本小节介绍安全专区产品优势。 快速合规方案 产品套餐依据等级保护要求针对云上各种应用场景进行合规设计，产品自动交付，一次购买可满足云用户多个系统的等保合规技术要求，快速解决云上合规整改问题。 平台紧密集成 自动识别所有云资产，关联安全组件能力自动评估云用户资产安全态势，用户使用云平台账号即可登录安全专区实施所有安全管理工作。 网端管三层防护 提供覆盖网络安全、终端安全、应用安全、数据安全各层面的安全能力，网端管联动分析，为云上应用系统安全运行提供全面保障。 集中管理全管控 集中管理用户云上资产安全，集中管理云上安全设备，集中管理云网边界、虚机系统、业务系统的漏洞、告警、用户行为等安全运行数据，提供全覆盖的安全态势管理能力。

本文简述全站加速根据不同客户端IP所属的区域和运营商回不同源站的功能、适用场景、注意事项及配置说明。 功能简介 如果您的域名有多个源站，且希望通过全站加速实现多个源站之间负载均衡，您可以按照区域或者运营商划分源站，让不同区域或者运营商的客户端IP回不同的源，从而实现同运营商回源，或者就近回源。 上图为分运营商回源的原理图，电信客户端用户经过全站加速平台后回到电信源站，联通客户端用户经过全站加速平台后回到联通源站。分区域回源原理类似，不再赘述。 适用场景 场景一：分区域回源 域名有多个源站，分别分布在北京、上海、广州三个区域，可以配置华北、西北、东北三个大区的所有省份的用户回北京源站；配置华东、华中这两个大区的所有省份的用户回上海源站；配置华南、西南这两个大区的所有省份的用户回广州源站。从而保证每个地区的用户都回就近的源站，同时也帮助源站解决了负载均衡问题。 场景二：分运营商回源 域名有多个源站，分别是电信源站、联通源站、移动源站，可以配置联通用户回联通源站；配置移动用户回移动源站；配置电信及其他运营商用户回电信源站。从而保证电信、联通、移动的用户都能同运营商回源，其他小运营商都回电信源站，解决跨运营商回源的问题。 场景三: 多个源站提供不同的内容，通过分区域回源实现不同地区看到不同的内容 例如：域名在国内和海外各有一个源站，国内源站响应中文网站，海外源站响应英文网站，可以配置国内用户回国内源站，海外用户回海外源站，从而实现国内用户访问中文网站，海外用户访问海外网站的效果。 场景四：分区域分运营商回源 例如：域名有多个源站，分别为源站1、源站2、源站3，可以配置福建电信、广西电信、广东电信回源站1；配置上海移动、浙江移动、江苏移动回源站2；其他区域和运营商回源站3。

本小节介绍云解析智能解析线路类型说明。 云解析平台支持分运营商、分区域的智能解析，用户可以自行配置指定区域和运营商的解析记录。无论是配置分区域还是分运营商的线路前，均需先配置一条“默认”线路的记录。 例如 test. ctyun.cn 设置“默认”线路解析到1.1.1.1，“电信”线路解析到2.2.2.2，则电信运营商用户访问将返回2.2.2.2的 IP 地址，非电信运营商用户访问将返回1.1.1.1的 IP 地址。

本文简述天翼云边缘安全加速平台安全与加速服务产品支持的TLS协议版本和配置方法。 功能介绍 TLS（Transport Layer Security）即安全传输层协议，及其前身安全套接层（Secure Sockets Layer，缩写作SSL）是一种安全协议，目的是为互联网通信提供安全及数据完整性保障。最典型的应用就是HTTPS，HTTPS即HTTP over TLS，就是更安全的HTTP，运行在HTTP层之下，TCP层之上，为HTTP层提供数据加解密服务。 天翼云边缘安全加速平台安全与加速服务提供TLS协议版本控制功能，您可以按需对不同加速域名配置不同的TLS协议版本，低版本的TLS协议将提供对老版本浏览器的支持，但是协议的安全性相对更差一些，高版本的TLS协议将提供更高的安全性，但是对老版本浏览器的兼容性相对差一些。 天翼云边缘安全加速平台安全与加速服务支持的TLS协议版本包括TLSv1.0、TLSv1.1、TLSv1.2、TLSv1.3，不同TLS协议版本对浏览器的支持如下： 协议 说明 支持的主流服务器 TLSv1.3 RFC8446，2018年发布，最新的TLS版本，支持0RTT模式（更快），只支持完全前向安全性密钥交换算法（更安全）。 Chrome 70+ Firefox 63+ TLSv1.2 RFC5246，2008年发布，目前广泛使用的版本。 IE 11+ Chrome 30+ Firefox 27+ Safri 7+ TLSv1.1 RFC4346，2006年发布，修复TLSv1.0若干漏洞。 IE 11+ Chrome 22+ Firefox 24+ Safri 7+ TLSv1.0 RFC2246，1999年发布，基于SSLv3.0，该版本易受各种攻击（如BEAST和POODLE），除此之外，支持较弱加密，对当今网络连接的安全已失去应有的保护效力。不符合PCI DSS合规判定标准。 IE6+ Chrome 1+ Firefox 2+

本文介绍天翼云视频直播的产品优势。 丰富的资源节点 大网优质节点，可轻松应对直播大流量突发。 中国内地拥有2000+节点，覆盖多运营商和31个省份区域，大量节点位于省会及一二线主要城市。 海外、中国香港、中国澳门和中国台湾拥有800+节点，遍布亚洲、美洲、欧洲、非洲等大洲主要国家和城市。 优质的网络质量 拥有电信运营商优质的网络优势，网络节点架构在精品IP网络CN2和163上，充分保障网络质量的稳定性。 强大的技术实力 媒体处理技术：拥有直播转码、直播录制、直播截图、直播水印、直播审核、直播时移、音视频单播等媒体处理能力。 传输能力：基于直播业务特性自研智能调度、告警切换、私有传输协议等多项核心技术，确保4K/8K等超高清视频内容稳定传输。 可靠的安全防护 多层次多角度的安全访问控制，可有效保护客户内容版权。 访问控制：支持Referer防盗链、UA防盗链、IP黑/白名单、URL鉴权、远程鉴权防盗链等多种访问控制手段，拒绝非法请求和恶意攻击。 全链路HTTPS：支持全链路HTTPS安全传输方案，防劫持防篡改，保护数据安全。

本章对主机迁移服务介绍安全相关的说明，主要包含：责任共担，身份认证，访问控制，数据保护技术，审计与日志，服务韧性。 责任共担 安全性是天翼云与您的共同责任： 天翼云 ：负责云服务自身的安全，提供安全的云。 租户 ：负责云服务内部的安全，安全地使用云。 身份认证 SMS服务包含：控制台、Agent、API供您使用。控制台使用天翼云统一账户进行登录，Agent、API本质上都是REST风格的API接口调用。 所有的API接口调用均需要经过认证的请求才可以访问成功，经过认证的请求需要包含一个签名值，该签名值以请求者的访问密钥（AK/SK）作为加密因子，结合请求体携带的特定信息计算而成。通过访问密钥（AK/SK）认证方式进行认证鉴权，即使用Access Key ID（AK）/Secret Access Key（SK）加密的方法来验证某个请求发送者身份。用户通过天翼云正确的鉴权信息才能访问成功。详情可参考：统一身份认证。 访问控制 SMS基于IAM提供了系统策略和自定义策略，需要给用户配置相应策略，才能进行SMS及迁移必须资源的访问和操作，具体操作步骤参考：创建用户并授权使用SMS。建议您使用自定义策略，定义SMS所需的最小权限集合即可。 数据保护技术 SMS数据分为主机数据和个人凭证数据，分别提供了不同的技术，保障数据的安全性。 主机数据保护 对于数据传输，每次迁移任务执行过程中都会生成动态的安全证书和密钥并建立SSL安全通道。源端和目的端之间通过该安全通道点对点传输数据，保障客户主机数据的安全。 个人凭证数据保护 使用AK/SK校验迁移Agent身份，通过HTTPS与天翼云进行加密通信，保障个人凭证数据的安全。

对比类 对比项 分布式消息服务Kafka 开源Kafka 简单易用 立等可用 即开即用，可视化操作，自助创建，自动化部署，分钟级创建实例，立即使用，实时查看和管理消息实例。 自行准备服务器资源，安装配置必要的软件并进行配置，等待时间长。 易出错。 简单API 提供简单的实例管理RESTFul API，使用门槛低。 无 成本低廉 按需使用 提供多种规格，按需使用，支持一键式在线进行实例代理个数、磁盘存储空间和代理规格扩容。 搭建消息服务本身需要费用，而且即使没有使用，所占用资源本身依旧要收费。 成本低廉 完全托管 租户不需要单独采购硬件资源，直接使用就绪的服务，无需额外成本。 需要购买硬件资源，自行搭建整个消息服务，使用和维护成本高。 实践验证 成熟度高 经受电商网站大规模访问考验，并且已经在云服务平台许多产品中使用，广泛部署运行在分布于世界各地的电信级客户云业务系统里。满足严苛的电信级故障模式库标准。紧随社区主流版本，修复开源bug，持续上线新功能，进行版本升级。 使用开源软件成熟度低，无法保证关键业务，商业案例少；自研周期长，并需要长时间进行验证。 实践验证 能力强大 100%兼容开源，支持一键扩容，深度优化开源代码提升性能和可靠性，支持消息查询等高级特性。 功能不完善，需额外投入进行开发。 稳定可靠 稳定高可用 支持跨AZ部署，提升可靠性。故障自动发现并上报告警，保证用户关键业务的可靠运行。 需要自己开发或基于开源实现，开发成本高昂，无法保证业务可靠运行。 稳定可靠 无忧运维 后台运维对租户完全透明，整个服务运行具有完备的监控和告警功能。有异常可以及时通知相关人员。避免724小时人工值守。 需要自行开发完善运维功能，尤其是告警及通知功能，否则只能人工值守。 稳定可靠 安全保证 VPC隔离，支持SSL通道加密。 需要自行进行安全加固。

应用安全是云主机业务稳定运行的关键防线,需围绕主机防护、漏洞管理、网络隔离、流量防护及操作审计等维度,构建全流程安全体系,抵御各类恶意攻击,保障应用及背后业务数据的安全。 主机安全防护 天翼云服务器安全卫士（原生版）为用户提供漏洞扫描、异常登录、暴力破解等全方位主机安全防护功能，帮助用户及时发现并修复主机安全问题，降低安全风险。 用户在购买弹性云主机时，系统将自动为用户开启基础版云主机安全卫士服务。用户也可根据自身需求，在云主机安全卫士控制台中选择升级至更高版本，以获取更全面的安全防护能力。 若用户在创建时未开启云主机安全卫士服务，在云主机创建完成后，可至云主机详情页中查看安全防护状态，若显示为未防护则可点击“未防护”按钮转为开启。用户也可在服务器安全卫士（原生版）控制台中查看未开启防护的云主机并开启安全卫士防护。 漏洞管理与热补丁修复 漏洞管理与补丁修复是保障云主机安全的关键环节，天翼云提供漏洞管理与热补丁修复功能，帮助用户及时发现并修复漏洞，降低安全风险。 扫描和处理漏洞 ：云服务器安全卫士（原生版）具备漏洞扫描功能，能够对Linux软件漏洞、Windows系统漏洞等进行全面漏洞检测，帮助用户快速定位潜在安全漏洞。用户可根据扫描结果，及时采取修复措施，消除安全隐患。可以根据不同使用需要选择不同的云服务器安全卫士（原生版）版本，以满足不同程度的安全需求。 及时进行补丁管理： 天翼云CTyunOS操作系统支持热补丁功能，允许在系统运行过程中动态加载和应用补丁，从而修复已知的漏洞或缺陷，并且无需重启系统或中断正在进行的服务。用户可根据需要下载和安装热补丁。更多信息可查看[CTyunOS系统官网热补丁公告](

本章节向您主要介绍VPN连接服务的主要优势。 高安全 采用专业设备，基于IKE和IPsec对传输数据加密，提供了电信级的高可靠性机制，从硬件、软件、链路三个层面保证VPN服务的稳定运行。 高可用 采用主备模式，正常情况下VPN网关和对端网关通过主连接进行通信；当主连接发生故障时，VPN连接会自动切换到备连接；故障恢复后，VPN连接会自动切回到主连接。 无缝扩展资源 将用户本地数据中心与云上VPC互联，业务快速扩展上云，实现混合云部署。 连通成本低 利用Internet构建IPsec加密通道，使用费用相对云专线服务更便宜。 即开即用 部署快速，实时生效，在用户数据中心的VPN设备进行简单配置即可完成对接。

天翼云为您提供安全的弹性云主机产品，通过多种技术手段来保障您的主机安全。但是如果云主机没有进行相应的安全设置，仍然可能收到外部的攻击或者遭到病毒入侵。 您可以从以下方面对云主机进行保护：提高账号安全、提高主机密码安全、使用密钥对、使用云监控、备份云主机、配置访问策略、定期升级操作系统。 详细内容参见提升云主机安全的方法。

本节介绍了提升云主机安全的操作场景、防护类型简介、监控云主机、增加登录密码的强度、提升云主机的端口安全、定期升级操作系统。 操作场景 如果云主机没有设置相关的安全防护，可能受到病毒入侵或外部攻击，导致数据泄露或丢失，影响业务的正常运行。 怎样保护云主机免受攻击或病毒入侵？本节操作介绍常见的提升云主机安全的措施。 防护类型简介 提升云主机的安全性，分为云主机“外部安全防护”和“内部安全防护”两方面。 表 提升云主机安全的方法 类型 说明 防护方法 ::: 外部安全防护 常见的DDoS攻击、木马或病毒的入侵都是常见的外部安全问题。针对这类问题有多种常见的防护方案，例如开启主机安全防护、DDoS原生基础防护您可以根据您的实际业务选择合适的防护方案。 开启主机安全防护 监控云主机 开启防DDoS攻击 定期备份数据 内部安全防护 弱密码、开放错误的端口都可能引起内部安全防护问题，不提升云主机的内部安全防护，外部安全防护方案就无法有效的拦截和阻断各种外部攻击。 增加登录密码的强度 提升云主机的端口安全 定期升级操作系统

本节介绍了网络安全相关问题与处理方法。 TaurusDB有哪些安全保障措施 网络 云数据库TaurusDB实例可以设置所属虚拟私有云，从而确保云数据库TaurusDB实例与其他业务实现网络安全隔离。 使用安全组确保访问源为可信的。 使用SSL通道，确保数据传输加密。 管理 通过统一身份认证服务（Identity and Access Management，简称IAM），可以实现对云数据库TaurusDB实例的管理权限控制。 如何防止任意源连接数据库 数据库开放EIP后，如果公网上的恶意人员获取到您的EIP。 DNS和数据库端口，那么便可尝试破解您的数据库并进行进一步破坏。因此，强烈建议您保护好EIP。 DNS、数据库端口、数据库帐号和密码等信息，并通过云数据库TaurusDB实例的安全组限定源IP，保障只允许可信源连接数据库。 为避免恶意人员轻易破解您的数据库密码，请按照云数据库TaurusDB实例的密码策略设置足够复杂度密码，并定期修改。 访问TaurusDB实例应该如何配置安全组 通过内网访问TaurusDB实例时，设置安全组分为以下两种情况： ECS与TaurusDB实例在相同安全组时，默认ECS与TaurusDB实例互通，无需设置安全组规则。 ECS与TaurusDB实例在不同安全组时，需要为TaurusDB和ECS分别设置安全组规则。 设置TaurusDB安全组规则：为TaurusDB所在安全组配置相应的 入方向规则 。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 通过弹性IP访问TaurusDB实例时，需要为TaurusDB所在安全组配置相应的 入方向规则 。 将根证书导入Windows/Linux操作系统

违法信息 指涉及电信诈骗、胡乱发布新闻、淫秽色情、未经授权的仇恨性言论等违反法律法规、伦理道德和公序良俗的信息，会对个人和社会造成负面影响。 垃圾信息 指无用的、欺诈性的、骚扰性的或与特定上下文无关的信息。这些信息可能通过短信、电话、电子邮件、社交媒体等方式传播，给人们的生活带来不必要的麻烦和困扰。 国家敏感信息 指涉及国家机密、秘密，或对国家利益、公共利益有重大影响的信息，包括但不限于军事、国防、外交、经济等方面的信息。这些信息的泄露或未经授权的访问可能会对国家的安全和利益造成严重威胁。 稳定信息 指与社会和谐、国家政治稳定等相关的内容。稳定信息关乎社会的稳定和国家的政治安全，需要进行严格的审核和监管。 安全信息 指与网络安全、个人信息安全相关的内容，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露。 法律信息 指与法律相关的内容，包括各种法律法规、判例、法律解释、法律理论、法律实践等方面的信息。 社会事件 指在社会生活中发生的、对社会发展产生重大影响的、具有新闻价值和历史意义的重要事件。社会事件可能涉及政治、经济、文化、科技、体育等多个领域，并具有广泛的关注度和影响，如灾害、事故、社会安全等。

本小节介绍态势感知应用场景，态势感知主要用于边界安全应用场景。 重点行业信息系统 能源、金融、交通、教育、医疗、市政、电信与互联网、政府部门等支撑关键业务的信息系统。态势感知将通过监控网络资产状态，结合威胁情报、脆弱性检测、威胁检测及时有效地发现网络资产是否存在挖矿勒索系统后门及告警网络攻击，通过漏洞扫描与基线扫描，直观地了解自身的安全状况，同时动态实时地监控管理业务资产。 电子政务和门户 各级党政军门户网站，教育类网站，重大活动及会议保障， 重点新闻网站等。态势感知将通过监控网络资产状态，结合威胁情报、脆弱性检测、威胁检测及时有效地发现网络资产是否存在挖矿勒索系统后门及告警网络攻击，通过漏洞扫描与基线扫描，直观地了解自身的安全状况，同时动态实时地监控管理业务资产。 大型互联网平台 注册用户、订单额或交易额较大，一旦发生网络安全事故，产生较严重影响，如敏感信息泄露、基础数据泄露等。态势感知将通过监控网络资产状态，结合威胁情报、脆弱性检测、威胁检测及时有效地发现网络资产是否存在挖矿勒索系统后门及告警网络攻击信息泄露安全事件，通过漏洞扫描与基线扫描，直观地了解自身的安全状况，同时动态实时地监控管理业务资产。

通过在服务器端安装轻量级的Agent进行安全监测和防护,监测数据由天翼云专业安全团队以报告的形式定期发送给客户,并对入侵等高危情况进行实时邮件通知,从而客户可以及时全面的了解服务器的安全状态,将安全从传统的安全事件防护变成一项持续安全响应和处理过程。功能涵盖弱口令检测、软件漏洞检测、防暴力破解、web后门、shell检测等多个维度,实现服务器安全的持续纵深保护。

本文介绍分区域分运营商回源功能的适用场景和配置说明。 功能介绍 如果您的域名有多个源站，且希望通过CDN加速实现多个源站之间负载均衡，您可以按照区域或者运营商划分源站，让不同区域或者运营商的客户端IP回不同的源，从而实现同运营商回源，或者就近回源。下图为分运营商回源的原理图，电信客户端用户经过CDN加速平台后回到电信源站，联通客户端用户经过CDN加速平台后回到联通源站。分区域回源原理类似。 适用场景 场景一：分区域回源 域名有多个源站，分别分布在北京、上海、广州三个区域，可以配置华北、西北、东北三个大区的所有省份的用户回北京源站；配置华东、华中这两个大区的所有省份的用户回上海源站；配置华南、西南这两个大区的所有省份的用户回广州源站。从而保证每个地区的用户都回就近的源站，同时也帮助源站解决负载均衡问题。 场景二：分运营商回源 域名有多个源站，分别是电信源站、联通源站、移动源站，可以配置联通用户回联通源站；配置移动用户回移动源站；配置电信及其他运营商用户回电信源站。从而保证电信、联通、移动的用户都能同运营商回源，其他小运营都回电信源站，解决跨运营商回源的问题。 场景三: 多个源站提供不同的内容，通过分区域回源实现不同地区看到不同的内容 例如：域名在国内和海外各有一个源站，国内源站响应中文网站，海外源站响应英文网站，可以配置国内用户回国内源站，海外用户回海外源站，从而实现国内用户访问中文网站，海外用户访问海外网站的效果。 场景四：分区域分运营商回源 例如：域名有多个源站，分别为源站1、源站2、源站3，可以配置福建电信、广西电信、广东电信回源站1；配置上海移动、浙江移动、江苏移动回源站2；其他区域和运营商回源站3。

天翼云边缘安全加速平台的安全与加速服务在对金融网站加速的同时还提供防御金融行业面临的SQL注入、跨站、撞库拖库、数据泄露等多种WEB安全风险,并防御大规模流量攻击,保障网站稳定运行的同时维护用户个人数据和资金安全,满足PCIDSS合规要求。 概述 边缘安全加速平台的安全与加速服务在天翼云CDN边缘节点中加入丰富的安全能力，依托分布各地的边缘节点，形成一张具备安全与加速能力的网络，为政府、金融、教育、游戏等行业的网站提供基于边缘网络的安全加速一体化服务。 安全与加速服务的基础架构图： 产品优势 覆盖丰富的资源覆盖 国内拥有丰富的节点覆盖承载能力，覆盖多运营商、主要省份和城市无盲点。 加速节点可根据需求随时增加，致力于客户的发展壮大。 安全可靠的安全防护 分布式集群防护，单点故障自动转移，确保网站的高可用性。 利用大平台优势，基于全网、全行业流量的攻击数据，结合机器学习算法，构建一套智能防护体系。 精准防护，域名粒度的防护策略，结合客户自身业务定制化防护策略。 维护完善的售后服务 集中监控和分散维护相结合，NOC 工程师7×24小时集中监控，网络工程师7×24小时在线支持，所有节点都有现场服务工程师进行服务保障。 便捷便捷的接入方式 安全加速一体化，基于CDN的架构，实现加速防护一体化。 零部署、零运维、使用CNAME接入，云端安全专家配置策略 透明透明的售卖机制 可根据需要选择资源套餐包产品或按量计费产品，费用透明，可控，灵活。

本节介绍云安全中心的产品优势。 云安全中心作为用户侧的安全中心，产品优势如下： 安全数据全面采集 进行内部（资产、脆弱性）、外部（流量、日志）以及云端威胁情报接入等相关安全数据的全面采集，汇聚、分析。 安全威胁深度检测 对多源安全告警进行关联分析、规则分析、情报分析等，发现潜伏的高级持续性威胁，提升告警检出率和准确率。 安全态势集中监测 从多安全告警、攻击方向、攻击趋势、影响范围等多维度多视角进行态势呈现。 安全告警快速处置 对接联动安全防护设备，在安全告警发生时自动下发阻断策略，并在必要时下发通知预警，及时完成安全闭环。

本文介绍使用专属云（计算独享型）过程中涉及相关产品的基本概念，方便您查询和了解相关概念。 云主机 专属云（计算独享型）产品提供物理隔离的公有云虚拟化环境，在已购买的专属云中可创建云主机来部署应用服务。 云硬盘 专属云（计算独享型）产品中，云主机使用的云硬盘为公有云中的云硬盘，类型包括普通IO、高IO、超高IO三种类型。这三种类型跟公有云云硬盘产品规格参数保持一致。若您同时购买了专属云（存储独享型）产品，创建的云硬盘为物理独享的云硬盘，具体云硬盘类型取决于购买类型。 虚拟私有云 虚拟私有云是通过逻辑方式为您提供一个完全隔离的网络环境。您可以在VPC中定义与传统网络无差别的子网，同时提供弹性IP、安全组、带宽、VPN等网络服务。

天翼云云日志服务产品服务协议

本节介绍什么是云安全中心。 云安全中心（CTCSC，Cloud Security Center，简称云CSC）作为用户侧的安全中心，通过对各个主机资产、安全设备告警日志等数据的采集对数据进行应用，通过安全数据的统一汇聚进行安全数据的统一融合化处理，通过平台整体整合形成数据汇聚、威胁检测、告警响应的业务能力，对业务进行应急处置和统计分析，满足态势感知、响应处置拦截、威胁预警和攻击行为溯源等目标，最终实现统一的前台展示，帮助用户实现威胁检测、溯源、响应的自动化安全运营闭环。 云安全中心系统主要包含应用中心、安全分析中心、安全数据汇聚以及安全响应中心四大模块。 应用中心：提供各类安全数据的展示、资产以及风险管理，对各类安全指标进行统计分析，出具安全运营报告，实现安全系统数据的统一管理、统一运营。 安全分析中心：实现安全分析和数据分析，构建各类威胁模型，深度检测安全威胁，智能分析辅助安全决策，感知整体安全态势。 安全数据汇聚：实现各类数据源的数据收集，实现数据服务、数据存储、数据处理以及数据采集等。 安全响应中心：实现工单、剧本以及插件工具的管理，安全编排与自动化响应处置，提升安全威胁检测能力和处置效率。

通过在服务器端安装轻量级的Agent进行安全监测和防护,监测数据由天翼云专业安全团队以报告的形式定期发送给客户,并对入侵等高危情况进行实时邮件通知,从而客户可以及时全面的了解服务器的安全状态,将安全从传统的安全事件防护变成一项持续安全响应和处理过程。功能涵盖弱口令检测、软件漏洞检测、防暴力破解、web后门、shell检测等多个维度,实现服务器安全的持续纵深保护。

本文主要介绍云专线的产品优势。 稳定时延 专线接入提供了高可靠的服务保证，单线接入可用性高，满足您的网络连接需求。 高安全性 用户通过云专线接入，用户独占网络链路，无惧数据泄露风险。 对上层应用透明承载，可承载数据、语音、视频等综合应用。 多端口多协议 天翼云专线接入支持100M、10G二种接入端口，支持MSTP、IPRAN、MPLS等多种接入协议，满足您多样网路接入需求。 支持大带宽 天翼云专线接入单线路最大支持10Gbps带宽连接。 稳定可靠 提供中国电信高质量链路，提供冗余方案，运营商级网络保障。 专用网络传数据，免去拥堵或故障绕行带来的时延，传输速率更有保障，传输更稳定。 接入方便 客户侧可选择IP虚拟专网、点到点专线等多种接入方式，可根据业务需求灵活选择。 每种接入方式均可与互联网接入同时使用，实现管理流量、业务流量分离。

本章节主要介绍天翼云与客户在安全性方面各自应承担的责任。 为明确翼MapReduce产品在云服务环境下的安全责任边界，保障客户与天翼云协同构建安全可信的服务体系，本文将介绍天翼云与客户在安全性方面各自应承担的责任。 天翼云安全责任 天翼云负责保障云服务自身安全。责任包括： 基于天翼云综合安全产品体系，保障翼MapReduce产品内部使用的计算、存储、网络等基础设施，以及运行其上的平台服务与应用服务的安全性。 基于天翼云账号认证体系，为客户提供云上账户安全管理能力，包括但不限于支持主子账号、分组授权、细粒度授权等账户安全管控手段。 基于天翼云的监控与日志管理等能力，为客户提供翼MapReduce产品控制台操作及组件服务指标的安全监控能力。 未经客户授权，不接触和处理客户的业务数据。 客户安全责任 客户负责云服务内部的安全，正确配置和使用天翼云提供的产品能力和服务，责任包括： 负责数据的备份、加密，并对翼MapReduce产品中使用的所有密钥进行妥善管理。 负责访问权限控制，在账户设置中遵循最小权限原则，保护天翼云账户认证凭证。 遵循天翼云提供的安全原则和建议，对翼MapReduce产品中所使用的服务器、虚拟私有云、安全组、网络等基础设施进行合理配置，避免因配置不当而引发的安全风险与问题，承担数据安全主体责任。 管理安装在翼MapReducce集群上的组件服务，对其进行合理配置与使用，避免因不当配置引发的安全风险与问题。 不使用天翼云产品和服务从事非法的数据处理活动。

本文介绍了云防火墙（原生版）产品的变配流程。 云防火墙（原生版）提供“高级版”、“企业版”供用户选择，不同版本之间的差异请参见产品规格。 您可以根据需要，为实例变更版本、为实例变更配额数量。 约束限制 配额状态为“正常”时才支持“变配”。 从高级版升级到企业版 当高级版无法满足您的需求时，你可以升级实例到企业版。 注意 升级版本时，不支持手动对配额数量进行调整。 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“设置中心 > 配额管理”，进入配额管理页面。 3. 单击“变配”，进入变配页面。 4. 选择企业版。 5. 确认配置参数和配置费用后，阅读《天翼云云防火墙（原生版）服务协议》，并勾选“我已阅读，理解并同意《天翼云云防火墙（原生版）服务协议》“，点击“立即变配”。 6. 进入“付款”页面，完成付款。 从企业版降级到高级版 当无需VPC边界防护时，也可以将实例版本从企业版降级为高级版。 注意 当未购买扩展包时，才支持将企业版降级到高级版。 降级版本时，不支持手动对配额数量进行调整。 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“设置中心 > 配额管理”，进入配额管理页面。 3. 单击“变配”，进入变配页面。 4. 选择高级版。 5. 确认配置参数和可退费用后，阅读《天翼云云防火墙（原生版）服务协议》，并勾选“我已阅读，理解并同意《天翼云云防火墙（原生版）服务协议》“，点击“立即变配”。 6. 进入订单页面，等待订单完成。

时间节点 功能名称 功能描述 相关文档 2025.02.24 安全云应用 安全云应用是一种基于天翼云托管的应用程序流式传输服务，通过天翼云自研的clink传输协议，将音视频、图像、外设等信息传输到用户的远程设备上，实现跨平台、安全、易用的应用程序访问。

本文向您介绍天翼云与客户的安全责任共担机制。 与传统的本地数据中心相比，云计算的运营方和使用方分离，提供了更好的灵活性和控制力，有效降低了客户的运营负担。正因如此，云的安全性无法由一方完全承担，云安全工作需要天翼云与您共同努力。 天翼云：无论在任何云服务类别下，天翼云都会承担基础设施的安全责任，包括安全性、合规性。该基础设施由天翼云提供的物理数据中心（计算、存储、网络等）、虚拟化平台及云服务组成。在PaaS、SaaS场景下，天翼云也会基于控制原则承担所提供服务或组件的安全配置、漏洞修复、安全防护和入侵检测等职责。 客户：无论在任何云服务类别下，客户数据资产的所有权和控制权都不会转移。在未经授权的情况，天翼云承诺不触碰客户数据，客户的内容数据、身份和权限都需要客户自身看护，这包括确保云上内容的合法合规，使用安全的凭证（如强口令、多因子认证）并妥善管理，同时监控内容安全事件和账号异常行为并及时响应。 图天翼云安全责任共担模型 云安全责任基于控制权，以可见、可用作为前提。在客户上云的过程中，资产（例如设备、硬件、软件、介质、虚拟机、操作系统、数据等）由客户完全控制向客户与天翼云共同控制转变，这也就意味着客户需要承担的责任取决于客户所选取的云服务。如上图所示，客户可以基于自身的业务需求选择不同的云服务类别（例如IaaS、PaaS、SaaS服务）。不同的云服务类别中，每个组件的控制权不同，这也导致了天翼云与客户的责任关系不同。 在IaaS场景下，客户控制着除基础设施外的所有组件，因此客户需要做好除基础设施外的所有组件的安全工作，例如应用自身的合法合规性、开发设计安全，以及相关组件（如中间件、数据库和操作系统）的漏洞修复、配置安全、安全防护方案等。 在PaaS场景下，客户除了对自身部署的应用负责，也要做好自身控制的中间件、数据库、网络控制的安全配置和策略工作。 在SaaS场景下，客户对客户内容、账号和权限具有控制权，客户需要做好自身内容的保护以及合法合规、账号和权限的配置和保护等。

本页介绍天翼云TeleDB数据库管理安全。 除了技术要求以外，数据库管理团队也应参考信息安全等级保护（三级）确保数据库被安全管理，例如： 应安排专人进行数据库的运维管理，安全管理和审计工作。 应建立安全管理小组，并及时处置相关安全风险。 应建立应急响应机制和备份恢复策略，并定期演练。 应定期进行数据库巡检，及时进行数据库升级工作，确保产品的缺陷和安全漏洞进行修复。 应建立与天翼云的服务团队的常规联系，确保紧急情况下联系畅通。

本节介绍如何通过云等保专区进入云安全中心控制台。 云安全中心是专为云环境设计的综合性SaaS化安全管理平台，它具备实时监测、防御和分析安全威胁的能力，通过提供一体化的安全运营解决方案，助力用户实现云安全的全面管理和控制，降低用户的安全风险。 在云等保专区控制台购买云安全中心资源后，即可进入云安全中心控制台，接入安全产品日志，云安全中心能通过接入的日志内容进行威胁建模，完成各类安全告警的生成，辅助您进行安全处置，实现安全运营。 前提条件 已购买云安全中心资源，且资源状态为“运行中”。 进入云安全中心控制台 方式一： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区控制台。 4. 在左侧导航栏，选择“云安全中心”，跳转到云安全中心控制台。 方式二： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云安全中心”，进入云安全中心控制台。 使用云安全中心 请参见云安全中心。

安全与加速 基于天翼云边缘云节点提供加速和安全的解决方案，提供了动静态数据加速，智能路由优化等加速特性，融合DDoS、WAF等安全防护能力，可高效支撑对时延敏感、安全性要求高的相关业务，为政企、电商与零售、金融服务、内容资讯与游戏等行业保驾护航，为用户提供加速与安全防护一体的产品服务。 大规模流量清洗 用户就近接入边缘节点，节点优先进行智能识别大规模流量攻击，实时进行L3/L4/L7层的流量清洗。 Web安全防护 Web规则引擎、智能 AI 引擎、Bot防爬虫引擎将对流量进行二次分析，识别恶意请求进行实时处置，阻断恶意请求到达用户源站，支持API安全、WAF、Bot爬虫等安全防护。 网络加速 经过安全检测后，将根据流量进行区分流量情况，根据不同策略进行网络加速。 零信任服务 基于身份认证与动态评估为基础，能够灵活部署到分布式边缘节点，并支持按需动态扩展，具备内外网隔离、互联网流量管理、精细化权限管控、终端数据安全、动态持续认证等能力，可替代传统VPN、IAM，提供一体化远程访问方案。 多终端接入 用户可采用PC或移动客户端、Web浏览器、集成零信任SDK的自有APP进行接入，接入过程先进行用户身份认证（帐号密码），进行初步的终端环境、设备、行为准入判断后，符合安全条件登录成功，不符合的用户将登录失败。

本文为您介绍天翼云云搜索服务的细粒度权限能力及使用方法。 功能简介 天翼云云搜索服务中的OpenSearch和Elasticsearch都支持细粒度权限管控，包括文档级别和字段级别的权限控制，为企业级用户提供了精确的数据访问管理能力。这一功能使得管理员能够针对不同的用户或角色，灵活地配置他们对特定文档或字段的访问权限，确保敏感信息得到有效保护，同时实现数据的高效共享和管理。 核心原理 细粒度权限管控允许管理员在多个层次上定义用户访问权限。具体来说，文档级别的权限控制使得管理员能够基于文档的内容或属性，决定某个用户是否可以访问或查询该文档。字段级别的权限控制则进一步细化，允许管理员指定某些用户只能查看或操作文档中的特定字段，而隐藏其他字段内容。 例如，在一个包含敏感信息的客户数据库中，管理员可以配置权限，使得某些用户只能访问客户的联系方式，而不能查看财务信息或个人身份信息。通过这样的精细控制，搜索引擎能够确保数据的安全性和合规性，同时满足不同业务场景下的访问需求。 应用场景与优势 数据安全与隐私保护 通过文档级别和字段级别的权限控制，企业可以确保敏感信息仅对经过授权的用户可见。这在金融、医疗等对数据隐私有严格要求的行业中尤为重要，能够帮助企业满足合规性要求。

本章节主要介绍了通过DRS将其他云数据库实时迁移至本云DDS的任务配置流程。 包括以下迁移场景： 其他云MongoDB数据库实时迁移至本云DDS。 其他云内云主机自建自维护的MongoDB数据库迁移至本云DDS。 网络示意图和MySQL的场景相同 迁移步骤 图 迁移流程图 迁移建议（重要） 数据库迁移与环境多样性和人为操作均有密切关系，为了确保迁移的平顺，建议您在进行正式的数据库迁移之前进行一次演练，可以帮助您提前发现问题并解决问题，如何最小化对数据库的影响请参考如下建议。 强烈建议您在启动任务时选择“稍后启动”功能，将启动时间设置在业务低峰期，相对静止的数据可以有效提升一次性迁移成功率，避免迁移对业务造成性能影响。 迁移须知（重要） 注意 在创建迁移任务之前，请您务必仔细阅读迁移须知。 参考《数据库复制服务快速入门》中的“使用须知”章节。 迁移准备 1.权限准备： 当使用 DRS 将其他云MongoDB数据库的数据迁移到本DDS实例时，在不同迁移类型情况下，对源数据库和目标数据库的帐号权限要求如表： 表 迁移账号权限 迁移类型 全量迁移 全量+增量迁移 源数据库 o 副本集：连接源数据库的用户权限需要对admin数据库有readAnyDatabase权限。 o 集群：连接源数据库的用户权限需要对admin数据库有readAnyDatabase权限，对config数据库有read权限。 o 单节点：连接源数据库的用户权限需要对admin数据库有readAnyDatabase权限。 如果需要迁移源数据库用户和角色信息，连接源数据库的用户权限需要对admin数据库的系统表system.users，system.roles有读权限。 o 副本集：连接源数据库的用户权限需要对admin数据库有readAnyDatabase权限，对local数据库有read权限。 o 单节点：连接源数据库的用户权限需要对admin数据库有readAnyDatabase权限，对local数据库有read权限。 o 集群：连接源数据库mongos节点的用户权限需要对admin数据库有readAnyDatabase权限，对config数据库有read权限， 连接源数据库分片节点的用户权限需要对admin数据库有readAnyDatabase权限，对local数据库有read权限。 如果需要迁移源数据库用户和角色信息，连接源数据库的用户权限需要对admin数据库的系统表system.users，system.roles有读权限。 目标数据库 连接目标数据库的用户权限需要对admin数据库有readAnyDatabase权限，对目标数据库有readWrite权限。 源数据库权限设置： 需要确保源数据库MongoDB的帐号权限具备表1的要求。若权限不足，需要在源数据库端开通高权限的帐号。 目前DRS支持迁移的第三方云厂商有：阿里云，腾讯云和亚马逊云。 以阿里云云数据库MongoDB迁移到本云DDS为例，阿里云MongoDB默认的初始帐号已经具备进行数据迁移的能力，使用初始帐号即可。 目标数据库权限设置： 本云DDS实例使用初始帐号即可。 2.网络准备： 源数据库需要开放公网访问。源数据库的网络设置： 源数据库MongoDB实例需要开放公网域名的访问。 以阿里云云数据库MongoDB迁移到本云DDS实例为例，一般情况下，阿里云云数据库MongoDB不提供公网地址，需要通过申请公网地址来允许外部的应用对接，具体的操作及注意事项可以参考阿里云提供的相关指导。 目标数据库的网络设置：目标端不需要进行设置。 3.安全规则准备： 源数据库安全组规则设置： 源数据库MongoDB实例需要将具体的DRS迁移实例的弹性公网IP添加到其网络白名单中，确保源数据库MongoDB实例可以与上述弹性公网IP连通。 以阿里云云数据库MongoDB迁移到本云DDS为例，具体设置网络白名单的操作及注意事项可以参考相关指导。在设置网络白名单之前，需要先获取DRS迁移实例的弹性公网IP，具体操作如下： 迁移实例创建成功后，可在“源库及目标库”页面获取DRS迁移实例的弹性公网IP。如图所示： 图 迁移实例公网弹性IP 以上讲述的是精细配置白名单的方法，还有一种简单设置白名单的方法，在安全允许的情况下，可以将源数据库MongoDB实例的网络白名单设置为0.0.0.0/0，代表允许任何IP地址访问该实例。 上述的网络白名单是为了进行数据迁移设置的，迁移结束后可以删除。 目标数据库安全组规则设置： 目标数据库默认与DRS迁移实例处在同一个VPC，网络是互通的，DRS可以直接写入数据到目标数据库，不需要进行任何设置。 4.其他事项准备： 由于迁移过程不会迁移MongoDB数据库的用户信息以及相关参数，需要自行将上述信息导出后手动添加到目标DDS中。