对象存储OOS是否可以做限制存储空间大小？ 存储空间大小不会限制，客户可以根据自身容量需求去购买资源包，当使用容量超过已购买资源包，会自动变成按需付费，若账户余额欠费，会有短信提醒。计费相关详见计费说明。 对象存储OOS是否支持实时流存储？ 目前暂不支持。 对象存储是否有归档型存储？ 目前暂不支持。 如何对OOS存储桶下面的文件夹进行权限控制？ 可以创建自定义安全策略，允许对指定的文件前缀配置需要的权限，即通过文件前缀来控制指定的文件夹。 例如：配置前缀为123/，则表示所配置权限对文件夹123生效。 可以在OOS上托管静态网站吗？ OOS支持静态网站托管。用户可以通过OOS管理控制台将自己的存储桶配置成静态网站托管模式，当客户端通过存储桶的website接入点访问存储桶内的文件资源时，浏览器可以直接解析出这些网页资源，呈现给最终用户。静态网站托管创建详见网站。 哪些类型的网站适合使用OOS进行静态网站托管？ 静态网站仅包含静态网页，以及可能包含部分可在客户端运行的脚本，如JavaScript、Flash等。静态网站托管创建详见网站。

本文向您介绍天翼云与客户的安全责任共担机制。 与传统的本地数据中心相比，云计算的运营方和使用方分离，提供了更好的灵活性和控制力，有效降低了客户的运营负担。正因如此，云的安全性无法由一方完全承担，云安全工作需要天翼云与您共同努力。 天翼云：无论在任何云服务类别下，天翼云都会承担基础设施的安全责任，包括安全性、合规性。该基础设施由天翼云提供的物理数据中心（计算、存储、网络等）、虚拟化平台及云服务组成。在PaaS、SaaS场景下，天翼云也会基于控制原则承担所提供服务或组件的安全配置、漏洞修复、安全防护和入侵检测等职责。 客户：无论在任何云服务类别下，客户数据资产的所有权和控制权都不会转移。在未经授权的情况，天翼云承诺不触碰客户数据，客户的内容数据、身份和权限都需要客户自身看护，这包括确保云上内容的合法合规，使用安全的凭证（如强口令、多因子认证）并妥善管理，同时监控内容安全事件和账号异常行为并及时响应。 图天翼云安全责任共担模型 云安全责任基于控制权，以可见、可用作为前提。在客户上云的过程中，资产（例如设备、硬件、软件、介质、虚拟机、操作系统、数据等）由客户完全控制向客户与天翼云共同控制转变，这也就意味着客户需要承担的责任取决于客户所选取的云服务。如上图所示，客户可以基于自身的业务需求选择不同的云服务类别（例如IaaS、PaaS、SaaS服务）。不同的云服务类别中，每个组件的控制权不同，这也导致了天翼云与客户的责任关系不同。 在IaaS场景下，客户控制着除基础设施外的所有组件，因此客户需要做好除基础设施外的所有组件的安全工作，例如应用自身的合法合规性、开发设计安全，以及相关组件（如中间件、数据库和操作系统）的漏洞修复、配置安全、安全防护方案等。 在PaaS场景下，客户除了对自身部署的应用负责，也要做好自身控制的中间件、数据库、网络控制的安全配置和策略工作。 在SaaS场景下，客户对客户内容、账号和权限具有控制权，客户需要做好自身内容的保护以及合法合规、账号和权限的配置和保护等。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的网页防篡改功能。 功能介绍 网页防篡改功能用于保护网站核心静态页面，通过对比源站响应与媒体存储中心缓存的响应，保护网站因为源站页面被恶意篡改带来的负面影响，同时您可以根据需要配置防篡改规则。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为基础版及以上版本，支持网页防篡改相关功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【Web应用防火墙】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【网页防篡改】详细设置页。 配置说明 配置项 说明 防护开关 可以选择开启或者关闭策略 规则名称 支持设置规则名称 URL 1、填写需要防篡改防护的完整URL地址，例如 2、填写的URL必须是静态页面，即ContentType: text/html、ContentType: text/html; charsetxxx格式。 3、将自动获取的静态资源，目前支持js, css, jpg, jpeg, png, gif, bmp, svg这些后缀文件。 4、支持输入带端口的URL，例如 处理动作 支持拦截/告警/返回WAF缓存页面 拦截：对命中防篡改策略的请求进行拦截 告警：对命中防篡改策略的请求生成攻击日志，并返回被篡改后的页面 返回WAF缓存页面：命中防篡改策略后会返回边缘安全加速平台安全与加速服务缓存的页面，即用户侧展示为被篡改前的页面，并且攻击日志将记录此次命中信息 是否指定回源设置 如果您的站点访问要指定回源设置，需要填写是，将自动为您拉取源站的文件响应页面。需要填写的回源信息有请求协议、源站IP、回源端口、回源HOST。页面自动为您获取在基础配置已编辑的相关信息 文件缓存时间 该页面的静态资源最近缓存时间 注意 填写的URL必须是静态文件，ContentType: text/html、ContentType: text/html; charsetxxx格式。 自动获取的静态资源，目前只有js, css, jpg, jpeg, png, gif, bmp, svg后缀文件。

本章节会为您指导如何配置堡垒机相关通知的发送功能。 云堡垒机支持发送以下通知内容至您设置的接收邮箱或者站内信： CPU、内存、磁盘资源使用率超过80% 账号密码剩余3天过期 用户恶意登录情况告警 访问人员执行敏感命令(字符、数据库) 达到风险等级设置发送告警。 说明 邮件通知需校验，如果没有配置邮件服务器，“邮件通知“选项为禁用状态。 对于系统状态的告警，触发后，下一次提醒间隔时长为24小时。 敏感命令告警，可展开自定义选择风险等级，默认为勾选：警告、危险、致命。 设置邮件服务器 1. 使用“管理角色”账号登录云堡垒机。 2. 在左侧导航栏选择“系统管理 > 通知和告警”，进入“通知和告警”页面。 3. 在右侧邮件服务器模块，单击“编辑”按钮配置邮件服务器。 参数 参数说明 服务地址 填写您的邮件服务器地址。 服务端口 填写您的邮件服务器端口 安全通信 选择是否开启安全通信。安全通信支持TLS/SSL协议。 发送人账号 填写发送邮件的邮箱账号。 发送人密码 填写发送邮件的邮箱密码。 4. 单击“保存”完成邮件服务器配置。 5. 完成邮件服务配置后，单击“测试邮件服务”，在弹窗中填写发送测试邮件的邮件地址，单击“发送测试邮件”即可测试邮件是否可以正常发送。 邮件发送成功后在测试邮箱中会收到一封测试邮件，邮件服务配置正确。 若提示邮件发送失败，请检测配置的邮件服务信息，更正后再次测试。

本章节会为您指导如何配置堡垒机相关通知的发送功能。 云堡垒机支持发送以下通知内容至您设置的接收邮箱或者站内信： CPU、内存、磁盘资源使用率超过80% 账号密码剩余3天过期 用户恶意登录情况告警 访问人员执行敏感命令(字符、数据库) 达到风险等级设置发送告警。 说明 邮件通知需校验，如果没有配置邮件服务器，“邮件通知“选项为禁用状态。 对于系统状态的告警，触发后，下一次提醒间隔时长为24小时。 敏感命令告警，可展开自定义选择风险等级，默认为勾选：警告、危险、致命。 设置邮件服务器 1.使用“管理角色”账号登录云堡垒机。 2.在左侧导航栏选择“系统管理 > 告警和通知”，进入“告警和通知”页面。 3.在左侧邮件服务器模块，单击“编辑”按钮配置邮件服务器。 参数 参数说明 服务器地址 填写您的邮件服务器地址。 服务端口 填写您的邮件服务器端口 安全通信 选择是否开启安全通信。 安全通信支持TLS/SSL协议。 发送人账号 填写发送邮件的邮箱账号。 发送人密码 填写发送邮件的邮箱密码。 4.单击“保存”完成邮件服务器配置。 后续操作 完成邮件服务配置后，单击“测试邮件服务”，在弹窗中填写发送测试邮件的邮件地址，单击“发送测试邮件”即可测试邮件是否可以正常发送。 邮件发送成功后在测试邮箱中会收到一封测试邮件，邮件服务配置正确； 若提示邮件发送失败，请检测配置的邮件服务信息，更正后再次测试。

安全体检相关术语解释，帮助您更好的理解产品能力。 CVE CVE（Common Vulnerabilities and Exposures）的全称是公共漏洞和暴露，是公开披露的网络安全漏洞列表。 CNVD 国家信息安全漏洞共享平台，简称CNVD，国家计算机网络应急技术处理协调中心联合建立的信息安全漏洞信息共享知识库。 CNNVD 中国国家信息安全漏洞库（英文简称：CNNVD）是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能，负责建设运维的国家信息安全漏洞库，为我国信息安全保障提供基础服务。 连通性检测 检测体检出口IP到目标IP的网络连通性，减少因防火墙、黑白名单等导致的网络不通，造成体检失败。

一个弹性IP可以给几个弹性云主机使用？ 一个弹性IP只能绑定一个弹性云主机使用。 弹性IP的分配策略是什么？ 新申请的弹性IP默认是随机分配。 为防止误删除操作，EIP存在24小时缓存机制，对于已释放过弹性IP的用户，24小时内会优先分配之前使用过的EIP。 如需申请新的弹性IP地址，建议您先申请新的EIP后再释放旧的EIP。 弹性IP时，是否可以指定IP地址？ 新申请的弹性IP默认是随机分配。对于已释放过弹性IP的用户，会优先分配之前使用过的EIP。 弹性IP是否会变化？ 不会改变。 弹性云主机关机和开机不影响弹性IP地址。 切换计费模式不影响弹性IP的地址。 若因资源到期或欠费可能会导致EIP被释放。 如何查询弹性IP归属地？ 如您需查询已购买EIP资源的归属地，可通过第三方网站进行查询，例如： 。 第三方网站可能会有IP地址数据库更新不及时的情况，会出现查询结果与实际区域不同的情况，请酌情选择。 如果其他第三方网站的查询结果和 。 带宽是否支持跨帐号使用？ 带宽不支持跨帐号使用。每个用户只能使用并管理自己的EIP带宽（独享带宽）及共享带宽。

验证 WAF 正常转发 1. 清理浏览器缓存，在浏览器中输入防护域名，测试网站域名是否能正常访问。 如果hosts绑定已经生效（域名已经本地解析为云WAF防护IP）且云WAF的配置正确，访问该域名，预期网站能够正常打开。 2. 手动模拟简单的Web攻击命令，测试Web攻击请求。 1. WAF基础防护的状态默认设置为“拦截”模式。 2. 清理浏览器缓存，在浏览器中输入“ 3. 在Web应用防火墙控制台左侧导航栏中，选择“WAF 防护日志”，进入“WAF 防护日志”页面，查看防护域名测试的各项数据。

功能介绍支持配置暴力破解防护策略防范攻击者通过撞库盗取用户的信息。 功能介绍 支持配置暴力破解防护策略，防范攻击者通过暴力破解盗取用户的信息。 暴力破解是什么？ 暴力破解是指攻击者通过脚本等方式实现原有的尝试登录流程，不断重复尝试登录的一个过程，从理论上来看只要时间足够，所有的账号都有被暴力破解找到口令的可能，对普通用户爆破可以造成个人的财产损失，对网站管理员的账号爆破则可以危害公司资产。 暴力破解的防护原理 边缘云WAF主要通过爆破行为监控来防护。 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通套餐为基础版及以上版本，支持暴力破解防护相关功能。 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入高级防护页面； 2. 进入【账号安全防护】页面； 3. 进入新增暴力破解防护规则页面。 暴力破解防护配置说明 配置项 说明 开关 可以选择开启或者关闭暴力破解防护策略 处理动作 设置触发暴力破解策略的处理动作，可以选择拦截或告警 登录页URL 设置登录页面的URL 登录页数据请求URL 先单击键盘F12或者抓包，点击登录按钮，获取登录数据请求的url地址。（所获地址与登录页面URL可能是同一个，但是一般情况下动静态页面是分离的，所以大概率是不同的页面） 登录失败跳转URI 设置登录失败后需要跳转的URI 触发条件 在【防护统计频率】内的【作用域】的请求数，请求次数超过【拦截阈值】次数，则执行【处理动作】，处理动作持续时间【拦截时间】。其中，作用域支持CI、IP+UA、IP （1）CI:客户端ID，订购扩展服务BOT管理后支持该作用域 （2）IP+UA：客户端IP与客户端UA （3）IP：客户端IP 白名单 针对误拦设置白名单，可选粒度：IP、IPS、IPR等多个粒度，支持配置多条白名单规则，多个粒度为“且”的逻辑，多个范围为“或”的关系

本节介绍处理弱口令。 若您收到弱口令告警，则说明您的主机存在被入侵的风险。数据、程序都存储在系统中，若密码被破解，系统中的数据和程序将毫无安全可言，请及时修改弱口令。 出现弱口令告警的原因 设置的自动生成密码的方式过于简单，与弱口令检测的密码库相重合。 将同一密码用于多个子帐号，会被系统判定为弱密码。 排查弱口令 1、登录管理控制台。 2、在页面左上角选择“区域”，单击，选择“安全 > 企业主机安全”，进入企业主机安全页面。 3、选择“风险预防 > 基线检查”，单击“经典弱口令检测”，查看存在的弱口令。 4、根据经典弱口令列表中的“弹性云主机名称”、“账号名”、“账号类型”和“弱口令使用时长”，登录待修改弱口令的主机，修改弱口令。 修改常见的服务器弱口令 系统名称 修改登录口令 说明 :: Windows系统 以Windows 10为例说明。 1. 登录Windows主机系统。 2. 单击左下角的，然后单击，弹出“Windows设置”窗口。 3. 在“Windows设置”窗口中，单击“帐户”。 4. 在左侧导航栏中，单击登录选项。 5. 在“登录选项”页面，请根据页面提示信息修改服务器密码。 Linux系统 登录Linux服务器，执行以下命令，修改用户登录口令。passswd [] 若不输入登录用户名，则修改的是当前用户的口令。 命令执行完成后，请根据提示输入新的口令。 说明 “user”为登录用户名。 MySQL数据库 1. 登录MySQL数据库。 2. 执行以下命令，查看数据库用户密码。 SELECT user, host, authenticationstring From user; 部分MySQL数据库版本可能不支持以上查询命令。 若执行以上命令没有获取到用户密码信息，请执行命令。 SELECT user, host password From user; 3. 执行以下命令，根据查询结果及弱密码告警信息，修改具体用户的密码。SET PASSWORD FOR '用户名 '@ '主机 'PASSWORD( '新密码'); 4. 执行以下命令，刷新修改的密码信息。flush privileges ； Redis数据库 1. 打开Redis数据库的配置文件redis.conf。 2. 执行以下命令，修改弱口令。requirepass; 若已存在登录口令，则将其修改为复杂口令。 若不存在登录口令，则添加为新口令。 说明 “password”为登录口令。 Tomcat 1. 打开Tomcat根目录下的配置文件“conf/tomcatuser.xml”。 2. 修改user节点的password属性值为复杂口令。

设置高可用虚拟 VIP } garpmasterdelay 1 设置当切为主状态后多久更新 ARP 缓存 garpmasterrefresh 5 设置主节点发送 ARP 报文的时间间隔 trackinterface { eth0 使用绑定 VIP 的网卡 例如 eth0 } } > 2.3 启动keepalived： > > 3、在port为port5oq20ui7dl的实例中做同样的上述操作，keepalived的配置文件响应的地址需要修改下，然后启动keepalived服务。 注意 1、您需要将配置文件中的通信方式配置为单播通信方式做心跳检测。 2、您需要修改下配置文件中的vrrpgarpmasterrefresh参数，避免由于主备频繁切换或网络抖动等异常情况导致主备切换失败，建议配置值为 5s 。 步骤四：将虚拟IP与主备弹性云服务器绑定 点击绑定服务器，弹出的对话框中， 4.1 选择“服务器类型”：云主机/物理机 4.2 选择网卡：云主机支持多网卡，可选择主网卡/扩展网卡(需确保网卡与虚拟IP在同一子网内才可绑定）。 步骤五：放通安全组规则 放通绑定虚拟IP的弹性云服务器所在的安全组，即放通对端入向安全组规则协议为Any。 说明 1、出向默认是全通的，如果有做限制，请放通出向规则协议为Any。

本文旨在为您详细介绍如何在云原生API网关中管理域名、更换域名的协议和证书。 创建域名 操作步骤 1. 登录 云原生API网关控制台。 2. 在左侧导航栏，选择 "域名" ，并在顶部菜单栏选择地域。 3. 单击 "添加域名" ，在添加域名面板中配置相关参数，然后单击 "确定" 。 参数 描述 协议 可选择HTTP或HTTPS协议，不同协议支持的端口为： HTTP：支持27151端口 HTTPS：支持27154端口 域名 支持完整域名和泛域名的形式，例如绑定.ctyun.cn这个域名后，可通过a.ctyun.cn，1.ctyun.cn等来访问。 域名填写规则为：域名包含英文字母、数字和连接符()，连接符不能在每段首尾或连续出现，每段长度不得超过63个字符且最后一段为26个英文字符 选择协议为HTTPS协议时 证书 选择HTTPS协议时需上传证书或选择已有证书。 注意 所选择的证书域名需与所填写域名相匹配。如证书域名为.ctyun.cn，则所填写域名可以是.ctyun.cn，a.ctyun.cn等。 绑定场景 创建HTTP/WebSocket类型的路由时可绑定域名 发布REST类型的API时可绑定域名 删除域名 操作步骤 1. 登录 云原生API网关控制台。 2. 在左侧导航栏，选择 "域名" ，并在顶部菜单栏选择地域。 3. 在域名列表页面，选择目标域名名称的操作列下单击"删除"，然后在确认删除对话框中输入当前的域名，然后单击"删除"。 说明 删除域名前请先确保没有在线路由或API正在使用该域名。 更换域名协议或证书 当发生证书到期、域名所有者有变更、网站需从HTTP升级到HTTPS等情况时，需要变更域名的证书和协议，来保障网站或平台的安全性与合规性。

本文主要介绍如何查看和管理登录客户端的终端设备。 功能介绍 终端设备管理功能，支持记录和收集企业员工登录客户端的设备信息和登录状态等信息，帮助企业对员工的终端设备进行管理和查看。 操作步骤 1. 登录边缘安全加速控制台。 2. 支持在AOne零信任、AOne终端管理、AOne学术加速工作台进行操作。 3. 在左侧导航栏选择终端终端资产终端设备列表。 4. 点击可查看终端设备整体状态，可点击具体设备详情查看单设备信息。 设备列表 注意 零信任服务、终端管理、学术加速根据自身产品服务能力会进行相关功能裁剪，如终端管理无内网在线，下文主要介绍整体服务情况。 概览统计 合规检测：统计当前合规检测存在风险的设备数量，若合规检测能力未开启或设备未检测则为空。 待处理病毒数：病毒扫描检测出的尚未处理的病毒数。 设备平均在线时长：统计昨日设备在线的平均在线时长，在线设备主要是AOne客户端程序启动进行上报设备信息进行统计，设备卸载或退出AOne客户端则无法统计。 在线/设备总量：在线设备为当前AOne程序在线上报的设备情况，设备总量则为累积上报过的设备信息。 内网在线设备：统计当前内网在线的设备（存在10分钟数据延迟）。 终端信息采集：支持开启硬件信息采集，比如CPU、内存、磁盘空间等。

此小节介绍主机风险总览。 企业主机安全在控制台提供总览页面，实时展示您所有资产的安全评分、安全风险、防护地图等，帮助您了解主机和容器的安全状态以及存在的安全风险。 查看总览 1、登录管理控制台。 2、在左侧导航树选择“总览”，进入总览页查看资产安全信息。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 区域 说明 配额数量及待升级Agent数 展示当前您已购买的各版本HSS防护配额总数和使用情况，以及待升级Agent数量。 单击对应防护配额的总数值，可跳转到防护配额界面查看防护配额列表。 单击待升级Agent数值，可跳转到Agent管理界面查看并升级Agent。 说明：企业主机安全会持续优化提升服务能力，包括但不限于新增功能、优化缺陷，因此会定期迭代版本。请及时将主机上的Agent升级为最新版，以便您可以享受到更好的企业主机安全。 安全评分 安全风险评分范围为0~100分，无风险资产默认为100分，HSS会根据资产中存在的基线风险、漏洞风险、入侵风险和资产风险等执行扣分，评分越低表示资产中存在的安全风险越多。 为了保护的您资产安全，建议您及时处理安全风险，提高安全评分： 1、在“安全评分”模块，单击“立即处理”。 2、在“安全风险处理”弹窗中，查看扣分项，单击下箭头展开扣分明细。 3、单击扣分项右侧的“前往处理”，可跳转至对应的风险列表，您可以根据风险详情和修复建议进行修复。 4、修复风险后，单击“重新体检”，刷新评分。 热点资讯 展示最新的热点漏洞信息。 安全风险 展示HSS检测到您资产中存在的安全风险。 主机风险： 需紧急处理告警/总数：处理优先级为紧急的告警数量和告警总数。 紧急优先级修复漏洞/总数：修复优先级为紧急的漏洞数量和漏洞总数。 基线风险：待处理的基线风险总数。 待处理可疑进程：待处理的可疑进程事件总数。 容器风险： 高优先级修复漏洞/总数：修复紧急度为高危的漏洞数量和漏洞总数。 安全风险趋势 展示资产最近七天的安全风险趋势图。 防护地图 展示资产开启安全防护的情况。 资产总数：当前区域下的资产总数。 未防护/主机总数：未防护主机数量和主机总数。 未防护/容器总数：未防护容器数量和容器总数。 安全防护功能开启情况：对应防护功能的开启数量和防护功能累计扫描/检测项数量。

此小节介绍主机风险总览。 企业主机安全在控制台提供总览页面，实时展示您所有资产的安全评分、安全风险、防护地图等，帮助您了解主机和容器的安全状态以及存在的安全风险。 查看总览 1、登录管理控制台。 2、在左侧导航树选择“总览”，进入总览页查看资产安全信息。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 区域 说明 配额数量及待升级Agent数 展示当前您已购买的各版本HSS防护配额总数和使用情况，以及待升级Agent数量。 单击对应防护配额的总数值，可跳转到防护配额界面查看防护配额列表。 单击待升级Agent数值，可跳转到Agent管理界面查看并升级Agent。 说明：企业主机安全会持续优化提升服务能力，包括但不限于新增功能、优化缺陷，因此会定期迭代版本。请及时将主机上的Agent升级为最新版，以便您可以享受到更好的企业主机安全。 安全评分 安全风险评分范围为0~100分，无风险资产默认为100分，HSS会根据资产中存在的基线风险、漏洞风险、入侵风险和资产风险等执行扣分，评分越低表示资产中存在的安全风险越多。 为了保护的您资产安全，建议您及时处理安全风险，提高安全评分： 1、在“安全评分”模块，单击“立即处理”。 2、在“安全风险处理”弹窗中，查看扣分项，单击下箭头展开扣分明细。 3、单击扣分项右侧的“前往处理”，可跳转至对应的风险列表，您可以根据风险详情和修复建议进行修复。 4、修复风险后，单击“重新体检”，刷新评分。 热点资讯 展示最新的热点漏洞信息。 安全风险 展示HSS检测到您资产中存在的安全风险。 主机风险： 需紧急处理告警/总数：处理优先级为紧急的告警数量和告警总数。 紧急优先级修复漏洞/总数：修复优先级为紧急的漏洞数量和漏洞总数。 基线风险：待处理的基线风险总数。 待处理可疑进程：待处理的可疑进程事件总数。 容器风险： 高优先级修复漏洞/总数：修复紧急度为高危的漏洞数量和漏洞总数。 安全风险趋势 展示资产最近七天的安全风险趋势图。 防护地图 展示资产开启安全防护的情况。 资产总数：当前区域下的资产总数。 未防护/主机总数：未防护主机数量和主机总数。 未防护/容器总数：未防护容器数量和容器总数。 安全防护功能开启情况：对应防护功能的开启数量和防护功能累计扫描/检测项数量。

本节介绍了内容审核相关的应用场景。 互动直播 在直播场景中，数量众多的房间同时直播，人工审核直播内容几乎不可能完成。利用图像审核功能，可以对所有房间内容进行实时监控，识别出可疑房间并进行提前预警，以确保直播内容的安全。 场景优势如下： 在改进的深度学习算法的帮助下，文本内容的审核准确率高。 配备了高性能的GPU和CPU等硬件，审核能力强，响应速度快。 电子商城 通过智能审核商家或用户上传图像，可以高效识别并预警不合规图片，避免涉黄、涉暴类图像的发布，降低人工审核成本和业务违规风险。 场景优势如下： 响应速度快：配备高配GPU和CPU等硬件设备，审核速度快。 论坛类网站 对于用户原创内容（UGC）类网站，不合规图片的识别和处理是其重点工作之一。通过内容审核技术，可以对用户上传的图片进行识别和预警，使客户能够快速定位和处理问题，降低业务违规风险。 场景优势如下： 高准确率：利用改进的深度学习算法，提升了不合规图片识别的准确率。 快响应速度：通过配备高性能GPU和CPU等硬件设备，使审核及时响应，审核速度更快。 电商网站评价检查 电商网站产品评论的审核十分重要，通过智能审核技术，能够智能地识别包含色情、灌水等违规内容的评论，保障良好的用户体验。 场景优势如下： 准确率高：基于改进的深度学习算法，使得违规评论的识别准确率更高。 响应速度快：配置高性能GPU和CPU等硬件设备，审核速度更快，能够保证快速响应，提升审核效率。

本小节介绍日志审计(原生版)产品介绍类常见问题。 日志审计（原生版）是什么？ 日志审计（原生版）系统能够实时不间断地采集汇聚企业中不同厂商不同种类的安全设备、网络设备、主机、操作系统、用户业务系统的日志信息，协助用户进行安全分析及合规审计，及时、有效的发现异常安全事件及违规事件。 系统提供了众多基于日志分析的强大功能，如安全日志的集中采集、分析挖掘、合规审计、实时监控及安全告警等，系统配备了全球IP归属及地理位置信息数据，为安全事件的分析、溯源提供了有力支撑，综合日志审计分析系统能够同时满足企业实际运维分析需求及审计合规需求，是企业日常信息安全工作的重要支撑平台。 日志审计（原生版）市场需求有哪些？ 日志审计需求主要源自于两个方面的驱动力： 一方面，从企业和组织自身安全的需要出发，日志审计能够帮助用户获悉信息系统的安全运行状态，识别针对信息系统的攻击和入侵，以及来自内部的违规和信息泄露，能够为事后的问题分析和调查取证提供必要的信息； 另一方面，从国家法律法规、行业标准和规范的角度出发，日志审计已经成为了满足合规与内控需求的必备功能。 日志审计（原生版）适用范畴？ 日志审计（原生版）系统提供了众多基于日志分析功能，系统具有广泛的应用范围和客户群，在政府、企业、电信、金融、电力、公安、军工、等行业均有成功的应用，满足企业实际运维分析需求及审计合规需求，是企业日常信息安全工作的重要支撑平台。

此小节介绍企业主机安全漏洞管理类问题 漏洞管理显示的主机不存在？ 漏洞管理显示24小时内检测到的结果。若检测到主机存在漏洞后，您修改了主机的名称，检测结果会显示原主机名称，不会显示当前主机名称。 漏洞修复完毕后是否需要重启主机？ Windows系统漏洞修复完成后需要手动重启主机。 Linux系统Kernel类的漏洞修复完成后需要手动重启主机，其它类型漏洞修复完成后不重启也能生效。 如何处理漏洞？ 处理方法和步骤 1、查看漏洞检测结果。 2、按照漏洞检测结果给出的漏洞修复紧急度和解决方案逐个进行修复漏洞。 windows系统漏洞修复完成后需要手动重启。 Linux系统Kernel类的漏洞修复完成后需要手动重启。 3、企业主机安全服务每日凌晨将全面检测Linux主机和Windows主机，以及主机WebCMS的漏洞，漏洞修复完成后建议立即执行一次检测，核实修复结果。 漏洞修复后，为什么仍然提示漏洞存在？ 在企业主机安全控制台上使用漏洞管理功能修复系统软件漏洞时，如果提示漏洞修复失败，请参见以下可能原因： Windows系统服务器操作 补丁安装包下载不成功 您的服务器可能无访问公网权限，请在能访问Internet后，重新执行漏洞修复操作。 补丁安装包不匹配 请进一步确认补丁安装包的详细信息，如果补丁确实与您的服务器系统不匹配，建议您在“漏洞管理”界面中忽略该漏洞。 另一个补丁正在安装 由于服务器不能同时运行两个补丁安装程序，建议您等当前补丁安装完成后尝试重新执行漏洞修复操作。

本小节介绍 Web应用防火墙自定义防护策略。 自定义防护策略配置入口 1. 登录Web应用防火墙控制台。 2. 在左侧导航栏，选择“WAF防护配置”，进入WAF防护配置页面。 3. 在WAF防护配置列表中，单击防护域名操作列的“自定义防护配置”，进入自定义防护配置页面。 1.基础防护配置 通过此界面可以将WAF当前防护模式进行调整，可以由阻断模式调整到观察模式。 可通过设置当前网站的应用系统与编程语言等业务信息，制定更加符合业务场景的Web入侵防护规则集。 2.一键关站 一键关站支持快速关闭外部流量对源站的访问，并自定义网站响应内容。 3.AI智能学习模式 AI学习引擎通过自动学习网站的流量特征与访问模式，同时对业务数据进行分类训练，提高对已知与未知Web安全威胁的防护效果。 4.CC防护策略 CC攻击防护支持根据用户访问特定路径的行为进行人机识别、访问频率与封禁时间的自定义配置。

参数名称 参数说明 情报引擎 企业主机安全采用的检测引擎，包括病毒检测引擎、AI检测引擎、恶意情报检测引擎。 攻击状态 当前威胁攻击服务器的状态。 首次告警发生时间 首次发生攻击告警的时间。 告警ID 告警的唯一ID。 Att&CK阶段 攻击者在各阶段用到的攻击技术模型。 最新告警发生时间 最新发生攻击告警的时间。 告警信息 告警的详细信息说明，包括告警说明、告警摘要、受影响资产和处置建议。 调查取证 动态端口蜜罐功能排查溯源定位到攻击源的网络取证信息。 相似告警 与本次告警事件相似的告警。您可以根据相似告警的处置方法处理本次告警。

参数名称 参数说明 情报引擎 企业主机安全采用的检测引擎，包括病毒检测引擎、AI检测引擎、恶意情报检测引擎。 攻击状态 当前威胁攻击服务器的状态。 首次告警发生时间 首次发生攻击告警的时间。 告警ID 告警的唯一ID。 Att&CK阶段 攻击者在各阶段用到的攻击技术模型。 最新告警发生时间 最新发生攻击告警的时间。 告警信息 告警的详细信息说明，包括告警说明、告警摘要、受影响资产和处置建议。 调查取证 动态端口蜜罐功能排查溯源定位到攻击源的网络取证信息。 相似告警 与本次告警事件相似的告警。您可以根据相似告警的处置方法处理本次告警。

本节介绍云安全中心支持的功能。 云安全中心系统主要包含安全态势、资产中心、风险管理、威胁运营、分析中心、编排响应、报表中心、集成配置以及数据源监控等功能。 安全态势 依托接入云安全中心的数据，提供统一可视化界面展示网页业务的整体安全状态。 资产中心 各类资产集中展示，全面汇集资产情况。 风险管理 资产风险信息清晰明确，定期更新资产漏洞、弱口令等信息。 威胁运营 对威胁全方位管理，提供告警概览、告警管理以及威胁检测等功能，可实现各类告警灵活定制。 分析中心 提供日志以及原始告警灵活查询，提供多种分析专题，为用户多角度呈现数据态势。 编排响应 是企业内部定制或者沉淀的知识经验，也是安全应急响应通用告警处理的“模板”。不论是自动化的编排，还是人工的编排，都可以通过“安全剧本”来进行表述。 报表中心 通过周期性的报表任务和可定制的报表模板承载各类个性化报表的展示和生成。 集成配置 数据集成一键配置，实现所配即所得。 数据源监控 为用户提供各类数据源的展示和基本信息统计。

本节介绍服务器安全卫士（原生版）的产品定义和产品架构。 产品定义 服务器安全卫士（原生版）（CTCSS，Cloud Security System）是一款全方位保障云上服务器安全的产品，能全面识别并管理服务器中的信息资产、实时监测服务器风险并阻止非法入侵行为，当发现服务器出现安全问题时，第一时间向您发出告警通知。主要包括资产清点、漏洞扫描、入侵检测、基线检查、弱口令检测、病毒查杀、文件防勒索等功能，帮助您构建服务器安全防护体系。 产品架构 服务器安全卫士（原生版）整体架构主要包括3个部分，分别为统一管理平台、数据汇总节点和服务器客户端Agent。 统一管理平台 客户管理员通过统一管理平台，查看所有的服务器信息和安全状态，并下发安全策略配置信息。 资源池数据汇总节点 服务器客户端Agent从被监控服务器中采集系统信息，上报给相应的数据汇总节点。 服务器客户端Agent 使用服务器安全卫士（原生版）产品时，每台服务器需要安装一个Agent。

配置严重性 系统内置了5个严重性，用户可以通过内置严重性模板对数据进行更加便捷的分类，同时系统也支持自定义分类，可以更加灵活的满足不同场景的需求。 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“内容安全 > 语料安全 > 业务设置”，选择“严重性”页签。 3. 点击“新增”。 4. 填写相关信息，点击“确定”完成新增操作。 参数如下表所示： 信息 说明 名称 严重性规则名称。 备注 严重性规则描述备注。 权重 严重性自定义标识。 颜色 严重性自定义颜色标识。 识别配置 系统支持OCR识别、压缩包穿透层数、识别超时设置、识别文件大小限制、最大匹配设置、匹配详情上传数量等参数的自定义设置，可以更加灵活的满足不同场景的需求。 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“内容安全 > 语料安全 > 业务设置”，选择“识别配置”页签。 3. 配置响应的规则。 部分参数如下表所示： 信息 说明 ocr识别 图片进行识别，对图片内的文件进行匹配。 穿透压缩包层数 压缩包内容检测时，穿透压缩包的导数，0表示不穿透，最大值为5层。（单位：秒） 识别超时设置 文件内容识别超过设置时自动发行并记录，0表示无限制。（单位：秒） 识别文件大小限制 文件大小超过限制时不识别文件内容，0表示无限制。（单位：MB） 最大匹配设置 文件内容检测时，一条检测规则最大匹配次数，0表示无限制。（单位：次） 匹配详情上传数量 日志中匹配详情最大上传数量，0表示无限制。（单位：条）

本小节介绍容器安全内容。 容器安全能够扫描镜像中的漏洞与配置信息，帮助企业解决传统安全软件无法感知容器环境的问题；同时提供容器进程白名单、容器文件监控、容器信息收集和容器逃逸检测功能，有效防止容器运行时安全风险事件的发生。

本小节介绍漏洞扫描服务流程。 网络要求 非电信客户的应用系统网络与扫描器网络可达，即可提供扫描服务（内网需提供用于部署扫描器的内网主机，内外网需保证路由可达）。 服务流程 业务受理单 客户应如实填写以下信息（必须填满）： 1. 被检测的IP主机信息。 2. 被检测主机的操作系统类型及版本。 3. 业务接口人联系方式，客户需指定一个具有对漏洞扫描方案及漏洞扫描过程中出现的问题有决定权的业务接口联系人。 4. 客户提供扫描资产时需对所提交资产所有权负责，保证资产归提交人合法所有。 5. 客户需签订漏洞扫描授权书。 审核阶段 对委托单位提交的受理单信息进行核查，核查内容： 1. 判断资产所在环境是公网还是内网。 若是公网需要保证被扫描资产路由可达。 若是内网环境，需确认委托单位提供可访问到内网主机的跳板机。 2. 受理单审核通过后进入漏洞扫描实施阶段。 业务受理单无问题进入下一阶段；如有问题返回客服，由客服继续与客户沟通，直到业务受理单填满无问题。 说明 确认过程需1个工作日。 实施阶段 1.漏洞扫描实施方案 业务受理单确认无误后进入实施阶段，漏洞扫描操作人员接到客服的业务受理单后确认受理单信息：IP、版本、授权等并就扫描计划和受理单内容与客户确认。扫描任务实施前，分析客户主机情况，制定扫描方案，明确漏洞扫描任务具体实施时间、目标范围、合理的扫描方式以及最佳扫描策略，并就扫描方案与客户进行沟通确认，由于在漏洞扫描期间客户方未关闭安全防护设备所造成的漏扫结果不准确，乙方不承担责任。 注意 确认过程0.5个工作日。 2.实施漏洞扫描 扫描实施前若客户网络环境公网不能直达，需部署扫描器，也可配合客户自己部署，策略模板由我们提供，部署时间预计1个工作日。 关于扫描进度，目前扫描器扫描一个C段地址大约需要6个小时左右时间，扫描期间实时就扫描过程中发生的问题与客户沟通，最后扫描的结果将存放到扫描结果专用堡垒机上。 漏洞扫描的风险规避，由于漏洞扫描属于黑盒测试，因此可能对被测试目标造成不可预知的风险；此外对于性能比较敏感的测试目标，如一些实时性要求比较高的系统，由于扫描可能引起网络流量的增加，因此可能会引起被扫描目标的服务质量降低。因此需进行如下的风险规避措施： 扫描时段选择：一般会选择在夜间或安排在业务量不大的时段进行漏洞扫描。 扫描策略选择：根据系统的具体情况配置合理的扫描策略。 3.编写扫描报告 漏洞扫描完成后输出漏洞扫描服务报告，报告编写时间2个工作日。 4.报告审核修订 由专人对输出的漏洞扫描服务报告进行审核修订，审核修订时间1个工作日。 5.报告提交 报告提交方式采取邮件回复的方式提交：客户通过邮件向天翼云漏洞扫描平台发起报告接收申请，漏洞扫描服务报告以回复邮件方式给客户。 6.质保服务 在客户收到漏洞扫描服务报告后，乙方参与漏扫项目的专家为客户持续提供3天时间用于咨询报告中的不明事项。 7.结束服务 在完成以上各阶段工作后，漏洞扫描项目经理告知客服此次漏扫服务结束。

Web应用防火墙（边缘云版）智能负载均衡技术能够自动分配访问流量，保障业务的高可用性和自动容灾能力，开通智能负载均衡能力后，可以自助配置静态文件缓存在云安全节点，实现低延时的访问，达到对网站的一个加速效果。 glmoscodeexplain 如何开通智能负载均衡功能？ 当前仅支持通过单击变更访问链接，进入变更访问链接后，单击【实例】，可按需在【全部产品】下拉框中过滤出【Web应用防火墙(边缘云版)】。 如何使用智能负载均衡功能？ 具体功能介绍和使用请参考配置缓存功能介绍：配置缓存 注意 暂时不支持单独退订智能负载均衡，如果需要单独退订，请

本文介绍如何重启Pod。 通过重启Pod，可以将存在异常的Pod进行杀死，通过K8s机制再重新启动一个新的Pod。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 实时检测”，进入容器实时检测页面。 3. 单击容器列表右侧操作列中的“重启Pod”。 4. 在弹出的提示框中单击“确认”。

本文介绍云SSO的使用实践 应用实践：主账号创建云SSO用户后，以云SSO用户身份访问子账号1与子账号2，且按需配置不同的权限 云SSO用户只能由企业中心主账号在云SSO中心创建，创建成功后，通过云SSO登录门户地址跳转访问组织内成员账号 步骤1：登录中国电信天翼云管理中心，创建云SSO用户 步骤2：在“权限管理”菜单栏，按需创建权限集 步骤3：在“绑定权限集”菜单栏，创建访问配置实例，访问配置由云SSO用户/权限集/成员账号组成 步骤4：通过“云SSO门户地址”跳转访问组织内账号。 场景示意： 主账号分别配置了两个“访问配置”实例A与实例B： 1.实例A允许主账号所创建的云SSO用户访问子账号 1，登录后具备云主机的管理员相关的权限； 2.实例B允许主账号所创建的云SSO用户访问子账号 2，登录后具备弹性IP的观察者相关的权限。

本节针对企业主机安全的基线检查和整改的最佳实践进行介绍。 企业主机安全HSS每日凌晨会自动执行基线检查，待检查完成后，可查看并修复配置、弱口令风险。 整改弱口令 “账号暴力破解攻击”是最常见的入侵方式之一，当主机中存在弱口令时，极易被攻击方通过弱口令完成入侵，因此弱口令风险需要优先修复。 企业主机安全HSS支持SSH、FTP、MYSQL类型弱口令，系统中应用的弱口令或默认口令需要您自行排查，如nacos、weblogic等。 步骤： 1、登录管理控制台。 2、选择页面左上角的按钮，选择“企业主机安全”，进入主机安全平台界面。 3、选择左侧导航树的“风险预防 > 基线检查”，进入基线检查界面。 4、在“经典弱口令”页签，查看检测出的弱口令。 5、登录所有含弱口令的主机，修改弱口令。 整改配置检查高风险项 1、登录管理控制台。 2、选择页面左上角的按钮，选择“企业主机安全”，进入主机安全平台界面。 3、在左侧导航树中，选择“风险预防 > 基线检查”，进入基线检查界面。 4、选择“配置检查”页签，查看并修复所有高风险基线。 单击基线名称，进入基线详情页面。 选择“ 检查项 > 未通过 ”页签，单击高风险检查项所在行 “操作” 列的 “检测详情”，查看修改建议。 按建议修改完成后，单击操作列的“验证”，验证修改结果。

本文介绍CDN加速域名配置HTTPS中间证书的方法。 背景说明 中间证书是根证书颁发机构CA对中间证书颁发机构的公钥进行数字签名得到的证书。其作用是通过中间证书的私钥来签署最终用户的SSL证书，通过中间根对另一个中间根进行签名，然后CA使用它来对证书进行签名。如果CA直接从其根源颁发服务器证书，在这一过程中出现任何错误或者要求撤销每个使用root签名的证书，那么这个证书将立即不受信任。因此，为了避免这种风险发生，CA机构一般会引用中间证书。 主流浏览器如Firefox或者Chrome对未安装中间证书的网站可能会作出此链接不受信任的提示，或者安装了安全证书的网站，用手机访问时还是会出现不安全的提示，其实这都是中间证书链不完整导致的。 配置说明 1. 天翼云CDN控制台支持pem的证书格式。 2. 在【域名管理】【域名列表】选中对应域名，单击编辑进入配置界面，单击右侧【请求协议】，在【请求协议】模块，勾选【HTTPS】。单击右侧【HTTPS配置】，在【证书】模块，单击【点击上传】，输入证书备注名，在【证书公钥（PEM）格式】输入域名证书拼接中间证书即可，具体拼接格式如下： BEGIN CERTIFICATE 域名证书 END CERTIFICATE BEGIN CERTIFICATE 中间证书 END CERTIFICATE 示例：

本小节介绍域名无忧最佳实践。 背景介绍 基于银行数字化转型战略，构建连接一切的能力，打造最佳生态赋能银行，银行持续打造全方位、立体化、主动型的信息安全体系。 解决方案 通过域名无忧为用户提供域名解析监测、识别异常后秒级告警、秒级域名修正达到满足客户安全、快速、准确等需求。及时修正域名解析，避免因为TTL等待时长造成的网站访问异常，在客户做IPv4与IPv6切换时，第一时间完成DNS缓存刷新，确保秒级切换完成，快速的刷新在满足客户域名安全的基础上还给予客户针对域名相关割接极大帮助，为客户数字化转型战略奠定基础。