添加资源最小权限 （必选）后，返回策略列表，找到accessonedomain策略。 2. 进入设置页面，服务资源默认为workspace，代表所有域名资源。点击修改后，选择要赋予的域名对象。 说明 1、资源菜单具有层级关系，选择上层资源，自动包含下层资源，无需再次选择下层资源。 2、如需选择多项资源，需要创建多条“资源最小权限 （必选）”策略，再对每条规则设置服务资源。

态势感知支持实时检测整体资产的安全状态，评估整体资产安全健康得分。 态势感知支持实时检测整体资产的安全状态，评估整体资产安全健康得分。通过查看安全评分，可快速了解未处理风险对资产的整体威胁状况。 资产安全风险修复后，为降低安全评分的风险等级，目前需手动忽略或处理告警事件，刷新告警列表中告警事件状态。告警事件状态刷新并启动重新检测后，安全评分将更新。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版） > 检测结果”，进入全部检测结果页面。 3. 忽略告警事件。在相应告警事件“操作”列，单击“忽略”，告警事件状态更新为“已忽略”。 4. 标记为线下处理。 1. 在相应告警事件“操作”列，单击“标记为线下处理”，弹出告警事件处理窗口。 2. 记录“处理人”、“处理时间”和“处理结果”。 3. 单击“确认”，返回告警列表页面，告警事件状态更新为“已线下处理”。 5. 相应告警事件已标记后，返回“安全概览”页面，单击“重新检测”，检测后可查看更新的安全评分。 说明 由于检测需要一定的时间，请您在单击“重新检测”按钮5分钟后，再刷新页面，查看最新检测的安全评分。

本小节介绍服务器安全卫士的购买开通步骤。 开通步骤 1.登录云平台，进入产品安全服务器安全卫士产品介绍页面，点击“立即开通”，进入订单开通页面。 2.选择规格、授权数量和订购时长，提交订单，购买成功后即可进入控制中心“服务器安全卫士”界面进行后续操作。 产品介绍 订单开通页面基础版 订单开通页面企业版 订单开通页面旗舰版

本章节主要介绍整库迁移到RDS服务。 操作场景 本章节介绍使用CDM整库迁移功能，将本地MySQL数据库迁移到云服务RDS中。 当前CDM支持将本地MySQL数据库，整库迁移到RDS上的MySQL、PostgreSQL或者Microsoft SQL Server任意一种数据库中。这里以整库迁移到RDS上的MySQL数据库为例进行介绍，使用流程如下： 1.创建CDM集群并绑定EIP 2.创建MySQL连接 3.创建RDS连接 4.创建整库迁移作业 前提条件 用户拥有EIP配额。 用户已创建RDS数据库实例，该实例的数据库引擎为MySQL。 本地MySQL数据库可通过公网访问。如果MySQL服务器是在本地数据中心或第三方云上，需要确保MySQL可以通过公网IP访问，或者是已经建立好了企业内部数据中心到云服务平台的VPN通道或专线。 已获取本地MySQL数据库和RDS上MySQL数据库的IP地址、数据库名称、用户名和密码。 用户已参考管理驱动，上传了MySQL数据库驱动。 创建CDM集群并绑定EIP 1.参考创建CDM集群，创建CDM集群。 关键配置如下： CDM集群的规格，按待迁移的数据量选择，一般选择cdm.medium即可，满足大部分迁移场景。 CDM集群的VPC，选择和RDS的MySQL数据库实例所在的VPC一致，且推荐子网、安全组也与RDS上的MySQL一致。 如果安全控制原因不能使用相同子网和安全组，则可以修改安全组规则，允许CDM访问RDS。 2.CDM集群创建完成后，选择集群操作列的“绑定弹性IP”，CDM通过EIP访问本地MySQL数据库。 详见下图：集群列表 说明 如果用户对本地数据源的访问通道做了SSL加密，则CDM无法通过弹性IP连接数据源。

本节主要介绍安全编排的定义和相关概念。 安全编排（Security Orchestration）是将企业和组织在安全运营过程中涉及的不同系统或者一个系统内部不同组件的安全功能按照一定的逻辑关系组合到一起，以完成某个特定的安全运营过程和规程。旨在帮助企业和组织的安全团队快速并高效地响应网络威胁，实现安全事件的高效、自动化响应处置。 安全编排的主要功能如下： 剧本管理：内置自动响应的剧本，支持按需定义扩展。 流程管理：绘制流程图响应剧本触发。 实例管理：支持对运行的实例进行监控管理及记录查看。 安全事件自动化响应：对需要处理的安全事件以及可疑事件，通过安全编排实现自动化处置及事件调查。 基本概念说明 在安全编排中，剧本和流程是两个核心元素，它们相互关联、依赖，并协同工作以确保安全运营的有效性和高效性。 剧本 剧本（Playbook）：是安全运营流程在安全编排系统中的形式化表述，它是将安全运营流程和规程转换为机读工作流的过程，剧本是一个预定义的、结构化的响应计划，用于处理特定类型的事件或威胁。剧本详细列出了在某些触发条件（如检测到特定安全事件）下应采取的步骤和操作。 剧本体现了安全防护的逻辑，指示如何调度安全能力。剧本具有灵活性和可扩展性，可以根据实际需求进行修改和扩展，以适应不断变化的安全威胁和业务需求。 一个剧本中有且仅有一个流程。 流程 流程（Workflow）：是将安全运营相关的工具、技术、流程和人员等各种能力整合到一起，形成一种协同工作方式。它由多个相连接的组件构成，流程定义完成后可被外部触发，例如，当新工单产生时自动触发自动审核工单流程。您可以通过可视化流程编辑画布，定义每个节点的组件动作。 流程是剧本触发时响应的方式，它负责将剧本中的指令和规程转化为具体的操作和执行步骤。 剧本与流程的联系 剧本提供了安全运营的指导和规则，而流程则负责将这些规则转化为具体的执行步骤和操作。剧本和流程相互依赖，剧本指导流程的执行，而流程则实现了剧本的意图和要求。 剧本与流程的区别 剧本和流程之间也存在一定的区别。首先，剧本更侧重于定义和描述安全运营的流程和规程，它关注的是整体的框架和策略；而流程则更侧重于具体的操作和执行步骤，它关注的是如何将剧本中的要求转化为实际的行动。其次，剧本具有较大的灵活性和可扩展性，可以根据需要进行修改和扩展；而流程则相对固定，一旦设计完成，就需要按照规定的步骤执行。 示例 以一个具体的网络安全事件响应案例为例，当组织遭受到一次网络攻击时，安全编排系统会首先根据预设的剧本识别出攻击的类型和严重程度。然后，系统会根据剧本中定义的流程，自动触发相应的安全措施，如隔离被攻击的系统、收集攻击数据、通知安全团队等。在这个过程中，剧本和流程紧密配合，确保安全响应的准确性和及时性。

声明与协议 声明 百川智能的开发团队并未基于 Baichuan 2 模型开发任何应用，无论是在 iOS、Android、网页或任何其他平台。强烈呼吁所有使用者，不要利用 Baichuan 2 模型进行任何危害国家社会安全或违法的活动。另外，百川智能也要求使用者不要将 Baichuan 2 模型用于未经适当安全审查和备案的互联网服务。希望所有的使用者都能遵守这个原则，确保科技的发展能在规范和合法的环境下进行。 百川智能已经尽可能确保模型训练过程中使用的数据的合规性。但由于模型和数据的复杂性，仍有可能存在一些无法预见的问题。因此，如果由于使用 Baichuan 2 开源模型而导致的任何问题，包括但不限于数据安全问题、公共舆论风险，或模型被误导、滥用、传播或不当利用所带来的任何风险和问题，百川智能不承担任何责任。 协议 使用 Baichuan 2 模型需要遵循 Apache 2.0 和《Baichuan 2 模型社区许可协议》。Baichuan 2 模型支持商业用途，如果您计划将 Baichuan 2 模型或其衍生品用于商业目的，请您确认您的主体符合以下情况： 您或您的关联方的服务或产品的日均用户活跃量（DAU）低于100万。 您或您的关联方不是软件服务提供商、云服务提供商。 您或您的关联方不存在将授予您的商用许可，未经百川许可二次授权给其他第三方的可能。 在符合以上条件的前提下，您需要通过以下联系邮箱 opensource@baichuaninc.com，提交《Baichuan 2 模型社区许可协议》要求的申请材料。审核通过后，百川将特此授予您一个非排他性、全球性、不可转让、不可再许可、可撤销的商用版权许可。 免责声明 Baichuan27B模型来源于第三方，本平台不保证其合规性，请您在使用前慎重考虑，确保合法合规使用并遵守第三方的要求。

虚拟私有云(CTVPC ,Virtual Private Cloud)为用户构建隔离的、用户自主配置和管理的虚拟网络环境,提升用户公有云中资源的安全性,简化用户的网络部署。

云间高速(标准版)EC,是基于中国电信骨干网络打造的混合组网服务,为客户提供多元接入、高速传输、安全可靠的网络互联能力,助力企业实现云上云下、多地域、多网络的灵活弹性组网,构建具备企业级规模与通信品质的全球化云网络。

本章节介绍了如何创建GaussDB 的实例，用作迁移任务目标库。 1. 登录天翼云控制台。 2. 单击管理控制台左上角的，选择区域。 3. 单击左侧的服务列表图标，选择“数据库 > 云数据库GaussDB ”。 4. 在左侧导航栏选择GaussDB > 实例管理。 5. 单击“购买数据库实例”。 6. 配置实例名称和实例基本信息。 7. 选择实例规格。 本示例中为测试实例，选择较小的测试规格，实际可选规格以界面为准。 8. 选择实例所属的VPC和安全组、配置数据库端口。 9. 配置实例密码等信息。 10. 单击“立即购买”。 11. 返回实例列表。 当实例运行状态为“正常”时，表示实例创建完成。

本章节主要向您介绍如何创建IP地址组。 操作场景 本章节指导用户创建IP地址组，IP地址组是一个或者多个IP地址的集合，可关联至安全组、网络ACL中，用于简化网络架构中IP地址的配置和管理。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“IP地址组”。 4. 单击页面右侧“创建IP地址组”。 5. 根据界面提示设置IP地址组参数，IP地址组参数如下表所示。 参数 参数说明 取值样例 区域 必选参数。 不同区域的云服务产品之间内网互不相通，请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 IP地址组只能关联至同区域的资源。 名称 必选参数。 此处填写IP地址组的名称。 长度范围为164位。 名称由中文、英文字母、数字、下划线（）、中划线（）、点（.）组成。 您可以自定义IP地址组名称，IP地址组的唯一性由系统分配的ID号保证。 ipGroupA 最大条目数 必选参数。 此处设置IP地址组内支持添加的IP地址条目数量，系统默认显示当前支持的最大条目数，您可以自行减少最大条目数。 20 IP类型 必选参数。 此处设置IP地址组内支持的IP类型，具体如下： IPv4 IPv6 IPv4 IP地址 可选参数。 您可以在IP地址组内添加多个不同格式的IP地址，每个IP地址输入完成后，按回车键换行。 IPv4网段：IP地址/掩码，例如192.168.0.0/16。 单个IPv4地址：IP地址，例如192.168.10.10。 IPv6网段：IP地址/掩码，例如2001:db8:a583:6e::/64 单个IPv6地址：IP地址，例如2001:db8:a583:6e::5c 192.168.0.0/16 企业项目 必选参数。 创建IP地址组时，可以将IP地址组加入已启用的企业项目。 企业项目管理提供了一种按企业项目管理云资源的方式，帮助您实现以企业项目为基本单元的资源及人员的统一管理，默认项目为default。 default 描述 可选参数。 您可以根据需要在文本框中输入IP地址组的描述信息。 6. 基本信息设置完成后，单击“立即创建”。返回IP地址组列表，创建成功的IP地址组状态为“正常”。 说明 IP地址组无法独立使用，需要将IP地址组关联至对应的资源。

说明：本章节会介绍针对MySQL数据库的参数调优建议 数据库参数是数据库系统运行的关键配置信息，设置不合适的参数值可能会影响业务。本文列举了一些重要参数说明，更多参数详细说明，请参见[]( " ")MySQL官网。 修改敏感参数 若干参数相关说明如下： “lowercasetablenames” 云数据库默认值：“1”。 作用：该参数表示创建数据库及表时，表存储是否大小写敏感。设置为默认值“1”，表示创建数据库及表时，默认小写，不区分大小写，设置为“0”时，则存储与查询均区分大小写。 8.0版本不支持修改该参数。 影响：修改数据库主实例默认参数值时，用户需要手动同步修改只读实例、通过备份恢复至目标实例的参数。当主实例区分大小写，而只读实例、通过备份恢复至目标实例不区分大小写时，比如主实例先后创建两张表，表名分别为 “abc”、“Abc ”时，会导致数据同步、数据恢复异常，原因为“abc”表名已存在。 “innodbflushlogattrxcommit” 云数据库默认值：“1”。 作用：该参数控制提交操作在严格遵守ACID合规性和高性能之间的平衡。设置为默认值“1”，是为了保证完整的ACID，每次提交事务时，把事务日志从缓存区写到日志文件中，并刷新日志文件的数据到磁盘上；当设为“0”时，每秒把事务日志缓存区的数据写入日志文件，并刷新到磁盘；如果设为“2”，每次提交事务都会把事务日志从缓存区写入日志文件，每隔一秒左右会刷新到磁盘。 影响：参数设置为非默认值“1”时，降低了数据安全性，在系统崩溃的情况下，可能导致数据丢失。 “syncbinlog” 云数据库默认值：“1”。 作用：该参数控制MySQL服务器将二进制日志同步到磁盘的频率。设置为默认值“1”，表示MySQL每次事务提交，binlog同步写入磁盘，是最安全的设置；设置为“0”时，表示MySQL不控制binlog的刷新，由文件系统自己控制其缓存的刷新。此时的性能最好，但风险最大，因为一旦断电或操作系统崩溃，在“binlogcache”中的所有binlog信息都会被丢失。 影响：参数设置为非默认值“1”时，降低了数据安全性，在系统崩溃的情况下，可能导致binlog丢失。 修改性能参数 若干参数相关说明如下： “innodbspinwaitdelay”和“queryallocblocksize”依赖于实例的规格，设置过大时，可能会影响数据库的使用。 “keybuffersize”参数值设置较小（小于4096），参数值将修改失败。 “maxconnections”参数值设置较小，将影响数据库访问。 “innodbbufferpoolsize”、“maxconnections”和“backlog”参数依赖于实例的规格，实例规格不同对应其默认值也不同。因此，这些参数在用户未设置前显示为“default”。 “innodbiocapacitymax”、“innodbiocapacity”参数依赖于磁盘类型，用户未设置前显示为“default”。

云主机备份和云硬盘备份有什么区别？ 两者的主要差异如下表所示。 对比维度 云主机备份 云硬盘备份 备份/恢复对象 服务器中的所有云硬盘（系统盘和数据盘） 指定的单个或多个磁盘（系统盘或数据盘） 推荐场景 需要对整个云主机进行保护 系统盘没有个人数据，因而只需要对部分的数据盘进行备份 优势 备份的同一个服务器下的所有磁盘数据具有一致性，即同时对所有云硬盘进行备份，不存在因备份创建时间差带来的数据不一致问题 保证数据安全的同时降低备份成本

本章介绍网页防篡改、容器安全与主机安全共用Agent。 是的。同一服务器安装一次Agent即可满足网页防篡改、容器安全与主机安全所有版本的使用，无需多次安装。

本节介绍创建windows云电脑的操作说明。 天翼AI云电脑（政企版）可以通过资源包或单实例方式开通Windows系统的普通AI云电脑和GPUAI云电脑。 如需通过资源包方式开通AI云电脑，请先订购资源包，详见订购资源包。 操作步骤 1.进入“AI云电脑（政企版）”管理控制台； 2.展开“AI云电脑管理”菜单栏，选择“桌面管理”，点击“创建桌面”，进入“创建桌面”页面； 3.创建方式来源选择“资源包”或“单实例”； 资源包方式开通：管理员可通过已订购资源包，通过资源包的资源分配方式开通AI云电脑，无需单独付费。 单实例方式开通：管理员可以选择AI云电脑配置，直接通过付费完成AI云电脑的开通。 4.选择“Windows”系统类型； 5.选择规格类型“普通AI云电脑”或“GPUAI云电脑”，再根据需求选择AI云电脑规格； 普通AI云电脑：性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求。 GPUAI云电脑：满足学校教学， 普通图像办公，高清视频播放等需求。搭配高性能显卡及固态硬盘，具备更全面的图像加速能力，满足企业图形设计、图形渲染、3D制作等需求。 注：仅部分资源池支持开通GPUAI云电脑，实际规格类型以页面显示内容为准。 6.选择AI云电脑的“镜像类型”； 7.选择AI云电脑的“磁盘选择”； 系统盘：普通AI云电脑默认已包含80GB高IO系统盘，GPUAI云电脑默认已包含120GB超高IO系统盘。 数据盘：根据实际情况选择桌面数据盘配置，每台桌面实例最多可添加5块数据盘，每块数据盘最大存储容量为2000GB。 注意 资源包开通的桌面系统盘最高可扩容至200GB，单实例开通的桌面系统盘最高可扩容至500GB。 8.选择AI云电脑的“vpc”和“业务子网”； 注：AI云电脑所选的业务子网需要绑定带宽，桌面才能连接网络。 通过将上网带宽与业务子网建立绑定关系，来控制业务子网下AI云电脑的最终可用带宽。详情可参考管理上网带宽 9.选择账号类型，并填写分配电脑的账号信息； 管理员激活：管理员直接创建的账号，无需激活即可使用。 邮件通知激活：需要发送激活邮件，用户激活后，账号即可使用。 选择已有用户：选择已经存在的用户进行电脑分配。 10.其它电脑实例配置信息，根据需要自行配置； 11.确认相关的配置信息，点击“创建桌面”，即完成电脑开通。

为资产绑定安全规则 单条规则绑定资产 1.在左侧菜单栏选择“规则配置 > 安全规则 > 规则管理”进入安全规则页面。 2.选择需要启用的安全规则 ，单击该条目的资产数量字段中的图标。 3.在弹出“设置使用规则资产”窗口中，选择按“资产”或“集群”进行绑定，勾选需要绑定的“资产”或“集群”，单击“确定”即可完成绑定。 多条规则绑定资产 1.在左侧菜单栏选择“规则配置 > 安全规则 > 规则管理”进入安全规则页面。 2.勾选多条需要启用的安全规则，单击列表下方的“启用选中项”。 3.在弹出“设置使用规则资产”窗口中，选择按“资产”或“集群”进行绑定，勾选需要绑定的“资产”或“集群”，单击“确定”即可完成绑定。

阶段 项目活动 工作内容 第一阶段：咨询服务启动 等保测评技术指导、讲解 介绍整体服务工作 第一阶段：咨询服务启动 等保测评技术指导、讲解 测评内容介绍 第一阶段：咨询服务启动 等保测评技术指导、讲解 确认保密管理内容 第一阶段：咨询服务启动 等保测评技术指导、讲解 介绍风险管理措施 第一阶段：咨询服务启动 等保测评技术指导、讲解 讲解等保要求细则 第一阶段：咨询服务启动 等保测评技术指导、讲解 输出《等保测评技术指导》 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 依据等级保护要求，对客户系统进行安全自评估，进行差距分析 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全物理环境 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全通信网络 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全区域边界 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全计算环境 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 差距分析 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 输出《差距分析评估》 第三阶段：整改建议 （仅标准版提供） 根据差距分析，提供整改建议 差距分析整理，提供差距建议，输出《差距整改方案》