本节介绍如何创建数据空间。 操作场景 数据空间是进行数据分组、负载、流控单元。同一数据空间的数据共享同一载均衡策略。 当您需要使用态势感知（专业版）提供的 安全分析 、 数据分析 、智能建模等功能时，需要新增数据空间。 前提条件 已新增工作空间，具体操作请参见新增工作空间。 约束与限制 一个工作空间中最多可创建5个数据空间。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在数据空间列表左上角，单击“新增”，系统从右侧弹出新增数据空间界面。 6. 在新增数据空间页面中，配置新建数据空间参数，参数说明如下表所示。 参数名称 参数说明 数据空间 输入数据空间名称。命名规则如下： 名称长度取值范围为563个字符。 可包含英文字母、数字和。其中，不能出现在开头和结尾，且不能连续出现。 名称须为全局唯一，不能与其他数据空间名称相同。 描述 可选参数，设置该数据空间的备注信息。 7. 单击“确定”，完成数据空间的新增。 新增完成后，可以在数据空间列表中查看已新增的数据空间。

主机安全v2.0常见问题请参见服务器安全卫士（原生版）常见问题。

MCP Client 中看不到工具列表怎么办？ 请检查： 本地是否能执行 npx v。 MCP Server 包名是否正确。 MCP 配置是否保存并刷新。 环境变量是否传入 APIKEY、APISECRET 和 DESKTOPCODE。 MCP Client 是否支持本地 stdio MCP Server。 MCP 配置中的 Secret 是否安全？ Secret 属于敏感信息。建议使用 MCP Client 支持的环境变量、密钥引用或本地安全配置方式，避免将 Secret 提交到代码仓库或公开配置中。 Computer Use 鼠标点击位置不准确怎么办？ 请先截图确认当前分辨率、窗口位置和界面状态。对于窗口位置不固定的应用，建议在任务开始时最大化窗口或执行固定布局操作。 输入文本后没有反应怎么办？ 请检查输入焦点是否位于目标输入框。建议先点击目标输入框，再输入文本，并在输入后截图确认。 页面加载慢时如何处理？ 建议在点击或打开页面后加入等待，并通过截图或文件状态判断加载是否完成。不要只依赖固定等待时间。 写入文件时如何避免误覆盖？ 写入前请明确 mode。如不希望覆盖已有文件，可使用 createnew 模式。具体模式支持范围以正式接口为准。 文件搜索结果不完整怎么办？ 搜索结果可能因响应长度限制被截断。请缩小搜索目录、使用更精确的 pattern。 错误码 92006 桌面不在线如何处理？ 请在控制台确认云电脑状态。如云电脑未启动或不可用，请先恢复桌面状态后再重试。

参数 是否必填 参数类型 说明 示例 下级对象 billMode 是 String 订购类型（仅创建单独付费计算增强型云电脑有效）。取值范围： Cycle：包周期。 osType 是 String 操作系统类型（Windows;Linux），XC型规格暂只支持Linux cycleType 否 String 周期类型（仅创建单独付费云电脑有效）。取值范围： Month：按月。（仅订购类型为包周期类型有效） cycleCnt 否 Integer 周期数（仅创建单独付费云电脑有效）。取值范围： 136。（仅订购类型为包周期类型有效） autoPay 否 Boolean 是否自动支付（仅创建单独付费云电脑有效），默认false。取值范围： true:是。（仅订购类型为包周期类型有效，需账号有足够金额） false:否。（仅订购类型为包周期类型有效） templateOid 是 String 规格模板ID processorType 否 String 处理器类型。创建XC型规格时必填。取值范围： kp：鲲鹏。 hg：海光。 imageOid 是 String 镜像ID subnetOid 是 String VPC子网ID securityGroupOid 是 String 安全组ID sysDiskType 是 String 系统盘类型（uhio超高IO） sysDiskSize 是 Integer 系统盘大小（单位：GB） 镜像系统盘大小（创建单独付费云电脑，不支持自定义大小） （创建资源包云电脑，支持自定义大小） instanceNum 是 Integer 实例数量

托管检测与响应服务（原生版）具备100%处置闭环率、持续保障、快速响应、标准化服务等核心优势。 100%处置闭环率 自动处置能力联动全网威胁情报，实时处置高级威胁，结合云端专家处置升级策略，保证重大事件处置闭环率100%。 持续安全保障 提供N × 24小时的安全保障，持续对云上资产进行告警分析、安全事件监测、漏洞情报捕获。 快速响应及时止损 第一时间介入安全事件发生的环境，对安全事件进行处置，避免类似情况再次发生，防止数据遭受泄露造成经济损失。 标准化服务内容 依托顶尖服务团队及行业标准，提供标准化服务流程和交付内容，保证服务质量。

本节主要介绍如何查看已有布局模板。 操作场景 布局中已有 告警管理 、 事件管理 、 漏洞管理 、 分析报告 、 情报管理 、安全大屏页面布局的管理页和详情页面模板。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 布局管理”，进入布局管理页面后，选择“模板”页签，进入布局模板页面。 5. 在布局模板页面，查看模板信息。 可以通过“布局类型”、“页面类型”，并输入关键字来搜索指定布局模板。 可以查看当前已有模板的名称、页面类型、创建时间等信息。 可以对已有模板的名称、模板内的布局进行编辑。 可以删除已有模板。

MCP Client 中看不到工具列表怎么办？ 请检查： 本地是否能执行 npx v。 MCP Server 包名是否正确。 MCP 配置是否保存并刷新。 环境变量是否传入 APIKEY、APISECRET 和 DESKTOPCODE。 MCP Client 是否支持本地 stdio MCP Server。 MCP 配置中的 Secret 是否安全？ Secret 属于敏感信息。建议使用 MCP Client 支持的环境变量、密钥引用或本地安全配置方式，避免将 Secret 提交到代码仓库或公开配置中。 Computer Use 鼠标点击位置不准确怎么办？ 请先截图确认当前分辨率、窗口位置和界面状态。对于窗口位置不固定的应用，建议在任务开始时最大化窗口或执行固定布局操作。 输入文本后没有反应怎么办？ 请检查输入焦点是否位于目标输入框。建议先点击目标输入框，再输入文本，并在输入后截图确认。 页面加载慢时如何处理？ 建议在点击或打开页面后加入等待，并通过截图或文件状态判断加载是否完成。不要只依赖固定等待时间。 写入文件时如何避免误覆盖？ 写入前请明确 mode。如不希望覆盖已有文件，可使用 createnew 模式。具体模式支持范围以正式接口为准。 文件搜索结果不完整怎么办？ 搜索结果可能因响应长度限制被截断。请缩小搜索目录、使用更精确的 pattern。 错误码 92006 桌面不在线如何处理？ 请在控制台确认云电脑状态。如云电脑未启动或不可用，请先恢复桌面状态后再重试。

问题现象 请求KMS报错或使用云服务加密功能报错。 报错信息为：httpcode401,codeAPIGW.0301,MsgIncorrect IAM authentication information: current ip:xx.xx.xx.xx refused。 可能原因 用户在IAM服务中设置了访问控制。 IAM控制策略默认范围为全地址访问，若用户设置了允许访问的IP地址或者网段，则未允许的IP地址/网段均无法访问KMS，或无法使用云服务加密特性。 解决方法 通过云服务控制台访问KMS（如OBS加密）：需要开放10.0.0.0/8、11.0.0.0/8、26.0.0.0/8网段。 通过API调用KMS接口：根据访问的源IP地址设置开放。 开放IP地址操作步骤 步骤 1 登录管理控制台。 步骤 2 单击页面左侧，选择“管理与监督 > 统一身份认证服务 IAM”，默认进入“用户”界面。 步骤 3 选择“安全设置 > 访问控制”，查看“允许访问的IP地址区间”和“允许访问的IP地址或网段”是否包含请求的源IP地址。 说明 需在“控制台访问”和“API访问”中都包含请求的源IP地址。

本文主要介绍共享磁盘及使用方法 根据是否支持挂载至多台云主机可以将磁盘分为非共享磁盘和共享磁盘。一个非共享磁盘只能挂载至一台云主机，而一个共享磁盘可以同时挂载至多台云主机。 什么是共享磁盘 共享磁盘是一种支持多个云主机并发读写访问的数据块级存储设备，具备多挂载点、高并发性、高性能、高可靠性等特点。单个共享磁盘最多可同时挂载给16个云主机，使用场景如下图所示。 目前，共享磁盘只适用于数据盘，不支持系统盘。 图 共享磁盘使用场景 共享磁盘的应用场景和使用注意事项 共享磁盘主要应用于需要支持集群、HA能力的关键企业应用场景，需要多个云主机可同时访问一个磁盘。如果您将共享磁盘挂载到多个云主机，首先请根据应用场景选择不同的磁盘模式，包括VBD和SCSI。 由于多数常见集群需要使用SCSI锁，例如Windows MSCS集群、Veritas VCS集群和CFS集群，因此建议您结合SCSI模式使用共享磁盘。若SCSI磁盘挂载给虚拟化类型为XEN的ECS，则需要安装驱动，具体请参见磁盘模式及使用方法。 您可以创建VBD类型的共享磁盘和SCSI类型的共享磁盘。 VBD类型的共享磁盘：创建的共享磁盘默认为VBD类型，该类型磁盘可提供虚拟块存储设备，不支持SCSI锁。当您部署的应用需要使用SCSI锁时，则需要创建SCSI类型的共享磁盘。 SCSI类型的共享磁盘：SCSI类型的共享磁盘支持SCSI锁。 说明 为了提升数据的安全性，建议您结合云主机组的反亲和性一同使用SCSI锁，即将SCSI类型的共享磁盘挂载给同一个反亲和性云主机组内的ECS。 如果ECS不属于任何一个反亲和性云主机组，则不建议您为该ECS挂载SCSI类型的共享磁盘，否则SCSI锁无法正常使用并且则会导致您的数据存在风险。 反亲和性和SCSI锁的相关概念： 云主机组的反亲和性：ECS在创建时，将会分散地创建在不同的物理主机上，从而提高业务的可靠性。 关于云主机组，更多详情请参见《弹性云主机用户指南》中的“管理云主机组”。 SCSI锁的实现机制：通过SCSI Reservation命令来进行SCSI锁的操作。如果一台ECS给磁盘传输了一条SCSI Reservation命令，则这个磁盘对于其他ECS就处于锁定状态，避免了多台ECS同时对磁盘执行读写操作而导致的数据损坏。 云主机组和SCSI锁的关系：同一个磁盘的SCSI锁无法区分单个物理主机上的多台ECS，因此只有当ECS位于不同物理主机上时才可以支持SCSI锁，因此建议您结合云主机组的反亲和性一起使用SCSI锁命令。

本文介绍动态授权的适用场景和配置方法。 功能介绍 动态授权基于零信任永不信任持续验证的理念，会根据用户访问行为和环境的不断变化而作出新的策略。基于终端的设备基线、安全风险、数据风险、合规风险、行为基线、地理位置、时间等因素对终端进行动态可信分析，提供对风险人员、风险终端告警通知、阻断内网访问、注销登录等处置能力。系统内置多个动态授权配置模板，您可以通过引用现有的策略或者进行调整后的自定义策略，来实现对办公场景的管控。 持续动态评估：基于零信任多维度综合分析引擎，根据采集和上报的不同指标数据，对用户访问行为进行可信评估并实时联动处置。 阻断恶意访问：零信任网关能将内网请求和用户身份进行绑定，根据用户的访问可信评分和综合分析引擎下发的处置动作，实时阻断恶意的内网访问，可通过配置策略，配置处置动作进行处置。 可视化处置能力：通过上方点击威胁事件数tab，企业可查看当前被处置中的异常账号和异常设备记录，并提供检测详情协助企业管理员对处置事件进行审计追溯 ，满足企业管理员可视化处置管理需求。具体功能说明见处置记录。 操作步骤 1. 登录边缘安全加速控制台。 2. 在左侧导航栏AOne零信任安全动态授权，查看动态授权的配置和管理。 3. 可根据业务需求进行相关配置。

导入流程 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，进入剧本管理页面后，选择“流程”页签，进入流程管理页面。 5. 在流程管理列表右上角单击“导入”，弹出导入流程窗口。 6. 单击“添加文件”，并选择待导入文件。 7. 单击“上传”。 导出流程 说明 支持导出“流程状态”为“已启用”的流程。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，进入剧本管理页面后，选择“流程”页签，进入流程管理页面。 5. 在流程管理页面中，勾选需导出的流程，并单击列表右上角的，弹出导出流程确认框。 6. 在弹出的确认框中，单击“确认”，系统将导出流程信息到本地。

本节介绍服务器安全卫士（原生版）功能特性。 安全概览 全方位查看服务器安全数据及状态，包括服务器数量统计、服务器安全状态统计、待处理告警、服务器运行状况统计、服务器资产清点统计及排名。 资产管理 查看服务器列表信息及服务器详情信息，支持为服务器开启/关闭防护；自动清点主机内部资产如进程、端口、账号、应用等，实时掌握主机内部资产变化，为安全分析提供数据基础。 基线检测 对系统基线进行全面检查，支持一键检测和定时检测方式，可自定义基线策略，支持对基线进行白名单设置。 漏洞扫描 精准扫描Linux和Windows漏洞，支持一键扫描和定时扫描方式，可查看漏洞详细信息，并提供漏洞修复建议。 入侵检测 包括异常登录和爆破登录，和查看各类入侵防御记录及拦截结果。实时异常登录监控，发现异常IP、区域、时间等的异常登录，并发送告警通知；实时暴力破解多层次监控，支持暴力破解拦截功能，支持查看拦截记录。 弱口令检测 检测系统中的弱口令，包括常见弱口令、空口令、系统默认口令、口令中包含用户名等场景。 病毒查杀 支持对挖矿木马、蠕虫、勒索病毒等进行有效的检测，提供灵活的检测方式，支持一键检测和定时检测方式，通过简单操作即可完成对病毒的处理，支持对病毒文件进行隔离、删除和信任。

本节介绍服务器安全卫士（原生版）术语说明。 漏洞 是指在操作系统实现或安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问、破坏系统，或者窃取数据。 基线 指为了满足安全要求，相关操作系统、数据库及中间件等必须达到的一定标准和基本要求。通过对不同配置和策略的具体项目来评估是否达到安全基线，评估结果反映了服务器的安全性。 弱口令 指容易被攻击者破解的口令，一旦被攻击者破解，可用来直接登录系统，将使得系统及服务面临非常大的风险。 异常登录 采集服务器上RDP、SSH登录日志，对合法登录IP、合法登录事件、合法登录账号和合法登录时段之外的登录行为均提供告警。 暴力破解 攻击者对密码进行破解的行为，破解成功登录主机后，便可获得主机的控制权限，进行窃取用户数据、勒索加密、植入挖矿程序等恶意操作，严重危害主机的安全。 病毒查杀 基于特征病毒检测引擎，通过快速扫描、全盘扫描、自定义扫描三种检测模式对服务器文件进行全面扫描，并提供病毒文件处置能力。

约束限制 FTP、SFTP、SCP协议类型资源，不支持批量登录。 手动登录帐户和双人授权帐户，不支持批量登录。 批量登录的多运维会话窗口，不支持“协同分享”功能。 前提条件 已获取“主机运维”模块管理权限。 已获取资源访问控制权限，即已被关联访问控制策略或访问授权工单已审批通过。 操作步骤 1 登录云堡垒机系统 2 选择“运维 > 主机运维”，进入主机运维列表页面 3 勾选多个目标运维资源，单击“批量登录”，跳转到运维会话窗口。 批量登录会话窗口 4 切换资源会话窗口。 单击批量登录列表中资源名称，可将切换到目标会话窗口。 5 会话窗口操作说明，请分别参见如下说明。 RDP/VNC协议类型主机会话窗口 SSH/TELNET协议类型主机会话窗口 6 通过文件传输，可对云主机或主机网盘中文件进行上传或下载，详细说明请参见 文件传输。 7 通过文件管理，可对云主机或主机网盘中文件或文件夹进行管理，详细说明请参见通过Web浏览器登录资源进行运维。 文件传输 通过Web运维支持“文件传输”功能，在Web浏览器会话窗口上传/下载文件。不仅可实现本地与主机之间文件的传输，同时可实现不同主机资源之间文件的相互传输。CBH系统详细记录传输文件的全过程，可实现对文件上传/下载的审计。 “主机网盘”是为CBH用户定义的系统个人网盘，可作为不同主机资源间文件的“中转站”，暂存用户上传/下载的文件，且个人网盘中文件内容对其他用户不可见。 “主机网盘”与系统用户直接匹配，删除用户后，个人网盘中文件将被清空，个人网盘空间将被释放。 约束限制 目前仅SSH、RDP协议主机，支持通过Web运维上传/下载文件。 Web运维不能通过执行 rz /sz命令等方式上传/下载文件，仅能通过“文件传输”操作上传/下载文件。 Linux主机资源支持在客户端执行命令方式传输文件，例如在SSH客户端执行rz /sz命令上传/下载文件。但该方式不能被CBH系统记录上传/下载的具体文件，不能达到对全程安全审计的目的。 支持下载一个或多个文件，不支持下载文件夹。 不支持断点续传，文件上传或下载过程请勿终止或暂停。 不支持传输大小超过1G的超大文件，建议分批次上传/下载文件，或10.1.4 通过FTP/SFTP/SCP客户端登录文件传输类资源。 前提条件 已获取主机资源文件上传/下载权限。 已获取主机资源运维的权限，能通过Web浏览器正常登录。 Linux主机中文件的上传/下载 Linux主机资源上传/下载文件不依赖个人网盘，可直接实现与本地的文件传输。个人网盘可“中转”来自其他主机资源的文件。 1 登录云堡垒机系统。 2 选择“运维 > 主机运维”，选择目标Linux主机资源。 3 单击“登录”，跳转到Linux主机资源运维界面。 4 单击“文件传输”，默认进入Linux主机文件列表。 5 上传文件到Linux主机。 单击上传图标，可选择“上传本地文件”、“上传本地文件夹”、“上传网盘文件（夹）”，可分别上传一个或多个来自本地或个人网盘的文件（夹）。 上传文件到Linux主机 6 下载Linux主机中文件。 选中一个或多个待下载文件。 单击下载图标，可选择“下载到本地”、“保存到网盘”，可分别下载一个或多个文件到本地或个人网盘。 下载Linux主机中文件 7 上传文件到个人网盘。 单击“云主机文件”，选择“主机网盘”，切换到个人网盘文件列表。 单击上传图标，可选择“上传本地文件”、“上传本地文件夹”，可上传一个或多个来自本地的文件或文件夹。 上传文件到个人网盘 8 下载个人网盘中文件。 选中一个或多个待下载文件。 单击下载图标，直接下载一个或多个文件到本地。 下载个人网盘中文件

扫描能力 通过公网IP直接扫描公网主机 通过跳板机扫描内网主机 操作系统安全补丁扫描 支持 支持 远程服务/协议漏洞扫描 支持 不支持 说明 远程服务/协议类漏洞的扫描依赖于扫描器与被测目标的相关端口直接交互，因此不能通过跳板机完成测试验证。 操作系统安全配置扫描 支持 支持 Web中间件安全配置扫描 支持 支持 等保合规扫描 支持 支持

参数名称 值 描述 ssl on 默认启用SSL连接，不可修改。 sslcertfile /CA/server.pem SSL服务器证书文件的位置，不可修改。 sslciphers ALL:!ADH:!LOW:!EXP:!MD5:!3DES:!DES:@STRENGTH; 指定一个SSL密码列表，用于安全连接。用户可根据安全要求进行修改。推荐使用 EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EDH+aRSA+AESGCM:EDH+aDSS+AESGCM:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!SRP:!RC4 sslkeyfile /CA/server.key SSL服务器私钥文件的位置，不可修改。 sslminprotocolversion TLSv1.2 设置要使用的最小SSL/TLS协议版本，用户可根据安全要求进行修改，推荐使用TLSv1.2及以上版本。

本文主要介绍 管理备份磁盘 操作场景 备份磁盘通过云备份服务提供的功能实现。 本章节指导用户为磁盘设置备份策略。通过备份策略，就可以实现周期性备份磁盘中的数据，从而提升数据的安全性。 说明 只有当磁盘的状态为“可用”或者“正在使用”，则可以创建备份。 购买云硬盘备份存储库并设置备份策略 步骤 1 登录云备份管理控制台。 1. 登录管理控制台。 2. 选择“存储 > 云备份 > 云硬盘备份”。 步骤 2 在界面右上角单击“创建云硬盘备份存储库”。 步骤 3 （可选）在磁盘列表中勾选需要备份的磁盘，勾选后将在已选磁盘列表区域展示。 图 选择磁盘 说明 所选磁盘的状态必须为“可用”或“正在使用”。 若不勾选磁盘，如需备份可在创建存储库后绑定磁盘即可。 步骤 4 输入存储库容量。此容量为绑定磁盘所需的总容量。存储库的空间不能小于备份磁盘的空间。取值范围为[磁盘总容量，10485760]GiB。 步骤 5 选择是否配置自动备份。 立即配置：配置后会将存储库绑定到备份策略中，整个存储库绑定的磁盘都将按照备份策略进行自动备份。可以选择已存在的备份策略，也可以创建新的备份策略。 暂不配置：存储库将不会进行自动备份。 步骤 6 如开通了企业项目，需要为存储库添加已有的企业项目。 企业项目是一种云资源管理方式，企业项目管理提供统一的云资源按项目管理，以及项目内的资源管理、成员管理，默认项目为default。 步骤 7 输入待创建的存储库的名称。 只能由英文字母、数字、下划线、中划线组成，且长度小于等于64个字符。例如：vault612c。 说明 也可以采用默认的名称，默认的命名规则为“vaultxxxx”。 步骤 8 单击“立即购买”。 步骤 9 根据页面提示，完成创建。 步骤 10 返回云硬盘备份页面。可以在存储库列表看到成功创建的存储库。

对比维度 云硬盘EVS 弹性文件服务SFS 对象存储OBS 极速文件存储SFS Turbo 概念 云硬盘（Elastic Volume Service）可以为云主机提供高可靠、高性能、规格丰富并且可弹性扩展的块存储服务，可满足不同场景的业务需求，适用于分布式文件系统、开发测试、数据仓库以及高性能计算等场景。 SFS为用户提供一个完全托管的共享文件存储，能够弹性伸缩至PB规模，具备高可用性和持久性，为海量数据、高带宽型应用提供有力支持。适用于多种应用场景，包括HPC、媒体处理、文件共享、内容管理和Web服务等。 对象存储服务（Object Storage Service，OBS）提供海量、安全、高可靠、低成本的数据存储能力，可供用户存储任意类型和大小的数据。适合企业备份/归档、视频点播、视频监控等多种数据存储场景。 SFS Turbo为用户提供一个完全托管的共享文件存储，能够弹性伸缩至320TB规模，具备高可用性和持久性，为海量的小文件、低延迟高IOPS型应用提供有力支持。适用于多种应用场景，包括高性能网站、日志存储、压缩解压、DevOps、企业办公、容器应用等。 存储数据的逻辑 存放的是二进制数据，无法直接存放文件，如果需要存放文件，需要先格式化文件系统后使用。 存放的是文件，会以文件和文件夹的层次结构来整理和呈现数据。 存放的是对象，可以直接存放文件，文件会自动产生对应的系统元数据，用户也可以自定义文件的元数据。 存放的是文件，会以文件和文件夹的层次结构来整理和呈现数据。 访问方式 只能在ECS/BMS中挂载使用，不能被操作系统应用直接访问，需要格式化成文件系统进行访问。 在ECS/BMS中通过网络协议挂载使用。需要指定网络地址进行访问，也可以将网络地址映射为本地目录后进行访问。 可以通过互联网或专线访问。需要指定桶地址进行访问，使用的是HTTP和HTTPS等传输协议。 提供标准的文件访问协议NFS（仅支持NFSv3），用户可以将现有应用和工具与SFS Turbo无缝集成。 静态数据卷 支持 支持 支持 支持 动态数据卷 支持 支持 支持 不支持 主要特点 非共享存储，每个云盘只能在单个节点挂载。 共享存储，可提供高性能、高吞吐存储服务。 共享存储，用户态文件系统。 高性能、高带宽、共享存储。 应用场景 HPC高性能计算、企业核心集群应用、企业应用系统和开发测试等。说明高性能计算：主要是高速率、高IOPS的需求，用于作为高性能存储，比如工业设计、能源勘探等。 HPC高性能计算、媒体处理、内容管理和Web服务、大数据和分析应用程序等。说明高性能计算：主要是高带宽的需求，用于共享文件存储，比如基因测序、图片渲染等。 大数据分析、静态网站托管、在线视频点播、基因测序、智能视频监控、备份归档、企业云盘（网盘）等。 高性能网站、日志存储、DevOps、企业办公等。 容量 TB级别 PB级别 EB级别 TB级别 时延 1~2ms 3~20ms 10ms 1~2ms IOPS/TPS 单盘33K 2K 千万级 100K 带宽 MB/s级别 GB/s级别 TB/s级别 GB/s级别

复制规则 通过复制规则，只需修改少量配置参数，用户即可快速创建一个和已有规则类似的规则。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“IaC安全 > 规则管理”，进入规则管理页面。 3. 选择需要添加规则的类型。 4. 在规则列表中找到目标规则，单击操作列的“复制”。 5. 在弹出的窗口中，修改规则参数。参数说明请参见添加自定义规则。 6. 参数修改完成后，单击“确认”。 启用/禁用规则 为了控制检查规则“误报”和“漏报”之间的均衡关系，系统提供规则开关，用户可自定义开启或关闭文件规则检查项。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“IaC安全 > 规则管理”，进入规则管理页面。 3. 选择要操作的规则类型。 4. 在规则列表的启用状态列，可以打开或关闭某一规则。 或勾选多个规则，单击规则列表右上方的“启用”、“禁用”按钮，可以批量启用/禁用规则。 编辑规则 说明 仅支持对自定义规则进行编辑，系统内置规则（创建人为“内置”）不可编辑。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“IaC安全 > 规则管理”，进入规则管理页面。 3. 选择需要添加规则的类型。 4. 在规则列表中找到目标规则，单击操作列的“编辑”。 5. 在弹出的窗口中，修改规则参数。参数说明请参见[添加自定义规则](

AOne边缘安全加速平台套餐续费介绍。 避免AOne边缘安全加速平台的资源到期后，域名会自动发起停用，防护服务终止服务，您可以在资源到期前为资源手动续订，或者设置自动续订服务。针对AOne边缘安全加速平台情况，为您进行说明，请在续费前务必阅读以下内容。 续订规则 只有通过实名认证的客户，才可以执行续订操作。 未完成订单中的资源不允许续订，如开通中的资源、规格变更中的资源、退订中的资源。 已退订或释放的资源不可续费。 资源处于服务中且过期时长大于7天可以设置自动续订。 若资源到期后续费，续费周期自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用。例如，客户资源2020年9月30号到期，10月11号续订1个月，那么资源新的服务开始时间为10月11号，到期时间为11月10号。相关费用自10月11号开始计算。 成套订购的套餐类组合产品，需整体续订，非成套订购单具有挂载关系的资源可以对单资源进行续订。 需要满足续订的规则，具体规则详见续订规则说明。 手动续订 满足续订规则的资源您可以随时手动续AOne边缘安全加速平台，本文介绍手动续订操作方式。 登陆天翼云官网右上角我的产品视图中找到需要续订的产品，点击“续订”，根据需求调整续订周期后，提交续订订单。 当续订周期达到1年或以上时，续订单将可享受包年折扣。

本小节介绍关闭容器安全防护。 您可以为已开启容器版防护的服务器关闭安全防护，关闭后可释放配额，可供其他服务器防护使用。 操作须知 关闭防护对业务不会产生影响，但关闭后服务器被入侵的风险会急剧上升，建议保持开启防护的状态。 操作步骤 1、 登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版）。 3、 在左侧导航树中，选择“资产管理 > 容器管理”，进入“容器节点管理”页面。 4、根据需求可选择批量关闭防护和单服务器关闭防护。 单服务器关闭防护 a.在“节点列表”中目标服务器的“操作”列单击“关闭防护”。 b.在弹窗中确认关闭服务器的信息，确认无误，单击“确认”，防护关闭。 c.关闭后在“资产管理 > 容器管理 > 节点列表”页面查看目标服务器的“容器防护状态”为“未防护”，关闭成功。 说明 关闭防护对业务不会产生影响，但关闭后服务器被入侵的风险会急剧上升，建议保持开启防护的状态。 批量关闭防护 a.在“节点列表”中勾选多个目标服务器前的选框，单击上方“关闭防护”。 b.在弹窗中确认关闭服务器的信息，确认无误，单击“确认”，防护关闭。 c.关闭后在“资产管理 > 容器管理 > 节点列表”页面查看目标服务器的“容器防护状态”为“未防护”，关闭成功。 注意 关闭防护对业务不会产生影响，但关闭后服务器被入侵的风险会急剧上升，建议保持开启防护的状态。

本小节介绍关闭容器安全防护。 您可以为已开启容器版防护的服务器关闭安全防护，关闭后可释放配额，可供其他服务器防护使用。 操作须知 关闭防护对业务不会产生影响，但关闭后服务器被入侵的风险会急剧上升，建议保持开启防护的状态。 操作步骤 1、 登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版）。 3、 在左侧导航树中，选择“资产管理 > 容器管理”，进入“容器节点管理”页面。 4、根据需求可选择批量关闭防护和单服务器关闭防护。 单服务器关闭防护 a.在“节点列表”中目标服务器的“操作”列单击“关闭防护”。 b.在弹窗中确认关闭服务器的信息，确认无误，单击“确认”，防护关闭。 c.关闭后在“资产管理 > 容器管理 > 节点列表”页面查看目标服务器的“容器防护状态”为“未防护”，关闭成功。 说明 关闭防护对业务不会产生影响，但关闭后服务器被入侵的风险会急剧上升，建议保持开启防护的状态。 批量关闭防护 a.在“节点列表”中勾选多个目标服务器前的选框，单击上方“关闭防护”。 b.在弹窗中确认关闭服务器的信息，确认无误，单击“确认”，防护关闭。 c.关闭后在“资产管理 > 容器管理 > 节点列表”页面查看目标服务器的“容器防护状态”为“未防护”，关闭成功。 注意 关闭防护对业务不会产生影响，但关闭后服务器被入侵的风险会急剧上升，建议保持开启防护的状态。

智算一体机的远程运维怎么连接到客户？ 远程运维连接途径 智算一体机在远程运维过程中，与客户建立连接主要通过两种方式：专线连接和公网连接。客户可依据自身网络环境和实际需求，选择合适的连接途径。 分级运维体系下的远程运维接入规则 智算一体机采用分级运维模式，中国电信地市公司负责属地化的一线运维工作。在日常运维中，若一线运维人员凭借专业技术与经验，无法解决设备出现的问题，便会启动二三线远程运维机制。 默认情况下，二三线远程运维需要客户提供公网带宽，借助 AOne 的方式接入天翼云运维平台。通过这种方式，可实现对设备运维的统一管理，确保运维工作高效、有序地开展。 注意 AOne需客户单独购买，点击购买 客户无法连接公网时的应对举措 倘若客户因自身网络架构或安全策略等原因，无法提供公网带宽，通常可通过远程工具接入进行远程运维。这些远程工具经过精心筛选与测试，能够在有限的网络条件下，保障基本的运维操作得以顺利进行。 智算一体机交付时间为多久？ 一体机从下单到完成交付的时长，主要由硬件备货时间、物流配送至客户现场的时间，以及现场交付时间这三部分构成。 硬件备货时间：若客户所需型号当前无库存，那么备货周期约为30至60个工作日。 物流配送时间：将一体机运送至客户现场所需的时长，需依据客户提供的收件地址来确定，预计在5至7个工作日。 现场交付时间：需耗时5至7个工作日 。

检查CoreDNS Pod的网络连通性 登录CoreDNS Pod所在集群节点。 执行ps aux grep coredns，查询CoreDNS的进程ID。 执行nsenter t n bash，进入CoreDNS所在容器网络命名空间，其中pid为上一步得到的进程ID。 测试网络连通性 运行telnet 6443，测试Kubernetes API Server的连通性。其中apiserverclusterip为default命名空间下Kubernetes服务的IP地址，默认为10.96.0.1。 运行dig @ ，测试CoreDNS Pod到上游DNS服务器的连通性。其中domain为测试域名，upstreamdnsserverip为上游DNS服务器地址。 常见问题 现象 原因 处理方案 业务Pod无法通过CoreDNS服务IP解析 机器负载高、kubeproxy没有正常运行、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 业务Pod无法连通CoreDNS容器副本 容器网络异常或安全组没有放开ICMP。 检查安全组是否放开ICMP，若已放开请提交工单排查。 业务Pod无法通过CoreDNS容器IP解析 机器负载高、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 检查业务Pod到CoreDNS的网络连通性 选择以下任意一种方式，进入客户端Pod容器网络。 方法一（适合镜像本身含有sh、ping等命令的Pod）： 使用kubectl exec it n /bin/sh命令进入到Pod中。 方法二（适合镜像本身不含常用命令、且稳定运行的Pod）： 登录业务Pod所在集群节点。 执行ps aux grep 命令，查询业务容器的进程ID。 执行nsenter t n bash命令，进入业务Pod所在容器网络命名空间。其中pid为上一步得到的进程ID。 方法三：（适合频繁重启的Pod） 如果运行时是docker：登录业务Pod所在集群节点。 执行docker ps a grep 命令，查询k8sPOD 开头、使用镜像为pause的沙箱容器，记录容器ID。 执行docker inspect grep netns命令，查询/var/run/docker/netns/xxxx的容器网络命名空间路径。 执行nsenter n bash命令，进入容器网络命名空间。(其中netns 路径为上一步得到的路径，且n和 之间不加空格)。 如果运行时是containerd：登录业务Pod所在集群节点，执行crictl ps a grep 根据Pod名称查看容器id。 根据查到的容器id，执行ctr n k8s.io container ls grep 查找完整的容器id（ctr使用的时候，必须写全，而docker对于id的长度没要求） 执行ctr n k8s.io container info grep i pid C 3获取业务Pod中pause容器的pid path里面的数字即为pause容器的pid。 执行nsenter t n 进入容器网络命名空间。 进入容器网络命名空间后，测试网络连通性。 执行dig @ 命令，测试业务Pod到CoreDNS服务kubedns解析查询的连通性。其中 为测试域名， 为kubesystem命名空间中kubedns的服务IP。默认为10.96.0.10。 执行ping 命令，测试业务Pod到CoreDNS容器副本的连通性。其中 为kubesystem命名空间中CoreDNS Pod的IP。 执行dig @ 命令，测试业务Pod到CoreDNS容器副本解析查询的连通性。其中 为测试域名， 为kubesystem命名空间中CoreDNS Pod的IP。 常见问题 现象 原因 处理方案 业务Pod无法通过CoreDNS服务IP解析 机器负载高、kubeproxy没有正常运行、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 业务Pod无法连通CoreDNS容器副本 容器网络异常或安全组没有放开ICMP。 检查安全组是否放开ICMP，若已放开请提交工单排查。 业务Pod无法通过CoreDNS容器IP解析 机器负载高、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 当无法定位问题时，需要抓包进行辅助诊断。在正常情况下，抓包对业务无影响，仅会增加小部分的CPU负载和磁盘写入。 登录出现异常的业务Pod、CoreDNS Pod所在节点。 在ECS（非容器内）执行以下命令 tcpdump i any port 53 C 20 W 200 w /tmp/clientdns.pcap ，可以将最近所有的53端口信息抓取到文件中。以上命令会对抓取到的包进行rotate，最多可以写200个20 MB的.pcap文件。 结合业务日志的报错定位到精准的报错时间的报文信息。

检查CoreDNS Pod的网络连通性 登录CoreDNS Pod所在集群节点。 执行ps aux grep coredns，查询CoreDNS的进程ID。 执行nsenter t n bash，进入CoreDNS所在容器网络命名空间，其中pid为上一步得到的进程ID。 测试网络连通性 运行telnet 6443，测试Kubernetes API Server的连通性。其中apiserverclusterip为default命名空间下Kubernetes服务的IP地址，默认为10.96.0.1。 运行dig @ ，测试CoreDNS Pod到上游DNS服务器的连通性。其中domain为测试域名，upstreamdnsserverip为上游DNS服务器地址。 常见问题 现象 原因 处理方案 业务Pod无法通过CoreDNS服务IP解析 机器负载高、kubeproxy没有正常运行、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 业务Pod无法连通CoreDNS容器副本 容器网络异常或安全组没有放开ICMP。 检查安全组是否放开ICMP，若已放开请提交工单排查。 业务Pod无法通过CoreDNS容器IP解析 机器负载高、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 检查业务Pod到CoreDNS的网络连通性 选择以下任意一种方式，进入客户端Pod容器网络。 方法一（适合镜像本身含有sh、ping等命令的Pod）： 使用kubectl exec it n /bin/sh命令进入到Pod中。 方法二（适合镜像本身不含常用命令、且稳定运行的Pod）： 登录业务Pod所在集群节点。 执行ps aux grep 命令，查询业务容器的进程ID。 执行nsenter t n bash命令，进入业务Pod所在容器网络命名空间。其中pid为上一步得到的进程ID。 方法三：（适合频繁重启的Pod） 如果运行时是docker：登录业务Pod所在集群节点。 执行docker ps a grep 命令，查询k8sPOD 开头、使用镜像为pause的沙箱容器，记录容器ID。 执行docker inspect grep netns命令，查询/var/run/docker/netns/xxxx的容器网络命名空间路径。 执行nsenter n bash命令，进入容器网络命名空间。(其中netns 路径为上一步得到的路径，且n和 之间不加空格)。 如果运行时是containerd：登录业务Pod所在集群节点，执行crictl ps a grep 根据Pod名称查看容器id。 根据查到的容器id，执行ctr n k8s.io container ls grep 查找完整的容器id（ctr使用的时候，必须写全，而docker对于id的长度没要求） 执行ctr n k8s.io container info grep i pid C 3获取业务Pod中pause容器的pid path里面的数字即为pause容器的pid。 执行nsenter t n 进入容器网络命名空间。 进入容器网络命名空间后，测试网络连通性。 执行dig @ 命令，测试业务Pod到CoreDNS服务kubedns解析查询的连通性。其中 为测试域名， 为kubesystem命名空间中kubedns的服务IP。默认为10.96.0.10。 执行ping 命令，测试业务Pod到CoreDNS容器副本的连通性。其中 为kubesystem命名空间中CoreDNS Pod的IP。 执行dig @ 命令，测试业务Pod到CoreDNS容器副本解析查询的连通性。其中 为测试域名， 为kubesystem命名空间中CoreDNS Pod的IP。 常见问题 现象 原因 处理方案 业务Pod无法通过CoreDNS服务IP解析 机器负载高、kubeproxy没有正常运行、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 业务Pod无法连通CoreDNS容器副本 容器网络异常或安全组没有放开ICMP。 检查安全组是否放开ICMP，若已放开请提交工单排查。 业务Pod无法通过CoreDNS容器IP解析 机器负载高、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 当无法定位问题时，需要抓包进行辅助诊断。在正常情况下，抓包对业务无影响，仅会增加小部分的CPU负载和磁盘写入。 登录出现异常的业务Pod、CoreDNS Pod所在节点。 在ECS（非容器内）执行以下命令 tcpdump i any port 53 C 20 W 200 w /tmp/clientdns.pcap ，可以将最近所有的53端口信息抓取到文件中。以上命令会对抓取到的包进行rotate，最多可以写200个20 MB的.pcap文件。 结合业务日志的报错定位到精准的报错时间的报文信息。

本章节为您介绍数据分类分级的概述。 数据安全分级是一款智能化、流程化、开放化的数据分类分级工具。 产品内置各行业分类分级标准及框架，并以此为依据，结合已有的上万条数据分类分级规则与行业专有数据分类分级Ai模型，帮助您快速有效完成数据分类工作，以支持后续精细化的数据安全风险分析及安全管控。 主要功能 数据资产梳理：产品可通过网络嗅探技术，自动化发现网络环境中存在的数据库系统，以对于数据库资产台账进行校对及补充。 数据资产目录：产品可通过数据库扫描技术，自动化采集数据库基础元数据信息，同时结合后续数据分类分级结果，以库表列的形式，展现完整地数据资产目录，以供用户进行数据资产的查询。 结构化数据分类分级：结构化数据的分类分级是产品核心能力。产品通过流程与算法相结合的方式，以达到做最少的人工操作，实现最好的分类分级结果的目标。用户无须编写复杂的分类分级规则，仅需完成少量数据的分类分级打标工作。 非结构化数据分类分级：产品支持对于非结构化文件进行自动化分类分级扫描，基于关键词的NER识别，准确确定文件所对应分类和级别，同时可查看文件中所包含的常见敏感信息。 分类分级模板管理：产品支持通过页面方式对于分类分级框架及对应规则进行管理，用户可自定义上传分类分级模版，并支持以系统名称、库名、表名、表注释、字段名、字段注释、字段内容等各种维度进行条件组合的方式维护分类分级规则。 分类分级模型训练：产品基于有监督学习模型训练的能力，用户在一定量手动打标的基础上，即可通过模型管理模块，对于该部分数据进行自定义模型训练。通过训练得到的模型，可有效对于剩余未分类分级数据进行预测，从而大幅降低手工打标的工作量。 资产分类分级报告：产品以可视化图表的方式，将数据资产分类分级的各项统计指标进行展示，帮助用户清晰直观地了解数据资产整体分布、分类分级梳理、敏感数据占比、数据分类分布等情况。 数据库账户梳理：产品支持对于数据库账号状态及权限进行梳理评估，并对于账号新增、权限变更删除等情况进行分类展示，有效检测账号的违规授权和恶意提权。 数据库风险检测：产品提供数据库漏洞检查、配置基线检查、弱口令检查等手段进行数据资产安全评估，通过安全现状评估，能有效发现当前数据库系统的安全问题，对数据库的安全状况进行持续化监控，保持数据库的安全健康状态。 资产分类分级大屏：产品提供数据安全分类分级监管大屏展示，内容包含数据源的分类分级情况、漏洞检查、配置基线检查、弱口令等风险评估情况，以统一展示相关工作成果。

本章节主要介绍翼MapReduce的配置SNMP北向参数操作。 操作场景 如果用户需要在统一的运维网管平台查看集群的告警、监控数据，管理员可以在FusionInsight Manager使用SNMP服务将相关数据上报到网管平台。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 对接 > SNMP”。 3. 单击“SNMP服务”右侧的开关。 “SNMP服务”默认为不启用，开关显示为表示启用。 4. 根据下表所示的说明填写对接参数。 对接参数 参数名称 参数说明 版本 SNMP协议版本号，取值范围： V2C：低版本，安全性较低。 V3：高版本，安全性更高。推荐使用V3版本。 本地端口 本地端口，默认值“20000”，取值范围“1025”到“65535”。 读团体名 该参数仅在设置“版本”为v2c时可用，用于设置只读团体名。 写团体名 该参数仅在设置“版本”为v2c时可用，用于设置可写团体名。 安全用户名 该参数仅在设置“版本”为v3时可用，用于设置协议安全用户名。 认证协议 该参数仅在设置“版本”为v3时可用，用于设置认证协议，推荐选择SHA。 认证密码 该参数仅在设置“版本”为v3时可用，用于设置认证密钥。 确认认证密码 该参数仅在设置“版本”为v3时可用，用于确认认证密钥。 加密协议 该参数仅在设置“版本”为v3时可用，用于设置加密协议，推荐选择AES256。 加密密码 该参数仅在设置“版本”为v3时可用，用于设置加密密钥。 确认加密密码 该参数仅在设置“版本”为v3时可用，用于确认加密密钥。 说明 “安全用户名”中禁止出现以64的公因子（1、2、4、8等）为单位长度的重复字符串，例如abab，abcdabcd。 “认证密码”和“加密密码”密码长度为8到16位，至少需要包含大写字母、小写字母、数字、特殊字符中的3种类型字符。两个密码不能相同。两个密码不可和安全用户名相同或安全用户名的倒序字符相同。 使用SNMP协议从安全方面考虑，需要定期修改“认证密码”和“加密密码”密码。 使用SNMP v3版本时，安全用户在5分钟之内连续鉴权失败5次将被锁定，5分钟后自动解锁。 5. 单击“添加Trap目标”，在弹出的“添加Trap目标”对话框中填写以下参数： 目标标识：Trap目标标识，一般指接收Trap的网管或主机标识。长度限制1～255字节，一般由字母或数字组成。 目标IP模式：目标IP的IP地址模式，可选择“IPV4”或者“IPV6”。 目标IP：目标IP，要求可与管理节点的管理平面IP地址互通。 目标端口：接收Trap的端口，要求与对端保持一致，取值范围“0～65535”。 Trap团体名：该参数仅在设置版本为V2C时可用，用于设置主动上报团体名。 单击“确定”，设置完成，退出“添加Trap目标”对话框。 6. 单击“确定”，设置完成。

此小节介绍避免勒索 事前举措 由于勒索攻击高强度加密算法的难破解性和数字货币交易方式的隐蔽性， 解决勒索攻击的首要是构建“安全能力前置”，提升自身的“免疫力” 。 建议按照如下加固方式开展事前勒索防护： 收敛互联网暴露面： 定期扫描外部端口，保证公开范围最小化。 减少系统风险入口： 定期开展漏洞扫描及系统风险配置参数扫描，第一时间修复漏洞及风险项，减小系统风险等级。同时，应关注软件厂商发布的安全漏洞信息和补丁信息，及时做好漏洞管理和修复工作。 加强网络访问控制： 各企业应具有明确的网络安全区域划分、访问限制规则，最小化开放访问权限，及时更新访问控制规则。 关键数据备份： 加强重要数据备份工作，可靠的数据备份可以最小化勒索软件带来的损失。需要主动加密存储和定期备份关键业务数据，并合理设置备份保留策略，确保被勒索攻击后存在有效副本可以恢复数据。 加强帐号权限管控： 通过身份管理、细粒度权限控制等访问控制规则为企业不同角色分配帐号并授权，同时应提升特权账户的安全性。在另一方面，企业关键业务资产，需要妥善设置并保存帐号及口令信息。关键资产上，配置双因素认证鉴别登录人员身份，可有效防范系统爆破风险。 搭建高可靠业务架构： 采用集群模式的云服务部署模式。当某一个节点发生紧急问题，业务切换至备用节点，提升业务系统可靠性能力，也可防止数据丢失。在资源允许的条件下，企业或组织可以搭建同城或异地容灾备份系统，当主系统出现发生勒索事件后，可以快速切换到备份系统，从而保证业务的连续性。 制定安全事件应急预案： 建立应对勒索病毒攻击等网络安全突发事件的应急组织体系和管理机制，明确工作原则、职责分工、应急流程、关键措施等。一旦发生勒索病毒攻击事件，立即启动内部网络安全应急预案，标准化开展应急处置工作来减轻、消除勒索病毒攻击影响。 加强企业员工安全意识： 通过培训、演练等方式提高员工网络安全意识，明确国家网络安全法令及公司网络安全规范，能够识别网络钓鱼等常见的网络安全攻击，具备一定的事件处理能力，知晓安全事件带来的后果和影响。

切换备份策略后备份副本有什么变化吗？ 绑定了备份策略A的云主机，创建云主机备份后，解绑备份策略A并重新绑定至备份策略B： 由备份策略A创建的备份副本不会自动删除，需要您手动删除。 新绑定的备份策略B创建的第一个备份副本仍然是增量备份，不是全量备份。 是否每一个备份副本都支持恢复全量备份数据？ 是的。 对云硬盘做第一次备份时，系统会默认为其做全量备份。在首次备份后，后续的备份只会记录原始数据发生的变化，即除首次备份，后续备份系统默认为增量备份。 每一个增量备份的恢复，都是在对应时间点对整盘进行恢复，因此，备份恢复一定是全量恢复的。 云主机已有备份正在执行中，同一时刻还可以执行其他备份吗？ 不可以。 如果云主机正在备份中，在此备份期间如果有针对该云主机的其他自动备份或手动备份，则会跳过，不会产生其他备份，在此次备份完成后，新的自动备份将顺延到下一次时间点执行。 同时若需要备份的资源总数据量较大，建议备份执行时间点不宜设置过于紧密。如果单个资源执行备份的时长超过两个备份执行时间间隔，则也会跳过第二个备份时间点不进行备份。 例如：某主机的备份策略设置的备份时间点为：00:00，01:00，02:00。在00:00时，开始进行备份，由于此次备份增量数据较大，或者该时间段同时执行的备份任务较多，该次备份任务耗时90分钟，在01:30时完成备份。则01:00的备份时间点会跳过，在02:00时再执行备份，将只会产生两个备份。 若云主机备份策略、云硬盘自动快照策略和云硬盘备份策略的备份时间重叠，可能导致备份时间有重叠的备份任务失败而影响数据安全性。请您在设置时预留充足间隔，保障所有备份任务顺利执行。

本章介绍如何创建元数据采集任务。此功能处于公测阶段，公测阶段可免费使用 前提要求 已完成数据库资产委托授权，参考云资产委托授权/停止授权进行操作。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产管理 > 元数据任务”，进入“元数据采集任务”页面。 5. 在“元数据采集任务”页面，单击“新建”，进入“新建采集任务 > 数据源配置”页面，具体参数说明如下表所示。 参数名 参数说明 选择数据源 选择数据来源。可选择“MySQL”、“PostgreSQL”、“DMDBMS”、“KingBase”、“OpenGuass”、“DWS”、“Hive”、“MRSHIVE”、“TDSQL”。 数据库实例 选择支持的数据库实例。 6. 单击“下一步”，进入“子任务配置”页面： 选择开启或关闭“扫描用户表”。 选择开启或关闭“扫描系统表”。 选择开启或关闭“扫描列约束”。 选择开启或关闭“扫描视图”。 选择开启或关闭“扫描列注释”。 选择开启或关闭“扫描权限”。 7. 单击“下一步”，进入“任务信息配置”页面，配置任务信息，参数说明请参见下表。 参数名称 参数说明 任务信息 任务名称：必填项， 您可以自定义采集任务的名称。 任务描述：非必填项，对您的采集任务进行描述。 任务配置 选择开启或关闭“删除联通性失败的元数据”。 执行计划 识别周期：您可以选择“单次”、“每日”、“每周”或“每月”。 执行计划：您可以选择“立即执行”或“定时启动”。 8. 单击“下一步”，进入“配置确认”页面，确认您已经配置好的参数。 9. 确认无误后单击“完成”，即可成功创建一个新的元数据采集任务。

本文介绍API安全模块中API标签管理功能。 功能介绍 用户可对API资产进行标签标记，以便对API资产按照不同的维度进行分组分类。API安全提供两种标签类型，一类是平台内置标签，一类是用户自定义标签。 平台内置标签包括：来源、敏感信息、业务用途、自发现标签。 来源：包括手动、自动。若API资产是通过用户手动添加，则会标记为手动；若API资产是通过自发现生成，则会标记为自动。标签名称及内容不可编辑、删除。 敏感信息：在API自发现过程中，若识别到API接口涉及敏感信息的传输，则会标记相应敏感信息，如地址、手机号等。用户可配置是否启用对于某项标签内容的识别。 业务用途：在API自发现过程中，若识别到API接口特征与某业务用途相匹配，则会标记相应业务用途，如登录认证、数据导出等。用户可配置是否启用对于某项标签内容的识别。 自发现标签：下发自发现任务时，可定义本次自发现标签，则本次任务中发现的API资产均会打上对应标签。标签名称不可编辑、删除。标签内容支持新增、编辑、删除。 自定义标签：用户自定义标签名称及标签内容。 说明 API标签的使用范围为所有域名下的API资产，即在域名A下新增的API标签，可在域名B的API资产中使用。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。

透明代理的作用是在客户端与大模型防护系统之间建立一个隧道，在终端直接访问原请求大模型的请求，将转发到大模型防护系统上，由代理服务判定输入内容合规后再转发到真正的大模型接口，并按照配置决定是否对大模型返回的响应进行合规性检测。适用于自建大模型，并用主机安全检测需求的用户场景，终端适用于Linux服务器。 内容安全代理 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“资产中心 > 模型代理 > 透明代理”，单击“添加代理”。 3. 在弹出的窗口中配置代理参数。 参数 说明 代理名称 按照个人习惯填写语义化文本。 代理类型 内容安全请选择“大语言模型”。 协议适配器插件 在下拉框中选择协议适配器插件。 后端地址 根据实际情况填写被代理模型的地址。 策略名称 根据终端所需在选择策略，管理主机策略相关，更多关于策略的内容见主机策略。 强制启用API Key （可选）按需选择是否启用大模型防护系统启动的API认证机制。 API Key标签 当启用API Key时，还需配置API Key标签。API Key标签为模型认证配置中配置的标签。