本文主要介绍 基本概念 追踪器 使用云审计服务前需要开通云审计服务，开通云审计服务时系统会自动创建一个追踪器。该追踪器会自动识别并关联当前租户所使用的所有云服务，并将当前租户的所有操作记录在该追踪器中。 目前，一个租户仅支持创建1个管理追踪器和100个数据追踪器。 事件 事件即云审计服务追踪并保存的云服务资源的操作日志。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。 事件分为以下两类： 管理事件 指云服务上报的事件。 数据事件 指OBS服务上报的读写操作事件。 事件列表 事件列表记录了租户对云服务资源新建、修改、删除等操作的详细信息。事件列表最多显示近7天的事件。 事件文件 事件文件是系统自动生成的事件集，云审计服务将按照服务、转储周期两个维度，生成多个事件文件，同步保存至用户指定的OBS桶中。通常情况下，单个服务在单个转储周期内产生的所有事件仅会压缩生成一个事件文件，但在事件数量较多时，系统会根据当前负载情况调整每个事件文件包含的事件数。 事件文件的格式为json，呈现事件的原始内容如图所示。 事件文件示例

本节为您介绍数据库迁移工具任务参数配置。 1. 进入“数据库迁移工具”，点击“数据传输”展开菜单，点击“数据订阅”。 2. 点击“创建订阅”按钮，跳转至任务参数配置界面。 名称 任务的名称，用于更好地识别订阅任务 启动时间 订阅任务的启动时间。配置后订阅任务会在预定的时间开始运行 迁移选择 可选择全量迁移、增量迁移和稽核修复中的一个或多个，根据需求组合 并发数 配置一组订阅线程中包含的表数量 单表数据延迟预警阈值 表数据从产生到被获取到的的时间延迟，超过这个值则产生告警 单表数据堆积预警阈值 表数据获取到后没有被消费，形成堆积，堆积数量超过这个阈值，则产生告警

字段 是否必填 说明 模型名称 必填 输入易于识别的名称，最多 100 个字符 功能描述 选填 简要说明模型用途，最多 500 个字符 服务提供商 必填 从下拉列表中选择服务提供商，选择不同服务提供商会影响 API 调用路径和格式 凭证类型 必填 选择凭证配置方式： 已有凭证 （从凭证管理中选择已创建的凭证）或 API 密钥 （直接输入密钥，仅用于当前模型） 凭证名称 必填 选择或输入对应的凭证名称。凭证名称下拉框下方提供 刷新 和 创建凭证 快捷操作 API 端点 必填 填写模型服务的 Base URL（不包含具体的 API 路径），例如 模型列表 必填 从下拉列表中选择具体模型名称，例如 BGEm3

字段 是否必填 说明 模型名称 必填 输入易于识别的名称，最多 100 个字符 功能描述 选填 简要说明模型用途，最多 500 个字符 服务提供商 必填 从下拉列表中选择服务提供商，选择不同服务提供商会影响 API 调用路径和格式 凭证类型 必填 选择凭证配置方式： 已有凭证 （从凭证管理中选择已创建的凭证）或 API 密钥 （直接输入密钥，仅用于当前模型） 凭证名称 必填 选择或输入对应的凭证名称。凭证名称下拉框下方提供 刷新 和 创建凭证 快捷操作 API 端点 必填 填写模型服务的 Base URL（不包含具体的 API 路径），例如 模型列表 必填 从下拉列表中选择具体模型名称，例如 BGEm3

云监控服务支持的聚合方法有哪些？ 云监控服务支持的聚合方法有以下五种： 平均值：聚合周期内指标数据的平均值。 最大值：聚合周期内指标数据的最大值。 最小值：聚合周期内指标数据的最小值。 求和值：聚合周期内指标数据的求和值。 方差：聚合周期内指标数据的方差。 聚合运算的过程是将一个聚合周期范围内的数据点根据相应的聚合算法聚合到周期起始边界上，以5分钟聚合周期为例：假设当前时间点为10:35，则10:30~10:35之间的原始数据会被聚合到10:30这个时间点。 如何导出监控数据？ 1. 用户在云监控服务页面选择“云服务监控”或“主机监控”。 2. 单击“导出监控数据”。 3. 根据界面提示选择“时间区间”、“周期”、“资源类型”、“维度”、“监控对象”、“监控指标”。 4. 单击 “导出”。 导出监控报告中第一行分别展示用户名、Region名称、服务名称、实例名称、实例ID、指标名称、指标数据、时间、时间戳。方便用户查看历史监控数据。 如需要将Unix时间戳转换成时区时间，请按照如下步骤： 1. 用Excel打开csv文件。 2. 将时间戳利用如下公式进行换算。 计算公式为：目标时间[时间戳/1000+(目标时区)3600]/86400+70365+19 3. 设置单元格格式为日期。 Excel打开监控数据CSV文件乱码如何处理？ 用户使用云监控服务可以将监控数据导出为csv文件，而使用Excel工具打开该文件时，可能出现中文乱码的情况。这是因为云监控服务导出的csv文件使用了UTF8编码格式，而Excel是以ANSI格式打开的，没有做编码识别。针对此问题有以下解决方案： 使用记事本等文本编译器直接打开，或使用WPS打开； 打开csv文件时，对Excel进行如下设置： a. 新建Excel。 b. 选择“数据 > 自文本”。 c. 选择导出的监控数据csv文件，单击“导入”。 进入“文本导入向导”。 d. 选择“分隔符号”，单击“下一步”。 e. 去勾选“Tab键”，勾选“逗号”，单击“下一步”。 f. 单击“完成”。 g. 在“导入数据”对话框里，单击“确定”。

参数名 说明 指标名称 业务指标的名称，只能包含中文、英文字母、数字、“”，且长度为1~64个字符。 数据连接 从下拉列表中选择已创建的数据连接。 说明 支持的数据连接类型：DWS、PostgreSQL、MRS Hive、DLI和MySql。 指标都是基于数据连接的，所以在建立指标之前需要先到元数据管理模块中建立数据连接。 数据库/队列 选择指标运行的数据库。 说明 当数据源为DLI时，需要选择运行的队列。 描述 为更好的识别业务指标 ，此处加以描述信息。描述信息长度不能超过4096个字符。 所属目录 业务指标的存储目录，可选择已创建的目录。 来源类型 支持“自定义”。 用户自定义SQL语句，定义指标的来源。

本节介绍云电脑使用3D模式功能的常见问题。 设备连接问题 戴上AR眼镜后，眼镜里什么都没有显示，怎么办？ 这种情况通常是设备连接问题，请按以下步骤排查： 1. 首先确认您的手机/电脑是否支持DP输出协议（可以查看设备说明书或咨询厂商）； 2. 检查AR眼镜是否正确插入设备接口； 3. 尝试重新插拔眼镜，或重启手机/电脑后再次连接； 4. 如果还是不行，可以联系客服确认您的设备型号是否在支持列表中。 眼镜连接上了，但提示“设备不支持识别”是什么意思？ 这说明您使用的AR眼镜型号暂时还未适配我们的3D模式。您可以： 1. 查看操作手册中的“支持设备清单”，确认您的眼镜型号是否在列。 2. 如果不在支持列表中，建议更换已适配的眼镜型号（如雷鸟、VITURE、魅族等）。 3. 也可以联系客服咨询该型号是否即将适配。 看视频时画面和声音对不上，有延迟怎么办？ 画面声音不同步通常是网络问题，可以尝试： 1. 检查网络连接是否稳定，建议切换到更稳定的WiFi网络。 2.降低云电脑的画面分辨率（在设置中选择较低分辨率）。 3. 关闭其他正在使用网络的应用（如下载、视频通话等）。 4. 如果使用的是WiFi，尽量靠近路由器，或使用5G WiFi频段。 怎么确认我的设备能不能用3D模式？ 您可以通过以下方式确认： 1. 查看操作手册第2.2节“支持设备清单”，核对您的设备型号。 2. 如果不确定，可以在客户端点击“3D模式”，系统会自动检测设备是否支持。 3. 也可以拨打客服电话咨询您的设备是否兼容。 3D效果问题

本节介绍云电脑使用3D模式功能的常见问题。 设备连接问题 戴上AR眼镜后，眼镜里什么都没有显示，怎么办？ 这种情况通常是设备连接问题，请按以下步骤排查： 1. 首先确认您的手机/电脑是否支持DP输出协议（可以查看设备说明书或咨询厂商）； 2. 检查AR眼镜是否正确插入设备接口； 3. 尝试重新插拔眼镜，或重启手机/电脑后再次连接； 4. 如果还是不行，可以联系客服确认您的设备型号是否在支持列表中。 眼镜连接上了，但提示“设备不支持识别”是什么意思？ 这说明您使用的AR眼镜型号暂时还未适配我们的3D模式。您可以： 1. 查看操作手册中的“支持设备清单”，确认您的眼镜型号是否在列。 2. 如果不在支持列表中，建议更换已适配的眼镜型号（如雷鸟、VITURE、魅族等）。 3. 也可以联系客服咨询该型号是否即将适配。 看视频时画面和声音对不上，有延迟怎么办？ 画面声音不同步通常是网络问题，可以尝试： 1. 检查网络连接是否稳定，建议切换到更稳定的WiFi网络。 2.降低云电脑的画面分辨率（在设置中选择较低分辨率）。 3. 关闭其他正在使用网络的应用（如下载、视频通话等）。 4. 如果使用的是WiFi，尽量靠近路由器，或使用5G WiFi频段。 怎么确认我的设备能不能用3D模式？ 您可以通过以下方式确认： 1. 查看操作手册第2.2节“支持设备清单”，核对您的设备型号。 2. 如果不确定，可以在客户端点击“3D模式”，系统会自动检测设备是否支持。 3. 也可以拨打客服电话咨询您的设备是否兼容。 3D效果问题

画面设置 如需设置AI云电脑画面，可选择“默认设置”，“清晰优先”，“流畅优先”，“自定义设置”。 系统重装 如需系统重装，偏好设置点击系统重装，选择“系统盘重装至初始状态”，进行系统重装，系统重装会将系统还原至初始状态，系统盘的程序或数据会被清除，如非特殊情况，否则不建议使用。 切换操作系统 AI云电脑（政企版）支持用户在客户端切换操作系统，包含租户下公共镜像、自定义镜像、共享镜像的同系统切换，如Windows系统、统信UOS系统、麒麟V10系统镜像，不支持不同系统之间切换。如果用户只有系统盘，支持切换至整机镜像，但是数据盘不展示。 切换镜像需注意以下几点： （1）切换操作系统将会清除安装在系统盘的程序、数据； （2）数据盘的图片、视频、文档等数据可继续使用； （3）如非AI云电脑故障，一般情况下不建议使用切换操作系统。 设备调试 提示：Mac客户端不支持设备调试 若有无法识别的外设，在在客户端工具栏偏好设置选择“设备调试”，选择当前连接的外设，配置设备类型，选择重定向方式。 若调试完的设备规则仅在当前终端使用，则选择保存在本地使用。 若调试完的设备规则共享他人，需要提交到管理控制台，管理员审核通过后租户下其他桌面也可使用。 优先级关系：设备调试>设备规则>外设重定向，存储设备同时开USB重定向策略和文件重定向策略时，优先走文件重定向策略。

名称 服务阶段 主要服务项 过程文件及交付物 数据安全风险评估托管服务 风险评估范围圈定 基于企业数据治理结果，结合企业所在行业标准规范指南识别相关业务系统的敏感数据，通过对不同安全级别的数据类型进行确认，对选取的业务条线中敏感数据的范围进行划分，有助于后续针对敏感数据进行威胁发现。 《敏感数据清单》 数据安全风险评估托管服务 风险评估范围圈定 基于业务场景（调研业务流和数据流）的数据安全风险评估是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息，最终生成风险信息。 《业务数据调研表》 数据安全风险评估托管服务 风险评估范围圈定 基于业务场景（调研业务流和数据流）的数据安全风险评估是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息，最终生成风险信息。 《敏感数据流图》 数据安全风险评估托管服务 风险评估活动开展 安全威胁分析主要针对已识别的敏感数据资产，根据业务目标、模式、流程，信息系统基础架构、网络拓扑与边界等，基于威胁分析方法，从业务流、数据流等威胁来源，分析重要敏感数据资产面临的威胁，对威胁的严重性（影响）进行分级标识。 《数据安全风险评估报告》 （以选取的单一业务条线为单位） 数据安全风险评估托管服务 风险评估活动开展 通过工具监测、人工核查、技术测试、文档查阅等手段，分别分析管理以及技术层面在数据安全管理、系统运维管理、数据库、数据应用各模块具体内容的数据安全脆弱性节点，明确数据安全脆弱性分布。 《数据安全风险评估报告》 （以选取的单一业务条线为单位） 数据安全风险评估托管服务 风险评估总结应用 从安全管理和安全技术两方面着手，以敏感数据为中心、以数据生命周期为主线、以敏感数据场景为着力点，关注敏感数据场景、承载敏感数据的业务流程、敏感数据流转、相应业务活动中涉及的各类业务执行人员及权限，分析并评估相关业务处理活动中存在的权限提升、信息泄露、用户冒用、数据篡改，行为抵赖等数据安全威胁及风险。 《数据安全风险评估报告》 （以选取的单一业务条线为单位） 数据安全风险评估托管服务 风险评估总结应用 汇总形成基于业务场景的数据安全风险评估报告。 《数据安全风险评估报告》 （以选取的单一业务条线为单位）

本节介绍如何配置攻击惩罚的流量标识。 WAF根据配置的流量标识识别客户端IP、Session或User标记，以分别实现IP、Cookie或Params恶意请求的攻击惩罚功能。 前提条件 已添加防护网站。 约束条件 如果配置了IP标记，为了确保IP标记生效，请您确认防护网站在接入WAF前已使用了7层代理，且防护网站的“是否已使用代理”为“是”。 如果未配置IP标记，WAF默认通过客户端IP进行识别。 使用Cookie或Params恶意请求的攻击惩罚功能前，您需要分别配置对应域名的Session标记或User标记。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 5. 在目标网站所在行的“域名”列中，单击目标网站，进入网站基本信息页面。 6. 在“流量标识”栏中，单击“IP标记”、“Session标记”或“User标记”后的，分别设置流量标记。 流量标识参数说明： 标识 说明 配置样例 IP标记 客户端最原始的IP地址的HTTP请求头字段。 如果配置该标识，请确保网站在接入WAF前已使用了7层代理，且防护网站的“是否已使用代理”为“是”，IP标记功能才能生效。 该字段用于保存客户端的真实IP地址，可自定义字段名且支持配置多个字段（多个字段名以英文逗号隔开），配置后，WAF优先从配置的字段中获取客户端真实IP（配置多个字段时，WAF从左到右依次读取）。 说明 如果想以TCP连接IP作为客户端IP，“IP标记”应配置为“$remoteaddr”。 如果从自定义字段中未获取到客户端真实IP，WAF将依次从cdnsrcip，xrealip，xforwardedfor，$remoteaddr"字段获取客户端IP。 XForwardedFor Session标记 用于Cookie恶意请求的攻击惩罚功能。在选择Cookie拦截的攻击惩罚功能前，必须配置该标识。 jssessionid User标记 用于Params恶意请求的攻击惩罚功能。在选择Params拦截的攻击惩罚功能前，必须配置该标识。 name 7. 单击“确认”，完成标记信息配置。

本文主要介绍主机组管理 主机组是一种虚拟分组机制，主要用于对主机进行分类管理和批量配置日志采集。用户可以将多台云主机归入同一主机组，并统一关联到指定的日志采集配置，在配置日志接入时，将会以主机组为单位下发采集配置，方便您对多台云主机日志进行采集。 该机制具有以下优势： 1. 批量操作能力：通过主机组可一次性完成组内所有主机的日志采集配置，避免逐台主机重复设置。 2. 动态扩展性：当新增主机时，只需将其加入现有主机组即可自动继承组内配置。 3. 统一管理 ：修改主机组配置即可实时生效到组内所有主机，确保配置一致性 目前云日志服务支持创建IP类型与自定义标识类型主机组： IP类型：创建主机组时，直接勾选所需采集日志的云主机即可加入该主机组，操作简单。 自定义标识类型：创建主机组时，需要在主机组和主机上分别创建标识，若标识存在交集，则该云主机将会自动加入主机组内。意味着多台云主机可通过同一个自定义标识实现主机组的动态配置。您只需为新增的云主机配置相同的自定义标识，系统将自动识别并将其添加至主机组中。 创建主机组（IP类型） 1. 登录云日志服务控制台。 2. 点击左侧菜单栏主机管理主机组。进入主机组管理页面。 3. 右上角点击【新建主机组】。 4. 在弹出的新建主机组页面中，输入主机组名称，主机组类型选择“IP”，主机类型选择“Linux”或“Windows”。 5. 在云主机列表中勾选需要加入该主机组的云主机，单击“确定”，即可完成主机组的创建。 说明 若云主机列表中没有您所需的云主机，请点击“安装lmtAgent”，在弹出的页面安装指引完成日志采集器安装，具体操作可参考安装lmtagent采集器。

本最佳实践文档旨在为用户提供一个全面、高效的基于升腾通用推理镜像的自定义部署样例。 一、引言 本文围绕昇腾通用推理镜像的自定义部署展开最佳实践梳理，旨在从模型准备、环境配置、部署流程等关键维度，提供一套可复用的最佳实践。通过标准化的操作指南，帮助开发者快速掌握昇腾推理镜像的自定义部署方法。 二、模型准备 1.开发机完成推理代码开发和调试 1.1创建vscode开发机 1.2启动vscode开发机 1.3打开vscode开发机 1.4在vscode开发机/work/cache目录下,创建code和model目录 1.5准备代码包,把app.tar.gz文件复制到/work/cache/code 1.6右击鼠标,打开Terminal 1.7 解压代码包到/work/cache/code目录下 plaintext cd /work/cache/code tar xzvf app.tar.gz 1.8.下载权重文件 plaintext cd/work/cache/model wget tar xvf bgem3.tar stripcomponents1 rmbgem3.tar 启动bge服务 plaintext cd /work/cache/code/app pip install r requirements.txt i exportMODELPATH/work/cache/model mkdir/logger python teleservice.py 1.9 耐心等几分钟,看到下面日志即代表启动完成 1.10 点加号,进入新的Terminal界面 验证服务是否正常 plaintext curl X POST H "ContentType: application/json" d '{ "input": ["近日天翼云科技有限公司总经理胡志强在世界电信日期间接受新华网记者采访。"], "model": "bgem3", "encodingformat": "float" }' 发现有向量数据返回及代表成功

本节介绍专属加密限制说明及操作指引。 限制说明 专属加密实例需要配合虚拟私有云（VPC）一起使用。创建专属加密实例后，需要在管理控制台中实例化专属加密实例（配置VPC网络、安全组、网卡），才能正常使用。 专属加密实例出于安全性的考虑，不对公网提供服务，您需要将专属加密实例管理工具部署到与专属加密实例同一VPC网络中，才能对专属加密实例进行管理。 操作指引 当用户需要在云上使用专属加密服务时，可通过Dedicated HSM界面创建专属加密实例。创建专属加密实例后，当用户收到Dedicated HSM邮寄的Ukey后，通过Ukey初始化，并管控专属加密实例。用户通过专属加密实例管理工具授权业务APP，允许业务用户通过业务APP访问专属加密实例。操作指引如图所示。 操作指引说明如下表所示。 操作指引说明 编号 操作步骤 说明 操作角色 1 创建专属加密实例 通过Dedicated HSM界面创建专属加密实例。 用户 2 分配专属加密实例 Dedicated HSM分配专属加密实例给用户。安全专家将通过您提供的联系方式与您联系，并确定您订购的专属加密实例是否满足您的业务要求，若满足要求，安全专家将分配专属加密实例给您。 专属加密服务安全专家 3 邮寄UKey并提供配套初始化文档及软件 安全专家将通过您提供的Ukey收件地址将Ukey邮寄给您。Ukey是Dedicated HSM提供给您的身份识别卡，此卡仅购买专属加密实例的用户持有，请妥善保管。 安全专家将会为您提供初始化专属加密实例的软件及相关指导文档。 专属加密服务安全专家 4 初始化、管控（UKey认证） 在专属加密实例管理节点上安装我们为您提供的管理工具。使用Ukey和管理工具初始化专属加密实例，并注册相应的管理员，管控专属加密实例，对密钥进行管理。 用户 5 安装安全代理软件并授权 在业务APP节点上安装我们为您提供的安全代理软件并执行相关初始化操作。 用户 6 访问 业务APP通过API或者SDK的方式访问专属加密实例。 用户

字段 是否必填 说明 模型名称 必填 输入易于识别的名称，最多 100 个字符 功能描述 选填 简要说明模型用途，最多 500 个字符 服务提供商 必填 从下拉列表中选择模型所属的服务商（如天翼云 (息壤)、OpenAI、自定义服务等），选择不同服务提供商会影响 API 调用路径和格式 凭证类型 必填 选择凭证配置方式： 已有凭证 （从凭证管理中选择已创建的凭证）或 API 密钥 （直接输入密钥，仅用于当前模型） 凭证名称 必填 选择或输入对应的凭证名称。凭证名称下拉框下方提供 刷新 和 创建凭证 快捷操作 API 端点 必填 填写模型服务的 Base URL（不包含具体的 API 路径），例如 模型列表 必填 从下拉列表中选择或输入具体模型名称（支持多选），例如 GLM5.1

字段 是否必填 说明 模型名称 必填 输入易于识别的名称，最多 100 个字符 功能描述 选填 简要说明模型用途，最多 500 个字符 服务提供商 必填 从下拉列表中选择模型所属的服务商（如天翼云 (息壤)、OpenAI、自定义服务等），选择不同服务提供商会影响 API 调用路径和格式 凭证类型 必填 选择凭证配置方式： 已有凭证 （从凭证管理中选择已创建的凭证）或 API 密钥 （直接输入密钥，仅用于当前模型） 凭证名称 必填 选择或输入对应的凭证名称。凭证名称下拉框下方提供 刷新 和 创建凭证 快捷操作 API 端点 必填 填写模型服务的 Base URL（不包含具体的 API 路径），例如 模型列表 必填 从下拉列表中选择或输入具体模型名称（支持多选），例如 GLM5.1

信息项 描述 密钥名称 自定义名称，用于识别不同的密钥。 类型 选择签名密钥的认证类型，可选择“HMAC”、“Basic Auth”、“AES”。 签名算法 选择aes的签名算法，包含以下两种： l aes128cfb l aes256cfb Key 根据选择的密钥类型，填写不同的密钥信息。 l HMAC：填写APP认证所使用密钥对的Key。 l Basic Auth：填写basic认证所使用的用户名。 l aes：填写aes认证所使用的密钥key。 l Public Key：填写publickey认证所使用的公钥。 Secret 根据选择的密钥类型，填写不同的密钥信息。 l HMAC：填写APP认证所使用密钥对的Secret。 l Basic Auth：填写basic认证所使用的密码。 l aes：填写aes认证所使用的向量。 l Public Key：填写Public Key认证所使用的私钥。 确认Secret 填写与Secret一致的值。

此小节介绍企业主机安全资产指纹。 主机资产管理 查看主机资产信息 HSS提供资产管理功能，主动检测主机中的开放端口、系统运行中的进程、主机自启动项。通过资产管理，您能集中清点主机中的各项资产信息，及时发现主机中含有风险的各项资产。 资产管理仅提供风险检测功能，若发现有可疑资产信息，请手动处理。 约束限制 需开启企业版、旗舰版、网页防篡改版或容器版中任一版本。 检测周期 帐号、开放端口：实时检测。开放端口检测结果每6小时刷新一次统计数据。 进程、Web目录管理、软件信息管理、自启动：每日凌晨自动进行一次检测。 查看所有主机资产信息 1、登录管理控制台。 2、在页面左上角单击，选择“区域”，选择“安全>企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、选择“资产管理>资产指纹”，进入“资产指纹”页面，查看所有主机资产。 主机资产指纹特性 功能项 功能描述 检测周期 帐号 检测主机系统中的帐号，列出当前系统的帐号信息，帮助用户进行帐户安全性管理。根据帐号的实时信息和历史变动，您可以快速排查主机中的可疑帐号。 帐号的实时信息包括帐号的“帐号名称”、“服务器数”以及具体帐号对应的“服务器名称/IP”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 帐号的历史变动记录包括“服务器名称/IP”、“变动状态”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 实时检测 开放端口 检测主机系统中的端口，列出当前系统开放的端口列表，帮助用户识别出其中的危险端口和未知端口。 根据“本地端口”、“协议类型”以及具体端口对应的“服务器名称/IP”、“状态”、“进程PID”、“程序文件”，您能够快速排查主机中含有风险的端口。 手动关闭风险端口 如果检测到开放了危险端口或者开放了不必要的端口，需要排查这些端口是否是正常业务使用，如果不是正常业务端口，建议关闭端口。对于危险端口建议进一步检查程序文件，如果存在风险建议删除或者隔离源文件。 建议您及时优先处理危险程度为“危险”的端口，根据业务实际情况处理危险程度为“未知”的端口。 忽略风险：如果检测出的危险端口是业务正在使用的正常端口，您可以忽略该条告警。忽略之后将不再作为危险项进行记录，也不再发送告警。 实时检测 进程 检测主机系统中运行的进程，对运行中的进程进行收集及呈现，便于自主清点合法进程发现异常进程。 根据主机中“进程路径”以及具体进程对应的“服务器名称/IP”、“启动参数”、“启动时间”、“运行用户”、“文件权限”、“进程PID”以及“文件HASH”，您能够快速排查主机中的异常进程。 进程信息管理检测的机制是30天检测不到进程后，自动清除进程信息管理列表中的进程信息。 实时检测 软件 检测并列出当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 根据软件的实时信息和历史变动，您能够快速排查主机中含有风险的软件。 软件的实时信息包括“软件名称”、“服务器数”以及具体软件对应的安装该软件的“服务器名称/IP”和“版本”、“软件更新时间”和“最近扫描时间”。 软件的历史变动记录包括软件的“服务器名称/IP”、“变动状态”、“版本”、“软件更新时间”和“最近扫描时间”。 每日自动检测 自启动项 检测并列出当前所有主机系统中的自启动项，帮助用户及时发现异常自启动项，快速定位木马程序的问题。 自启动项的实时信息包括“名称”、“类型”（自启动服务、开机启动文件夹、预加载动态库、Run注册表键或者定时任务）、“服务器数”以及类型对应的“服务器名称/IP”、“路径”、“文件HASH”、“运行用户”、以及“最近扫描时间”。 自启动项的历史变动记录包括“服务器名称/IP”、“变动状态”、“路径”、“文件HASH”、“运行用户”和“最近扫描时间”。 实时检测 Web站点 统计、展示存放Web内容的目录及对外提供访问的站点信息，您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、证书信息（后续提供）、关键进程等信息。 1次/周（每周一凌晨06：00） Web框架 统计、展示Web内容对外呈现时所使用框架的详细信息，您可查看所有框架的版本、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 中间件 统计、展示所使用到的所有软件信息，您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 内核模块 统计、展示运行在内核层的全量程序模块文件，您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。 1次/周（每周一凌晨06：00） 查看单服务器的主机资产信息 1、登录管理控制台。 2、在页面左上角单击，选择“区域”，选择“安全>企业主机安全，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧导航栏，选择“资产管理>主机管理”，进入“主机管理”界面，选择“云服务器”页签，进入云服务器页面。 5、单击目标服务器名称，进入目标服务器的详情页面，选择“资产指纹”页签。 6、单击指纹列表的目标指纹类型，查看对应资产信息，资产指纹类型特性如表所示。 主机资产指纹特性 功能项 功能描述 检测周期 帐号 检测主机系统中的帐号，列出当前系统的帐号信息，帮助用户进行帐户安全性管理。根据帐号的实时信息和历史变动，您可以快速排查主机中的可疑帐号。 帐号的实时信息包括帐号的“帐号名称”、“服务器数”以及具体帐号对应的“服务器名称/IP”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 帐号的历史变动记录包括“服务器名称/IP”、“变动状态”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 实时检测 开放端口 检测主机系统中的端口，列出当前系统开放的端口列表，帮助用户识别出其中的危险端口和未知端口。根据“本地端口”、“协议类型”以及具体端口对应的“服务器名称/IP”、“状态”、“进程PID”、“程序文件”，您能够快速排查主机中含有风险的端口。 手动关闭风险端口 如果检测到开放了危险端口或者开放了不必要的端口，需要排查这些端口是否是正常业务使用，如果不是正常业务端口，建议关闭端口。对于危险端口建议进一步检查程序文件，如果存在风险建议删除或者隔离源文件。 建议您及时优先处理危险程度为“危险”的端口，根据业务实际情况处理危险程度为“未知”的端口。 忽略风险：如果检测出的危险端口是业务正在使用的正常端口，您可以忽略该条告警。忽略之后将不再作为危险项进行记录，也不再发送告警。 实时检测 进程 检测主机系统中运行的进程，对运行中的进程进行收集及呈现，便于自主清点合法进程发现异常进程。 根据主机中“进程路径”以及具体进程对应的“服务器名称/IP”、“启动参数”、“启动时间”、“运行用户”、“文件权限”、“进程PID”以及“文件HASH”，您能够快速排查主机中的异常进程。 进程信息管理检测的机制是30天检测不到进程后，自动清除进程信息管理列表中的进程信息。 实时检测 软件 检测并列出当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 根据软件的实时信息和历史变动，您能够快速排查主机中含有风险的软件。 软件的实时信息包括“软件名称”、“服务器数”以及具体软件对应的安装该软件的“服务器名称/IP”和“版本”、“软件更新时间”和“最近扫描时间”。 软件的历史变动记录包括软件的“服务器名称/IP”、“变动状态”、“版本”、“软件更新时间”和“最近扫描时间”。 每日自动检测 自启动项 检测并列出当前所有主机系统中的自启动项，帮助用户及时发现异常自启动项，快速定位木马程序的问题。 自启动项的实时信息包括“名称”、“类型”（自启动服务、开机启动文件夹、预加载动态库、Run注册表键或者定时任务）、“服务器数”以及类型对应的“服务器名称/IP”、“路径”、“文件HASH”、“运行用户”、以及“最近扫描时间”。 自启动项的历史变动记录包括“服务器名称/IP”、“变动状态”、“路径”、“文件HASH”、“运行用户”和“最近扫描时间”。 实时检测 Web站点 统计、展示存放Web内容的目录及对外提供访问的站点信息，您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、证书信息（后续提供）、关键进程等信息。 1次/周（每周一凌晨06：00） Web框架 统计、展示Web内容对外呈现时所使用框架的详细信息，您可查看所有框架的版本、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 中间件 统计、展示所使用到的所有软件信息，您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 内核模块 统计、展示运行在内核层的全量程序模块文件，您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。 1次/周（每周一凌晨06：00）

本小节介绍服务器安全卫士的产品功能。 资产清点 资产清点致力于帮助用户从安全角度自动化构建细粒度资产信息，支持对业务层资产进行精准识别和动态感知，让保护对象清晰可见。资产清点功能提供12余类主机关键资产清点，800余类业务应用自动识别，并拥有良好的扩展能力。 风险发现 风险发现致力于帮助用户精准发现内部风险，帮助安全团队快速定位问题并有效解决安全风险，并提供详细的资产信息、风险信息以供分析和响应。 入侵检测 主机入侵检测系统，将视角从了解黑客的攻击方式，转化成对内在指标的持续监控和分析，无论多么高级的黑客其攻击行为都会触发内部指标的异常变化，从而被迅速发现并处理。 合规基线 合规基线构建了由国内信息安全等级保护要求和CIS（Center for Internet Security）组成的基准要求，涵盖多个版本的主流操作系统、Web应用、数据库等。结合这些基线内容，一方面，用户可快速进行企业内部风险自测，发现问题并及时修复，以满足监管部门要求的安全条件；另一方面，企业可自行定义基线标准，作为企业内部管理的安全基准。 病毒查杀 结合多个病毒检测引擎，能够实时、准确地发现主机上的病毒进程，并提供多角度的分析结果，和相应的病毒处理能力，对病毒能够快速、准确、高效地实现从检测分析到处理修复的安全工作闭环。

当前已支持资源 分类 云产品 计算 弹性云主机 存储 云硬盘 网络 弹性IP、公网NAT网关、安全组、虚拟私有云 画布 您可以在画布区自由地拖拽、连线，完成架构设计。请查看 设计架构 了解如何操作 您在画布区对资源所做的任何操作，都将自动同步至模板内容和资源表单配置中，因此请放心操作，无须担心架构与模板内容不匹配的情况。 资源配置 在画布中选中一个资源，即可对该资源进行配置，例如下图中，点击画布中的弹性云主机，即可在页面右侧的资源配置区查看、编辑云主机的各个属性。 您在画布区对资源所做的任何操作，都将自动同步至资源表单配置中，例如当前已自动识别云主机所在的vpc为 vpclnkty，子网为 vpcsubnetz3c1u，且不可修改。因此请无须担心架构与模板内容不匹配的情况。 选择填入属性的方式 方式 说明 静态值 指填入常量，而不是资源属性/参数。选择该方式时，您可手动填入一个参数值 引用Properties 指引用画布中的资源的参数属性。选择该方式时，您可选择画布中的资源的属性，作为当前资源当前属性的属性值 引用Parameters 指引用一个您变量。您可以在可视化编辑器页面下方的 参数（Parameters）中提前设置Parameters。

项目亮点 在部署终端杀毒（统一服务器安全管理系统）后，农行打破传统的需要投入大量人力实时监控，频繁修复漏洞、升级补丁，以及以部分业务牺牲为代价的安全防护模式。转型主动防御，自适应网络安全架构，动态调整安全防护策略，保护了业务连续性和数据安全。 系统在风险识别、防御及威胁感知三个阶段均会产生安全事件，基于异常行为的检测技术，有效检测未知威胁，包括黑客渗透攻击、变形webshell、后门等攻击事件回溯，自动回溯攻击过程并生成事件报告。可以做到快速及时发现攻击事件。统一服务器安全管理系统的部署解决了操作系统脆弱性的问题，而且通过建立安全边界、应用虚拟化沙箱技术解决了应用系统的安全。通过事件的回溯，更是可以精准定位黑客的攻击过程，也为调查取证提供了必要的支持。

经验赋能，全程无忧 依托丰富的重大保障服务实践案例，深度剖析客户业务特性与保障需求，运用专业分析模型与行业经验沉淀，为客户量身定制精准化保障方案。通过对服务案例的多维数据挖掘与风险研判，提前规避潜在风险点，有效降低客户在保障策略制定与实施过程中的试错成本，助力客户实现高效、稳健的业务运营。 经济效益 一方面，客户无需组建专属保障团队，可有效规避人员招聘、培训及管理等人力成本支出。另一方面，产品依托服务方成熟的技术体系与风险管控机制，在业务敏感时期，能够精准识别并快速处置潜在风险，降低因系统故障、网络攻击等因素引发的业务中断风险，从而显著减少由此带来的直接与间接经济损失，实现降本增效与风险防控的双重目标。

本节介绍印刷文字识别的用户控制台。 控制台 点击产品详情页左上角的【管理控制台】，页面跳转到控制台总览页面。 总览 点击左侧菜单栏【总览】，可以查看已开通能力、API调用排行榜以及平均响应时间等内容。 能力列表 点击左侧菜单栏【能力列表】，可以查看已有能力。 我的应用 点击左侧菜单栏【我的应用】，可以查看已经创建的应用。 应用监控 点击左侧菜单栏【应用监控】，可以查看所创建应用的请求次数、响应时间与请求流量。

本节介绍印刷文字识别产品快速入门的入门前的准备工作。 步骤一：成为天翼云用户 注册天翼云账号 打开天翼云官网，点击右上角【免费注册】按照操作提示完成账号注册。 天翼云账号实名认证 天翼云账号需要进行实名认证后，才可以购买和使用产品，请务必完成实名认证操作。 进入账号中心页面，在左侧导航栏，点击【实名认证】，按照操作提示完成账号实名认证。 如果您是企业用户，推荐进行企业认证，以便获取更多便利。更多实名认证操作信息，请参见实名认证。 步骤二：产品购买 产品购买详细步骤请查看产品购买。 步骤三：创建应用及开通应用 创建应用及开通应用操作步骤请查看创建应用及开通应用。

参数 描述 标签 可选配置，对GeminiDB Influx的标识。使用标签可以方便识别和管理您拥有的GeminiDB Influx资源。每个实例默认最多支持10个标签配额，如果您需要使用更多标签，可以联系客服申请开通至20个标签配额。 标签由标签“键”和标签“值”组成。 键：如果要为数据库实例添加标签，该项为必选参数。 对于每个实例，每个标签的键唯一。长度不超过36个字符，只能包含数字、英文字母、下划线、中划线和中文。 值：如果要为数据库实例添加标签，该项为可选参数。 长度不超过43个字符，只能包含数字、英文字母、下划线、点、中划线和中文。 实例创建成功后，您可以单击实例名称，在“标签”页签下查看对应标签。同时，支持为已有实例添加、修改、删除标签，具体操作请参见

浏览器场景说明 当前版本可通过 Computer Use 操作云电脑中的浏览器，例如点击页面、输入文本、滚动页面和截屏观察。 需要注意的是，当前文档不将其描述为独立的 Browser Use 能力。若后续提供浏览器专用 API、标签页管理、网络请求观测、DOM 级操作等能力，可再独立建设 Browser Use 文档。 调用方式 Computer Use 能力可通过以下方式接入： SDK：适合业务系统主动编排任务流程。 MCP：适合 MCP Client、Agent 宿主或 IDE 插件以工具方式调用。 操作坐标说明 鼠标相关接口通常使用桌面屏幕坐标。坐标原点一般位于屏幕左上角，X 轴向右递增，Y 轴向下递增。 在实际自动化流程中，建议先截图确认窗口位置和分辨率，再执行坐标点击或拖拽操作。对于分辨率、窗口布局可能变化的任务，应尽量通过截图识别、固定窗口布局或前置校验降低误操作风险。 使用建议 在执行点击前，建议先通过截图确认目标界面处于预期状态。 对页面加载、软件启动、弹窗出现等耗时操作，应加入等待和状态检查。 对重要操作，如提交、删除、付款等，应增加二次确认逻辑。 对需要批量执行的任务，应记录每一步操作结果，便于后续审计和问题排查。 能力边界 Computer Use 主要面向 GUI 自动化，不等同于业务系统 API。对于可通过接口直接完成的任务，优先使用业务接口通常更稳定、更可审计。对于界面变化频繁、坐标不稳定或存在复杂验证码的场景，需要结合业务策略评估可行性。

浏览器场景说明 当前版本可通过 Computer Use 操作云电脑中的浏览器，例如点击页面、输入文本、滚动页面和截屏观察。 需要注意的是，当前文档不将其描述为独立的 Browser Use 能力。若后续提供浏览器专用 API、标签页管理、网络请求观测、DOM 级操作等能力，可再独立建设 Browser Use 文档。 调用方式 Computer Use 能力可通过以下方式接入： SDK：适合业务系统主动编排任务流程。 MCP：适合 MCP Client、Agent 宿主或 IDE 插件以工具方式调用。 操作坐标说明 鼠标相关接口通常使用桌面屏幕坐标。坐标原点一般位于屏幕左上角，X 轴向右递增，Y 轴向下递增。 在实际自动化流程中，建议先截图确认窗口位置和分辨率，再执行坐标点击或拖拽操作。对于分辨率、窗口布局可能变化的任务，应尽量通过截图识别、固定窗口布局或前置校验降低误操作风险。 使用建议 在执行点击前，建议先通过截图确认目标界面处于预期状态。 对页面加载、软件启动、弹窗出现等耗时操作，应加入等待和状态检查。 对重要操作，如提交、删除、付款等，应增加二次确认逻辑。 对需要批量执行的任务，应记录每一步操作结果，便于后续审计和问题排查。 能力边界 Computer Use 主要面向 GUI 自动化，不等同于业务系统 API。对于可通过接口直接完成的任务，优先使用业务接口通常更稳定、更可审计。对于界面变化频繁、坐标不稳定或存在复杂验证码的场景，需要结合业务策略评估可行性。

本节通过图片鉴黄业务实例，详细介绍业务接入的基本流程和操作方案建议，消除客户业务操作实践困惑，帮助客户快速获得更优的体验。 背景信息 对于首次使用图片鉴黄业务的用户，如希望快速的解决业务需求问题，可参照本实践案例，通过应用场景、产品功能、前提条件、前期准备、实践步骤等说明，实现业务快速接入。 应用场景 色情内容检测： 图片鉴黄产品能够自动识别图像中是否包含色情内容，从而帮助平台或应用过滤掉这些不适宜的内容。 内容审核： 社交媒体、图片分享平台等需要审核用户上传的内容。图片鉴黄产品可以自动审核图片，降低人工审核的工作量。 产品功能 图片鉴黄产品基于大量数据集训练，可以高效地识别出图片中是否存在色情信息。该产品能够处理jpg、png等格式的图片，并自动输出图片的涉黄指数，表明图片内容的涉黄程度。 实践流程 前提条件 购买图片鉴黄相关产品，订购流程详情请查看产品购买； 创建图片鉴黄应用及开通图片鉴黄应用，开通服务流程详情请查看创建应用及开通应用； 查看购买图片鉴黄产品情况，产品整体情况请查看用户控制台。

漏洞分类 原理说明 检测周期 Linux漏洞 通过与漏洞库进行比对，检测出系统和软件（例如：SSH、OpenSSL、Apache、MySQL等）是否存在的漏洞，将存在风险的结果上报至管理控制台，并为您提供漏洞告警。 每日凌晨自动检测 手动检测 Windows漏洞 通过订阅微软官方更新，判断服务器上的补丁是否已经更新，并推送微软官方补丁，将存在风险的结果上报至管理控制台，并为您提供漏洞告警。 WebCMS漏洞 通过对Web目录和文件进行检测，识别出WebCMS漏洞，将存在风险的结果上报至管理控制台，并为您提供漏洞告警。 应用漏洞 通过检测服务器上运行的软件及依赖包发现是否存在漏洞，将存在风险的漏洞上报至控制台，并为您提供漏洞告警。 1次/周（每周一凌晨05：00左右） 手动检测

漏洞分类 原理说明 检测周期 Linux漏洞 通过与漏洞库进行比对，检测出系统和软件（例如：SSH、OpenSSL、Apache、MySQL等）是否存在的漏洞，将存在风险的结果上报至管理控制台，并为您提供漏洞告警。 每日凌晨自动检测 手动检测 Windows漏洞 通过订阅微软官方更新，判断服务器上的补丁是否已经更新，并推送微软官方补丁，将存在风险的结果上报至管理控制台，并为您提供漏洞告警。 WebCMS漏洞 通过对Web目录和文件进行检测，识别出WebCMS漏洞，将存在风险的结果上报至管理控制台，并为您提供漏洞告警。 应用漏洞 通过检测服务器上运行的软件及依赖包发现是否存在漏洞，将存在风险的漏洞上报至控制台，并为您提供漏洞告警。 1次/周（每周一凌晨05：00左右） 手动检测

参数 参数类型 说明 示例 下级对象 certificateId String 证书id 474e569e8814474a948bdbcf6d853eff createdAt String 创建时间 20201013T03:05:03Z exportablePrivateKey int 私钥是否可以导出 1 issuer String 证书的签发者信息 CNtestCA,OUkms,Oaliyun,CCN keySpec String 证书密钥类型 RSA2048 notAfter String 证书有效期的截止时间 20221013T03:09:00Z notBefore String 证书有效期的开始时间 20201013T03:09:00Z serial String 证书序列号 12345 signatureAlgorithm String 证书签名算法 RSA2048SHA256 status int 证书状态 1 subject String 证书拥有者主体 CNuserName,OUaliyun,Oaliyun,CCN subjectAlternativeNames String 证书主体别名 ["test1.example.com","test2.example.com"] subjectKeyIdentifier String 主体公钥识别符 ab cd ef gh subjectPublicKey String 证书公钥 BEGIN PUBLIC KEY END PUBLIC KEY updatedAt String 更新时间 20201013T03:09:00Z keyUsage String 证书用途 1

本页介绍了SSL证书操作常见问题。 什么是控制权验证？ 按规范要求所有的公开可信的SSL证书必须完成控制权后才允许签发，控制权验证CA机构会协助用户完成，常用的方式有上传指定代码至网站目录下，修改DNS记录，邮件验证等方式。 证书私钥丢失后如何处理？ 证书私钥丢失后可以找CA机构重新签发证书，有效期内证书允许不限次免费重新签发。 安卓手机、火狐浏览器提示“不可信任管理机构颁发”、“该证书因为其颁发者证书未知而不被信任”是什么问题？ 大部分情况下，由于未在服务器上部署中级证书，导致部分客户端如安卓、火狐无法识别SSL证书，提示不可信任。解决方法：部署中级证书。 证书什么时候应该进行续期？ 推荐到期前1个月内进行续期，避免影响正常使用。