护网检查—安全套件覆盖 表7 安全套件覆盖风险项检查项目 检查项目 检查内容 主机防护状态检查 企业主机安全服务（Host Security Service，HSS）是提升主机整体安全性的服务，通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能，全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 检查主机是否已开启防护。 主机Agent状态检查 企业主机安全服务（Host Security Service，HSS）是一个用于全面保障主机整体安全的服务，能帮助您高效管理主机的安全状态，并构建服务器安全体系，降低当前服务器面临的主要安全风险。 在主机中安装Agent后，您的主机才能收到HSS的保护。 检查主机Agent是否为在线状态。 主机安全检测状态检查 企业主机安全服务（Host Security Service，HSS）将实时检测主机中的风险和异常操作，在每日凌晨将对主机执行全面扫描。执行配置检测后，您可以根据检测结果中的相关信息，修复主机中含有风险的配置项或忽略可信任的配置项。 检查主机的检测结果是否存在异常。 WAF（云模式）基础防护配置检查 Web基础防护开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在云模式下是否已开启Web基础防护。 WAF（云模式）防护策略配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在云模式下是否已开启Web基础防护并设置为拦截模式。 WAF（独享模式）基础防护配置检查 Web基础防护开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在独享模式下是否已开启Web基础防护。 WAF（独享模式）防护策略配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在独享模式下是否已开启Web基础防护并设置为拦截模式。 网站高危漏洞检查 漏洞扫描服务（Vulnerability Scan Service，简称VSS）可以帮助您快速检测出您的网站存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 检查网站中是否存在高危漏洞。 网站中危漏洞检查 漏洞扫描服务（Vulnerability Scan Service，简称VSS）可以帮助您快速检测出您的网站存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 检查网站中是否存在中危漏洞。 扫描时间检查 漏洞扫描服务（Vulnerability Scan Service，简称VSS）可以帮助您快速检测出您的网站存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 检查扫描时间是否已超过一周。 SA专业版购买检查 态势感知提供基础版、标准版和专业版三个版本，不同版本有不同功能使用范围。 专业版可以呈现全局安全态势。通过动态安全检测和威胁分析，并提供安全加固建议。 检查是否已购买SA专业版。 主机Agent版本检查 在主机中安装Agent后，您的主机将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 企业主机安全服务有基础版、企业版、旗舰版和网页防篡改版四个版本。 基础版一般只用于测试、个人用户防护主机账户安全。建议您选择企业版及以上版本。 检查所有主机Agent是否为企业版及以上版本。

护网检查—安全套件覆盖 表7 安全套件覆盖风险项检查项目 检查项目 检查内容 主机防护状态检查 企业主机安全服务（Host Security Service，HSS）是提升主机整体安全性的服务，通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能，全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 检查主机是否已开启防护。 主机Agent状态检查 企业主机安全服务（Host Security Service，HSS）是一个用于全面保障主机整体安全的服务，能帮助您高效管理主机的安全状态，并构建服务器安全体系，降低当前服务器面临的主要安全风险。 在主机中安装Agent后，您的主机才能收到HSS的保护。 检查主机Agent是否为在线状态。 主机安全检测状态检查 企业主机安全服务（Host Security Service，HSS）将实时检测主机中的风险和异常操作，在每日凌晨将对主机执行全面扫描。执行配置检测后，您可以根据检测结果中的相关信息，修复主机中含有风险的配置项或忽略可信任的配置项。 检查主机的检测结果是否存在异常。 WAF（云模式）基础防护配置检查 Web基础防护开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在云模式下是否已开启Web基础防护。 WAF（云模式）防护策略配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在云模式下是否已开启Web基础防护并设置为拦截模式。 WAF（独享模式）基础防护配置检查 Web基础防护开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在独享模式下是否已开启Web基础防护。 WAF（独享模式）防护策略配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在独享模式下是否已开启Web基础防护并设置为拦截模式。 网站高危漏洞检查 漏洞扫描服务（Vulnerability Scan Service，简称VSS）可以帮助您快速检测出您的网站存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 检查网站中是否存在高危漏洞。 网站中危漏洞检查 漏洞扫描服务（Vulnerability Scan Service，简称VSS）可以帮助您快速检测出您的网站存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 检查网站中是否存在中危漏洞。 扫描时间检查 漏洞扫描服务（Vulnerability Scan Service，简称VSS）可以帮助您快速检测出您的网站存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 检查扫描时间是否已超过一周。 SA专业版购买检查 态势感知提供基础版、标准版和专业版三个版本，不同版本有不同功能使用范围。 专业版可以呈现全局安全态势。通过动态安全检测和威胁分析，并提供安全加固建议。 检查是否已购买SA专业版。 主机Agent版本检查 在主机中安装Agent后，您的主机将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 企业主机安全服务有基础版、企业版、旗舰版和网页防篡改版四个版本。 基础版一般只用于测试、个人用户防护主机账户安全。建议您选择企业版及以上版本。 检查所有主机Agent是否为企业版及以上版本。

功能总览 功能总览 全部 态势感知 安全概览 资源管理 业务分析 综合大屏 威胁告警 漏洞管理 基线检查 检测结果 安全报告 产品集成 日志管理 态势感知 态势感知（Situation Awareness，SA）是华为云安全管理与态势分析平台。能够检测出包括DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制等类别的云上安全风险。利用大数据分析技术，态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析，为用户呈现出全局安全攻击态势。 SA提供基础版、标准版和专业版三个版本。 发布区域：全部 服务版本差异 功能特性 应用场景 OBS 2.0支持 虚拟私有云子功能二 虚拟私有云（Virtual Private Cloud，以下简称VPC），为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。 您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。 除亚太-曼谷、亚太-新加坡、拉美-圣地亚哥以外的所有区域均已发布 如何创建虚拟私有云？ VPC服务介绍【视频】 VPC服务介绍【视频】 安全概览 “安全概览”分为安全评分、安全监控、安全趋势、威胁检测共四大板块，实时呈现云上整体安全评估状况，并联动其他云安全服务，集中展示云上安全。在“安全概览”查看安全概览信息和相关一键操作，实现云上安全态势一览和风险统一管控。 发布区域：全部 安全概览 资源管理 同步当前帐号中所有资源的安全状态统计信息。支持查看资源的名称、所属服务、所属区域、安全状况等，帮助您快速定位安全风险问题并提供解决方案。 发布区域：全部 资源管理 业务分析 联动企业主机安全服务（Host Security Service，HSS）、Web应用防火墙（Web Application Firewall，WAF）和数据库安全服务（Database Security Service，DBSS）三个安全防护服务，全面展示云上资产的安全状态和存在的安全风险。 发布区域：全部 业务分析 综合大屏 利用AI技术将海量云安全数据的分析并分类，通过综合大屏将数据可视化展示，集中呈现云上实时动态，云上关键风险一目了然，掌握云上安全态势更简单，更直观，更高效。 目前，综合大屏有“综合态势感知”和“主机态势感知”两个模块。 发布区域：全部 综合态势感知 主机安全态势 威胁告警 通过利用大数据量、高准确度的威胁情报库，“实时监控”云上威胁攻击，提供告警通知和监控，记录近180天告警事件详情，分析威胁攻击情况，并针对典型威胁事件预置策略实施防御手段。 目前支持检测和呈现以下类别的威胁告警事件：DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制。 发布区域：全部 威胁告警简介 查看告警列表 威胁分析 漏洞管理 通过实时获取业界热点安全漏洞讯息，同步主机漏洞扫描和网站漏洞扫描结果，全面掌握云上资产漏洞风险状况，并提供相应漏洞修复建议。 主机漏洞：通过授权主机，并一键扫描主机漏洞，呈现主机漏洞扫描检测信息，支持查看漏洞详情，并提供相应漏洞修复建议。 网站漏洞：通过自动同步VSS漏洞扫描结果，分类呈现网站漏洞扫描详情，支持查看漏洞详情列表、不同类型漏洞分布和不同漏洞等级分布，并提供相应漏洞修复建议。 应急漏洞公告：针对业界披露的热点安全漏洞，支持每5分钟抓取一次安全漏洞讯息，获取最新应急漏洞公告详情。 发布区域：全部 主机漏洞 网站漏洞 应急漏洞公告 专业版支持 基线检查 通过执行云服务基线扫描，检查基线配置风险状态，告警提示存在安全隐患的配置，并提供基线加固建议。 云服务基线检查：通过一键扫描或设置定期扫描，分类呈现云服务配置检测结果，提示不合格检测项，并提供相应配置加固建议和帮助指导。 发布区域：华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州、西南-贵阳一。 云服务基线检查 检测结果 通过集成安全防护产品，接入安全产品检测数据，管理全部检测结果。 发布区域：全部 检测结果 安全报告 为统计全局安全攻击态势，通过开启安全报告，态势感知以邮件形式向指定的收件人发送安全报告，反映阶段性安全概况、安全风险趋势。 发布区域：全部 分析报告 产品集成 通过集成安全防护产品，接入安全产品检测数据，管理检测结果的数据来源，支持查看传输数据量，管理数据上报健康状态。 发布区域：全部 安全产品集成 专业版支持 日志管理 态势感知支持将日志存储至对象存储服务（Object Storage Service，OBS），帮助用户轻松应对安全日志存储、导出场景，满足日志存储180天及集中审计的要求。 发布区域：全部 日志管理

功能总览 功能总览 全部 态势感知 安全概览 资源管理 业务分析 综合大屏 威胁告警 漏洞管理 基线检查 检测结果 安全报告 产品集成 日志管理 态势感知 态势感知（Situation Awareness，SA）是华为云安全管理与态势分析平台。能够检测出超过20大类的云上安全风险，包括DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制等。利用大数据分析技术，态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析，为用户呈现出全局安全攻击态势。 SA提供基础版、标准版和专业版三个版本。 发布区域：全部 服务版本差异 功能特性 应用场景 OBS 2.0支持 虚拟私有云子功能二 虚拟私有云（Virtual Private Cloud，以下简称VPC），为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。 您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。 除亚太-曼谷、亚太-新加坡、拉美-圣地亚哥以外的所有区域均已发布 如何创建虚拟私有云？ VPC服务介绍【视频】 VPC服务介绍【视频】 安全概览 “安全概览”分为安全评分、安全监控、安全趋势、威胁检测共四大板块，实时呈现云上整体安全评估状况，并联动其他云安全服务，集中展示云上安全。在“安全概览”查看安全概览信息和相关一键操作，实现云上安全态势一览和风险统一管控。 发布区域：全部 安全概览 资源管理 同步当前帐号中所有资源的安全状态统计信息。支持查看资源的名称、所属服务、所属区域、安全状况等，帮助您快速定位安全风险问题并提供解决方案。 发布区域：全部 资源管理 业务分析 联动企业主机安全服务（Host Security Service，HSS）、Web应用防火墙（Web Application Firewall，WAF）和数据库安全服务（Database Security Service，DBSS）三个安全防护服务，全面展示云上资产的安全状态和存在的安全风险。 发布区域：全部 业务分析 综合大屏 利用AI技术将海量云安全数据的分析并分类，通过综合大屏将数据可视化展示，集中呈现云上实时动态，云上关键风险一目了然，掌握云上安全态势更简单，更直观，更高效。 目前，综合大屏有“综合态势感知”和“主机态势感知”两个模块。 发布区域：全部 综合态势感知 主机态势感知 威胁告警 通过利用大数据量、高准确度的威胁情报库，“实时监控”云上威胁攻击，提供告警通知和监控，记录近180天告警事件详情，分析威胁攻击情况，并针对典型威胁事件预置策略实施防御手段。 目前支持检测和呈现8大类威胁告警事件，包括DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制。 发布区域：全部 威胁告警简介 查看告警列表 威胁分析 漏洞管理 通过实时获取业界热点安全漏洞讯息，同步主机漏洞扫描和网站漏洞扫描结果，全面掌握云上资产漏洞风险状况，并提供相应漏洞修复建议。 主机漏洞：通过授权主机，并一键扫描主机漏洞，呈现主机漏洞扫描检测信息，支持查看漏洞详情，并提供相应漏洞修复建议。 网站漏洞：通过自动同步VSS漏洞扫描结果，分类呈现网站漏洞扫描详情，支持查看漏洞详情列表、不同类型漏洞分布和不同漏洞等级分布，并提供相应漏洞修复建议。 应急漏洞公告：针对业界披露的热点安全漏洞，支持每5分钟抓取一次安全漏洞讯息，获取最新应急漏洞公告详情。 发布区域：全部 主机漏洞 网站漏洞 应急漏洞公告 专业版支持 基线检查 通过执行云服务基线扫描，检查基线配置风险状态，告警提示存在安全隐患的配置，并提供基线加固建议。 云服务基线检查：通过一键扫描或设置定期扫描，分类呈现云服务配置检测结果，提示不合格检测项，并提供相应配置加固建议和帮助指导。 发布区域：华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州、西南-贵阳一。 云服务基线检查 检测结果 通过集成安全防护产品，接入安全产品检测数据，管理全部检测结果。 发布区域：全部 检测结果 安全报告 为统计全局安全攻击态势，通过开启安全报告，态势感知以邮件形式向指定的收件人发送安全报告，反映阶段性安全概况、安全风险趋势。 发布区域：全部 分析报告 产品集成 通过集成安全防护产品，接入安全产品检测数据，管理检测结果的数据来源，支持查看传输数据量，管理数据上报健康状态。 发布区域：全部 安全产品集成 专业版支持 日志管理 态势感知支持将日志存储至对象存储服务（Object Storage Service，OBS），帮助用户轻松应对安全日志存储、导出场景，满足日志存储180天及集中审计的要求。 发布区域：全部 日志管理

VSS与HSS、WAF有什么区别？ VSS支持主机和Web漏洞扫描，从攻击者的视角扫描漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。HSS是提升主机整体安全性的服务，通过安装在主机上的Agent守护主机安全，全面识别并管理主机中的信息资产。 WAF是对网站业务流量进行多维度检测和防护，降低数据被篡改、失窃的风险。 华为云提供的VSS、HSS、WAF服务，帮助您全面从网站、主机、Web应用等层面防御风险和威胁，提升系统安全指数。建议三个服务搭配使用。 表1 VSS、HSS、WAF的区别 服务名称 所属分类 防护对象 功能差异 漏洞扫描服务（VSS） 应用安全、主机安全 提升网站、主机整体安全性。 多元漏洞检测 网页内容检测 网站健康检测 基线合规检测 主机漏洞扫描 企业主机安全（HSS） 主机安全 提升主机整体安全性。 资产管理 漏洞管理 入侵检测 基线检查 网页防篡改 Web应用防火墙（WAF） 应用安全 保护Web应用程序的可用性、安全性。 Web基础防护 CC攻击防护 精准访问防护

安全上云合规检查—基础设施防护 表4 基础设施防护风险项检查项目 检查项目 检查内容 安全组入方向规则控制检查 安全组入方向规则应满足最小化访问控制原则。 一般，在非业务需要的情况下，以下情况视为未按最小化访问控制（风险由高到低）：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24。 高危端口、远程管理端口暴露检查 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，可以在安全组中设置出方向、入方向规则，这些规则会对安全组内部的云服务器出入方向网络流量进行访问控制，当云服务器加入该安全组后，即受到这些访问规则的保护。 安全组入方向规则中不应对外开放或未最小化开放高危端口、远程管理端口。 高危端口如下：20，21，135，137，138，139，445，389，593，1025 未最小化开放指的是：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24 检查安全组入方向规则中是否存在对外开放或未最小化开放高危端口、远程管理端口。 绑定EIP的ECS配置密钥对登录检查 当存在ECS对外暴露EIP的情况下，为安全起见，弹性云服务器登录时应使用密钥方式进行身份验证。 日志指标过滤和告警事件（VPC更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因VPC更改而产生的日志和告警事件。 日志指标过滤和告警事件（网络网关更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因网络网关更改而产生的日志和告警事件。 日志指标过滤和告警事件（安全组更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因安全组更改而产生的日志和告警事件。 日志指标过滤和告警事件（子网更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因子网更改而产生的日志和告警事件。 日志指标过滤和告警事件（VPN更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因VPN更改而产生的日志和告警事件。 ELB实例（共享型）启用访问控制检查 共享型负载均衡器用户可以通过添加白名单和黑名单的方式控制访问负载均衡监听器的IP。通过白名单能够设置允许特定IP访问，而其它IP不许访问。通过黑名单能够设置允许特定的IP不能访问，而其它IP允许访问。 检查弹性负载均衡（Elastic Load Balance，ELB）实例，是否开启访问控制策略。 网络ACL规则配置检查 网络ACL是对子网的访问控制策略系统，根据与子网关联的入站/出站规则，判断数据包是否被允许流入/流出关联子网。同一个VPC内的子网间设置网络ACL，可以增加额外的安全防护层，实现更精细、更复杂的安全访问控制。 检查是否配置网络ACL规则。 用于VPC对等连接路由表检查 对等连接是指两个VPC之间的网络连接，因此用于对等连接的路由表应满足最小访问权限。 本端路由的目的地址最好限定在最小子网网段内，对端路由的目的地址最好限定在最小子网网段内。 检查用于对等连接的路由表是否满足最小访问权限。 VPC规划检查 如果在当前区域下有多套业务部署，且希望不同业务之间进行网络隔离时，则可为每个业务在当前区域建立相应的VPC。 两个VPC之间可以采用对等连接进行互连。 VPC具有区域属性，默认情况下，不同区域的VPC之间内网不互通，同区域的不同VPC内网不互通，同一个VPC下的不同可用区之间内网互通。 检查VPC规范是否合理。 态势感知启用检查 态势感知（Situation Awareness，SA）是华为云安全管理与态势分析平台，能够检测出超过20大类的云上安全风险，利用大数据分析技术，为用户呈现出全局安全攻击态势。 检查是否已启用SA。 WAF启用（云模式/独享模式/ELB模式）检查 启用Web应用防火墙（Web Application Firewall， WAF）服务后，网站所有的公网流量都会先经过Web应用防火墙，恶意攻击流量在Web应用防火墙上被检测过滤，而正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。 检查是否已启用WAF。 WAF回源配置检查（未配置ELB） 使用Web应用防火墙（Web Application Firewall， WAF）服务后，需配置源站服务器只允许来自WAF的访问请求访问源站，既可保障访问不受影响，又能防止源站IP暴露。 未使用弹性负载均衡（Elastic Load Balance，ELB）情况下，检查在ECS关联的安全组源地址中，是否添加WAF回源IP。 WAF防护策略配置（地理位置访问控制）检查 WAF的防护策略应配置地理位置访问控制，可针对指定国家、地区的来源IP自定义访问控制。配置后，可以进一步减小业务网站的攻击面（检测版和专业版暂不支持该功能）。 Web基础防护配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查是否已开启Web基础防护并设置为拦截模式。 VSS启用检查 漏洞扫描服务（Vulnerability Scan Service）是针对网站进行漏洞扫描的一种安全检测服务，可以帮助快速检测出网站存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 检查是否已启用VSS服务。 Anti-DDoS流量清洗启用检查 DDoS原生基础防护（Anti-DDoS流量清洗）服务为华为云内公网IP资源，提供网络层和应用层的DDoS攻击防护，并提供攻击拦截实时告警，有效提升用户带宽利用率，保障业务稳定可靠。 检查是否已启用Anti-DDoS流量清洗服务。 DDoS高防启用检查 DDoS高防（Advanced Anti-DDoS，AAD）是企业重要业务连续性的有力保障。DDoS高防通过高防IP代理源站IP对外提供服务，将恶意攻击流量引流到高防IP清洗，确保重要业务不被攻击中断。 检查是否已启用DDoS高防。 云堡垒机启用检查 云堡垒机（Cloud Bastion Host，CBH）是华为云的一款4A统一安全管控平台，为企业提供集中的帐号、授权、认证和审计管理服务。启用后，可实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计，不仅能保障系统运行安全，且满足相关合规性规范。 检查是否已启用云堡垒机服务。 主机安全防护启用检查 企业主机安全服务（Host Security Service，HSS）是提升主机整体安全性的服务。可以全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 主机实例应安装HSS且开启防护，版本要求至少为企业版（旗舰版、网页防篡改版更优）。 检查主机是否开启主机安全防护。 HSS网页防篡改启用与防护目录配置检查 网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 有网站或者关键系统防篡改需求，以及有应用安全防护需求的主机，应开启HSS中的网络防篡改防护并配置好防护目录。 检查主机是否开启网络防篡改防护且已配置好防护目录。 主机紧急修复漏洞检查 企业主机安全服务（Host Security Service，HSS）提供漏洞管理功能，检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞。 检查HSS中是否存在紧急修复漏洞。 CDN访问控制配置检查 当客户CDN需要对访问者身份进行识别和过滤，限制部分用户访问，提高CDN的安全性，应配置防盗链与IP黑名单。 检查CDN是否配置访问控制规则。

安全上云合规检查—基础设施防护 表4 基础设施防护风险项检查项目 检查项目 检查内容 安全组入方向规则控制检查 安全组入方向规则应满足最小化访问控制原则。 一般，在非业务需要的情况下，以下情况视为未按最小化访问控制（风险由高到低）：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24。 高危端口、远程管理端口暴露检查 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，可以在安全组中设置出方向、入方向规则，这些规则会对安全组内部的云服务器出入方向网络流量进行访问控制，当云服务器加入该安全组后，即受到这些访问规则的保护。 安全组入方向规则中不应对外开放或未最小化开放高危端口、远程管理端口。 高危端口如下：20，21，135，137，138，139，445，389，593，1025 未最小化开放指的是：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24 检查安全组入方向规则中是否存在对外开放或未最小化开放高危端口、远程管理端口。 绑定EIP的ECS配置密钥对登录检查 当存在ECS对外暴露EIP的情况下，为安全起见，弹性云服务器登录时应使用密钥方式进行身份验证。 日志指标过滤和告警事件（VPC更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因VPC更改而产生的日志和告警事件。 日志指标过滤和告警事件（网络网关更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因网络网关更改而产生的日志和告警事件。 日志指标过滤和告警事件（安全组更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因安全组更改而产生的日志和告警事件。 日志指标过滤和告警事件（子网更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因子网更改而产生的日志和告警事件。 日志指标过滤和告警事件（VPN更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因VPN更改而产生的日志和告警事件。 ELB实例（共享型）启用访问控制检查 共享型负载均衡器用户可以通过添加白名单和黑名单的方式控制访问负载均衡监听器的IP。通过白名单能够设置允许特定IP访问，而其它IP不许访问。通过黑名单能够设置允许特定的IP不能访问，而其它IP允许访问。 检查弹性负载均衡（Elastic Load Balance，ELB）实例，是否开启访问控制策略。 网络ACL规则配置检查 网络ACL是对子网的访问控制策略系统，根据与子网关联的入站/出站规则，判断数据包是否被允许流入/流出关联子网。同一个VPC内的子网间设置网络ACL，可以增加额外的安全防护层，实现更精细、更复杂的安全访问控制。 检查是否配置网络ACL规则。 用于VPC对等连接路由表检查 对等连接是指两个VPC之间的网络连接，因此用于对等连接的路由表应满足最小访问权限。 本端路由的目的地址最好限定在最小子网网段内，对端路由的目的地址最好限定在最小子网网段内。 检查用于对等连接的路由表是否满足最小访问权限。 VPC规划检查 如果在当前区域下有多套业务部署，且希望不同业务之间进行网络隔离时，则可为每个业务在当前区域建立相应的VPC。 两个VPC之间可以采用对等连接进行互连。 VPC具有区域属性，默认情况下，不同区域的VPC之间内网不互通，同区域的不同VPC内网不互通，同一个VPC下的不同可用区之间内网互通。 检查VPC规范是否合理。 态势感知启用检查 态势感知（Situation Awareness，SA）是华为云安全管理与态势分析平台，能够检测出云上安全风险，利用大数据分析技术，为用户呈现出全局安全攻击态势。 检查是否已启用SA。 WAF启用（云模式/独享模式/ELB模式）检查 启用Web应用防火墙（Web Application Firewall， WAF）服务后，网站所有的公网流量都会先经过Web应用防火墙，恶意攻击流量在Web应用防火墙上被检测过滤，而正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。 检查是否已启用WAF。 WAF回源配置检查（未配置ELB） 使用Web应用防火墙（Web Application Firewall， WAF）服务后，需配置源站服务器只允许来自WAF的访问请求访问源站，既可保障访问不受影响，又能防止源站IP暴露。 未使用弹性负载均衡（Elastic Load Balance，ELB）情况下，检查在ECS关联的安全组源地址中，是否添加WAF回源IP。 WAF防护策略配置（地理位置访问控制）检查 WAF的防护策略应配置地理位置访问控制，可针对指定国家、地区的来源IP自定义访问控制。配置后，可以进一步减小业务网站的攻击面（检测版和专业版暂不支持该功能）。 Web基础防护配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查是否已开启Web基础防护并设置为拦截模式。 VSS启用检查 漏洞扫描服务（Vulnerability Scan Service）是针对网站进行漏洞扫描的一种安全检测服务，可以帮助快速检测出网站存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 检查是否已启用VSS服务。 Anti-DDoS流量清洗启用检查 DDoS原生基础防护（Anti-DDoS流量清洗）服务为华为云内公网IP资源，提供网络层和应用层的DDoS攻击防护，并提供攻击拦截实时告警，有效提升用户带宽利用率，保障业务稳定可靠。 检查是否已启用Anti-DDoS流量清洗服务。 DDoS高防启用检查 DDoS高防（Advanced Anti-DDoS，AAD）是企业重要业务连续性的有力保障。DDoS高防通过高防IP代理源站IP对外提供服务，将恶意攻击流量引流到高防IP清洗，确保重要业务不被攻击中断。 检查是否已启用DDoS高防。 云堡垒机启用检查 云堡垒机（Cloud Bastion Host，CBH）是华为云的一款4A统一安全管控平台，为企业提供集中的帐号、授权、认证和审计管理服务。启用后，可实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计，不仅能保障系统运行安全，且满足相关合规性规范。 检查是否已启用云堡垒机服务。 主机安全防护启用检查 企业主机安全服务（Host Security Service，HSS）是提升主机整体安全性的服务。可以全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 主机实例应安装HSS且开启防护，版本要求至少为企业版（旗舰版、网页防篡改版更优）。 检查主机是否开启主机安全防护。 HSS网页防篡改启用与防护目录配置检查 网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 有网站或者关键系统防篡改需求，以及有应用安全防护需求的主机，应开启HSS中的网络防篡改防护并配置好防护目录。 检查主机是否开启网络防篡改防护且已配置好防护目录。 主机紧急修复漏洞检查 企业主机安全服务（Host Security Service，HSS）提供漏洞管理功能，检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞。 检查HSS中是否存在紧急修复漏洞。 CDN访问控制配置检查 当客户CDN需要对访问者身份进行识别和过滤，限制部分用户访问，提高CDN的安全性，应配置防盗链与IP黑名单。 检查CDN是否配置访问控制规则。

产品概述 华为乾坤面向等保2.0推出的等保合规解决方案采用云边一体创新架构，打造简单高效、安全可靠的云化安全解决方案。如图1所示，等保合规解决方案由部署在华为公有云上的云服务和部署在客户网络边界的天关/防火墙构成。 图1 产品架构图 表1 主要服务/模块介绍 部署位置 设备/模块名称 功能介绍 云端 边界防护与响应服务 边界防护与响应服务包括智能分析和处置、安全专家服务两大核心能力，其采用智能大数据分析技术对安全日志进行智能分析和处置，同时安全专家深入分析威胁并结合自身经验准确识别复杂威胁并快速响应。 漏洞扫描服务 漏洞扫描服务是一种针对客户内部资产提供的在线漏洞检测服务。该服务从风险管理角度出发，基于AI算法，结合资产的漏洞扫描结果、资产面临的威胁事件、威胁信息等，整体评估出风险值，帮助客户全面了解资产存在的风险。 云日志审计服务 云日志审计服务是一站式日志数据云端统一管理平台，主要致力于提供事后溯源取证的安全能力。通过对日志数据的全面解析、管理，对各种安全威胁和异常行为事件进行溯源取证，为管理人员提供全局的视角，确保客户业务的不间断运营安全。 企业边界 天关/防火墙 天关/防火墙与云端协同工作，其功能如下： 作为安全防御节点，既对进出流量进行反病毒、IPS等深度安全检测，为租户本地网络提供边界防护，同时向边界防护与响应服务提供日志，并执行边界防护与响应服务下发的防护策略。 作为漏洞扫描服务与企业内部网络的通信桥梁。在执行漏洞扫描任务前，云端会在云端服务和天关/防火墙之间建立VPN隧道，以便云端服务能扫描到企业内部资产。 作为云日志审计服务与企业内部网络的通信桥梁，用户资产的日志数据通过其上传到云端。

服务功能区别 SA通过采集全网安全数据（包括HSS、WAF、AntiDDoS等安全服务检测数据），使用大数据AI、机器学习等分析技术，从资产安全、威胁告警、漏洞管理、基线检查维度，分类呈现资产安全状况。同时可从安全概览、综合大屏集中可视化安全数据，生动呈现风险态势。 HSS通过在主机中安装Agent，使用AI、机器学习和深度算法等技术分析主机中风险，并从HSS云端防护中心下发检测和防护任务，全方位保障主机安全。同时可从可视化控制台，管理主机Agent上报的安全信息。 表1 SA与HSS主要功能区别 功能项 态势感知（SA） 企业主机安全（HSS） 资产安全 主机资产 支持同步主机资产风险信息，列表呈现各主机资产的整体安全状况。 网站资产 支持检查和扫描网站安全状态，列表呈现各网站资产的整体安全状况。 主机资产 支持深度扫描主机中的帐号、端口、进程、Web目录、软件信息和自启动任务。 威胁告警 告警事件 支持检测和呈现8大类告警事件，共200+种子告警类型。支持上报告警通知。 告警事件 支持识别并阻止13大类入侵主机的行为，并支持上报告警通知。 漏洞管理 应急漏洞公告 支持同步华为云安全公告信息，及时获取热点安全讯息。 主机漏洞 支持同步HSS主机漏洞扫描结果，管理主机漏洞。 网站漏洞 支持同步VSS网站漏洞扫描结果，管理网站漏洞。 主机漏洞 支持检测和管理检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞。 基线检查 云服务基线 支持“安全上云合规检查1.0”、“等保2.0三级要求”、“护网检查”三大风险类别检查。 主机基线 支持扫描主机系统和关键软件含有风险的配置。

服务功能区别 SA通过采集全网安全数据（包括HSS、WAF、AntiDDoS等安全服务检测数据），使用大数据AI、机器学习等分析技术，从资产安全、威胁告警、漏洞管理、基线检查维度，分类呈现资产安全状况。同时可从安全概览、综合大屏集中可视化安全数据，生动呈现风险态势。 HSS通过在主机中安装Agent，使用AI、机器学习和深度算法等技术分析主机中风险，并从HSS云端防护中心下发检测和防护任务，全方位保障主机安全。同时可从可视化控制台，管理主机Agent上报的安全信息。 表1 SA与HSS主要功能区别 功能项 态势感知（SA） 企业主机安全（HSS） 资产安全 主机资产 支持同步主机资产风险信息，列表呈现各主机资产的整体安全状况。 网站资产 支持检查和扫描网站安全状态，列表呈现各网站资产的整体安全状况。 主机资产 支持深度扫描主机中的帐号、端口、进程、Web目录、软件信息和自启动任务。 威胁告警 告警事件 支持检测和呈现8大类告警事件，共200+种子告警类型。支持上报告警通知。 告警事件 支持识别并阻止13大类入侵主机的行为，并支持上报告警通知。 漏洞管理 应急漏洞公告 支持同步华为云安全公告信息，及时获取热点安全讯息。 主机漏洞 支持同步HSS主机漏洞扫描结果，管理主机漏洞。 网站漏洞 支持同步VSS网站漏洞扫描结果，管理网站漏洞。 主机漏洞 支持检测和管理检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞。 基线检查 云服务基线 支持“安全上云合规检查1.0”、“等保2.0三级要求”、“护网检查”三大风险类别检查。 主机基线 支持扫描主机系统和关键软件含有风险的配置。

态势感知与其他安全服务之间的关系与区别？ 华为云提供多种安全防护和管理服务，其中态势感知（Situation Awareness，SA）是可视化威胁检测和分析的安全管理平台，通过从Anti-DDoS流量清洗（Anti-DDoS）、DDoS高防（Advanced Anti-DDoS，AAD）、企业主机安全（Host Security Service，HSS）、漏洞扫描服务（Vulnerability Scan Service，VSS）、Web应用防火墙（Web Application Firewall，WAF）、数据库安全服务（Database Security Service，DBSS）等安全防护服务中获取必要的安全事件记录，进行大数据挖掘和机器学习，智能AI分析并识别出攻击和入侵，帮助用户了解攻击和入侵过程，并提供相关的防护措施建议。 态势感知作为安全管理服务，依赖于安全防护服务提供威胁检测数据，进行安全威胁风险分析，呈现全局安全威胁态势，并提供防护建议，但是态势感知不实施具体安全防护动作，需与其他安全服务搭配使用。 SA与其他安全防护服务区别，详细内容如表1。 表1 SA与其他服务的区别 服务名称 服务类别 关联与区别 防护对象 功能差异 态势感知（SA） 安全管理 SA着重呈现全局安全威胁攻击态势，统筹分析多服务威胁数据和云上安全威胁，并提供防护建议。 呈现全局安全威胁攻击态势。 SA功能介绍 Anti-DDoS流量清洗（Anti-DDoS） 网络安全 Anti-DDoS集中于异常DDoS攻击流量的检测和防御，相关攻击日志、防护等数据同步给SA。 保障企业业务稳定性。 Anti-DDoS功能特性 DDoS高防（AAD） 网络安全 AAD将公网流量引流至高防IP，聚焦于大流量的DDoS攻击的检测和防御，相关攻击日志、防护等数据同步给SA。 保障企业重要业务连续性。 AAD产品介绍 企业主机安全（HSS） 主机安全 HSS着手于保障主机整体安全性，检测主机安全风险，执行防护策略，相关告警、防护等数据同步给SA。 保障主机整体安全性。 HSS功能特性 漏洞扫描服务（VSS） 应用安全 VSS通过启动扫描Web类、应用类安全漏洞，发现网站或服务器的风险，并修复漏洞。相关历史漏洞和修复记录同步给SA。 保障网站整体安全性。 VSS功能特性 Web应用防火墙（WAF） 应用安全 WAF服务对网站业务流量进行多维度检测和防护，防御常见攻击，阻断攻击进一步威胁。相关入侵日志、告警数据等同步给SA，呈现全网Web风险态势。 保障Web应用程序的可用性、安全性。 WAF功能特性 数据库安全服务（DBSS） 数据安全 DBSS着力于数据库访问行为的防护和审计，相关审计日志、告警数据等同步给SA。 保障云上数据库安全和资产安全。 DBSS产品介绍

企业版 企业版管理检测与响应结合您实际业务场景，通过云服务方式，提供华为云安全标准化的运维运营服务。企业版服务详细内容请参见表1。 表1 企业版服务说明 服务内容 响应时间 交付件 网站安全体检：远程提供安全监测服务支持HTTP/HTTPS协议进行实时安全监测；支持网页木马、恶意篡改、坏链、对外开放服务、可用性、审计、脆弱性这七个维度对网站进行监测；支持WEB安全漏洞扫描及域名劫持进行实时安全监测； 定期推送网站安全体检报告。 8小时内响应 服务后5个工作日内提交测试报告 提供专业的《监控季度总结报告》和《年度总结报》。 主机安全体检：通过日志分析、漏洞扫描等技术手段对主机进行威胁识别；通过基线检查发现主机操作系统、中间件存在的错误配置、不符合项和弱口令等风险。 8小时内响应 5个工作日内评估主机安全 提供专业的《主机安全评估报告》。 安全加固：对主机服务器、中间件进行漏洞扫描、基线配置加固；分析操作系统及应用面临的安全威胁，分析操作系统补丁和应用系统组件版本；提供相应的整改方案，并在您的许可下完成相关漏洞的修复和补丁组件的加固工作。 8小时内响应 单次服务10-20个系统后10个工作日内提交测试报告。 提供专业的《安全加固交付报告》。 安全监测：通过远程查找及处置主机系统内的恶意程序，包括病毒、木马、蠕虫等；通过远程查找及处置Web系统内的可疑文件，包括Webshell、黑客工具和暗链等；提出业务快速恢复建议，协助您快速恢复业务。 工作日内8小时响应。 5个工作日内评估项目总体人工天与预计周期。 提供专业的《安全监测报告》。 应急响应：业务系统出现安全问题的情况下，提供24小时安全应急响应服务，由安全团队协助处理中毒、中木马等应急事宜，每次处理完成后华为侧提供应急响应报告，分析问题根因，并提供改进建议。 工作日1小时内响应，非工作日内4小时响应。 单次服务10台设备以内后3个工作日内以提交报告时间为准。 提供专业的《应急响应报告》。 安全配置服务：根据客户业务需求，如主机IP、主机系统版本、域名、流量、加密、数据库防护等级等信息。输出安全解决方案并制订安全防护体系包括安全服务规格、数量、策略。 工作日1小时内响应，非工作日内4小时响应。 提供专业的《安全配置方案》。 安全防护服务开通与部署：安全服务交付，如主机安全、WAF、DDoS高防、堡垒机、漏洞扫描等服务的部署。云安全设置，提供云安全设置服务，包括安全组、防火墙策略等的设置操作 工作日1小时内响应，非工作日内4小时响应。 提供专业的《安全服务交付报告》。 定期策略更新与维护：从主机安全、应用安全、网络安全、数据安全、安全管理等方面定期完成漏洞检测、基线扫描、策略优化、巡检监控等操作，并输出整改方案报告 工作日8小时内响应。 7个工作日内评估项目总体人工天与预计周期。 提供专业的《安全运维服务周期性报告》。 安全漏洞预警：根据最新的安全漏洞、病毒木马、黑客技术和安全动态信息，结合客户实际的操作系统、中间件、应用和网络情况等，定期将相关安全信息如安全漏洞、病毒木马资讯、安全隐患/入侵预警和安全事件动态等内容，以电子邮件方式进行通报，并提出合理建议和解决方案等。 固定发送安全资讯周报 工作日1小时内响应，非工作日内4小时响应。 不定时发送漏洞预警 提供专业的《安全周报和漏洞预警》。 主动安全预警：主机存在被入侵并对外攻击问题，主动邮件或电话知会客户排查；针对主动发现的影响客户使用的安全问题，进行主动通知工作 工作日1小时内响应，非工作日内4小时响应。 提供专业的《配置核查报告》、《安全策略优化报告》、《弱口令检查报告》。 安全设备维护：对各类安全设备开展基础维护，包括设备配置定期备份、设备特征库升级、设备版本升级、设备切换、设备配置调整等。 每周固定发送安全巡检周报，不定时发送设备维护报告 提供专业的《安全设备维护报告》。 漏洞管理：通过华为云主机安全、漏洞扫描等安全服务，对实现云上业务系统的web应用、操作系统、中间件等漏洞的统一管理 工作日1小时内响应，非工作日内4小时响应。 单次服务结束后3个工作日内以提交报告时间为准。 提供专业《漏洞扫描报告》。

版本功能差异 不同版本支持功能差别，标识符号说明如下： ×：代表不支持该功能。 √：代表支持该功能。 √+：代表支持该功能，但需额外购买功能或服务。 表1 不同版本功能差异 服务功能 功能模块 功能概述 基础版 标准版 专业版 安全概览 安全评分 集中呈现资产安全风险评分和风险等级分布，同时展示当前风险防御能力。 √ √ √ 安全监控 实时呈现展示待处理威胁告警、待修复漏洞、基线异常问题的安全监控统计数据。 √ √ √ 安全趋势 展示近7天内您的整体资产安全健康得分的趋势。 √ √ √ 威胁检测 集中呈现最近7天检测到的告警数量及类型。 √ √ √ 资源管理 资源安全状况 同步资源信息，集中呈现资源整体安全状况。 × √ √ 业务分析 专项分析 关联HSS、WAF、DBSS安全防护服务，全面展示主机、应用、数据库的安全状态和存在的安全风险。 √+ √+ √+ 威胁告警 告警列表 集中呈现威胁告警事件统计信息，导出告警事件。 √ √ √ 通过将告警忽略、标记为线下处理，标识告警事件。 × √ √ 威胁分析 根据“攻击源”的IP查询被攻击的资产信息，亦可根据“被攻击的资产”的IP查询威胁攻击来源信息。 × √ √ 告警监控 通过设置监控的威胁名单，以及设置关注的告警条件，自定义呈现关注的威胁告警。 × × √ 通知告警 通过自定义威胁告警通知，及时了解威胁风险。 × √ √ 漏洞管理 应急漏洞公告 集中呈现业界披露的热点安全漏洞，全面掌握资产漏洞风险。 √ √ √ 主机漏洞 集中呈现主机漏洞扫描结果信息，并提供相应修复建议。 × √ √ 网站漏洞 集中呈现网站漏洞扫描结果信息，并提供相应修复建议。 × × √ 基线检查 云服务基线 通过一键扫描云服务基线，分类呈现云服务配置项检测结果信息。 × √ √ 通过一键扫描云服务基线，分类呈现云服务配置项检测结果信息。支持查看检测结果详情，并提供相应修复建议。 × × √ 检测结果 全部结果 集中呈现安全产品的检测结果，可导出结果、标识结果等。 √ √ √ 安全报告 分析报告 默认自动创建一个周报和月报，仅可生成两期报告。 × × √ 通过创建报告，定向发送报告内容。可管理历史报告和报告列表。 × × √ 产品集成 安全产品集成 通过集成安全产品，接入安全产品检测结果，管理检测结果的数据来源。 √ √ √ 日志管理 日志管理 通过授权OBS存储SA日志，满足日志审计和容灾需求。 × × √

企业版 企业版管理检测与响应结合您实际业务场景，通过云服务方式，为您提供华为云安全标准化的运维运营服务。企业版服务详细内容请参见表 企业版服务说明。 表1 企业版服务说明 服务内容 响应时间 交付件 网站安全体检：远程提供安全监测服务支持HTTP/HTTPS协议进行实时安全监测；支持网页木马、恶意篡改、坏链、对外开放服务、可用性、审计、脆弱性这七个维度对网站进行监测；支持WEB安全漏洞扫描及域名劫持进行实时安全监测； 定期推送网站安全体检报告。 8小时内响应 服务后5个工作日内提交测试报告 提供专业的《监控季度总结报告》和《年度总结报》。 主机安全体检：通过日志分析、漏洞扫描等技术手段对主机进行威胁识别；通过基线检查发现主机操作系统、中间件存在的错误配置、不符合项和弱口令等风险。 8小时内响应 5个工作日内评估主机安全 提供专业的《主机安全评估报告》。 安全加固：对主机服务器、中间件进行漏洞扫描、基线配置加固；分析操作系统及应用面临的安全威胁，分析操作系统补丁和应用系统组件版本；提供相应的整改方案，并在您的许可下完成相关漏洞的修复和补丁组件的加固工作。 8小时内响应 单次服务10-20个系统后10个工作日内提交测试报告。 提供专业的《安全加固交付报告》。 安全监测：通过远程查找及处置主机系统内的恶意程序，包括病毒、木马、蠕虫等；通过远程查找及处置Web系统内的可疑文件，包括Webshell、黑客工具和暗链等；提出业务快速恢复建议，协助您快速恢复业务。 工作日内8小时响应。 5个工作日内评估项目总体人工天与预计周期。 提供专业的《安全监测报告》。 应急响应：业务系统出现安全问题的情况下，提供24小时安全应急响应服务，由安全团队协助处理中毒、中木马等应急事宜，每次处理完成后华为侧提供应急响应报告，分析问题根因，并提供改进建议。 工作日1小时内响应，非工作日内4小时响应。 单次服务10台设备以内后3个工作日内以提交报告时间为准。 提供专业的《应急响应报告》。 安全配置服务：根据客户业务需求，如主机IP、主机系统版本、域名、流量、加密、数据库防护等级等信息。输出安全解决方案并制订安全防护体系包括安全服务规格、数量、策略。 工作日1小时内响应，非工作日内4小时响应。 提供专业的《安全配置方案》。 安全防护服务开通与部署：安全服务交付，如主机安全、WAF、DDoS高防、堡垒机、漏洞扫描等服务的部署。云安全设置，提供云安全设置服务，包括安全组、防火墙策略等的设置操作 工作日1小时内响应，非工作日内4小时响应。 提供专业的《安全服务交付报告》。 定期策略更新与维护：从主机安全、应用安全、网络安全、数据安全、安全管理等方面定期完成漏洞检测、基线扫描、策略优化、巡检监控等操作，并输出整改方案报告。 工作日8小时内响应。 7个工作日内评估项目总体人工天与预计周期。 提供专业的《安全运维服务周期性报告》。 安全漏洞预警：根据最新的安全漏洞、病毒木马、黑客技术和安全动态信息，结合客户实际的操作系统、中间件、应用和网络情况等，定期将相关安全信息如安全漏洞、病毒木马资讯、安全隐患/入侵预警和安全事件动态等内容，以电子邮件方式进行通报，并提出合理建议和解决方案等。 固定发送安全资讯周报 工作日1小时内响应，非工作日内4小时响应。 不定时发送漏洞预警 提供专业的《安全周报和漏洞预警》。 主动安全预警：主机存在被入侵并对外攻击问题，主动邮件或电话知会客户排查；针对主动发现的影响客户使用的安全问题，进行主动通知工作。 工作日1小时内响应，非工作日内4小时响应。 提供专业的《配置核查报告》、《安全策略优化报告》、《弱口令检查报告》。 安全设备维护：对各类安全设备开展基础维护，包括设备配置定期备份、设备特征库升级、设备版本升级、设备切换、设备配置调整等。 每周固定发送安全巡检周报，不定时发送设备维护报告 提供专业的《安全设备维护报告》。 漏洞管理：通过华为云主机安全、漏洞扫描等安全服务，对实现云上业务系统的web应用、操作系统、中间件等漏洞的统一管理。 工作日1小时内响应，非工作日内4小时响应。 单次服务结束后3个工作日内以提交报告时间为准。 提供专业《漏洞扫描报告》。

名词解释 认证测试中心 CTC：是结合华为30年安全经验积累，并结合企业与机构的安全合规与防护需求，帮助企业与机构满足国家及行业法律法规要求，同时实现对安全风险与安全事件的有效监控，并及时采取有效措施持续降低安全风险，消除安全事件带来的损失。 云防火墙服务 CFW：是新一代的云原生防火墙，提供云上互联网边界和VPC边界的防护，包括：实时入侵检测与防御，全局统一访问控制，全流量分析可视化，日志审计与溯源分析等，同时支持按需弹性扩容，是用户业务上云的网络安全防护基础服务。 企业主机安全 HSS：是服务器贴身安全管家，通过资产管理、漏洞管理、基线检查、入侵检测、程序运行认证、文件完整性校验，安全运营、网页防篡改等功能，帮助企业更方便地管理主机安全风险，实时发现黑客入侵行为，以及满足等保合规要求。 Web应用防火墙 WAF：对网站业务流量进行多维度检测和防护，结合深度机器学习智能识别恶意请求特征和防御未知威胁，全面避免网站被黑客恶意攻击和入侵。 SSL证书 SCM：是华为联合全球知名数字证书服务机构，为您提供一站式证书的全生命周期管理服务，实现网站的可信身份认证与安全数据传输。 态势感知 SA：为用户提供统一的威胁检测和风险处置平台。帮助用户检测云上资产遭受到的各种典型安全风险，还原攻击历史，感知攻击现状，预测攻击态势，为用户提供强大的事前、事中、事后安全管理能力。 威胁检测服务 MTD：威胁检测服务持续发现恶意活动和未经授权的行为，从而保护账户和工作负载。该服务通过集成AI智能引擎、威胁黑白名单、规则基线等检测模型，识别各类云服务日志中的潜在威胁并输出分析结果，从而提升用户告警、事件检测准确性，提升运维运营效率，同时满足等保合规。 漏洞扫描服务 VSS：集Web漏洞扫描、操作系统漏洞扫描、资产及内容合规检测、安全配置基线检查、弱密码检测、开源合规及漏洞检查、移动应用安全检查七大核心功能为一体，自动发现网站或服务器在网络中的安全风险，为云上业务提供多维度的安全检测服务，满足合规要求，让安全弱点无所遁形。

版本功能差异 不同版本支持功能差别，标识符号说明如下： ×：代表不支持该功能。 √：代表支持该功能。 √+：代表支持该功能，但需额外购买功能或服务。 表1 不同版本功能差异 服务功能 功能模块 功能概述 基础版 标准版 专业版 安全概览 安全评分 集中呈现资产安全风险评分和风险等级分布，同时展示当前风险防御能力。 √ √ √ 安全监控 实时呈现展示待处理威胁告警、待修复漏洞、基线异常问题的安全监控统计数据。 √ √ √ 安全趋势 展示近7天内您的整体资产安全健康得分的趋势。 √ √ √ 威胁检测 集中呈现最近7天检测到的告警数量及类型。 √ √ √ 资源管理 资源安全状况 同步资源信息，集中呈现资源整体安全状况。 × √ √ 业务分析 专项分析 关联HSS、WAF、DBSS安全防护服务，全面展示主机、应用、数据库的安全状态和存在的安全风险。 √+ √+ √+ 综合大屏 综合态势感知 大屏集中展示云上资产综合安全态势，动态呈现资产风险状况。 × × √+ 主机安全态势 大屏集中呈现华为云主机安全态势，动态呈现主机安全状况。 × × √+ 威胁告警 告警列表 集中呈现威胁告警事件统计信息，导出告警事件。 √ √ √ 通过将告警忽略、标记为线下处理，标识告警事件。 × √ √ 威胁分析 根据“攻击源”的IP查询被攻击的资产信息，亦可根据“被攻击的资产”的IP查询威胁攻击来源信息。 × √ √ 告警监控 通过设置监控的威胁名单，以及设置关注的告警条件，自定义呈现关注的威胁告警。 × × √ 通知告警 通过自定义威胁告警通知，及时了解威胁风险。 × √ √ 漏洞管理 应急漏洞公告 集中呈现业界披露的热点安全漏洞，全面掌握资产漏洞风险。 √ √ √ 主机漏洞 集中呈现主机漏洞扫描结果信息，并提供相应修复建议。 × √ √ 网站漏洞 集中呈现网站漏洞扫描结果信息，并提供相应修复建议。 × × √ 基线检查 云服务基线 通过一键扫描云服务基线，分类呈现云服务配置项检测结果信息。 × √ √ 通过一键扫描云服务基线，分类呈现云服务配置项检测结果信息。支持查看检测结果详情，并提供相应修复建议。 × × √ 检测结果 全部结果 集中呈现安全产品的检测结果，可导出结果、标识结果等。 √ √ √ 安全报告 分析报告 默认自动创建一个周报和月报，仅可生成两期报告。 × × √ 通过创建报告，定向发送报告内容。可管理历史报告和报告列表。 × × √ 产品集成 安全产品集成 通过集成安全产品，接入安全产品检测结果，管理检测结果的数据来源。 √ √ √ 日志管理 日志管理 通过授权OBS存储SA日志，满足日志审计和容灾需求。 × × √

名词解释 基本概念、云服务简介、专有名词解释： 认证测试中心CTC：是结合华为30年安全经验积累，并结合企业与机构的安全合规与防护需求，帮助企业与机构满足国家及行业法律法规要求，同时实现对安全风险与安全事件的有效监控，并及时采取有效措施持续降低安全风险，消除安全事件带来的损失。 云防火墙服务CFW：是新一代的云原生防火墙，提供云上互联网边界和VPC边界的防护，包括：实时入侵检测与防御，全局统一访问控制，全流量分析可视化，日志审计与溯源分析等，同时支持按需弹性扩容，是用户业务上云的网络安全防护基础服务。 企业主机安全HSS：是服务器贴身安全管家，通过资产管理、漏洞管理、基线检查、入侵检测、程序运行认证、文件完整性校验，安全运营、网页防篡改等功能，帮助企业更方便地管理主机安全风险，实时发现黑客入侵行为，以及满足等保合规要求。 Web应用防火墙WAF：对网站业务流量进行多维度检测和防护，结合深度机器学习智能识别恶意请求特征和防御未知威胁，全面避免网站被黑客恶意攻击和入侵。 云证书管理服务CCM：是华为联合全球知名数字证书服务机构，为您提供一站式证书的全生命周期管理服务，实现网站的可信身份认证与安全数据传输。 态势感知SA：为用户提供统一的威胁检测和风险处置平台。帮助用户检测云上资产遭受到的各种典型安全风险，还原攻击历史，感知攻击现状，预测攻击态势，为用户提供强大的事前、事中、事后安全管理能力。 威胁检测服务MTD：威胁检测服务持续发现恶意活动和未经授权的行为，从而保护账户和工作负载。该服务通过集成AI智能引擎、威胁黑白名单、规则基线等检测模型，识别各类云服务日志中的潜在威胁并输出分析结果，从而提升用户告警、事件检测准确性，提升运维运营效率，同时满足等保合规。 漏洞扫描服务VSS：集Web漏洞扫描、操作系统漏洞扫描、资产及内容合规检测、安全配置基线检查、弱密码检测、开源合规及漏洞检查、移动应用安全检查七大核心功能为一体，自动发现网站或服务器在网络中的安全风险，为云上业务提供多维度的安全检测服务，满足合规要求，让安全弱点无所遁形。 数据库安全服务DBSS：是一个智能的数据库安全服务，基于机器学习机制和大数据分析技术，提供数据库审计，SQL注入攻击检测，风险操作识别等功能，保障云上数据库安全。 云堡垒机CBH：提供主机管理、权限控制、运维审计、安全合规等功能，支持Chrome等主流浏览器随时随地远程运维，保障运维安全高效。

不同版本支持功能差别，标识符号说明如下： ×：代表不支持该功能。 √：代表支持该功能。 √+：代表支持该功能，但需额外购买功能或服务。 表1 不同版本功能差异 服务功能 功能模块 功能概述 基础版 标准版 专业版 安全概览 安全评分 集中呈现资产安全风险评分和风险等级分布，同时展示当前风险防御能力。 √ √ √ 安全监控 实时呈现展示待处理威胁告警、待修复漏洞、基线异常问题的安全监控统计数据。 √ √ √ 安全趋势 展示近7天内您的整体资产安全健康得分的趋势。 √ √ √ 威胁检测 集中呈现最近7天检测到的告警数量及类型。 √ √ √ 资源管理 资源安全状况 同步资源信息，集中呈现资源整体安全状况。 × √ √ 业务分析 专项分析 关联HSS、WAF、DBSS安全防护服务，全面展示主机、应用、数据库的安全状态和存在的安全风险。 √+ √+ √+ 综合大屏 综合态势感知 大屏集中展示云上资产综合安全态势，动态呈现资产风险状况。 × × √+ 主机安全态势 大屏集中呈现华为云主机安全态势，动态呈现主机安全状况。 × × √+ 资产安全 主机资产 同步主机资产信息，集中呈现主机整体安全状况。 × √ √ 网站资产 通过添加和扫描网站资产，呈现网站资产的整体安全状况。 × √ √ 威胁告警 告警列表 集中呈现威胁告警事件统计信息，导出告警事件。 √ √ √ 通过将告警忽略、标记为线下处理，标识告警事件。 × √ √ 威胁分析 根据“攻击源”的IP查询被攻击的资产信息，亦可根据“被攻击的资产”的IP查询威胁攻击来源信息。 × √ √ 告警监控 通过设置监控的威胁名单，以及设置关注的告警条件，自定义呈现关注的威胁告警。 × × √ 通知告警 通过自定义威胁告警通知，及时了解威胁风险。 × √ √ 漏洞管理 应急漏洞公告 集中呈现业界披露的热点安全漏洞，全面掌握资产漏洞风险。 √ √ √ 主机漏洞 集中呈现主机漏洞扫描结果信息，并提供相应修复建议。 × √ √ 网站漏洞 集中呈现网站漏洞扫描结果信息，并提供相应修复建议。 × × √ 基线检查 云服务基线 通过一键扫描云服务基线，分类呈现云服务配置项检测结果信息。 × √ √ 通过一键扫描云服务基线，分类呈现云服务配置项检测结果信息。支持查看检测结果详情，并提供相应修复建议。 × × √ 检测结果 全部结果 集中呈现安全产品的检测结果，可导出结果、标识结果等。 √ √ √ 安全报告 分析报告 默认自动创建一个周报和月报，仅可生成两期报告。 √ × √ 通过创建报告，定向发送报告内容。可管理历史报告和报告列表。 × × √ 产品集成 安全产品集成 通过集成安全产品，接入安全产品检测结果，管理检测结果的数据来源。 × √ √ 日志管理 日志管理 通过授权OBS存储SA日志，满足日志审计和容灾需求。 × × √

企业主机安全-成长地图 | 华为云 企业主机安全 企业主机安全（Host Security Service）是提升主机整体安全性的服务，包括账户破解防护、弱口令检测、恶意程序检测、双因子认证、漏洞管理，网页防篡改等功能，帮助企业构建服务器安全防护体系，降低当前服务器面临的主要安全风险。 产品介绍 图说HSS 立即使用 成长地图 由浅入深，带您玩转HSS 01 了解 了解企业主机安全的功能特性和应用场景，有助于您更准确地选择所需版本，让您的云上业务安全无忧。 产品介绍 什么是企业主机安全 功能特性 产品优势 应用场景 03 入门 购买企业主机安全后，您需要根据服务器的操作系统版本安装客户端、根据您选择的防护类型设置告警通知，操作完成后您可以对服务器开启防护。 安装客户端 安装Linux版本客户端 安装Windows版本客户端 设置告警通知 开启告警通知 开启防护 开启主机安全防护 开启网页防篡改版 05 实践 使用HSS进行日常的安全管理，帮助您能轻松发现并处理主机上存在的安全风险。 主机防护最佳实践 告警事件处理方法 快速掌握主机安全态势 02 购买 根据业务的实际情况，您可以灵活选择HSS的服务版本。 服务规格 服务版本 如何计费 价格体系 如何购买 购买防护配额 04 使用 根据业务发展需要，您可以随时切换版本、修改安全防护配置。此外，HSS还提供风险报告和风险修复建议，以便您及时了解服务器的安全状态并尽快修复安全风险。 主机安全防护 安全配置 漏洞修复与验证 基线检查风险项修复建议 资产管理 订阅主机安全报告 网页防篡改 添加防护目录/文件系统 添加特权进程 定时开启网页防篡改 开启动态网页防篡改 查看网页防篡改报告 常见问题 了解更多常见问题、案例和解决方案 热门案例 如何处理告警安全事件？ 如何处理漏洞？ Agent状态异常如何处理？ 如何开启HSS防护？ 基础版、企业版、网页防篡改版的特性差异？ HSS功能特性？ 如何购买防护配额、调节购买数量？ 如何续费？ 如何退订？ 更多 产品咨询 基础版、企业版、网页防篡改版的特性差异？ HSS功能特性？ 什么是企业主机安全？ 哪些区域提供HSS服务？ HSS到期后不续费，对主机和业务有影响吗？ 企业主机安全支持版本升级吗？ 更多 告警事件处理 账户被暴力破解，怎么办？ 如何避免账户破解攻击？ 如何处理弱口令为安全的口令？ 如何处理配置风险？ 更多 开通与配置 Agent状态异常如何处理？ 如何开启HSS防护？ 如何购买防护配额？ 如何安装Agent？ 如何设置告警通知？ Agent安装失败如何处理？ 如何使用双因子认证？ 更多 漏洞管理 如何处理漏洞？ 为什么漏洞修复未生效？ 漏洞修复与验证 更多 技术专题 技术、观点、课程专题呈现 华为云助你甩掉90%安全烦恼 介绍华为云重点安全服务、关键特性和应用实践 隐藏型恶意挖矿程序的分析 针对隐藏性恶意挖矿程序进行分析 跟唐老师学习云网络 唐老师将自己对网络的理解分享给大家 智能客服 您好！我是有问必答知识渊博的的智能问答机器人，有问题欢迎随时求助哦！ 社区求助 华为云社区是华为云用户的聚集地。这里有来自容器服务的技术牛人，为您解决技术难题。

产生背景 漏洞是硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，可以使攻击者能够在未授权的情况下访问或破坏系统。利用漏洞入侵并控制目标系统，是攻击者最常用的手段。据公开数据统计，漏洞数量逐年增加，中高危漏洞数量居高不下，受漏洞影响的产品范围广泛（从操作系统，数据库，到应用程序，物联设备，网络安全设备都可能存在漏洞被攻击者利用），这些都给企业的安全防护带来巨大困难。近年来，高危漏洞频发，例如：Apache Log4j2、Spring框架被先后爆出高危漏洞，因两者在全球范围内应用广泛，一旦漏洞被利用，影响和危害将难以估量。 因此，企业需要了解资产中潜在的漏洞，及时修复，降低漏洞被利用的风险，保护资产安全。

大型企业集团的多分支场景 大型企业集团的分支机构漏洞检测能力薄弱，主要依赖于集团公司的技术力量。但受限于人力成本，集团公司无法派驻安全运维人员到每个分支机构，因此需要一个整体化的漏洞检测服务实现对各分支机构的安全检测。 华为乾坤漏洞扫描服务能够实现对分支机构网络的统一漏洞检测，并借助云端对资产漏洞的统一分析、在事前精准识别分支资产存在的风险，防止分支资产的漏洞被利用，导致风险横向扩散。 图2 大型企业集团的多分支场景

版本功能差异说明 基础版只支持部分功能的检测能力，不支持防护能力，不支持等保认证。 若需对云服务器进行防护或做等保认证，您需购买企业版及以上（包含企业版、旗舰版、网页防篡改版）版本。 表2 版本功能说明 服务功能 功能项 功能概述 基础版 （按需） 基础版 （包年/包月） 企业版 旗舰版 网页防篡改版 资产管理 账号信息管理 检测当前系统的账号信息，帮助用户进行账户安全性管理。 × × √ √ √ 开放端口检测 检测当前系统开放的端口，帮助用户识别出其中的危险端口和未知端口。 × × √ √ √ 进程信息管理 监测运行中的进程并进行收集及呈现，便于用户自主清点合法进程，发现异常进程。 × × √ √ √ Web目录管理 统计当前系统中Web服务使用的目录，帮助用户进行Web资源管理。 × × √ √ √ 软件信息管理 监测并记录当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 × × √ √ √ 自启动 对系统中的自启动项进行检测，及时统计自启动项的变更情况。 × × × √ √ 漏洞管理 Windows漏洞管理 通过与漏洞库进行比对，检测并管理Windows系统和软件存在的漏洞，对当前系统中存在的紧急漏洞进行提醒。 × × √ √ √ Linux漏洞管理 通过与漏洞库进行比对，检测并管理Linux系统和软件存在的漏洞，对当前系统中存在的紧急漏洞进行提醒。 × × √ √ √ Web-CMS漏洞管理 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，提升Web服务安全性。 × × √ √ √ 基线检查 口令复杂度策略检测 检测系统中的口令复杂度策略，给出修改建议，帮助用户提升口令安全性。 √ √ √ √ √ 经典弱口令检测 检测系统账户口令是否属于常用的弱口令，针对弱口令提示用户修改。 √ √ √ √ √ 配置检测 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 × × √ √ √ 入侵检测 账户暴力破解 检测账户遭受的口令破解攻击，封锁攻击源，防止云主机因账户破解被入侵。 √ √ √ √ √ 账户异常登录 检测“异地登录”和“账户暴力破解成功”等异常登录。 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 异地登录检测信息包括“登录源IP”、“登录时间”，攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。 若在非常用登录地登录，则触发安全事件告警。 若账户暴力破解成功，登录到云主机，则触发安全事件告警。 √ √ √ √ √ 恶意程序（云查杀） 对运行中的程序进行检测，识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 × × √ √ √ 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 × × √ √ √ 关键文件变更 对于系统关键文件进行监控，文件被修改时告警，提醒用户关键文件存在被篡改的可能。 × × √ √ √ 网站后门（Webshell） 检测云服务器上Web目录中的文件，判断是否为WebShell木马文件，支持检测常见的PHP、JSP等后门文件类型。 网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。您可以根据网站后门信息忽略可信文件。 您可以使用手动检测功能检测主机中的网站后门。 × × √ √ √ 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 × × × √ √ 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。 × × × √ √ 高危命令执行 实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 × × × √ √ 自启动检测 检测并列举当前系统中的自启动服务、定时任务、预加载动态库、Run注册表键和开机启动文件夹，帮助用户及时发现非法自启动。 × × × √ √ 风险账户 检测主机系统中的账号，列出当前系统中的可疑账号信息，帮助用户及时发现非法账号。 × × √ √ √ 提权操作 检测当前系统的“进程提权”和“文件提权”操作。 检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 × × × √ √ Rootkit程序 检测Rootkit安装的文件和目录，帮助用户及时发现可疑的Rootkit安装。 支持使用文件特征码检测rootkit。 支持对隐藏文件、端口、进程的检测。 × × × √ √ 高级防御 程序运行认证 支持将重点防御的主机加入到白名单策略中，通过检测白名单中指定的应用程序区分“可信”、“不可信”和“未知”，防止未经白名单授权的程序运行。可避免您的主机受到不可信或恶意程序的侵害，还能防止不必要的资源浪费、保证您的资源被合理利用。 × × × √ √ 文件完整性管理 检查Linux系统、应用程序软件和其他组件的文件，帮助用户及时发现发生了可能遭受攻击的更改。 × × × √ √ 勒索病毒防护 通过对主机运行状态的自动学习和管理端智能分析，完成可信程序的判定，在防护阶段对非可信程序的操作进行告警。 × × × √ √ 安全运营 策略管理 支持自定义检测策略配置与下发，能够为每组或每台主机灵活配置检测规则，便于精细化安全运营。 查看策略组列表 依据默认策略组和已创建的策略组添加策略组 自定义策略 修改和删除策略组 针对策略组包含的策略，进行修改和关闭策略 在“主机管理”页面可以对主机进行批量部署策略 × × √（仅支持默认企业版策略组） √ √ 安全报告 呈现每周或每月的主机安全趋势以及关键安全事件与风险。 × × √ √ √ 安全配置 双因子认证 通过密码+短信/邮件认证的方式，彻底防范账号暴力破解行为。 × √ √ √ √ 网页防篡改 静态网页防篡改 防止网站服务器中的静态网页文件被篡改。 × × × × √ 动态网页防篡改 防止网站数据库中动态网页内容被篡改。 × × × × √

成长地图 | 华为云 主机安全服务 主机安全服务（Host Security Service，HSS）是以工作负载为中心的安全产品，旨在解决现代混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。它集成了主机安全、容器安全和网页防篡改。 产品介绍 图说HSS 立即使用 成长地图 由浅入深，带您玩转HSS 01 了解 了解企业主机安全的功能特性和应用场景，有助于您更准确地选择所需版本，让您的云上业务安全无忧。 产品介绍 什么是主机安全服务 版本功能特性 产品优势 应用场景 03 入门 购买企业主机安全后，您需要根据服务器的操作系统版本安装客户端、根据您选择的防护类型设置告警通知，操作完成后您可以对服务器开启防护。 安装客户端 安装Linux版本客户端 安装Windows版本客户端 设置告警通知 开启告警通知 开启防护 开启主机安全防护 开启网页防篡改版 05 实践 使用HSS进行日常的安全管理，帮助您能轻松发现并处理主机上存在的安全风险。 主机防护最佳实践 防御勒索病毒 快速掌握主机安全态势 02 购买 根据业务的实际情况，您可以灵活选择HSS的服务版本。 服务规格 服务版本 如何计费 价格体系 如何购买 购买主机安全防护配额 购买容器安全防护配额 04 使用 根据业务发展需要，您可以随时切换版本、修改安全防护配置。此外，HSS还提供风险报告和风险修复建议，以便您及时了解服务器的安全状态并尽快修复安全风险。 主机安全防护 安全配置 漏洞修复与验证 基线检查风险项修复建议 资产管理 订阅主机安全报告 网页防篡改 添加防护目录 添加特权进程 定时开启网页防篡改 开启动态网页防篡改 查看网页防篡改报告 常见问题 了解更多常见问题、案例和解决方案 热门案例 如何处理告警安全事件？ 如何处理漏洞？ Agent状态异常如何处理？ 如何开启HSS防护？ 基础版、企业版、网页防篡改版的特性差异？ HSS功能特性？ 如何购买防护配额、调节购买数量？ 如何续费？ 如何退订？ 更多 产品咨询 基础版、企业版、网页防篡改版的特性差异？ HSS功能特性？ 什么是企业主机安全？ 哪些区域提供HSS服务？ HSS到期后不续费，对主机和业务有影响吗？ 企业主机安全支持版本升级吗？ 更多 告警事件处理 账户被暴力破解，怎么办？ 如何避免账户破解攻击？ 如何处理弱口令为安全的口令？ 如何处理配置风险？ 更多 开通与配置 Agent状态异常如何处理？ 如何开启HSS防护？ 如何购买防护配额？ 如何安装Agent？ 如何设置告警通知？ Agent安装失败如何处理？ 如何使用双因子认证？ 更多 漏洞管理 如何处理漏洞？ 为什么漏洞修复未生效？ 漏洞修复与验证 更多 技术专题 技术、观点、课程专题呈现 华为云助你甩掉90%安全烦恼 介绍华为云重点安全服务、关键特性和应用实践 隐藏型恶意挖矿程序的分析 针对隐藏性恶意挖矿程序进行分析 跟唐老师学习云网络 唐老师将自己对网络的理解分享给大家 智能客服 您好！我是有问必答知识渊博的的智能问答机器人，有问题欢迎随时求助哦！ 社区求助 华为云社区是华为云用户的聚集地。这里有来自容器服务的技术牛人，为您解决技术难题。

背景信息 态势感知提供基础版、标准版、专业版供您选择。 用户注册华为云帐号后，可免费体验基础版。 基础版仅提供检测部分威胁风险，呈现一定云上资产安全态势。 为及时和深入了解资产安全状况，确保云上资产安全，建议您升级为标准版或专业版。 标准版提供一定种类的威胁检测和分析服务，包括威胁分析、告警设置、主机漏洞、安全日志管理等功能。若需要使用标准版，你需根据全局资产数购买配额，一个资产配额支持全方位防护一台资产。 专业版提供更多种类的威胁检测和分析服务，包含威胁分析、告警设置、主机漏洞、网站漏洞、基线检查、安全日志管理等功能。若需使用专业版服务，您需根据全局资产数购买配额，一个资产配额支持全方位防护一台资产。 更多基础版、标准版、专业版功能差异，请参见服务版本差异。 标准版不支持直接升级到专业版，且专业版也不支持直接变更到标准版。如需使用对应版本，需退订当前版本后再进行购买。 标准版仅支持通过包周期计费模式进行购买。 不支持部分配额购买标准版，部分配额购买专业版。

背景信息 态势感知提供基础版、标准版、专业版供您选择。 用户注册华为云帐号后，可免费体验基础版。 基础版仅提供检测部分威胁风险，呈现一定云上资产安全态势。 为及时和深入了解资产安全状况，确保云上资产安全，建议您升级为标准版或专业版。 标准版提供一定种类的威胁检测和分析服务，包括威胁分析、告警设置、主机漏洞、安全日志管理等功能。若需要使用标准版，你需根据全局资产数购买配额，一个资产配额支持全方位防护一台资产。 专业版提供更多种类的威胁检测和分析服务，包含威胁分析、告警设置、主机漏洞、网站漏洞、基线检查、安全日志管理等功能。若需使用专业版服务，您需根据全局资产数购买配额，一个资产配额支持全方位防护一台资产。 更多基础版、标准版、专业版功能差异，请参见服务版本差异。 标准版不支持直接升级到专业版，且专业版也不支持直接变更到标准版。如需使用对应版本，需退订当前版本后再进行购买。 标准版仅支持通过包周期计费模式进行购买。 不支持部分配额购买标准版，部分配额购买专业版。

漏洞管理 态势感知通过集成华为云安全公告、漏洞扫描数据，以及实施扫描任务，集中呈现云上资产漏洞风险，以及实时通报突发安全漏洞预警，帮助用户及时发现资产安全短板，修复危险漏洞。 态势感知支持以下类型的漏洞： 应急漏洞公告 态势感知通过采集华为云安全公告讯息，及时呈现业界近期广泛披露的安全漏洞，并支持一键获取安全漏洞详情、影响范围和处置建议等信息，提供对资产风险的消减建议。应急漏洞功能支持以下特性： 支持追溯已披露的安全漏洞至2014年4月。 支持每5分钟抓取一次安全公告讯息，更新应急漏洞公告。 支持按披露时间排序应急漏洞公告列表。 支持按关键字查找应急漏洞公告。 支持导出应急漏洞公告列表。 主机漏洞 态势感知通过授权主机，并一键扫描主机漏洞，呈现主机漏洞扫描检测信息，支持查看漏洞详情，并提供相应漏洞修复建议。 网站漏洞 态势感知通过接入VSS漏洞扫描结果数据，集中呈现网站存在的漏洞，提供详细的漏洞分析结果，并针对不同类型的漏洞提供专业可靠的修复建议。包括Web常规漏洞、端口漏洞、弱密码、CVE漏洞、网页内容合规（图片、文字）、网站挂马、链接健康等共8大类漏洞的检测。

容器安全 容器镜像安全 即使在Docker Hub下载的官方镜像中也常常包含了漏洞，而研发人员在使用大量开源框架时更加剧了镜像漏洞问题的出现。 容器镜像安全对镜像进行安全扫描，将镜像中存在的各种风险（镜像漏洞、帐号、恶意文件等）进行展示，提示用户及时修改，消除安全隐患。 容器运行时安全 通常容器的行为是固定不变的，容器安全服务帮助企业制定容器行为的白名单，确保容器以最小权限运行，有效阻止容器安全风险事件的发生。 满足等保合规 安全计算环境是等保合规的关键项，容器安全服务的核心功能够满足入侵防范与恶意代码防范等保条款，能够协助用户保护容器安全、系统安全。

表2 版本功能说明 服务功能 功能项 功能概述 基础版 （按需、包年/包月） 企业版 旗舰版 网页防篡改版 资产管理 账号信息管理 检测当前系统的账号信息，帮助用户进行账户安全性管理。 × √ √ √ 开放端口检测 检测当前系统开放的端口，帮助用户识别出其中的危险端口和未知端口。 × √ √ √ 进程信息管理 监测运行中的进程并进行收集及呈现，便于用户自主清点合法进程，发现异常进程。 × √ √ √ Web目录管理 统计当前系统中Web服务使用的目录，帮助用户进行Web资源管理。 × √ √ √ 软件信息管理 监测并记录当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 × √ √ √ 自启动 对系统中的自启动项进行检测，及时统计自启动项的变更情况。 × × √ √ 漏洞管理 Windows漏洞管理 通过与漏洞库进行比对，检测并管理Windows系统和软件存在的漏洞，对当前系统中存在的紧急漏洞进行提醒。 × √ √ √ Linux漏洞管理 通过与漏洞库进行比对，检测并管理Linux系统和软件存在的漏洞，对当前系统中存在的紧急漏洞进行提醒。 × √ √ √ Web-CMS漏洞管理 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，提升Web服务安全性。 × √ √ √ 基线检查 口令复杂度策略检测 检测系统中的口令复杂度策略，给出修改建议，帮助用户提升口令安全性。 √ √ √ √ 经典弱口令检测 检测系统账户口令是否属于常用的弱口令，针对弱口令提示用户修改。 √ √ √ √ 配置检测 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 × √ √ √ 入侵检测 账户暴力破解 检测账户遭受的口令破解攻击，封锁攻击源，防止云主机因账户破解被入侵。 √ √ √ √ 账户异常登录 检测“异地登录”和“账户暴力破解成功”等异常登录。 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 异地登录检测信息包括“登录源IP”、“登录时间”，攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。 若在非常用登录地登录，则触发安全事件告警。 若账户暴力破解成功，登录到云主机，则触发安全事件告警。 √ √ √ √ 恶意程序（云查杀） 对运行中的程序进行检测，识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 × √ √ √ 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 × √ √ √ 关键文件变更 对于系统关键文件进行监控，文件被修改时告警，提醒用户关键文件存在被篡改的可能。 × √ √ √ 网站后门（Webshell） 检测云服务器上Web目录中的文件，判断是否为WebShell木马文件，支持检测常见的PHP、JSP等后门文件类型。 网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。您可以根据网站后门信息忽略可信文件。 您可以使用手动检测功能检测主机中的网站后门。 × √ √ √ 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 × × √ √ 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。 × × √ √ 高危命令执行 实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 × × √ √ 自启动检测 检测并列举当前系统中的自启动服务、定时任务、预加载动态库、Run注册表键和开机启动文件夹，帮助用户及时发现非法自启动。 × × √ √ 风险账户 检测主机系统中的账号，列出当前系统中的可疑账号信息，帮助用户及时发现非法账号。 × √ √ √ 提权操作 检测当前系统的“进程提权”和“文件提权”操作。 检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 × × √ √ Rootkit程序 检测Rootkit安装的文件和目录，帮助用户及时发现可疑的Rootkit安装。 支持使用文件特征码检测rootkit。 支持对隐藏文件、端口、进程的检测。 Rootkit程序分为“用户空间rootkit检测”和“内核空间rootkit检测”。 用户空间rootkit检测主要针对rootkit安装的文件和目录进行检测。 内核空间rootkit检测主要针对rootkit加载的内核模块进行检测。 Rootkit程序支持以下功能： 支持使用文件特征码检测rootkit。 支持对内核rootkit加载行为的监控。 支持对系统调用表篡改类rootkit的检测。 支持对隐藏文件、端口、进程、内核模块的检测。 × × √ √ 高级防御 程序运行认证 支持将重点防御的主机加入到白名单策略中，通过检测白名单中指定的应用程序区分“可信”、“不可信”和“未知”，防止未经白名单授权的程序运行。可避免您的主机受到不可信或恶意程序的侵害，还能防止不必要的资源浪费、保证您的资源被合理利用。 × × √ √ 文件完整性管理 检查Linux系统、应用程序软件和其他组件的文件，帮助用户及时发现发生了可能遭受攻击的更改。 × × √ √ 勒索病毒防护 通过对主机运行状态的自动学习和管理端智能分析，完成可信程序的判定，在防护阶段对非可信程序的操作进行告警或阻断。 × × √ √ 安全运营 策略管理 支持自定义检测策略配置与下发，能够为每组或每台主机灵活配置检测规则，便于精细化安全运营。 查看策略组列表 依据默认策略组和已创建的策略组添加策略组 自定义策略 修改和删除策略组 针对策略组包含的策略，进行修改和关闭策略 在“主机管理”页面可以对主机进行批量部署策略 × √（仅支持默认企业版策略组） √ √ 安全报告 呈现每周或每月的主机安全趋势以及关键安全事件与风险。 × √ √ √ 安全配置 双因子认证 通过密码+短信/邮件认证的方式，彻底防范账号暴力破解行为。 按需：× 包年/包月：√ √ √ √ 网页防篡改 静态网页防篡改 防止网站服务器中的静态网页文件被篡改。 × × × √ 网盘文件防篡改 防止共享文件网盘中的网页文件被篡改。 × × × √ 动态网页防篡改 防止网站数据库中动态网页内容被篡改。 × × × √

防范措施 建议您采取以下安全防范措施： 如果业务容器需使用主机网络模式且又监听在非安全端口上，可以通过在节点上手动添加iptables规则来缓解此漏洞。 执行以下命令，在集群中配置iptables规则，用于拒绝非本地对127.0.0.1的访问流量： iptables -I INPUT --dst 127.0.0.0/8 ! --src 127.0.0.0/8 -m conntrack ! --ctstate RELATED,ESTABLISHED,DNAT -j DROP 如果集群不需要开启API Server不安全端口，可以将--insecure-port=0添加到kubernetes API服务器命令行来禁用端口。 如集群内运行有不受信的容器，需要manifest文件中关闭CAP_NET_RAW能力，可执行如下命令： securityContext: capabilities: drop: ["NET_RAW"] 修复漏洞前请将资料备份，并进行充分测试。

当前等保2.0建设面临的挑战 等保是等级保护的简称，2017年《中华人民共和国网络安全法》的实施，标志着等级保护2.0的正式启动，网络安全法明确“国家实行网络安全等级保护制度”、“国家对一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”。当前企业等保2.0建设主要面临如下挑战。 为了满足等保2.0建设需求，企业采用传统方案时需要购买防火墙、IPS、日志审计、漏扫等多种安全设备，造成安全投资成本大幅提升，而现实情况是，大部分企业客户的安全预算往往比较有限，导致无法满足等保2.0要求。 即使企业进行了高昂的网络安全投资，但当前安全设备的防护策略是静态的，威胁特征变化后，需要人工重新配置防护策略，且安全设备从不同的维度进行安全防护，各自单点防御，缺乏全局统筹分析，难以准确识别威胁并进行全局防御，无法满足等保2.0对主动防护、动态防御、整体防御、精准防御的相关要求。 采用传统方案时，需要专业的运维人员才能较好的发挥安全设备的防护能力，但我国网络安全从业人员十分紧缺，且专业安全人才的人力成本过高，这就造成了大部分企业安全运维缺失、面对安全事件束手无策的局面。 企业存在多个分支机构时，网络覆盖面大、业务系统种类多，因漏洞导致的安全事件频发，企业已有安全措施很难达到等保2.0要求的风险漏洞管理要求。 随着企业业务场景不断变化，业务系统种类也不断增多，且使用人员身份复杂，导致日志收集、分析、管理困难，无法应对日益增加的海量日志数据。

背景信息 态势感知提供基础版、标准版、专业版供您选择。 用户注册华为云帐号后，可免费体验基础版。 基础版仅提供检测部分威胁风险，呈现一定云上资产安全态势。 为及时和深入了解资产安全状况，确保云上资产安全，建议您升级为标准版或专业版。 标准版提供一定种类的威胁检测和分析服务，包括威胁分析、告警设置、主机漏洞、安全日志管理及综合大屏等功能。若需要使用标准版，你需根据全局资产数购买配额，一个资产配额支持全方位防护一台资产。 专业版提供更多种类的威胁检测和分析服务，包含威胁分析、告警设置、主机漏洞、网站漏洞、基线检查、安全日志管理及综合大屏等功能。若需使用专业版服务，您需根据全局资产数购买配额，一个资产配额支持全方位防护一台资产。 更多基础版、标准版、专业版功能差异，请参见服务版本差异。 综合大屏提供“综合态势感知大屏”和“主机安全态势大屏”两种大屏模式，集中展示云上综合安全态势和主机安全状况。综合大屏功能为专业版额外选购付费项目，您可以在购买资产配额后，参考开通综合大屏再购买。 标准版不支持直接升级到专业版，且专业版也不支持直接变更到标准版。如需使用对应版本，需退订当前版本后再进行购买。 标准版仅支持通过包周期计费模式进行购买。 不支持部分配额购买标准版，部分配额购买专业版。 综合大屏为专业版额外选购付费项目，如需使用综合大屏，请先购买专业版。

背景信息 态势感知提供基础版、标准版、专业版供您选择。 用户注册华为云帐号后，可免费体验基础版。 基础版仅提供检测部分威胁风险，呈现一定云上资产安全态势。 为及时和深入了解资产安全状况，确保云上资产安全，建议您升级为标准版或专业版。 标准版提供一定种类的威胁检测和分析服务，包括威胁分析、告警设置、主机漏洞、安全日志管理及综合大屏等功能。若需要使用标准版，你需根据全局资产数购买配额，一个资产配额支持全方位防护一台资产。 专业版提供更多种类的威胁检测和分析服务，包含威胁分析、告警设置、主机漏洞、网站漏洞、基线检查、安全日志管理及综合大屏等功能。若需使用专业版服务，您需根据全局资产数购买配额，一个资产配额支持全方位防护一台资产。 更多基础版、标准版、专业版功能差异，请参见服务版本差异。 综合大屏提供“综合态势感知大屏”和“主机安全态势大屏”两种大屏模式，集中展示云上综合安全态势和主机安全状况。综合大屏功能为专业版额外选购付费项目，您可以在购买资产配额后，参考开通综合大屏再购买。 标准版不支持直接升级到专业版，且专业版也不支持直接变更到标准版。如需使用对应版本，需退订当前版本后再进行购买。 标准版仅支持通过包周期计费模式进行购买。 不支持部分配额购买标准版，部分配额购买专业版。 综合大屏为专业版额外选购付费项目，如需使用综合大屏，请先购买专业版。

Apache Log4j2漏洞检测相关问题 网站漏洞扫描和主机扫描是否支持Apache Log4j2漏洞检测？检测原理有何不同？ 答：网站漏洞扫描和主机扫描支持Apache Log4j2漏洞检测，但检测原理不同。网站漏洞扫描的检测原理是基于漏洞POC验证，如果没有攻击入口或路径，或已经开启了Web应用防火墙等防护措施，则无法扫出来；主机扫描的检测原理是登录操作系统之后探测JAR包版本，匹配是否在受影响的版本范围之内，相对高效。 建议有条件的话，使用网站漏洞扫描和主机扫描远程扫描，若发现问题请尽快按处置办法进行操作。 Apache Log4j2漏洞之前能扫出来，后来扫不出来，不稳定是什么原因？ 答：只要扫出来过Apache Log4j2漏洞，建议马上排查相应网站或主机，尽快按处置办法进行操作。 后面扫不出来的原因，可能是网站已修复，或已通过Web应用防火墙等防护措施解决，另外由于该漏洞POC验证相对复杂，涉及较多网络交互，网络环境因素如安全组策略加固等变动，也可能导致漏洞不能稳定扫出来，但建议客户还是尽快排查处置，彻底规避风险。 哪些版本支持Apache Log4j2漏洞检测？ 答：当前包括基础版（可免费开通）在内的所有版本均支持，但由于基础版规格有较多限制，如不支持主机漏洞扫描、Web漏洞扫描的扫描时长和次数受限，可能存在扫描不全面的问题。建议有条件的话，根据业务需求购买专业版及以上版本进行全面扫描。 不同版本规格说明请参见服务版本。

2022年3月 序号 功能名称 功能描述 阶段 相关文档 1 漏洞扫描服务 漏洞扫描 资产评估 商用 漏洞扫描 2 云日志审计服务 日志采集/解析/存储 日志查询 审计资产管理 日志审计统计数据可视化 商用 云日志审计 3 安全重保解决方案 边界防护与响应服务 漏洞扫描服务 重保威胁信息 商用 安全重保解决方案 4 等保合规解决方案 边界防护与响应服务 漏洞扫描服务 云日志审计服务 商用 等保合规解决方案 5 云管理网络 网络规划与设计 站点管理 网络健康360 用户体验360 智能调优360 公测 云管理网络

产品集成 通过集成安全防护产品，接入安全产品检测数据，管理检测结果的数据来源。 表11 产品集成功能说明 功能模块 功能详情 安全产品集成 通过集成安全防护产品，接入安全产品检测数据，管理检测结果的数据来源，支持查看传输数据量，管理数据上报健康状态。 已接入的华为云产品/服务 企业主机安全（HSS）、Web应用防火墙（WAF）、AntiDDoS流量清洗（AntiDDoS）、云堡垒机（CBH）、容器安全服务（CGS）、漏洞扫描服务（VSS）。 企业主机安全（HSS）支持接入主机告警、主机基线、主机漏洞类型的检测数据。 支持接入数据源产品 华为产品、第三方服务商产品、线下自有产品等。 支持威胁情报溯源 安天威胁情报综合分析平台（TID）

方案架构 该解决方案支持一键式部署云防火墙CFW、企业主机安全HSS、web应用防火墙 WAF、云堡垒机CBH、数据库安全审计DBSS等服务，帮助用户快速在华为云上搭建等保三级合规安全解决方案，轻松满足等保三级合规要求。 方案部署架构如下图所示： 图1 方案架构图 该解决方案会部署如下资源： Web应用防火墙WAF：用来对业务流量进行多维度检测和防护。 企业主机安全HSS：用来提升主机整体安全性，提供资产管理、漏洞管理、入侵检测、基线检查等功能，帮助企业降低主机安全风险。 云证书管理服务CCM：实现网站的可信身份认证与安全数据传输。 态势感知SA：用来对攻击事件、威胁告警和攻击源头进行分类统计和综合分析，为用户呈现出全局安全攻击态势。 威胁检测服务MTD：用来识别云服务日志中的潜在威胁，并对检测出的威胁告警进行统计。 云防火墙CFW：实现对云上互联网边界流量实时入侵检测与防御。 云堡垒机CBH：集中管控运维管理人员实现操作可审计、可管控、可合规且高效运维。 数据库安全审计DBSS：对数据库的行为进行操作审计，及时发现降低数据库泄露风险。 漏洞扫描服务VSS：及时发现业务系统存在的安全漏洞，发现问题及时修复降低风险。 此外，您可以通过使用云监控服务来监测弹性云服务器运行状态；通过购买云日志服务，对日志数据进行备份；开启云审计功能对云平台操作进行业务审计。

产品集成 通过集成安全防护产品，接入安全产品检测数据，管理检测结果的数据来源。 表12 产品集成功能说明 功能模块 功能详情 安全产品集成 通过集成安全防护产品，接入安全产品检测数据，管理检测结果的数据来源，支持查看传输数据量，管理数据上报健康状态。 已接入的华为云产品/服务 企业主机安全（HSS）、Web应用防火墙（WAF）、AntiDDoS流量清洗（AntiDDoS）、云堡垒机（CBH）、容器安全服务（CGS）、漏洞扫描服务（VSS）。 企业主机安全（HSS）支持接入主机告警、主机基线、主机漏洞类型的检测数据。 支持接入数据源产品 华为产品、第三方服务商产品、线下自有产品等。 支持威胁情报溯源 安天威胁情报综合分析平台（TID）

操作步骤 登录管理控制台。 选择“服务列表 >安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务管理控制台。 在左侧导航栏，单击移动应用安全。 在“移动应用安全”页面，单击对应任务操作列的，如图1所示。 单击“文件名”也可以进入扫描报告页面。 图1 进入应用安全扫描报告入口 进入扫描报告查看页面，如图2所示，各栏目说明如表1所示。。 图2 查看应用安全扫描报告详情 表1 详情总览说明 栏目 说明 任务概况 显示目标任务的基本信息，包括： 基本信息：查看扫描文件大小、版本、特征库版本等基本信息。 证书信息：证书的发行者、使用者、摘要算法等信息。 安全漏洞：致命、高危、中危、低危各个级别漏洞数量占比。 隐私合规：不规范隐私声明使用、不合理权限申请、违规使用用户个人信息、其他侵害用户权益行为的使用情况。 安全漏洞 安全漏洞的风险描述和修复建议。 隐私合规 不规范隐私声明使用、不合理权限申请、违规使用用户个人信息、其他侵害用户权益行为的详细数据分析。 基础组件 被扫描的软件包所有的组件信息，例如名称、描述、保护级别等。

应用场景 漏洞扫描服务主要用于以下场景。 Web漏洞扫描应用场景 网站的漏洞与弱点易于被黑客利用，形成攻击，带来不良影响，造成经济损失。 常规漏洞扫描 丰富的漏洞规则库，可针对各种类型的网站进行全面深入的漏洞扫描，提供专业全面的扫描报告。 最新紧急漏洞扫描 针对最新紧急爆发的CVE漏洞，安全专家第一时间分析漏洞、更新规则，提供快速专业的CVE漏洞扫描。 主机漏洞扫描应用场景 运行重要业务的主机可能存在漏洞、配置不合规等安全风险。 支持深入扫描 通过配置验证信息，可连接到服务器进行OS检测，进行多维度的漏洞、配置检测。 支持内网扫描 可以通过跳板机方式访问业务所在的服务器，适配不同企业网络管理场景。 弱密码扫描应用场景 主机或中间件等资产一般使用密码进行远程登录，攻击者通常使用扫描技术来探测其用户名和弱口令。 多场景可用 支持操作系统(RDP协议、SSH协议)、数据库（如Mysql、Redis）等常见中间件服务的弱口令检测。 丰富的弱密码库 丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 中间件扫描应用场景 中间件可帮助用户灵活、高效地开发和集成复杂的应用软件，一旦被黑客发现漏洞并利用，将影响上下层安全。 丰富的扫描场景 支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。 多扫描方式可选 支持通过标准包或者自定义安装等多种方式识别服务器的中间件及其版本，全方位发现服务器的漏洞风险。 内容合规检测应用场景 当网站被发现有不合规言论时，会给企业造成品牌和经济上的多重损失。 精准识别 同步更新时政热点和舆情事件的样本数据，准确定位各种涉黄、涉暴涉恐、涉政等敏感内容。 智能高效 对文本、图片内容进行上下文语义分析，智能识别复杂变种文本。 二进制成分分析应用场景 产品包或固件中因不当使用开源软件、配置不合规等会产生漏洞或合规性风险，及时的发现和修复相关问题可以减少被攻击者利用的风险。 全方位风险检测 对产品包/固件进行全面分析，基于各类检测规则，获得相关被测对象的开源软件、信息泄露、安全配置等存在的潜在风险。 支持各类应用 支持对桌面应用（Windows和Linux）、移动应用程序（APK、IPA、Hap等）、嵌入式系统固件等的检测。 专业分析指导 提供全面、直观的风险汇总信息，并针对不同的扫描告警提供专业的解决方案和修复建议。 移动应用安全 企业自检或通报后自查 适用于各类APP发版自检，及通报整改后自查，服务提供详细精确的报告协助企业快速定位修复问题，达到监管合规要求。 审核机构APP合规审查 紧贴各类监管规范，提供高效的自动化检测服务，能快速识别存在违规行为的APP。

安全产品集成 态势感知通过集成安全防护产品，接入各安全产品检测数据，集中管理风险检测结果。 表1 产品集成功能说明 功能模块 功能详情 安全产品集成 通过集成安全防护产品，接入安全产品检测数据，管理检测结果的数据来源，支持查看传输数据量，管理数据上报健康状态。 已接入的华为云产品/服务 企业主机安全（HSS）、Web应用防火墙（WAF）、AntiDDoS流量清洗（AntiDDoS）、云堡垒机（CBH）、容器安全服务（CGS）、漏洞扫描服务（VSS）。 企业主机安全（HSS）支持接入主机告警、主机基线、主机漏洞类型的检测数据。 支持接入数据源产品 华为产品、第三方服务商产品、线下自有产品等。 支持威胁情报溯源 安天威胁情报综合分析平台（TID） 相关操作 管理产品集成 查看产品集成 查看探测状态

操作步骤 登录管理控制台。 在左侧导航栏单击“安全云服务 > 移动应用安全”，进入“移动应用安全”页面。 在“移动应用安全”页面，单击对应任务的文件名，即可进入扫描报告页面，如图1所示。 图1 进入应用安全扫描报告入口 在扫描报告页面，可以查看扫描详情，包括：任务概括、安全漏洞、隐私合规和基础组件，如图2所示，各栏目说明如表1所示。 图2 查看应用安全扫描报告详情 表1 扫描详情说明 栏目 说明 任务概况 显示目标任务的基本信息，包括： 基本信息：查看扫描文件大小、版本、特征库版本等基本信息。 证书信息：证书的发行者、使用者、摘要算法等信息。 安全漏洞：致命、高危、中危、低危各个级别漏洞数量占比。 隐私合规：不规范隐私声明使用、不合理权限申请、违规使用用户个人信息、其他侵害用户权益行为的使用情况。 安全漏洞 安全漏洞的风险描述和修复建议。 隐私合规 不规范隐私声明使用、不合理权限申请、违规使用用户个人信息、其他侵害用户权益行为的详细数据分析。 基础组件 被扫描的软件包所有的组件信息，例如名称、描述、保护级别等。

立即购买 登录管理控制台。 在页面上方选择“区域”后，单击，选择“安全与合规 > 管理检测与响应服务”。 在“等保套餐”下方，单击“立即购买”，进入“购买MDR服务”页面。 图1 选择等保套餐 选择区域。 请就近选择靠近您业务的区域，可减少网络时延，提高访问速度 。 选择“推荐套餐”。支持的套餐有“等保二级方案”、“等保三级方案基础版”、“等保三级方案高级版”或“多云安全方案套餐”。 图2 选择套餐 表1 套餐内容 - 服务说明 推荐产品 等保二级 等保三级基础版 等保三级高级版 多云模式 安全通信网络 网络区域隔离 云防火墙 √ √ √ - 安全区域边界 检测、防止或限制网络攻击行为 DDoS高防 - - √ √ 访问控制、边界防护、入侵防范 Web应用防火墙 √ √ √ √ 安全计算环境 分析识别、报警各类安全事件和新型攻击提供恶意代码防护机制 企业主机安全 √ √ √ √ 网页防篡改 - - √ √ 威胁检测服务 √ √ √ - 数据安全审计 数据库审计 - √ √ - 满足数据完整性和数据保密性 SSL证书 √ √ √ √ 发现漏洞，提供漏洞修补建议 漏洞扫描 - - √ √ 数据加密防护 数据加密 - - √ - 安全管理中心 敏感数据识别、防护 数据安全中心 - - √ - 安全体检、安全加固、安全检测等 管理监测与响应 - - √ √ 对分布在网络中的安全设备安全设备进行集中管控 态势感知 √ √ √ - 对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测 云监控 √ √ √ - 身份鉴别、访问控制、运维审计 云堡垒机 - √ √ - 云审计 - √ √ - 云日志 - √ √ - 数据灾备服务 本地&异地（跨Region）数据家备份与恢复 CBR - √ √ - 异地（跨云）数据备份功能 OBS √ √ √ √ 数据实时备份 SDRS容灾备份 - - √ - 根据选择的套餐（需要选择的服务请勾选后再进行配置），配置套餐商品信息。购买时长默认是“1年”。 配置Web应用防火墙。 请根据您的业务情况购买“域名扩展包”或“带宽扩展包”以及选择“购买时长”。 图3 配置Web应用防火墙 一个域名包支持10个域名，限制仅支持1个一级域名和与一级域名相关的子域名或泛域名。 一个带宽扩展包包含20Mbit/s/50Mbit/s（华为云外/华为云内）或者1,000QPS（Query Per Second，即每秒钟的请求量，例如一个HTTP GET请求就是一个Query）。 配置企业主机安全。 请根据您的业务情况购买“防护主机数量”和选择“购买时长”。 图4 配置企业主机安全 配属数据库安全审计。 请根据您的业务情况选择“可用区”、“规格”、“实例名称”、“虚拟私有云”、“安全组”、“子网”以及选择“购买时长”。 图5 配置数据库安全审计 表2 数据库安全审计实例参数说明 参数名称 说明 取值样例 虚拟私有云 可以选择使用已有的虚拟私有云（Virtual Private Cloud，VPC）网络，或者单击“查看虚拟私有云”创建新的虚拟私有云。 说明： 请选择Agent安装节点（应用端或数据库端）所在的VPC。 不支持修改VPC。若要修改，请退订后重新申请。 更多有关虚拟私有云的信息，请参见虚拟私有云用户指南。 vpc-sec 安全组 界面显示实例已配置的安全组。选择实例的安全组后，该实例将受到该安全组访问规则的保护。 更多有关安全组的信息，请参见虚拟私有云用户指南。 sg 子网 界面显示所有可选择的子网。 更多有关子网的信息，请参见虚拟私有云用户指南。 public_sunnet 实例名称 您可以自定义实例的名称。 DBSS-test 配置态势感知。 请根据您的业务情况设置“最大配额数”和勾选“使用态势大屏”以及选择“购买时长”。 图6 配置态势感知 配置云堡垒机。 请根据您的业务情况选择“可用区”、“性能规格”、“实例名称”、“虚拟私有云”、“安全组”、“子网”、“弹性IP”以及选择“购买时长”。 若在当前区域无可选EIP，可单击“购买弹性IP”创建弹性IP。 图7 配置云堡垒机 配置漏洞扫描服务。 请根据您的业务情况选择“规格”、“扫描配额包”和“购买时长”。 图8 配置漏洞扫描服务 配置SSL证书。 请根据您的业务情况选择“域名类型”、“域名数量”和“有效期”。 图9 配置SSL证书 配置专属加密服务。 请根据您的业务情况选择“购买数量”和“购买时长”。 图10 配置专属加密服务 配置数据安全中心。 请根据您的业务情况选择“规格”、“数据库扩展包”、“OBS扩展包”和“购买时长”。 图11 配置数据安全中心 在页面右下方，单击“下一步”。 确认订单无误并阅读《管理检测与响应免责声明》和《隐私政策声明》后，勾选“我已阅读并同意《管理检测与响应免责声明》和《隐私政策声明》”，单击“去支付”。 在“支付”页面，请选择付款方式进行付款。 付款成功后，单击“返回管理检测与响应控制台”，返回到“管理检测与响应”界面。

利用AI技术将海量云安全数据的分析并分类，通过综合大屏将数据可视化展示，集中呈现云上实时动态，云上关键风险一目了然，掌握云上安全态势更简单，更直观，更高效。 表2 主机安全态势大屏功能说明 模块 详细介绍 风险主机地图 区域维度风险主机直观展示了当天不同华为云区域内是否有风险主机。没有风险主机的区域，指示灯为绿色，有威胁主机的区域，指示灯为红色。当用鼠标单击亮灯的区域时，则分别显示出该区域的主机总数、Windows系统主机台数、Linux系统主机台数和该区域的风险主机台数。通过将风险主机具象化，用户可以直观的了解资产的安全状况。 主机安全事件统计 展示了威胁主机安全的5种告警类型，分别是暴力破解、异地登录、恶意程序、网站后门、文件变更。一个环形图表示一种类型，每个环形图中间的数字表示当天此种威胁出现的次数。环形图下方的风险主机台数体现了当天遭受此种威胁的主机数，亮蓝色的环形占总环形的比例表示风险主机占总资产的比例，以暴力破解环形图为例，当天一共有4台主机遭受了189次暴力破解。 资产统计 展示了总资产的数量和类型，两类主机分为Windows系统主机和Linux系统主机。中间的条形图直观显示了这两种主机占总资产的比例，下方则显示了这两种主机的具体数量。 近7天风险主机趋势 风险主机趋势的横坐标表示具体日期，纵坐标表示风险主机数量。从图中可看到7天内每天的风险主机数量和风险主机趋势。 TOP5风险云主机 按照安全风险等级由高到低展示了受威胁主机的相关信息，包括主机名称、主机系统及受到的攻击程度。TOP5风险云主机最多展示5条。安全风险等级由高到低分别是致命、高危、中危、低危和提示。 近7天暴力破解攻击趋势 展示了7天内每天的暴力破解次数，横坐标表示时间，纵坐标表示暴力破解的次数。将鼠标悬停于某日期范围内，可以看到该日暴力破解的次数。 暴力破解类型 展示了当天暴力破解的类型及每种类型的攻击次数。暴力破解一共有5种类型，分别是SSH暴力破解、RDP暴力破解、WEB暴力破解、Mssql暴力破解、SQLServer暴力破解。右上角展示了当天受到暴力破解威胁的全部风险主机的台数。 漏洞检测 漏洞检测的环形图展示了当天检测出的Window漏洞与Linux漏洞的比例。环形图下方显示两种漏洞的个数，右上角显示了检测出漏洞的风险主机的台数。 基线检测 基线检测分为主机基线和云服务基线两个模块。您可以通过主机基线模块查看口令复杂度和配置检测这两方面的风险及个数，并可以通过云服务基线模块查看身份认证、访问控制、日志审计、数据安全、基础防护这五方面的风险及个数。

IES基础设施安全 华为云致力于打造可信云平台，IES整体上继承了华为云安全建设规范，具体安全方案细节请参见华为云安全白皮书。 IES用户侧和平台侧分别实施了严格的安全隔离策略，华为云负责IES平台的运维和安全运营，提供7*24小时安全监控运营服务。 IES平台侧默认全部部署了主机安全服务，华为云会定期对平台侧执行漏洞扫描，并按照SLA（Service-Level Agreement）的要求及时安装补丁修复漏洞。 华为云对IES平台侧的帐号权限进行集中管理，并定期进行帐号密钥轮换，以防止未经授权的访问。

版本功能差异说明 表2 版本功能差异说明 服务功能 功能项 功能概述 基础版 （按需、包年/包月） 企业版 旗舰版 网页防篡改版 容器安全 检测周期 资产管理 主机管理 所有主机资产管理，包含主机的防护状态、配额绑定、策略分配等，提供Linux主机的批量安装agent功能。 √ √ √ √ √ - 容器管理 容器节点管理，容器镜像（私有镜像仓库、本地镜像）管理。 × × × × √ - 资产指纹 账号信息管理 检测当前系统的账号信息，帮助用户进行账户安全性管理。 × √ √ √ √ 实时检测 开放端口检测 检测当前系统开放的端口，帮助用户识别出其中的危险端口和未知端口。 × √ √ √ √ 实时检测 进程信息管理 监测运行中的进程并进行收集及呈现，便于用户自主清点合法进程，发现异常进程。 × √ √ √ √ 实时检测 软件信息管理 监测并记录当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 × √ √ √ √ 每日凌晨自动检测 自启动 对系统中的自启动项进行检测，及时统计自启动项的变更情况。 × √ √ √ √ 实时检测 Web站点 统计、展示存放Web内容的目录及对外提供访问的站点信息，您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、关键进程等信息。 × √ √ √ √ 1次/周（每周一凌晨05：00） Web框架 统计、展示Web内容对外呈现时所使用框架的详细信息，您可查看所有框架的版本、路径、关联进程等信息。 × √ √ √ √ 1次/周（每周一凌晨05：00） 中间件 统计、展示所使用到的所有软件信息，您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。 × √ √ √ √ 1次/周（每周一凌晨05：00） 内核模块 统计、展示运行在内核层的全量程序模块文件，您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。 × √ √ √ √ 1次/周（每周一凌晨05：00） 漏洞管理 软件漏洞检测 包括Linux软件漏洞和Windows系统漏洞。 通过与漏洞库进行比对，检测出系统和官方软件（非绿色版、非自行编译安装版；例如：SSH、OpenSSL、Apache、MySQL等）存在的漏洞，帮助用户识别出存在的风险。 × √ √ √ √ 每日凌晨自动检测 手动检测 Web-CMS漏洞检测 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，提升Web服务安全性。 × √ √ √ √ 每日凌晨自动检测 手动检测 应用漏洞检测 包括检测Web服务、Web框架、Web站点、中间件、内核模块等资产信息存在的漏洞。 × √ √ √ √ 每日凌晨自动检测 手动检测 基线检查 口令复杂度策略检测 检测系统中的口令复杂度策略，给出修改建议，帮助用户提升口令安全性。 √ √ √ √ √ 每日凌晨自动检测 手动检测 经典弱口令检测 检测系统账户口令是否属于常用的弱口令，针对弱口令提示用户修改。 √ √ √ √ √ 每日凌晨自动检测 手动检测 配置检查 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 × √ √ √ √ 每日凌晨自动检测 手动检测 容器镜像安全 容器镜像漏洞 通过与漏洞库进行比对，检测并管理本地镜像和私有镜像仓库存在的漏洞，对当前镜像中存在的紧急漏洞进行提醒。 × × × × √ 每日凌晨自动检测 手动检测 镜像恶意文件 检测镜像是否携带恶意文件（Trojan、Worm、Virus病毒和Adware垃圾软件等），帮助用户识别出存在的风险。 × × × × √ 实时检测 镜像基线检查 提供18类容器基线配置检查，帮助用户识别不安全的配置。 × × × × √ 实时检测 应用防护 SQL注入 检测防御SQL注入（SQL Injection）攻击，检测web应用是否存在对应漏洞。 × × √ √ √ 实时检测 OS命令注入 检测防御远程OS命令注入（OS Command Injection）攻击，同时检测web应用是否存在对应漏洞。 × × √ √ √ 实时检测 XSS 检测防御存储型跨站脚本(Cross-Site Scripting，XSS)注入攻击。 × × √ √ √ 实时检测 Log4jRCE漏洞检测 检测防御远程代码执行的控制攻击。 × × √ √ √ 实时检测 上传WebShell 检测防御上传危险文件的攻击或将已有文件改名为危险文件扩展名的攻击，同时检测web应用是否存在对应漏洞。 × × √ √ √ 实时检测 XML External Entity Injection 检测防御XXE注入（XML External Entity Injection）攻击，检测web应用是否存在对应漏洞。 × × √ √ √ 实时检测 反序列化输入 检测使用了危险类的反序列化攻击。 × × √ √ √ 实时检测 文件目录遍历 获取访问文件的路径或目录，匹配是否在敏感目录或敏感文件下。 × × √ √ √ 实时检测 Struts2 OGNL OGNL代码执行检测。 × × √ √ √ 实时检测 JSP执行操作系统命令 检测可疑行为——通过JSP请求执行操作系统命令。 × × √ √ √ 实时检测 JSP删除文件 检测可疑行为——通过JSP请求删除文件失败。 × × √ √ √ 实时检测 数据库连接异常 检测可疑异常——数据库连接抛出的认证和通讯异常。 × × √ √ √ 实时检测 0 day漏洞检测 检测执行命令的堆栈哈希是否在Web应用的白名单堆栈哈希表里。 × × √ √ √ 实时检测 SecurityManager权限检测异常 检测可疑异常——SecurityManager抛出的异常。 × × √ √ √ 实时检测 网页防篡改 静态网页防篡改 防止网站服务器中的静态网页文件被篡改。 × × × √ × 实时检测 动态网页防篡改 防止网站数据库中动态网页内容被篡改。 × × × √ × 实时检测 勒索病毒防护 勒索病毒防御 通过对主机运行状态的自动学习和管理端智能分析，完成可信程序的判定，在防护阶段对非可信程序的操作进行告警。 × × √ √ √ 实时检测 文件完整性管理 文件完整性检测 检查Linux系统、应用程序软件和其他组件的文件，帮助用户及时发现发生了可能遭受攻击的更改。 × × √ √ √ 实时检测 主机入侵检测 恶意程序 对运行中的程序进行检测，识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 × √ √ √ √ 实时检测 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 × × √ √ √ 实时检测 Webshell 检测云服务器上Web目录中的文件，判断是否为WebShell木马文件，支持检测常见的PHP、JSP等后门文件类型。 网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。您可以根据网站后门信息忽略可信文件。 您可以使用手动检测功能检测主机中的网站后门。 × √ √ √ √ 实时检测 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 × × √ √ √ 实时检测 一般漏洞利用 实时检测利用漏洞入侵主机的行为，对发现的入侵行为进行告警上报。 × √ √ √ √ 实时检测 文件提权 检测当前系统对文件的提权。 × × √ √ √ 实时检测 进程提权 检测以下进程提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 × × √ √ √ 实时检测 关键文件变更 对于系统关键文件进行监控，文件被修改时告警，提醒用户关键文件存在被篡改的可能。 × √ √ √ √ 实时检测 文件/目录变更 对于系统文件/目录进行监控，文件/目录被修改时告警，提醒用户文件/目录存在被篡改的可能。 × √ √ √ √ 实时检测 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 × √ √ √ √ 实时检测 高危命令执行 实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 × × √ √ √ 实时检测 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。 × × √ √ √ 实时检测 Crontab可疑任务 检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。 帮助用户通过自启动变更情况，及时发现异常自启动项，快速定位木马程序的问题。 × × √ √ √ 实时检测 暴力破解 检测“尝试暴力破解”和“暴力破解成功”等暴力破解。 检测账户遭受的口令破解攻击，封锁攻击源，防止云主机因账户破解被入侵。 若账户暴力破解成功，登录到云主机，则触发安全事件告警。 √ √ √ √ √ 实时检测 异常登录 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 若在非常用登录地登录，则触发安全事件告警。 √ √ √ √ √ 实时检测 非法系统账号 检测主机系统中的账号，列出当前系统中的可疑账号信息，帮助用户及时发现非法账号。 × √ √ √ √ 实时检测 容器入侵检测 漏洞逃逸攻击 监控到容器内进程行为符合已知漏洞的行为特征时，触发逃逸漏洞攻击告警。 × × × × √ 实时检测 文件逃逸攻击 监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，仍然会触发告警。 × × × × √ 实时检测 容器进程异常 容器恶意程序 监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 容器异常进程 对于已关联的容器镜像启动的容器，只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 × × × × √ 实时检测 容器异常启动 监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。 支持以下容器环境检测： 禁止启动特权容器(privileged:true) 需要限制容器能力集（capabilities:[xxx]） 建议启用seccomp（seccomp=unconfined） 限制容器获取新的权限(no-new-privileges:false) 危险目录映射(mounts:[...]) × × × × √ 实时检测 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。CGS监控容器进程，如果发现进程使用了危险系统调用，触发高危系统调用告警。 × × × × √ 实时检测 敏感文件访问 监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 × × × × √ 实时检测 白名单管理 加入告警白名单 处理告警事件时，将告警事件加入到告警白名单。 以下类型的告警事件可加入“告警白名单”： 反弹Shell Webshell检测 进程异常行为检测 进程提权 文件提权 高危命令 恶意程序 × × √ √ √ 实时检测 策略管理 查看和修改策略 支持自定义检测策略配置与下发，能够为每组或每台主机灵活配置检测规则，便于精细化安全运营。 查看策略组列表 依据默认策略组和已创建的策略组添加策略组 自定义策略 修改和删除策略组 针对策略组包含的策略，进行修改和关闭策略 在“主机管理”页面可以对主机进行批量部署策略 × √（仅支持默认企业版策略组） √ √ √ 实时检测 安全报告 主机安全报告 呈现每周或每月的主机安全趋势以及关键安全事件与风险。 × √ √ √ √ - 安全配置 常用登录地 配置常用登录地后，服务将对非常用地登录主机的行为进行告警。每个主机可被添加在多个登录地中。 √ √ √ √ √ 实时检测 常用登录IP 配置常用登录IP，服务将对非常用IP登录主机的行为进行告警。 √ √ √ √ √ 实时检测 配置SSH登录IP白名单 SSH登录IP白名单功能是防护账户爆破的一个重要方式，主要是限制需要通过SSH登录的服务器。 配置了白名单的服务器，只允许白名单内的IP通过SSH登录到服务器，拒绝白名单以外的IP。 说明： 使用鲲鹏计算EulerOS（EulerOS with ARM）的主机，SSH登录IP白名单功能对其不生效。 √ √ √ √ √ 实时检测 恶意程序隔离查杀 开启恶意程序隔离查杀后，HSS对识别出的后门、木马、蠕虫等恶意程序，提供自动隔离查杀功能，帮助用户自动识别处理系统存在的安全风险。 × √ √ √ √ 实时检测 双因子认证 通过密码+短信/邮件认证的方式，彻底防范账号暴力破解行为。 × √ √ √ √ - 告警配置 开启告警通知功能后，您能接收到主机安全服务服务发送的告警通知，及时了解主机/容器/网页内的安全风险。 √ √ √ √ √ -

HSS更新Apache Log4j2 远程代码执行漏洞 尊敬的华为云客户，您好： 近日，华为云关注到Apache Log4j2存在一处远程代码执行漏洞（CVE-2021-44228），在引入Apache Log4j2处理日志时，会对用户输入的内容进行一些特殊的处理，攻击者可以构造特殊的请求，触发远程代码执行。目前POC已公开，风险较高。 12月16日，官方披露低于2.16.0版本除了存在拒绝服务漏洞外，还存在另一处远程代码执行漏洞（CVE-2021-45046）。 Apache Log4j2是一款业界广泛使用的基于Java的日志记录工具。华为云提醒使用Apache Log4j2的用户尽快安排自检并做好安全加固。 参考链接：https://logging.apache.org/log4j/2.x/security.html 威胁级别：【严重】（说明：威胁级别共四级：一般、重要、严重、紧急） 影响版本：2.0-beat9 <= Apache Log4j 2.x < 2.16.0（2.12.2 版本不受影响） 已知受影响的应用及组件：spring-boot-starter-log4j2/Apache Solr/Apache Flink/Apache Druid 安全版本：Apache Log4j 1.x 不受影响；Apache Log4j 2.16.0。 漏洞处置 目前官方已发布修复版本修复了该漏洞，请受影响的用户尽快升级Apache Log4j2所有相关应用到安全版本：https://logging.apache.org/log4j/2.x/download.html Java 8（或更高版本）的用户建议升级到 2.16.0 版本； Java 7 的用户建议升级到2.12.2版本，此版本是安全版本。 华为云企业主机安全服务HSS，能够检测应用是否存在该漏洞。在华为云企业主机安全HSS控制台，网页防篡改->防护列表页面，为所防护应用所在主机开启防护，开启防护页面，勾选“开启动态网页防篡改”。具体方法参见开启网页防篡改。 无法及时升级的用户，可参考官方建议将JndiLookup类从classpath中去除，并重启服务来进行风险规避： zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class 修复漏洞前请将资料备份，并进行充分测试。

相关术语说明 开源(open source) 即开放一类技术或一种产品的源代码，源数据，源资产，可以是各行业的技术或产品，其范畴涵盖文化、产业、法律、技术等多个社会维度。 开源软件(open source software) 允许用户直接访问源代码，通过开源许可协议将其复制、修改、再发布的权利向公众开放的计算机软件。 开源组件(open source component) 是开源软件系统中最小可识别且本身不再包含另外组件的、组件信息可在公共网站获取且可独立分发、开发过程中带有版本号并且可组装的软件实体。 开源许可证(open source license) 开源软件的版权持有人授予用户可以学习、修改开源软件，并向任何人或为任何目的分发开源软件的权利。 软件成分分析(Software Composition Analysis) 通过分析软件包含的一些信息和特征来实现对该软件的识别、管理、追踪的技术。 PE(Portable Executable) 是Windows系统下的可执行文件的标准格式。 ELF(Executable and Linkable Format) 是一种Unix或Linux系统下的可执行文件，目标文件，共享链接库和内核转储(core dumps)的标准文件格式。 APK(Android application package) 是Android操作系统使用的一种应用程序包文件格式，用于分发和安装移动应用及中间件。 HAP(HarmonyOS application package) 是鸿蒙操作系统使用的一种应用程序包文件格式，用于分发和安装移动应用及中间件。 CVE(Common Vulnerabilities and Exposures) 又称通用漏洞披露、常见漏洞与披露，是一个与信息安全有关的数据库，收集各种信息安全弱点及漏洞并给予编号以便于公众查阅。 CVSS(Common Vulnerability Scoring System) 通用漏洞评分系统，是一个行业公开标准，其被设计用来评测漏洞的严重程度，并帮助确定所需反应的紧急度和重要度，有CVSS 2.0、3.0、3.1标准。 固件(firmware) 是一种嵌入在硬件设备中的软件。 NVD National Vulnerability Database国家安全漏洞库。 CNVD China National Vulnerability Database国家信息安全漏洞共享平台。 CNNVD China National Vulnerability Database of Information Security国家信息安全漏洞库。 组件依赖 保证组件正确运行所依赖的必须加载的其他组件。

修复声明 为了防止客户遭遇不当风险，除漏洞背景信息、漏洞详情、漏洞原理分析、影响范围/版本/场景、解决方案以及参考信息等内容外，分布式消息服务RocketMQ版不提供有关漏洞细节的其他信息。 此外，分布式消息服务RocketMQ版为所有客户提供相同的信息，以平等地保护所有客户。分布式消息服务RocketMQ版不会向个别客户提供事先通知。 最后，分布式消息服务RocketMQ版不会针对产品中的漏洞开发或发布可利用的入侵代码（或“验证性代码”）。

None 如何使用容器安全服务 容器安全服务（Container Guard Service，CGS）是针对云容器引擎服务（CCE）集群进行安全防护和对容器镜像服务（SWR）镜像仓库中的镜像进行安全扫描的一种安全检测服务，同时提供容器进程白名单、文件只读保护和容器逃逸检测功能，有效防止容器运行时安全风险事件的发生。 本指南指导您快速上手容器安全服务。 Step1 开启集群防护 步骤 ① 登录华为云控制台。在控制台页面中选择“安全与合规> 容器安全服务”，购买容器安全配额。 ② 在左侧导航树中选择“防护列表”，在“集群列表”中单击“开启防护”，开启需要防护的集群。 ③ 在弹出的“开启防护“对话框中，勾选“我已阅读并同意《容器安全服务免责声明》”并单击“是”，完成开启防护操作。 说明 ① 开启集群防护时，若用户购买的包周期防护配额小于当前需要开启防护的集群节点个数，超出的集群节点将执行按需计费。 ② 集群开启防护后，如果集群新增了节点，容器安全服务将为新增的节点自动开启防护，并对新增的节点提供防护。 了解详细步骤 1 购买容器安全配额 2 集群列表 3 开启防护 单击图片可查看原图 Step2 查看本地镜像漏洞 步骤 ① 在左侧导航树中，选择“镜像安全”，单击“本地镜像漏洞”，进入本地镜像漏洞界面，查看本地镜像漏洞占比。 ② 查看TOP5风险的镜像。 ③ 查看受该漏洞的镜像。 说明 ① 用户开启集群防护后，容器安全服务自动对本地镜像执行安全扫描。 ② 针对已判断无风险或风险较小的漏洞，您可以忽略漏洞在所有镜像上的影响或者忽略漏洞在某一镜像上的影响。忽略漏洞后，镜像将不再统计该漏洞，但漏洞列表中仍可见。 了解详细步骤 1 漏洞占比 2 TOP5风险的镜像 3 漏洞列表 单击图片可查看原图 Step3 扫描私有镜像并查看漏洞报告 步骤 ① 在左侧导航树中，选择“镜像列表”，单击“私有镜像仓库”，进入私有镜像仓库页面。 ② 单击镜像名称，展开镜像版本列表，在操作列，单击“安全扫描”。 ③ 在弹出的“安全扫描”对话框中，单击“确定”，启动扫描任务。 ④ 扫描完成后，单击漏洞报告，查看镜像上存在的漏洞。 说明 ① 容器安全服务每日凌晨对私有镜像执行一次全面的安全检测。 ② 用户也可以单击镜像版本，进入镜像详情页面，查看镜像的基本信息、漏洞报告、关联策略、恶意文件、软件信息、文件信息和基线检查；并根据解决方案修复有安全风险的镜像。 了解详细步骤 1 镜像列表 2 安全扫描 3 漏洞报告 单击图片可查看原图 Step4 查看运行时安全 步骤 ① 在左侧导航树中，选择“运行时安全”，进入运行时安全界面。 ② 查看异常趋势图。 ③ 查看异常事件列表。 说明 ① 容器安全服务实时监控容器集群中运行的容器，用户可随时查看容器异常事件详情。 ② 容器安全服务提供逃逸检测、高危系统调用、异常进程检测、文件异常检测和容器环境检测。 了解详细步骤 1 异常趋势图 2 异常事件列表 单击图片可查看原图 Step5 （可选）配置安全策略 步骤 ① 在左侧导航树中，选择“安全配置”，单击“添加策略”。 ② 在弹出的“添加策略”对话框中，配置策略内容并单击“确定”，完成添加策略操作。 ③ 添加完成后，将添加的策略规则应用到关联的镜像。 说明 用户也可在镜像列表，单击需要添加策略的镜像，进入该镜像详情页面，选择关联策略，为该镜像应用策略。 了解详细步骤 1 添加策略 2 配置策略内容 3 选择关联的镜像 单击图片可查看原图

与Web应用防火墙的主要区别 云防火墙和Web应用防火墙是华为云推出的两款不同的产品，为您的互联网边界和VPC边界、Web服务提供防护。 WAF和CFW的主要区别说明如表 CFW和WAF的主要区别说明所示。 表1 CFW和WAF的主要区别说明 类别 云防火墙 Web应用防火墙 定义 云防火墙（Cloud Firewall，CFW）是新一代的云原生防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 有关Web应用防火墙的详细介绍，请参见什么是Web应用防火墙。 防护对象 弹性公网IP和VPC边界。 支持对Web攻击的基础防护。 支持外部入侵和主动外联的流量防护。 针对域名或IP，华为云、非华为云或云下的Web业务。 支持对Web攻击的全面防护。 功能特性 资产管理与入侵防御：对已开放公网访问的服务资产进行安全盘点，进行实时入侵检测与防御。 访问控制：支持互联网边界访问流量的访问控制。 流量分析与日志审计：VPC间流量全局统一访问控制，全流量分析可视化，日志审计与溯源分析。 SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击防护。

云防火墙与Web应用防火墙有什么区别？ 云防火墙和Web应用防火墙是华为云推出的两款不同的产品，为您的互联网边界和VPC边界、Web服务提供防护。 WAF和CFW的主要区别说明如表 CFW和WAF的主要区别说明所示。 表1 CFW和WAF的主要区别说明 类别 云防火墙 Web应用防火墙 定义 云防火墙（Cloud Firewall，CFW）是新一代的云原生防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 有关Web应用防火墙的详细介绍，请参见什么是Web应用防火墙。 防护对象 弹性公网IP和VPC边界。 支持对Web攻击的基础防护。 支持外部入侵和主动外联的流量防护。 针对域名或IP，华为云、非华为云或云下的Web业务。 支持对Web攻击的全面防护。 功能特性 资产管理与入侵防御：对已开放公网访问的服务资产进行安全盘点，进行实时入侵检测与防御。 访问控制：支持互联网边界访问流量的访问控制。 流量分析与日志审计：VPC间流量全局统一访问控制，全流量分析可视化，日志审计与溯源分析。 SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击防护。

修复声明 为了防止客户遭遇不当风险，除漏洞背景信息、漏洞详情、漏洞原理分析、影响范围/版本/场景、解决方案以及参考信息等内容外，分布式消息服务RabbitMQ版不提供有关漏洞细节的其他信息。 此外，分布式消息服务RabbitMQ版为所有客户提供相同的信息，以平等地保护所有客户。分布式消息服务RabbitMQ版不会向个别客户提供事先通知。 最后，分布式消息服务RabbitMQ版不会针对产品中的漏洞开发或发布可利用的入侵代码（或“验证性代码”）。

事前：安全加固 配置安全基线 HSS每日凌晨自动检测系统中关键软件的配置风险并给出详细的加固方法。您可以根据给出的加固建议，正确处理主机内的各种风险配置信息。 风险等级分为“高危”、“中危”和“低危”。 建议您优先修复“威胁等级”为“高危”的关键配置，根据业务实际情况修复威胁等级为“中危”或“低危”的关键配置，忽略可信任的配置项。 HSS支持检测的软件类型：Tomcat、SSH、Nginx、Redis、Apache 2、MySQL 5。 在页面左上角选择“区域”，单击，选择“安全与合规 > 主机安全（新版）”，进入主机安全（新版）平台界面。 选择“风险预防 > 基线检查 > 配置检查”页签，查看配置检查详情。 图1 进入配置检查页面 单击基线名称，进入基线检查详情页面，单击目标检查项“操作”列的“检测详情”，您可以根据“审计描述”验证检测结果，根据“修改建议”处理主机中的异常信息，从而加固配置基线。 图2 查看检查详情 完成配置项的修复后，建议您立即执行手动检测，查看配置项修复结果。 如果您未进行手动验证，HSS会在次日凌晨执行自动验证。自动验证完成后，您可查看配置项修复结果。 加固弱密码 HSS每日凌晨自动检测主机中使用的经典弱口令和您添加的自定义弱口令。您可以根据检测出的弱口令对应的弹性云服务器名称、账号名、账号类型和弱口令使用时长，加固弱密码。 HSS支持检测MySQL、FTP及系统账号的弱口令。 在页面左上角选择“区域”，单击，选择“安全与合规 > 主机安全（新版）”，进入主机安全（新版）平台界面。 选择“风险预防 > 基线检查 > 配置检查”页签，查看经典弱口令检测。 图3 进入经典弱口令检测页 自定义弱口令。进入“策略管理”页面，配置指定策略组的“弱口令检测”，添加自定义弱口令。 图4 自定义弱口令 完成弱密码加固后，建议您立即执行手动检测，查看弱密码加固结果。 如果您未进行手动验证，HSS会在次日凌晨执行自动验证。自动验证完成后，您可查看弱密码加固结果。 进入“告警通知”页面，勾选“告警等级”的所有选项，一旦检测出弱口令，您将会收到告警通知。 图5 设置告警 修复漏洞 HSS每日凌晨自动进行一次全面的检测，“漏洞管理”通过订阅官方更新，判断服务器上的补丁是否已经更新，并推送官方补丁，将结果上报至管理控制台，并为您提供漏洞告警。帮助您及时发现漏洞，并在不影响业务的情况下修复漏洞、更新补丁。 漏洞修复紧急程度分为“需尽快修复”、“可延后修复”和“暂可不修复”。 建议您优先修复“需尽快修复”的漏洞，根据业务实际情况修复“可延后修复”或“暂可不修复”的漏洞，忽略无需修复的漏洞。 在页面左上角选择“区域”，单击，选择“安全与合规 > 主机安全（新版）”，进入主机安全（新版）平台界面。 选择“风险预防 > 漏洞管理”，进入“漏洞管理”页面，选择“Linux软件漏洞管理”、“Windows系统漏洞管理”或者“Web-CMS漏洞管理”不同页签查看漏洞详情。 图6 查看漏洞详情 漏洞修复。 单击目标漏洞操作列的处理，进入漏洞处理页面，可对目标漏洞进行修复或忽略。 勾选多个目标，单击忽略，可进行忽略处理。 修复漏洞后，您可以单击“验证”，一键验证该漏洞是否已修复成功。 若您未进行手动验证，主机防护每日凌晨进行全量检测，您修复后需要等到次日凌晨检测后才能查看修复结果。 进入“告警通知”页面，勾选“告警等级”的所有选项，一旦检测出紧急漏洞（需尽快修复），您将会收到告警通知。 图7 设置告警

修复声明 为了防止客户遭遇不当风险，除漏洞背景信息、漏洞详情、漏洞原理分析、影响范围/版本/场景、解决方案以及参考信息等内容外，分布式消息服务Kafka版不提供有关漏洞细节的其他信息。 此外，分布式消息服务Kafka版为所有客户提供相同的信息，以平等地保护所有客户。分布式消息服务Kafka版不会向个别客户提供事先通知。 最后，分布式消息服务Kafka版不会针对产品中的漏洞开发或发布可利用的入侵代码（或“验证性代码”）。

HSS与VSS、WAF有什么区别？ 华为云提供的HSS、VSS、WAF服务，帮助您全面从主机、网站、Web应用等层面防御风险和威胁，提升系统安全指数。建议三个服务搭配使用。 表1 HSS、VSS、WAF的区别 服务名称 所属分类 防护对象 功能差异 企业主机安全（HSS） 主机安全 提升主机整体安全性。 资产管理 漏洞管理 入侵检测 基线检查 网页防篡改 漏洞扫描服务（VSS） 应用安全 提升网站整体安全性。 多元漏洞检测 网页内容检测 网站健康检测 基线合规检测 Web应用防火墙（WAF） 应用安全 保护Web应用程序的可用性、安全性。 Web基础防护 CC攻击防护 精准访问防护

产品优势 移动应用安全 扫描速度快：整个检测为分钟级，综合检测报告产出效率高。 能力更新快：针对新风险响应迅速，从解读到检测规则到发布上线，按天更新推进。 检测能力强：隐私解析集成CV图形学算法、OCR、NLP等多领域技术，提供精确的隐私行为一致性检测能力。 覆盖范围全：支持100+基础安全问题、30+隐私合规问题，提供详细的检测结果及修复建议。 代码检查 专业 提供近2000条华为典型检查规则。 提供多维度质量统计报表，包括质量门禁和代码健康度徽标等。 精准 精确定位缺陷，提供修复指导。 支持用户自定义检查规则集，精准检查用户关注缺陷。 全面 支持Java/C#/JS等10种主流开发语言。 支持代码规范检查、安全检查、代码重复率和圈复杂度检查。 兼容CWE/OWASP TOP 10/SANS TOP 25/MISRA/CERT安全标准。 易用 支持多种语言混合检查。 配置任务一键执行，批量过滤缺陷，分级分类快速处理。 漏洞扫描 扫描全面 涵盖多种类型资产扫描，支持云内外网站、主机漏洞、二进制成分分析和移动应用安全，智能关联各资产，自动发现资产指纹信息，避免扫描盲区。 简单易用 配置简单，一键全网扫描。可自定义扫描事件，分类管理资产安全，让运维工作更简单，风险状况更清晰了然。 高效精准 采用Web2.0智能爬虫技术，内部验证机制不断自测和优化，提高检测准确率。 时刻关注业界紧急CVE爆发漏洞情况，自动扫描，快速了解资产安全风险。 快速排查用户软件包/固件中的开源软件、安全配置等风险。 报告全面 清晰简洁的扫描报告，多角度分析资产安全风险，多元化数据呈现，将安全数据智能分析和整合，使安全现状清晰明了。

HSS与VSS、WAF有什么区别？ 华为云提供的HSS、VSS、WAF服务，帮助您全面从主机、网站、Web应用等层面防御风险和威胁，提升系统安全指数。建议三个服务搭配使用。 表1 HSS、VSS、WAF的区别 服务名称 所属分类 防护对象 功能差异 企业主机安全（HSS） 主机安全 提升主机整体安全性。 资产管理 漏洞管理 入侵检测 基线检查 网页防篡改 漏洞扫描服务（VSS） 应用安全 提升网站整体安全性。 多元漏洞检测 网页内容检测 网站健康检测 基线合规检测 Web应用防火墙（WAF） 应用安全 保护Web应用程序的可用性、安全性。 Web基础防护 CC攻击防护 精准访问防护

HSS与VSS、WAF有什么区别？ 华为云提供的HSS、VSS、WAF服务，帮助您全面从主机、网站、Web应用等层面防御风险和威胁，提升系统安全指数。建议三个服务搭配使用。 表1 HSS、VSS、WAF的区别 服务名称 所属分类 防护对象 功能差异 主机安全（HSS） 主机安全 提升主机整体安全性。 资产管理 漏洞管理 入侵检测 基线检查 网页防篡改 漏洞扫描服务（VSS） 应用安全 提升网站整体安全性。 多元漏洞检测 网页内容检测 网站健康检测 基线合规检测 Web应用防火墙（WAF） 应用安全 保护Web应用程序的可用性、安全性。 Web基础防护 CC攻击防护 精准访问防护

事前：安全加固 配置安全基线 HSS每日凌晨自动检测系统中关键软件的配置风险并给出详细的加固方法。您可以根据给出的加固建议，正确处理主机内的各种风险配置信息。 风险等级分为“高危”、“中危”和“低危”。 建议您优先修复“威胁等级”为“高危”的关键配置，根据业务实际情况修复威胁等级为“中危”或“低危”的关键配置，忽略可信任的配置项。 HSS支持检测的软件类型：Tomcat、SSH、Nginx、Redis、Apache 2、MySQL 5。 在页面左上角选择“区域”，单击，选择“安全与合规 > 企业主机安全”，进入企业主机安全平台界面。 在界面左上角单击“体验新版”，进入云工作负载保护平台（主机安全+容器安全）页面。 选择“风险预防 > 基线检查 > 配置检查”页签，查看配置检查详情。 图1 进入配置检查页面 单击基线名称，进入基线检查详情页面，单击目标检查项“操作”列的“检测详情”，您可以根据“审计描述”验证检测结果，根据“修改建议”处理主机中的异常信息，从而加固配置基线。 图2 查看检查详情 完成配置项的修复后，建议您立即执行手动检测，查看配置项修复结果。 如果您未进行手动验证，HSS会在次日凌晨执行自动验证。自动验证完成后，您可查看配置项修复结果。 加固弱密码 HSS每日凌晨自动检测主机中使用的经典弱口令和您添加的自定义弱口令。您可以根据检测出的弱口令对应的弹性云服务器名称、账号名、账号类型和弱口令使用时长，加固弱密码。 HSS支持检测MySQL、FTP及系统账号的弱口令。 在页面左上角选择“区域”，单击，选择“安全与合规 > 企业主机安全”，进入企业主机安全平台界面。 在界面左上角单击“体验新版”，进入云工作负载保护平台（主机安全+容器安全）页面。 选择“风险预防 > 基线检查 > 配置检查”页签，查看经典弱口令检测。 图3 进入经典弱口令检测页 自定义弱口令。进入“策略管理”页面，配置指定策略组的“弱口令检测”，添加自定义弱口令。 图4 自定义弱口令 完成弱密码加固后，建议您立即执行手动检测，查看弱密码加固结果。 如果您未进行手动验证，HSS会在次日凌晨执行自动验证。自动验证完成后，您可查看弱密码加固结果。 进入“告警通知”页面，勾选“告警等级”的所有选项，一旦检测出弱口令，您将会收到告警通知。 图5 设置告警 修复漏洞 HSS每日凌晨自动进行一次全面的检测，“漏洞管理”通过订阅官方更新，判断服务器上的补丁是否已经更新，并推送官方补丁，将结果上报至管理控制台，并为您提供漏洞告警。帮助您及时发现漏洞，并在不影响业务的情况下修复漏洞、更新补丁。 漏洞修复紧急程度分为“需尽快修复”、“可延后修复”和“暂可不修复”。 建议您优先修复“需尽快修复”的漏洞，根据业务实际情况修复“可延后修复”或“暂可不修复”的漏洞，忽略无需修复的漏洞。 在页面左上角选择“区域”，单击，选择“安全与合规 > 企业主机安全”，进入企业主机安全平台界面。 在界面左上角单击“体验新版”，进入云工作负载保护平台（主机安全+容器安全）页面。 选择“风险预防 > 漏洞管理”，进入“漏洞管理”页面，选择“Linux软件漏洞管理”、“Windows系统漏洞管理”或者“Web-CMS漏洞管理”不同页签查看漏洞详情。 图6 查看漏洞详情 漏洞修复。 单击目标漏洞操作列的处理，进入漏洞处理页面，可对目标漏洞进行修复或忽略。 勾选多个目标，单击忽略，可进行忽略处理。 修复漏洞后，您可以单击“验证”，一键验证该漏洞是否已修复成功。 若您未进行手动验证，主机防护每日凌晨进行全量检测，您修复后需要等到次日凌晨检测后才能查看修复结果。 进入“告警通知”页面，勾选“告警等级”的所有选项，一旦检测出紧急漏洞（需尽快修复），您将会收到告警通知。 图7 设置告警

成长地图 | 华为云 云防火墙 云防火墙（Cloud Firewall，CFW）是新一代的云原生防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。 产品介绍 立即使用 成长地图 由浅入深，带您玩转CFW 云防火墙 01 了解 了解华为云云防火墙的功能特性和应用场景，有助于您更准确地选择所需版本，让您的云上业务安全无忧。 产品介绍 什么是云防火墙 功能特性 应用场景 服务版本差异 03 入门 购买CFW后，您可以将您的弹性公网IP信息同步至CFW即开启CFW防护，并根据您的业务场景配置适用的防护策略。 开启防护 开启CFW防护 配置防护策略 配置访问控制策略 编辑防护规则 05 实践 使用CFW进行日常的云上边界防护，助您轻松发现并处理安全风险。 防护配置最佳实践 开启弹性公网IP防护 配置访问控制策略 02 购买 根据业务的实际需求情况，您可以灵活选择CFW的服务版本。 服务规格 服务版本 购买方式 如何购买 04 使用 根据业务发展需要，您可以配置入侵防御策略、扩容弹性公网IP防护个数、添加黑/白名单。您还可以实时查看防护日志，分析防护事件数据，以便及时调整防护策略，更好的防护您的云上业务。 常用操作 配置入侵防御策略 扩容弹性公网IP的防护个数 添加黑/白名单 日志审计 添加IP地址组 添加服务组 常见问题 了解更多常见问题、案例和解决方案 热门案例 云防火墙支持哪些区域？ 云防火墙可以跨区域使用吗？ 云防火墙与Web应用防火墙有什么区别？ 云防火墙可以跨账号使用吗？ 单条流量超速，需要升级带宽吗？ 通过日志审计功能可查看哪些信息？ Apache Log4j 远程代码漏洞攻击，华为云云防火墙如何启用防御？ 更多 产品咨询 云防火墙支持哪些区域？ 云防火墙可以跨区域使用吗？ 云防火墙与Web应用防火墙有什么区别？ 云防火墙支持线下服务器吗？ 购买华为旁路引擎，可以切换为山石引擎吗？ 更多 网络流量 流量分析功能有哪些？ 云防火墙数据流量怎么统计？ 单条流量超速，需要升级带宽吗？ 更多 功能 云防火墙支持哪些维度的访问控制？ 通过日志审计功能可查看哪些信息？ 云防火墙攻击日志，为什么显示还未纳入防护的EIP 更多 故障排查 Apache Log4j 远程代码漏洞攻击，华为云云防火墙如何启用防御？ Spring Framework远程代码漏洞攻击，华为云云防火墙如何启用防御？ 流量分析页面发现流量日志和攻击日志不全怎么办？ 更多 技术专题 技术、观点、课程专题呈现 华为云助你甩掉90%安全烦恼 介绍华为云重点安全服务、关键特性和应用实践 安全侠助你过等保 介绍华为云等保安全服务的优势和流程 云安全的可信之路 介绍华为云安全发展路线和未来计划 智能客服 您好！我是有问必答知识渊博的的智能问答机器人，有问题欢迎随时求助哦！ 社区求助 华为云社区是华为云用户的聚集地。这里有来自容器服务的技术牛人，为您解决技术难题。

扫描的安全漏洞告警如何分析定位? 针对移动扫描的安全漏洞，如何通过报告提供的信息进行分析、定位、修复？检测结果提供了如下信息： 报告提供了问题代码信息，包括文件名及其路径，可以通过该信息快速定位到问题文件。 针对部分检测问题，如签名安全检测告警，无具体问题文件显示。 漏洞特征信息，主要为安全漏洞所涉及的函数代码。 安全漏洞修复建议，结合上述代码信息确定具体告警位置，分析漏洞告警是否确认为安全漏洞。

扫描的安全漏洞告警如何分析定位? 针对移动扫描的安全漏洞，如何通过报告提供的信息进行分析、定位、修复？检测结果提供了如下信息： 报告提供了问题代码信息，包括文件名及其路径，可以通过该信息快速定位到问题文件。 针对部分检测问题，如签名安全检测告警，无具体问题文件显示。 漏洞特征信息，主要为安全漏洞所涉及的函数代码。 安全漏洞修复建议，结合上述代码信息确定具体告警位置，分析漏洞告警是否确认为安全漏洞。

云容器引擎-成长地图 | 华为云 容器安全服务 容器安全服务（Container Guard Service，CGS）能够扫描镜像中的漏洞与配置信息，帮助企业解决传统安全软件无法感知容器环境的问题；同时提供容器进程白名单、文件只读保护和容器逃逸检测功能，有效防止容器运行时安全风险事件的发生。 产品介绍 立即使用 成长地图 由浅入深，带您玩转CGS 01 了解 容器安全服务（Container Guard Service，CGS）能够扫描容器镜像中的漏洞，以及提供容器安全策略设置和防逃逸功能。 产品介绍 什么是CGS 功能介绍 03 入门 购买容器安全配额后，您可以参照开启集群防护和添加策略，快速防护节点上运行的容器和镜像安全。 开启集群防护 服务授权 开启集群防护 容器防逃逸 安全配置 查看容器异常监控结果 02 购买 根据业务的实际情况，您可灵活购买容器安全配额，对云容器引擎（CCE）中创建的集群进行防护。 快速购买 购买容器安全配额 购买方式 如何续费 如何退订 按需计费 04 使用 开启集群防护和配置安全策略后，您可以根据业务需求配置镜像的策略、根据漏洞修复紧急度修复报告。您还可以查看容器是否违反了安全策略或存在逃逸行为，并根据结果调整安全策略。 常用操作 开启集群防护 关闭集群防护 查看容器异常监控结果 查看防护列表 安全配置 镜像安全 管理本地镜像漏洞 管理私有镜像仓库漏洞 管理官方镜像仓库漏洞 查看恶意文件检测详情 查看基线检查详情 管理镜像策略 管理本地镜像的策略 管理私有镜像的策略 管理官方镜像的策略 常见问题 了解更多常见问题、案例和解决方案 热门案例 什么是容器安全服务？ 什么是容器安全的服务授权？ 哪些区域可以使用容器安全服务？ CGS创建委托失败的原因？ 镜像、容器、应用的关系是什么？ 容器集群节点的Shield状态离线如何处理？ 添加策略 如何为容器安全配额续费？ 如何退订容器安全配额？ 如何查看私有镜像的恶意文件？ 更多 镜像安全 查看本地镜像漏洞 查看私有镜像仓库漏洞 查看官方镜像仓库漏洞 查看私有镜像仓库恶意文件 更多 计费类 如何为容器安全配额续费？ 如何退订容器安全配额？ 什么是容器安全服务的按需计费？ 更多 技术专题 技术、观点、课程专题呈现 runc逃逸漏洞 面对runc逃逸漏洞，华为云容器为您保驾护航 上榜全球权威报告！华为云容器安全是这样做到的 了解容器安全服务架构、功能特性。 云容器引擎新手学堂 从基础理论入手，到实际上手操作，用6节课的时间助力学习云容器引擎CCE。 智能客服 您好！我是有问必答知识渊博的的智能问答机器人，有问题欢迎随时求助哦！ 社区求助 华为云社区是华为云用户的聚集地。这里有来自容器服务的技术牛人，为您解决技术难题。

提示主机有挖矿行为怎么办？ 收到告警事件通知说明您的云服务器被攻击过，不代表已经被破解入侵。 您可在收到告警后，及时对告警进行分析、排查，采取相应的防护措施即可。 当主机提示有挖矿行为时： 建议备份数据，关闭不必要的端口。 增强主机密码。 使用企业主机安全服务（HSS），HSS提供账户破解防护、异地登录检测恶意程序检测、网站后门检测等入侵检测功能，以及软件漏洞、一键查杀恶意程序或修复系统漏洞等功能。

操作步骤 登录管理控制台。 选择“服务列表 >安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务管理控制台。 在左侧导航栏，单击二进制成分分析。 在“二进制成分分析”页面，可看到全部添加过的任务。 单击对应任务操作列的“报告”，如图1所示。 单击“任务名称”也可以进入扫描报告页面。 图1 进入成分分析扫描报告入口 进入扫描报告查看页面，各栏目说明如表1所示。 当扫描任务成功完成后，单击右上角的“生成PDF报告”或“生成Excel报告”，生成扫描报告后，单击右上角的“导出PDF”，可以下载报告。 表1 详情总览说明 栏目 说明 任务概况 显示目标任务的基本信息，包括： 查看文件名、文件大小、平台版本、特征库版本等基本信息。 显示目标任务的组件检测、安全漏洞、安全配置、许可协议、信息泄露等检测概况，包括： 组件检测：被扫描的软件包所有的组件数量，有漏洞、未知版本和无漏洞组件数量占比。 安全漏洞：超危、高危、中危、低危各个级别漏洞数量占比。 安全配置：展示通过、失败、不涉及的检测结果数量占比。 许可协议：展示数量排名前六的漏洞使用许可。 信息泄露：展示各检测结果数量分布。 开源漏洞分析 显示扫描任务中的每个组件的组件名、组件版本、许可协议、包含文件数以及存在漏洞数。 组件名称和漏洞数可按升降序查看。 可按组件类别、组件名称对组件列表进行筛选查看。 安全配置检查 显示凭据管理、认证问题和会话管理的检测项目、级别、检测结果。 密钥和信息泄露 显示IP、硬编码密码、弱口令、Git地址、SVN地址和硬编码密钥的检测结果。 在“开源漏洞分析”页签查看软件包的每个组件的漏洞。 如果检测结果存在漏洞或者风险，可单击“组件名称”列，查看详细信息。 单击“对象路径”，可以查看文件对象路径详细信息。 单击“CVE”漏洞名称可以查看相应漏洞的“漏洞详情”、“漏洞简介”、“解决方案”、“漏洞修复参考”、“参考链接”。 在“安全配置”页签查看凭据管理、认证问题和会话管理对应检测项目的检测结果。 图2 安全配置检查结果 在“密钥和信息泄露”页签查看对应检测项目的检测结果。 图3 密钥和信息泄露检测结果

态势感知的数据来源是什么？ 态势感知基于云上威胁数据和华为云服务采集的威胁数据，通过大数据挖掘和机器学习，分析并呈现威胁态势，并提供防护建议。数据主要来源如下： 来源一：全网流量数据，以及安全防护设备日志等信息。 来源二：华为云安全防护服务上报的告警数据。例如，企业主机安全（Host Security Service，HSS）、DDoS高防（Advanced Anti-DDoS，AAD）、漏洞扫描服务（Vulnerability Scan Service，VSS）、Web应用防火墙（Web Application Firewall，WAF）等。 态势感知通过对多方面的安全数据的分析，为安全事件的处置决策提供依据，实时为呈现完整的全网攻击态势。详细说明请参见态势感知工作原理。

CVE-2020-8554的漏洞公告 发布时间：2020/12/09 针对社区近期公布的CVE-2020-8554漏洞，对于单集群内多个用户共享使用的场景，如果将Pod和Service的创建和更新权限授予不信任的用户易受此漏洞的影响。建议您检查所有使用externalIP和loadBalancerIP的Service，确认是否有可疑的Service。 该问题由Kubernetes软件的设计缺陷导致，开源社区的长期修复方案还在讨论中，当前您可以通过限制externalIP的使用或限制LoadBalancerIP的使用进行防范。 详情请参见Kubernetes安全漏洞公告（CVE-2020-8554）。

功能总览 功能总览 全部 主机安全服务 资产指纹管理 基线检查 漏洞管理 容器镜像安全 应用防护 入侵检测 未防护资产的免费体检 恶意程序隔离查杀 勒索病毒防护 文件隔离箱管理 文件完整性管理 自定义安全策略 动静态网页防篡改 特权进程可修改防篡改文件 双因子认证 SSH登录IP白名单 常用登录地/IP 告警白名单管理 告警通知 主机分类管理 订阅安全报告 Agent批量安装 主机安全服务 主机安全服务（Host Security Service，HSS）是以工作负载为中心的安全产品，旨在解决现代混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。它集成了主机安全、容器安全和网页防篡改。 发布区域：全部。 HSS版本功能特性 应用场景 资产指纹管理 可深度扫描出主机中的账号、端口、进程、Web目录、软件信息和自启动任务，在“资产管理”界面，您可以统一管理主机中的信息资产。 发布区域：全部。 查看资产指纹详情 历史变动记录 基线检查 HSS提供基线检查功能，主动检测主机中的口令复杂度策略，关键软件中含有风险的配置信息，并针对所发现的风险为您提供修复建议，帮助您正确地处理服务器内的各种风险配置信息。 发布区域：全部。 查看基线检查详情 管理基线检查策略 基线检查风险修复建议 漏洞管理 HSS提供漏洞管理功能，检测Linux漏洞、Windows漏洞、Web-CMS漏洞、应用漏洞，提供漏洞概览，包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5，帮助您实时了解主机漏洞情况。 发布区域：全部。 查看漏洞详情 漏洞修复与验证 容器镜像安全 扫描镜像仓库与正在运行的容器镜像，发现镜像中的漏洞、恶意文件等并给出修复建议，帮助您得到一个安全的镜像。 发布区域：全部。 容器镜像漏洞 镜像恶意文件 镜像基线检查 应用防护 为运行时的应用提供安全防御。您无需修改应用程序文件，只需将探针注入到应用程序，即可为应用提供强大的安全防护能力。 当前只支持操作系统为Linux的服务器，且仅支持Java应用接入。 发布区域：全部。 开启应用防护 应用防护管理 关闭应用防护 入侵检测 HSS支持账户暴力破解、进程异常、网站后门、异常登录、恶意进程等入侵检测能力，用户可通过事件管理全面了解入侵检测告警事件，帮助用户及时发现资产中的安全威胁、实时掌握资产的安全状态。 企业主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况，包括存在告警的服务器、待处理告警事件、未处理告警事件、已拦截IP和已隔离文件。 事件管理列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，对告警进行“手动处理”、“忽略”、”加入告警白名单”或者“隔离查杀”，自行判断并处理告警，快速清除资产中的安全威胁。 发布区域：全部。 查看和处理入侵告警事件 主机安全告警事件概述 容器安全告警事件概述 查看和处理容器告警事件 未防护资产的免费体检 对未开启防护的主机提供每周一次的免费扫描体检，针对频繁出现的漏洞、口令、资产风险生成安全报告供查看。 发布区域：全部。 未防护资产的免费体检 恶意程序隔离查杀 HSS采用先进的AI、机器学习等技术，并集成多种杀毒引擎，深度查杀主机中的恶意程序。 开启“恶意程序隔离查杀”后，HSS对识别出的后门、木马、蠕虫等恶意程序，提供自动隔离查杀功能，帮助用户自动识别处理系统存在的安全风险。 若未开启“恶意程序隔离查杀”功能，则HSS检测到恶意程序时，不会自动隔离查杀，仅会触发告警。您可以在“入侵检测”的“事件管理”中，查看“恶意程序（云查杀）”中的告警信息，并对恶意程序手动执行“隔离查杀”。 发布区域：全部。 开启恶意程序隔离查杀 仅旗舰版支持 勒索病毒防护 实时监控全盘新增文件及运行中的进程，有效把控新增文件的风险，动态生成诱饵文件进行主动诱捕，精准识别勒索软件，同时可自定义策略对服务器进行定期备份。 发布区域：全部。 开启勒索病毒防护 防护策略管理 关闭防护管理 仅旗舰版支持 文件隔离箱管理 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中，无法对主机造成威胁。被成功隔离的文件一直保留在文件隔离箱中，您也可以根据自己的需要进行一键恢复。 发布区域：全部。 管理文件隔离箱 仅旗舰版支持 文件完整性管理 文件完整性管理可以检查操作系统、应用程序软件和其他组件的文件，确定它们是否发生了可能遭受攻击的更改，同时，能够帮助用户通过PCI-DSS等安全认证。文件完整性管理功能是使用对比的方法来确定当前文件状态是否不同于上次扫描该文件时的状态，利用这种对比来确定文件是否发生了有效或可疑的修改。 文件完整性管理会验证Linux文件的完整性，并管理针对文件执行的活动，包括： 1、文件的创建与删除。 2、文件的修改（文件大小、访问控制列表和内容哈希的更改）。 发布区域：全部。 查看云服务器变更详情 查看历史变更文件 仅旗舰版支持 自定义安全策略 HSS旗舰版提供灵活的策略管理能力，用户可以根据需要自定义安全检测规则，并可以为不同的主机组或主机应用不同的策略，以满足不同应用场景的主机安全需求。 发布区域：全部。 查看策略组 创建策略组 修改策略内容 仅网页防篡改版支持 动静态网页防篡改 静态网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 支持对Windows和Linux进程添加白名单。网页防篡改功能将不对加入白名单的进程进行拦截。 动态网页防篡改提供tomcat应用运行时自我保护，能够检测针对数据库等动态数据的篡改行为。 发布区域：全部。 定时开启网页防篡改 开启动态网页防篡改 查看网页防篡改报告 仅网页防篡改版支持 特权进程可修改防篡改文件 开启网页防篡改防护后，防护目录中的内容是只读状态，如果您需要修改防护目录中的文件或更新网站，可以添加特权进程。 通过这个特权进程去修改防护目录里的文件或者更新网站，修改才会生效。若没有添加特权进程 ，网页防篡改仅防护原来的文件或者网站，即使修改了内容，文件或者网站也会恢复到原来的状态，修改不会生效。 特权进程可以访问被防护的目录，请确保特权进程安全可靠。 发布区域：全部。 添加防护目录 双因子认证 双因子认证功能是一种双因素身份验证机制，结合短信/邮箱验证码，对云服务器登录行为进行二次认证，极大地增强云服务器账户安全性。 开启双因子认证功能后，登录弹性云服务器时，主机安全服务将根据绑定的“消息通知服务主题”验证登录者的身份信息。 发布区域：全部。 开启双因子认证 SSH登录IP白名单 SSH登录IP白名单功能是防护账户爆破的一个重要方式，主要是限制需要通过SSH登录的服务器。 配置了白名单的服务器，只允许白名单内的IP通过SSH登录到服务器，拒绝白名单以外的IP： 1、启用该功能时请确保将所有需要发起SSH登录的IP地址都加入白名单中，否则您将无法SSH远程登录您的服务器。 若您的业务需要访问主机，但不需要SSH登录，则可以不用添加到白名单。 2、IP加入白名单后，账户破解防护功能将不再对来自白名单中的IP登录行为进行拦截，该IP对您加入白名单的服务器登录访问将不受任何限制，请谨慎操作。 发布区域：全部。 配置SSH登录IP白名单 常用登录地/IP 配置常用登录地/IP后，企业主机安全服务将对非常用地/IP登录主机的行为进行告警。每个主机可被添加在多个登录地中。 发布区域：全部。 配置常用登录地 配置常用登录IP 告警白名单管理 可以通过加入告警白名单避免大量告警误报的发生，提升安全事件告警质量。将当前告警事件加入告警白名单后，当再次发生相同的告警时不再进行告警。 发布区域：全部。 配置登录白名单 管理告警白名单 告警通知 开启告警通知功能后，您能接收到企业主机安全服务发送的告警通知，及时了解主机/网页内的安全风险。否则，无论是否有风险，您都只能登录管理控制台自行查看，无法收到报警信息。 告警通知设置仅在当前区域生效，若需要接收其他区域的告警通知，请切换到对应区域后进行设置。 发布区域：全部。 开启告警通知 主机分类管理 您可以创建服务器组，并将主机分配到服务器组，将主机进行分类管理。 您户可以根据创建的服务器组，查看该服务器组内的服务器数量、有风险服务器的数量、以及未防护的服务器数量。 发布区域：全部。 管理服务器组 订阅安全报告 主机安全支持订阅日报、周报、月报和自定义，展现不同周期主机安全趋势以及关键安全事件与风险，订阅报告将为您保存6个月，以满足等保测评以及审计的需要。 订阅主机安全报告 创建安全报告 Agent批量安装 指导您完成服务器Agent的批量安装操作，创建批量安装后系统将自动执行Agent安装操作，安装后才可以对目标服务器开启防护。 发布区域：全部。 批量安装Agent

态势感知的数据来源是什么？ 态势感知基于云上威胁数据和华为云服务采集的威胁数据，通过大数据挖掘和机器学习，分析并呈现威胁态势，并提供防护建议。 一方面采集全网流量数据，以及安全防护设备日志等信息，通过大数据智能AI分析采集的信息，呈现资产的安全状况，并生成相应的威胁告警。 另一方面汇聚企业主机安全（Host Security Service，HSS）、DDoS高防（Advanced Anti-DDoS，AAD）、漏洞扫描服务（Vulnerability Scan Service，VSS）、Web应用防火墙（Web Application Firewall，WAF）等安全防护服务上报的告警数据，从中获取必要的安全事件记录，进行大数据挖掘和机器学习，智能AI分析并识别出攻击和入侵，帮助用户了解攻击和入侵过程，并提供相关的防护措施建议。 态势感知通过对多方面的安全数据的分析，为安全事件的处置决策提供依据，实时为呈现完整的全网攻击态势。 详细说明请参见态势感知工作原理。

态势感知的数据来源是什么？ 态势感知基于云上威胁数据和华为云服务采集的威胁数据，通过大数据挖掘和机器学习，分析并呈现威胁态势，并提供防护建议。 一方面采集全网流量数据，以及安全防护设备日志等信息，通过大数据智能AI分析采集的信息，呈现资产的安全状况，并生成相应的威胁告警。 另一方面汇聚企业主机安全（Host Security Service，HSS）、DDoS高防（Advanced Anti-DDoS，AAD）、漏洞扫描服务（Vulnerability Scan Service，VSS）、Web应用防火墙（Web Application Firewall，WAF）等安全防护服务上报的告警数据，从中获取必要的安全事件记录，进行大数据挖掘和机器学习，智能AI分析并识别出攻击和入侵，帮助用户了解攻击和入侵过程，并提供相关的防护措施建议。 态势感知通过对多方面的安全数据的分析，为安全事件的处置决策提供依据，实时为呈现完整的全网攻击态势。 详细说明请参见态势感知工作原理。

Web基础防护 覆盖OWASP（Open Web Application Security Project，简称OWASP）TOP 10中常见安全威胁，通过预置丰富的信誉库，对漏洞攻击、网页木马等威胁进行检测和拦截。 全面的攻击防护 支持SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录（路径）遍历、敏感文件访问、命令/代码注入、XML/Xpath注入等攻击检测和拦截。 Webshell检测 防护通过上传接口植入网页木马。 识别精准 内置语义分析+正则双引擎，黑白名单配置，误报率更低。 支持防逃逸，自动还原常见编码，识别变形攻击能力更强。 默认支持的编码还原类型：url_encode、Unicode、xml、OCT（八进制）、HEX（十六进制）、html转义、base64、大小写混淆、javascript/shell/php等拼接混淆。 深度检测 深度反逃逸识别（支持同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等的防护）。 header全检测 支持对请求里header中所有字段进行攻击检测。

资产管理 态势感知24小时全方位防护云上主机和网站安全，呈现云上资产实时安全状态。 表1 资产安全功能说明 功能模块 功能详情 主机资产 同步主机资产信息，列表统计主机整体安全状况的信息。 支持查看主机资产的防护状态、当前安全状况、风险值和被攻击次数等。 网站资产 通过添加目标网站，并一键扫描任务，检查网站安全状态和所有漏洞项目，列表呈现各网站资产的总体安全状况统计信息。 支持查看网站扫描结果详情，包括“扫描项总览”、“漏洞列表”和“站点结构”，并支持下载网站漏洞安全报告。 扫描项总览 呈现当前网站漏洞扫描检查的所有项目和检测结果。呈现的检查项包括“恶意内容”、“潜在风险”和“网站安全漏洞”。 恶意内容包括检测恶意外链、挖矿后门和网页木马。 潜在风险包括检测网站请求头、https协议。 网站安全漏洞包括检测跨站请求伪造、应急漏洞、信息泄露、注入攻击、跨站脚本攻击等。 漏洞列表 扫描出的漏洞详细列表信息。 站点结构 显示网站扫描监测出的漏洞，以及漏洞的具体站点位置。

工作原理 漏洞扫描服务具有Web网站扫描和主机扫描两种扫描能力。 Web网站扫描 采用网页爬虫的方式全面深入的爬取网站url，基于多种不同能力的漏洞扫描插件，模拟用户真实浏览场景，逐个深度分析网站细节，帮助用户发现网站潜在的安全隐患。同时内置了丰富的无害化扫描规则，以及扫描速率动态调整能力，可有效避免用户网站业务受到影响。 主机扫描 经过用户授权（支持账密授权）访问用户主机，漏洞扫描服务能够自动发现并检测主机操作系统、中间件等版本漏洞信息和基线配置，实时同步官网更新的漏洞库匹配漏洞特征，帮助用户及时发现主机安全隐患。 移动应用安全 对用户提供的安卓、鸿蒙应用进行安全漏洞、隐私合规检测，基于静态分析技术，结合数据流静态污点跟踪，检测权限、组件、网络、等APP基础安全漏洞，并提供详细的漏洞信息及修复建议。 二进制成分分析 对用户提供的二进制软件包/固件进行全面分析，通过解压获取包中所有待分析文件，基于组件特征识别技术、静态检测技术以及各种风险检测规则，获得相关被测对象的组件BOM清单和潜在风险清单，并输出一份专业的分析报告。

修订记录 发布日期 修改记录 2022-08-02 第五十次正式发布。 本次更新说明如下： 新增配置基线检查功能所需的权限章节内容。 新增工作空间、数据接入章节内容，支持数据接入以及对接入数据进行分析。 2022-07-04 第四十九次正式发布。 本次更新说明如下： 更新总览章节内容，新增了漏洞类型的描述。 新增处理基线检查结果章节内容，新增忽略和上报检查结果功能。 2022-06-20 第四十八次正式发布。 本次更新说明如下： 更新设置告警监控章节内容，更新图片及说明。 优化文档描述。 2022-03-18 第四十七次正式发布。 本次更新说明如下： 删除“资产管理”章节内容，资源信息统一在资源管理中呈现。 2022-02-28 第四十六次正式发布。 本次更新说明如下： 刷新基线检查项目章节内容，新增基线检查项目。 2022-02-11 第四十五次正式发布。 本次更新说明如下： 刷新基线检查项目章节内容，新增基线检查项目。 删除了“安全编排”章节内容。 2022-01-27 第四十四次正式发布。 本次更新说明如下： 刷新基线检查项目章节内容，新增基线检查项目。 2022-01-22 第四十三次正式发布。 本次更新说明如下： 新增资源管理章节，新增资源管理功能介绍。 2022-01-20 第四十二次正式发布。 本次更新说明如下： 刷新基线检查项目章节内容，新增基线检查项目。 2022-01-12 第四十一次正式发布。 本次更新说明如下： 刷新安全概览章节内容，“安全看板”改为“安全概览”，功能全新升级，更新安全概览相关描述。 刷新基线检查项目章节内容，新增基线检查项目。 2021-12-29 第四十次正式发布。 本次更新说明如下： 刷新了云服务基线简介章节，新增基线检查项目描述。 新增基线检查项目章节内容。 2021-12-22 第三十九次正式发布。 本次更新说明如下： 刷新了日志管理章节，删除存储SA日志至LTS服务的内容。 删除了“日志授权”章节内容。 2021-11-11 第三十八次正式发布。 本次更新说明如下： 新增购买标准版、业务分析章节内容。 新增了标准版相关描述。 2021-09-02 第三十七次正式发布。 本次更新说明如下： 刷新了云服务基线简介章节，更新云服务基线支持区域。 2021-08-13 第三十六次正式发布。 本次更新说明如下： 刷新了云服务基线简介章节，更新云服务基线子检查项。 2021-06-25 第三十五次正式发布。 本次更新说明如下： 刷新了基线检查章节，更新云服务基线子检查项。 新增检测设置章节，新增云服务基线检查的检查计划操作步骤。 2021-04-28 第三十四次正式发布。 本次更新说明如下： 修改了日志管理、“日志授权”章节，支持将态势感知日志存储至OBS桶。 2021-04-20 第三十三次正式发布。 本次更新说明如下： 修改了检测结果章节，支持查看威胁情报溯源信息； 修改了产品集成章节，升级产品集成功能，支持接入安天威胁情报综合分析平台数据。 2021-04-09 第三十二次正式发布。 本次更新说明如下： 新增了查看安全报告章节，介绍了态势感知安全月报相关内容。 2021-03-12 第三十一次正式发布。 本次更新说明如下： 修改了购买专业版章节，删除“网站最大配额数”说明； 修改了查看主机漏洞扫描详情章节，补充前提条件说明； 修改了查看网站漏洞扫描详情章节，补充前提条件说明。 2021-02-23 第三十次正式发布。 本次更新说明如下： 修改了检测结果章节，支持统筹管理合规检查、主机漏洞等检查结果； 修改了产品集成章节，升级产品集成功能，支持接入CGS和VSS产品数据。 2021-02-09 第二十九次正式发布。 本次更新说明如下： 新增了分析报告章节，支持自定义安全分析报告。 2020-12-24 第二十八次正式发布。 本次更新说明如下： 修改了检测结果章节，支持删除自定义过滤场景； 修改了产品集成章节，升级产品集成功能，支持接入云堡垒机数据，并支持查看数据上报的状态。 2020-10-21 第二十七次正式发布。 本次更新说明如下： 新增了检测结果章节，集中管理检测结果，支持自定义过滤场景； 新增了产品集成章节，集成安全产品，管理检测结果的数据来源。 2020-10-10 第二十六次正式发布。 本次更新说明如下： 修改了购买专业版章节，购买页改版； 修改了增加资产配额章节，购买页改版。 2020-09-29 第二十五次正式发布。 本次更新说明如下： 修改了告警概述章节，接入WAF告警事件，新增22种子告警项。 2020-08-28 第二十四次正式发布。 本次更新说明如下： 新增了专业版管理章节，Console新增专业版管理窗口，支持按需转包周期； 修改了“安全编排”章节，补充背景介绍说明。 2020-08-13 第二十三次正式发布。 本次更新说明如下： 修改了应急漏洞公告章节，新增导出安全公告列表功能； 修改了日志管理章节，新增“查看日志”说明。 2020-07-23 第二十二次正式发布。 本次更新说明如下： 新增了漏洞管理概述章节，介绍漏洞管理主要功能范围； 修改了应急漏洞章节，应急漏洞功能改版，接入安全公告数据。 2020-07-10 第二十一次正式发布。 本次更新说明如下： 新增了“云服务基线概述”章节，新增17类云服务基线子检查项。 2020-07-09 第二十次正式发布。 本次更新说明如下： 修改了购买态势感知专业版章节，新增“按需计费”模式和“自动续费”功能； 修改了告警概述章节，新增7种“异常行为”告警事件的子告警项。 2020-06-11 第十九次正式发布。 本次更新说明如下： 修改了购买态势感知专业版章节，取消购买时长选择限制。 修改了“查看主机资产安全状态”章节，新增“旗舰版”主机防护版本。 2020-06-08 第十八次正式发布。 本次更新说明如下： 新增了权限管理章节，介绍授权使用SA、SA自定义策略、权限相关授权项等内容。 2020-05-09 第十七次正式发布。 本次更新说明如下： 修改了购买态势感知专业版章节，优化参数说明。 修改了告警概述章节，列表说明可检测的威胁攻击事件。 2020-04-08 第十六次正式发布。 本次更新说明如下： 修改了告警概述章节，新增导出近180天威胁告警功能。 2020-03-30 第十五次正式发布。 本次更新说明如下： 新增了安全概览章节，安全态势总览全新上线，原“总览”页面功能下线； Console切UI4.0，修改全量示例图。 2020-02-20 第十四次正式发布。 本次更新说明如下： 新增“实施编排策略”中“执行阶段说明”。 2019-12-16 第十三次正式发布。 本次更新说明如下： 新增日志管理章节； 新增“日志授权”章节。 2019-09-20 第十二次正式发布。 本次更新说明如下： 修改“综合态势感知”章节，增加示意地图说明； 修改“主机安全态势”章节，增加示意地图说明。 2019-08-30 第十一次正式发布。 本次更新说明如下： 新增服务操作入口插图，以及修改相关内容描述； 修改告警概述章节； 新增DDoS章节； 新增暴力破解章节； 新增Web攻击章节； 新增后门木马章节； 新增漏洞攻击章节； 新增僵尸主机章节； 新增异常行为章节； 新增命令与控制章节。 2019-08-23 第十次正式发布。 本次更新说明如下： 修改主机授权章节； 删除“Linux主机授权”章节； 删除“Windows主机授权”章节。 2019-08-09 第九次正式发布。 本次更新说明如下： 增加购买态势感知专业版章节。 2019-07-11 第八次正式发布。 本次更新说明如下： 增加“主机安全态势”章节； 增加告警监控设置章节； 增加深度专业的漏洞扫描章节。 2019-02-20 第七次正式发布。 本次更新说明如下： 增加“Windows主机授权”章节； 修改“网站资产安全”章节； 修改查看主机漏洞扫描详情章节； 修改“Linux主机授权”章节； 修改“云服务基线”章节。 2019-02-01 第六次正式发布。 本次更新说明如下： 增加“安全编排”章节； 修改查看主机漏洞扫描详情章节； 修改查看网站漏洞扫描详情章节； 修改应急漏洞章节。 2018-11-06 第五次正式发布。 2018-10-16 第四次正式发布。 2018-09-06 第三次正式发布。 2018-08-06 第二次正式发布。 2018-04-24 第一次正式发布。

什么是态势感知？ 态势感知（Situation Awareness，SA）是华为云安全管理与态势分析平台。能够检测出超过20大类的云上安全风险，包括DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制等。利用大数据分析技术，态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析，为用户呈现出全局安全攻击态势。 工作原理 态势感知通过采集全网流量数据和安全防护设备日志信息，并利用大数据安全分析平台进行处理和分析，态势感知检测出威胁告警，同时将企业主机安全、Web防火墙和DDoS流量清洗等安全服务上报的告警数据进行汇合，实时为用户呈现完整的全网攻击态势，进而为安全事件的处置决策提供依据。

成分分析的开源软件风险如何分析？ 成分分析基于静态风险检测，会对用户上传的软件包/固件进行解压并分析其中的文件，识别包中文件包含的开源软件清单，并分析是否存在已知漏洞、License合规等风险。用户扫描完成后，建议按照以下步骤进行分析排查： 开源软件分析，分析开源软件是否存在以及软件版本是否准确。 基于报告详情页面或导出的报告中开源软件所在文件全路径找到对应文件，然后分析该文件中开源软件是否存在或准确（可由相关文件的开发或提供人员协助分析），如果否，则无需后续分析。 已知漏洞分析，分析已知漏洞是否准确。 通过NVD、CVE、CNVD等社区搜索相关CVE已知漏洞编号，获取漏洞详情 概要分析：查看影响的软件范围，如CVE-2021-3711在NVD社区中的Known Affected Software Configurations，如下图，确认漏洞是否影响当前使用的软件版本，如果当前使用的软件版本不在影响范围内，则初步说明漏洞可能不涉及/影响。 精细化分析：漏洞通常存在于某些函数中，可以通过社区中的漏洞修复补丁确认漏洞详情、涉及函数以及修复方式，如下图，用户可以结合自身软件对于相关开源软件功能的使用是否涉及相关漏洞 License合规分析。基于报告中开源软件及对应的License分析软件是否合规，满足公司或准入要求。 风险解决方式： 已知漏洞：如果当前使用的软件版本存在漏洞，可通过升级软件版本至社区推荐版本解决。紧急情况下也可以通过社区推荐的patch修复方式临时解决。 License合规：如果使用的软件存在合规风险，则需要寻找相似功能且合规的开源软件进行替代。

安全评估 对于Web站点及关键主机，建议定期进行安全评估(安全体检服务-专业安全评估)，以及时发现、规避安全风险。 服务测试范围包括： 网站类：SQL注入、XSS跨站、文件包含、任意文件上传、任意文件下载、Web弱口令、服务弱口令。 主机类：远程漏洞扫描、弱口令扫描、高危端口识别、高危服务识别、基线检查。 华为安全专家团队会对专业机构提交的体检报告进行审核，引导专业机构提高服务质量，给客户更佳的用户体验。 提供准确的漏洞信息和对应的修复建议，并可为用户定制整体安全解决方案，帮助用户构筑完善的安全防御机制。

安全评估 对于Web站点及关键主机，建议定期进行安全评估(安全体检服务-专业安全评估)，以及时发现、规避安全风险。 服务测试范围包括： 网站类：SQL注入、XSS跨站、文件包含、任意文件上传、任意文件下载、Web弱口令、服务弱口令。 主机类：远程漏洞扫描、弱口令扫描、高危端口识别、高危服务识别、基线检查。 华为安全专家团队会对专业机构提交的体检报告进行审核，引导专业机构提高服务质量，给客户更佳的用户体验。 提供准确的漏洞信息和对应的修复建议，并可为用户定制整体安全解决方案，帮助用户构筑完善的安全防御机制。

与安全服务的关系 态势感知从企业主机安全（Host Security Service，HSS）、Web应用防火墙（Web Application Firewall，WAF）、Anti-DDoS流量清洗（Anti-DDoS）、漏洞扫描服务（Vulnerability Scan Service，VSS）、容器安全服务（Container Guard Service，CGS）等安全防护服务中获取必要的安全事件记录，进行大数据挖掘和机器学习，智能AI分析并识别出攻击和入侵，帮助用户了解攻击和入侵过程，并提供相关的防护措施建议。更多说明请参见态势感知与其他安全服务之间的关系与区别。

与安全服务的关系 态势感知从企业主机安全（Host Security Service，HSS）、Web应用防火墙（Web Application Firewall，WAF）、Anti-DDoS流量清洗（Anti-DDoS）、漏洞扫描服务（Vulnerability Scan Service，VSS）、容器安全服务（Container Guard Service，CGS）等安全防护服务中获取必要的安全事件记录，进行大数据挖掘和机器学习，智能AI分析并识别出攻击和入侵，帮助用户了解攻击和入侵过程，并提供相关的防护措施建议。更多说明请参见态势感知与其他安全服务之间的关系与区别。

提升实效 如图1所示，华为乾坤通过云端的“智能分析+安全专家”快速提升防护实效，满足等保2.0对主动防护、动态防御、整体防御、精准防御的相关要求。 图1 提升实效 智能分析 云端对天关/防火墙提供的日志文件进行智能分析和响应。 全局统筹分析：对日志文件进行全局关联分析，降噪处理，精准识别有效异常事件。 丰富的自动化分析模型：基于主机失陷模型、告警自动确认模型、误报模型、威胁情报关联分析模型、历史复用等模型全面提升自动化分析效率。 全面的威胁情报库：基于华为安全能力中心、未然实验室信息收集，本地天关/防火墙有效分析结果等多种途径汇总威胁情报库，全面提升分析准确率。 威胁信息全局共享：威胁信息全局共享，威胁信息一处检出，所有企业全局快速免疫。 规则快速迭代优化：基于安全误报事件，云端将快速实现检测规则优化，实时更新天关/防火墙的检测防护能力，不断提升防护效果。 安全专家 云端专家深入攻防对抗过程，整合安全能力，快速准确识别复杂攻击。 专家现网攻防对抗经验固化到云端，不断增强云端安全能力。 最新漏洞分析、新型攻击方法剖析、云端智能签名生产，快速应对新型攻击。 专家针对发现的每一条安全告警进行统一分析，运用云端各种安全能力，解决最新“疑难杂症”。

安全保障 多种安全服务，多维度防护 Web应用防火墙、漏洞扫描等多种安全服务提供多维度防护。 安全评估 提供对用户云环境的安全评估，帮助用户快速发现安全弱点和威胁，同时提供安全配置检查，并给出安全实践建议，有效减少或避免由于网络中病毒和恶意攻击带来的损失。 智能化进程管理 提供智能的进程管理服务，基于可定制的白名单机制，自动禁止非法程序的执行，保障弹性云服务器的安全性。 漏洞扫描 支持通用Web漏洞检测、第三方应用漏洞检测、端口检测、指纹识别等多项扫描服务。

Web应用防火墙与漏洞扫描服务有哪些区别？ Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 漏洞扫描服务（Vulnerability Scan Service，简称VSS）是针对服务器或网站进行漏洞扫描的一种安全检测服务，目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。用户新建任务后，即可人工触发扫描任务，检测出网站的漏洞并给出漏洞修复建议。 两个服务最大的区别在于WAF可以记录并拦截攻击事件，以达到保护Web服务安全稳定的目的。而VSS是漏洞检测服务，仅提供漏洞扫描并给出漏洞修复建议。

检测能力 移动应用安全 对用户提供的安卓、鸿蒙应用进行安全漏洞、隐私合规检测，基于静态分析技术，结合数据流静态污点跟踪，检测权限、组件、网络、等APP基础安全漏洞，并提供详细的漏洞信息及修复建议。 代码检查 由外部代码检查服务提供，代码检查（CodeCheck）是基于云端实现代码质量管理的服务，软件开发者可在编码完成后执行多语言的代码静态检查和安全检查，获取全面的质量报告，并提供缺陷的分组查看与改进建议，有效管控代码质量。 漏洞扫描 由外部漏洞扫描服务提供，漏洞扫描服务（Vulnerability Scan Service，简称VSS）是针对网站、主机、移动应用、软件包/固件进行漏洞扫描的一种安全检测服务，目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。扫描成功后，提供扫描报告详情，用于查看漏洞明细、修复建议等信息。 漏洞扫描服务具有Web网站扫描和两种扫描能力。 Web网站扫描：采用网页爬虫的方式全面深入地爬取网站url，基于多种不同能力的漏洞扫描插件，模拟用户真实浏览场景，逐个深度分析网站细节，帮助用户发现网站潜在的安全隐患。同时内置了丰富的无害化扫描规则，以及扫描速率动态调整能力，可有效避免用户网站业务受到影响。 主机扫描：经过用户授权（支持帐密授权）访问用户主机，漏洞扫描服务能够自动发现并检测主机操作系统、中间件等版本漏洞信息和基线配置，实时同步官网更新的漏洞库匹配漏洞特征，帮助用户及时发现主机安全隐患。

风险总览 您可在“企业主机安全 > 总览”页面查看主机风险统计、主机防护统计、安全风险趋势、安全运营趋势、入侵事件统计和TOP5风险主机，帮助您实时了解云主机的安全状态和存在的安全风险。详细信息请参见主机风险总览。 表1 主机安全态势 风险统计 说明 主机风险统计 为开启防护的主机发现的各类风险的个数（主机资产风险、基线检查、入侵检测和漏洞风险） 单击对应的数字，可进入对应的页面对风险进行快速处理。同时，您可以查看主机较昨日的风险情况，帮助您及时了解主机风险的增加与减少。 主机资产风险 基线检查 入侵检测 漏洞风险 主机防护统计 开启基础版防护、企业版防护、旗舰版防护和未开启防护的服务器的数量。 您可以查看已开启防护的风险主机数量。 安全风险趋势 您可以查看最近7天或者最近30天的“资产风险”、“漏洞风险”、“基线检测”和“入侵事件”的风险数量趋势。 安全运营趋势 您可以查看最近7天的“已处理入侵事件”和“已处理漏洞”的数量趋势。 入侵事件统计 您可以查看最近7天或者最近30天的入侵事件的总个数，以及各类入侵事件分类占比。 TOP5风险主机 您可以查看检测出的风险项TOP5的风险主机，“主机资产风险”、“漏洞风险”、“入侵检测”以及“基线检查”的数量。 实时入侵事件 你可以查看最近24小时内发生的最近的5条“未处理”的入侵事件，包含入侵事件的“告警名称”、“受影响服务器名称/IP”、“简述”、“发生时间”和“状态”。 单击告警名称，可查看告警详细信息。 单击告警所在行的“操作列”中的“处理”，可处理该告警。处理该告警后，该告警将从该列表中消失，列表重新显示最近7天内发生的最近5条“未处理”的入侵事件。 单击“查看更多”，可进入“事件管理”页面，处理相关告警事件。

应用场景 移动应用安全 移动应用安全服务主要用于以下场景。 企业自检或通报后自查 适用于各类APP发版自检，及通报整改后自查，服务提供详细精确的报告协助企业快速定位修复问题，达到监管合规要求。 审核机构APP合规审查 紧贴各类监管规范，提供高效的自动化检测服务，能快速识别存在违规行为的APP。 代码检查 代码检查服务主要用于以下场景。了解更多。 Web应用安全检查 应用：Java、JS等Web开发语言的规则集进行代码检视。 场景特点：Web服务面向Internet互联网，容易遭受DDos攻击、信息泄露等风险。 适用场景：互联网服务交付安全等级验收。 项目质量控制 应用：在交付过程中实时根据代码复杂度、重复率、质量得分控制风险。 场景特点：项目经理的共识“从前端保证质量，把质量做在日常交付”，但经常没有有效的工具平台，目前大部分的质量工作还是依赖后端测试。 适用场景：项目经理迭代交付质量控制。 漏洞扫描 漏洞扫描服务应用场景主要包括以下方面。了解更多。 Web漏洞扫描应用场景 主机漏洞扫描应用场景 弱密码扫描应用场景 中间件扫描应用场景 内容合规检测应用场景 二进制成分分析应用场景 移动应用安全

功能特性 研发安全服务提供端到端的专项安全检测能力，各服务功能特性如下： 移动应用安全 移动应用安全服务能快速扫描您的应用，并提供详细的检测报告，协助你快速定位修复问题。 全自动化测试 您只需上传Android、HarmonyOS应用文件提交扫描任务，即可输出详尽专业的测试报告。 详细的测试报告 详尽的在线测试报告，一键即可下载，报告提供包括问题代码行、修复建议、调用栈信息、违规问题场景截图、关联隐私策略片段等信息。 支持第三方SDK隐私声明解析 针对第三方SDK隐私声明存在“表格”与“外链”两种展示方式。通过插桩方式获取应用隐私声明的url，继而提取并深度分析隐私声明内容。 支撑鸿蒙应用扫描 率先支持鸿蒙应用安全漏洞、隐私合规问题扫描。 代码检查 提供可协作的一站式代码检查服务。了解更多。 一站式：覆盖主流编程语言、主流编码标准、SDLC集成等。 灵活易用的检查方式：支持代码提交检查、定时执行检查，支持多分支检查。 可协作：提供问题责任人自动归属、提供问题修改建议、可聚焦处理新问题等。 漏洞扫描 漏洞扫描服务可以帮助您快速检测出您的网站、主机、移动应用和软件包/固件存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。了解更多。 网站漏洞扫描 一站式漏洞管理 支持弱密码扫描 支持端口扫描 自定义扫描 主机漏洞扫描 二进制成分分析 移动应用安全

2020年02月 序号 功能名称 功能描述 阶段 相关文档 1 Apache Dubbo反序列化漏洞防护 2020年02月13日，华为云安全团队监测到Apache Dubbo官方发布了CVE-2019-17564漏洞通告，漏洞等级中危。当用户选择http协议进行通信时，攻击者可以通过发送POST请求的时候来执行一个反序列化的操作，由于没有任何安全校验，该漏洞可以造成反序列化执行任意代码。目前，华为云Web应用防火墙（Web Application Firewall，WAF）提供了对该漏洞的防护。 商用 Apache Dubbo反序列化漏洞

查看漏洞列表 登录管理控制台。 在页面上方选择“区域”后，单击，选择“安全与合规 > 容器安全服务”，进入“防护列表”界面。 进入查看官方镜像仓库漏洞入口，如图1所示，漏洞列表各参数说明如表1所示。 漏洞占比：按“漏洞修复紧急度”进行统计的漏洞数量及占比。 图1 进入查看官方镜像仓库漏洞入口 表1 参数说明 参数名称 说明 操作 漏洞名称 - 单击，查看漏洞详情，包括漏洞ID、漏洞分值、漏洞披露时间和漏洞描述。 单击漏洞名称，查看该漏洞的基本信息以及受该漏洞影响的镜像列表，具体请参见4。 修复紧急度 提示您是否需要立刻处理该漏洞。 - 受影响镜像个数 显示受该漏洞影响的镜像个数。 - 解决方案 针对该漏洞给出的解决方案。 单击“解决方案”列的链接，查看修复意见。 单击漏洞名称，查看该漏洞的基本信息及受该漏洞影响的镜像列表，如图2和图3所示。 图2 漏洞的基本信息（官方） 图3 受漏洞影响的镜像列表（官方）

扫描任务的得分是如何计算的？ 扫描任务被创建后，初始得分是一百分，任务扫描完成后，根据扫描出的漏洞级别会扣除相应的分数。 网站扫描： 高危漏洞，一个扣10分，最多扣60分（6个）。 中危漏洞， 一个扣3分，最多扣45分（15个）。 低危漏洞， 一个扣1分，最多扣30分（30个）。 无漏洞或提示漏洞不扣分。 扫描分数最低为10分。 得分越高，表示漏洞数量越少，网站越安全。 如果得分偏低，请根据实际情况对漏洞进行忽略标记，或根据修复建议修复漏洞，或使用Web应用防火墙服务为您的网站保驾护航。 漏洞修复后，建议重新扫描一次查看修复效果。

功能特性说明 主机安全服务包含了资产管理、基线检查、勒索防护、入侵检测等功能特性，每一个功能都从不同维度提升主机的安全性，全方位保证主机的安全可靠，不同版本支持的功能详情请参见版本功能差异说明。 表1 主机安全服务功能特性说明 功能名称 功能描述 资产管理 可深度扫描出主机中的账号、端口、进程、Web目录、软件信息和自启动任务，在“资产管理”界面，您可以统一管理主机中的信息资产。 漏洞管理 提供检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞、应用漏洞，帮助用户识别潜在风险。 基线检查 扫描主机系统和关键软件含有风险的配置、弱口令、口令复杂度策略。 支持的检测基线包含安全实践和等保合规基线。 容器镜像安全 扫描镜像仓库与正在运行的容器镜像，发现镜像中的漏洞、恶意文件等并给出修复建议，帮助用户得到一个安全的镜像。 应用防护 为运行时的应用提供安全防御。您无需修改应用程序文件，只需将探针注入到应用程序，即可为应用提供强大的安全防护能力。 应用防护目前仅支持Java应用接入。 网页防篡改 实时发现并拦截篡改指定目录下文件的行为，并快速获取备份的合法文件恢复被篡改的文件，从而保护网站的网页、电子文档、图片等文件不被黑客篡改和破坏。 勒索病毒防护 实时监控全盘新增文件及运行中的进程，有效把控新增文件的风险，动态生成诱饵文件进行主动诱捕，精准识别勒索软件，同时可自定义策略对服务器进行定期备份。 文件完整性管理 检查Linux系统、应用程序软件和其他组件的文件，帮助用户及时发现发生了可能遭受攻击的更改。 主机入侵检测 识别并阻止入侵主机的行为，实时检测主机内部的风险异变，检测并查杀主机中的恶意程序，识别主机中的网站后门等。 容器入侵检测 实时监控容器节点运行状态，发现挖矿、勒索等恶意程序，发现违反容器安全策略的进程运行和文件修改，以及容器逃逸等行为并给出解决方案。 白名单管理 可以通过加入告警白名单避免大量告警误报的发生，提升安全事件告警质量。将当前告警事件加入告警白名单后，当再次发生相同的告警时不再进行告警。 策略管理 提供灵活的策略管理能力，可以根据需要自定义安全检测规则，并可以为不同的主机组或主机/容器应用不同的策略，以满足不同应用场景的主机/容器安全需求。 安全配置 提供配置常用登录地、常用登录IP、SSH登录IP白名单，恶意程序自动隔离查杀功能，满足不同应用场景的主机/容器安全需求。 漏洞类告警详情请参见漏洞管理。 资产类风险告警详情请参见基线检查。 容器镜像类漏洞、告警详情请参见容器镜像安全。 主机及容器防护、防御类告警详情请参见安全告警事件。

相关操作 有关网站扫描得分的计算方法参考如下： 扫描任务被创建后，初始得分是一百分，任务扫描完成后，根据扫描出的漏洞级别会扣除相应的分数。 网站扫描：高危减10分，中危减5分，低危减3分，无漏洞则不扣分。 得分越高，表示漏洞数量越少，网站越安全。 如果得分偏低，请根据实际情况对漏洞进行忽略标记，或根据修复建议修复漏洞，或使用Web应用防火墙服务为您的网站保驾护航。 漏洞修复后，建议重新扫描一次查看修复效果。 有关修复漏洞的详细介绍，请参见漏洞扫描服务能修复扫描出来的漏洞吗？

手工录入 登录华为乾坤云服务控制台，选择“资源 > 资产管理”。 在“资产管理”区域的右上角，单击“录入”。 填写资产信息，单击“确定”。 图1 手工录入资产界面 表1 手工录入资产界面参数说明 类别 参数 参数说明 基本信息 资产名称 必须唯一，且容易分辨。 资产类型 根据实际情况选择，其中“服务器”、“数据库”资产支持二级子类型。 URL 当资产类型为网站时填写。 请输入http或https网址，本服务只支持对格式为“http(s)://IP地址:端口号”的二级域名进行扫描。 IPv4地址 当资产类型为非网站时填写。 请输入IPv4、IPv6或MAC地址，其中IPv4地址为必填项，IPv6地址、MAC地址为选填项。 IPv6地址 MAC地址 重要性等级 根据实际情况选择。 站点 资产所属站点。 资产组 用于将同类型资产或满足特定需要的资产归类到同一个组，方便管理。 初始状态下，系统默认有一个资产组，名称为“默认资产组”。 如果在创建资产时，没有您合适的资产组，请在创建资产后，参考《租户操作指南-资产组创建》，创建资产组，将该资产加入新建的资产组。 天关 资产所属天关。 说明： 资产通用信息中，“天关”为选填项。若此项为空，用户将无法正常使用华为乾坤网络安全漏洞扫描服务或云日志审计。 高级配置 -- 记录资产的详细信息，根据实际情况填写。 认证信息 开启认证 只对“服务器”类型的资产有效，建议开启。 Root权限：是否加固 根据实际情况填写。 管理员密码 仅未勾选“是否加固”选项时需要配置。填写为root用户的密码。 普通用户名/普通用户密码 当已勾选“是否加固”时填写。填写为非root用户的密码，该用户可以登录服务器。 登录端口 SSH（Secure Shell Protocol，安全外壳协议）的端口号。 查看录入后的资产。 资产列表参数列支持自定义编辑，用户可以单击选择某个参数列是否在页面呈现。 图2 资产列表 表2 资产列表参数说明 参数 说明 资产名称 自定义资产名称。 风险评分 基于算法，结合资产的漏洞扫描结果、资产面临的威胁事件、威胁情报等信息，整体评估出资产的风险值，帮助用户全面了解资产存在的风险。 资产风险值是量化数据，由边界防护威胁分、漏洞扫描得分、终端防护威胁分加权计算所得。 边界防护威胁分：从边界防护与响应服务实时获取。 漏洞扫描得分：根据扫描出的漏洞数量、漏洞级别而确定。 终端防护威胁分：从终端防护与响应服务实时获取。 说明： 如果用户只开通了边界防护与响应服务、漏洞扫描服务和终端防护与响应服务中的部分服务，未开通服务的资产评估得分将被算法剔除，不计入资产风险值的加权计算。 重要性等级 用户在录入时根据实际填写。 核心：其安全属性破坏后可能对组织造成非常严重的损失。 重要：其安全属性破坏后可能对组织造成比较严重的损失。 普通：其安全属性破坏后可能对组织造成较低的损失。 站点名称 该资产关联的天关所归属的站点名称。 服务使用情况 该资产关联的相关服务，您可以将光标置于图标上查看具体的服务名称。 操作 对资产进行编辑、删除操作。 说明： 对终端防护与响应服务Agent主动上报的资产进行删除操作时，需要保证Agent在线，否则“删除”按钮置灰。确认删除时，资产上已安装的Agent也会被远程卸载。 Agent状态 Agent状态分为“在线”、“离线”、“未安装”。 最近上线时间 Agent最近一次上线时间。

Web应用防火墙和云防火墙有什么区别？ Web应用防火墙和云防火墙是华为云推出的两款不同的产品，分别针对您的Web服务，互联网边界和VPC边界的流量进行防护。 WAF和CFW的主要区别说明如表1所示。 表1 WAF和CFW的主要区别说明 类别 Web应用防火墙 云防火墙 定义 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 云防火墙（Cloud Firewall，CFW）是新一代的云原生防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 有关CFW的详细介绍，请参见什么是云防火墙。 防护机制 网站成功接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，网站所有访问请求将先流转到WAF，WAF检测过滤恶意攻击流量后，将正常流量返回给源站，从而确保源站安全、稳定、可用。 CFW可对全流量进行精细化管控，包括互联网边界防护，跨VPC，跨VM的流量，防止外部入侵、内部渗透攻击和从内到外的非法访问。 部署模式 WAF支持云模式、独享模式和ELB模式三种部署模式。 云模式：业务服务器部署在华为云上、非华为云或线下，且防护对象为域名。 各服务版本推荐使用的场景说明如下： 入门版 个人网站防护 标准版（原专业版） 中小型网站，对业务没有特殊的安全需求 专业版（原企业版） 中型企业级网站或服务对互联网公众开放，关注数据安全且具有高标准的安全需求 铂金版（原旗舰版） 中大型企业网站，具备较大的业务规模，或是具有特殊定制的安全需求 独享模式：业务服务器部署在华为云上，防护对象为域名或IP。大型企业网站，具备较大的业务规模且基于业务特性具有制定个性化防护规则的安全需求。 ELB模式：业务服务器部署在华为云上，防护对象为域名或IP。大型企业网站，对业务稳定性有较高要求的安全防护需求。 互联网边界和VPC边界 防护对象 云模式：域名。 独享模式/ELB模式：域名或IP。 弹性公网IP 功能特性 SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击防护。 WAF具体支持的功能请参见功能特性。 资产管理与入侵防御：对已开放公网访问的服务资产进行安全盘点，进行实时入侵检测与防御。 访问控制：支持互联网边界访问流量的访问控制。 流量分析与日志审计：VPC间流量全局统一访问控制，全流量分析可视化，日志审计与溯源分析。

产品优势 随着业务的发展，越来越多的企业选择结合物联网技术来实现自身效益增长。相比企业自建MQTT集群，使用华为云IoT服务低成本构建物联网解决方案，在能力、成本、运维、安全、生态等诸多方面具有突出优势。 表1 优势对比 维度 子项 华为云IoT服务 企业基于开源MQTT集群自研 能力 协议灵活 广泛支持IoT主流的接入协议及私有协议，满足各类设备和接入场景要求。 提供插件机制，实现自定义协议解析。 只支持MQTT协议，扩展其他协议时需要再研发扩展，同时维护多协议实现难度大、成本高、效率低。 快速接入 提供系列化、多语言的开源IoT Device SDK； 与主流模组、芯片预集成，实现多网络、多协议接入，简化设备接入难度，实现小时级设备极简接入。 需要熟悉各类语言的开发人员投入，开发工作量大。 性能稳定 可实现白天点击购买就可以实现服务资源平滑弹性扩展； 支持亿级设备安全稳定连接、10万TPS高并发可靠通信、万级TPS并发设备上线能力； 服务可用性99.95%。 需要研发人员进行调优，如果要保证99.9%以上的可用性，需要精通开源MQTT研发人员以及资深的架构人员。 特色功能 Cell化技术，实现故障范围的有效控制； 支持消息跟踪，方便快速的故障定位和原因分析； 支持设备影子； 支持OTA升级； 支持物模型，将产品功能抽象归纳，形成“标准物模型”，实现软硬件解耦开发，提升系统集成效率； 支持插件机制，实现自定义协议解析； 支持数据转发规则，数据无缝流转到10+云服务； 支持设备联动规则，基于Time-Condition-Action自定义规则，灵活设定场景联动，实现跨应用/子系统，多设备自动化协同； 开放架构，及时享受云计算的最新技术和服务； 功能丰富灵活，多行业完整解决方案，已成功服务众多行业客户。 开源MQTT提供了基本的功能，构筑完整解决方案时需要开发人员基于开源能力进行开发。而开发人员对开源代码进行侵入式修改，容易在开源中间件升级时遗漏修改的部分导致现网事故。 设备通信 通过全球SIM联接服务购买物联网卡，快速实现设备上云，并实现全球设备的联接。目前华为全球SIM联接服务覆盖全球200+国家和地区，全球合作运营商30+，并实现一个国家内多运营商覆盖，提供最好的网络和最优的资费。 需要跨地域采购物理SIM卡，生产地无法测试目的地网络状态。 全球拓展难：需与全球多家运营商谈判、对接，集成工作挑战大。 漫游资费高：企业迫切希望使用设备所在国的本地资费，降低成本。 技术支持 7*24小时专业贴心支持。 工单系统10分钟响应。 开源MQTT没有支持服务，且有大量的默认配置参数，需要企业根据业务的场景进行调整，在不精通开源代码的情况下，配置者参数使用不当对商用系统造成巨大潜在风险，出现问题时候也只能自行解决。 成本 服务器成本 无需购买服务器。 需购买服务器。 人力成本 购买云服务，无需额外人力投入。 企业自行构建，需要投入专业的开发、运维团队。 资源使用 开箱即用，弹性灵活，业务上量，无感扩容。 企业自行构建，需要自己开发具备弹性功能。 架构成本 基于云原生2.0构建高可用、高性能、高安全架构，持续演进。 企业自行构建，团队基于开源去实现高可用、高性能、高安全功能，难度大、门槛高。 运维 基础设施运维 专业团队统一运维，快速响应，扩容、升级、异常运维都由华为提供。 企业自行构建，自建运维团队或第三方运维，要解决扩容，升级，运维问题。根据业界统计，大部分的业务故障是在扩容、升级操作触发的，所以运维成本是开发成本的几倍甚至几十倍。 服务平台版本 由公有云服务商统一更新，版本迭代快。 企业自行构建。 全链路自诊断，高效运维 全链路日志分析和消息跟踪； 设备状态实时监控和感知； 灵活自定义业务指标告警。 企业自行构建。 安全 系统安全 已获国家安全等保四级认证，通过ISO27001/ISO27017/ ISO27018/CSA STAR国际安全认证，数据隐私保护遵从欧盟GDPR标准和中国最新的《个人信息保护法》，建立了可信的安全体系。 传输网络层：结合WAF、DDOS提供边界安全防护，提供包括DTLS、TLS、HTTPS、COAPS、MQTTS等高效安全传输协议。 设备边侧：提供数字证书、一机一密的接入安全，基于LiteOS的OS安全能力。 平台侧：基于华为云整网视角进行威胁分析，充分复用华为云安全服务产品、公共安全服务/组件，构建安全防御体系。 企业自行构建，端到端安全是一项系统工程，门槛非常高，构筑和看护系统级的安全能力成本高、难度大。 数据安全 具备完整的安全防护体系，数据存放在云服务提供商的数据中心，云存储级数据安全冗余。 企业家自行构建，需要考虑数据冗余存储，备份存储，恢复等能力。 灾备与容灾 业务双活、多数据中心容灾，利用多region和多AZ构筑高可用和灾备能力。 企业自行构建，自建集群通常不具备容灾能力，业务双活、容灾设备投入大，投入和收益通常不成正比。 漏洞修复 建立有一整套漏洞管理体系和专门的安全研究部门，从漏洞研究，发现，跟踪，修复，有一整套体系保证漏洞的及时修复。 大部分企业没有建立漏洞的管理机制，对漏洞更新不及时，很容易被攻击，很多企业被攻击，数据被窃取也没有感知到。 生态 第三方接入 整合上下游生态资源，提供增值服务。 厂家自行构建。 可扩展性 1、平滑扩容，从几万设备到亿级设备做到业务无中断快速扩容 2、当业务发展需要扩展其他功能时，比如AI智能功能，可以与华为云其他大数据、EI、中间件产品无缝对接，可以方便快捷的实现海量设备数据的存储、计算以及智能分析。并且由于云化产品都可以小规模验证，可以方便客户低成本快速试错，实现业务创新 扩展周期相对长，需要自行开发与各个系统和或者组件的对接，投入的人力物力成本高。 表2 费用对比 项目 华为云IoT服务 企业基于开源MQTT集群自研（以华为云资源为参考） 云资源费用 购买1个S2中频单元，注册设备数上限1万，每日消息数上限:1500万，上下行消息TPS峰值1000TPS。 总费用：30000元/年。 服务器资源：购买2台ECS实例（以4核CPU、8 GB内存、40 GB高IO磁盘规格为）费用为4565.80元/年； 云数据库RDS：最小规格，2核4GB、40GB SSD云盘的实例费用为4700元/年； 公网流量接入：购买免费的共享型ELB，叠加最小规格1Mbps带宽的EIP，费用为184元/年； 总费用：9449.8元/年。 人力费用 无。 使用基础中间件实现基本功能： 1位工程师负责平台的日常运维和研发； 假设工程师投入50%的工作量，月薪10000元； 总计：10000 × 12 × 50% = 6万元/年 在基础中间件的基础上叠加部分特色功能： 假设不考虑实现平台的高可用、高性能、高安全，仅实现部分功能性能力； 2位全栈开发工程师，负责实现设备管理、消息通信、规则引擎等部分能力以及平台前端和后台的开发及运维； 1位协议专业人才，负责实现设备接入能力（原生协议、泛协议、行业协议的设备接入能力以及SDK接入）等的设备端开发； 假设所有工程师投入100%的工作量，月薪10000元； 总计：3 x 10000 x 12 x 100% = 36万元/年。 不考虑奖金和五险一金成本。 总计 30000元/年。 实现基础功能：69449.8元/年。 实现基础功能，叠加部分特色功能：369449.8元/年。

漏洞管理 通过实时获取业界热点安全漏洞讯息，同步主机漏洞扫描和网站漏洞扫描结果，全面掌握云上资产漏洞风险状况，并提供相应漏洞修复建议。 表6 漏洞管理功能说明 功能模块 功能详情 主机漏洞 通过授权主机，并一键扫描主机漏洞，呈现主机漏洞扫描检测信息，支持查看漏洞详情，并提供相应漏洞修复建议。 Linux软件漏洞扫描 通过比对国际通用漏洞库，检测系统和官方软件（非绿色版、非自行编译安装版，例如：SSH、OpenSSL、Apache、MySQL等）存在的漏洞，识别Linux系统存在的漏洞风险。 Windows软件漏洞扫描 通过同步国际通用补丁源，识别并告警提醒Windows系统潜在漏洞风险。 Web-CMS漏洞扫描 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，提升Web服务安全性。 网站漏洞 通过自动同步VSS漏洞扫描结果，分类呈现网站漏洞扫描详情，支持查看漏洞详情列表、不同类型漏洞分布和不同漏洞等级分布，并提供相应漏洞修复建议。 Web常规漏洞扫描 提供OWASP TOP10和WASC的漏洞检测能力，支持扫描30多种常见漏洞。包括XSS、SQL注入等。 网站弱密码扫描 全方位的OS连接，涵盖90%的中间件，支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测；比对丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 网站端口扫描 扫描服务器端口的开放状态，检测出容易被黑客发现的端口。 CVE网站漏洞扫描 同步国际通用漏洞库，扫描网站安全状况。 网页内容合规检测 对网站文字和图片规范性进行检测。 网站挂马检测 检测网站是否被上传木马，避免网站运行时自动执行木马程序，而被黑客控制。 网站链接健康检测 检测网站的链接地址健康性状态，避免网站出现死链、暗链、恶意链接。 应急漏洞公告 针对业界披露的热点安全漏洞，支持每5分钟抓取一次安全漏洞讯息，获取最新应急漏洞公告详情。

Web-CMS漏洞 登录管理控制台。 在页面左上角选择“区域”，单击，选择“安全与合规 > 企业主机安全”，进入企业主机安全页面。 图5 企业主机安全 进入“Web-CMS漏洞管理”页面，如图6所示。 图6 查看Web-CMS漏洞检测结果 单击“漏洞名称”查看漏洞详情和受影响的服务器。 Web-CMS漏洞不支持一键修复功能，请根据界面提供的修复建议进行手动修复。 漏洞修复后，请手动执行漏洞检测查看漏洞修复结果。若您未进行手动验证，主机防护每日凌晨进行全量检测，您修复后需要等到次日凌晨检测后才能查看修复结果。 单击“忽略”，您可忽略该漏洞，HSS将不再上报并告警此服务器上的这个漏洞。 图7 漏洞详细信息 图8 受影响的服务器

步骤二：查看风险总览 您可在“企业主机安全 > 总览”页面查看主机风险情况，如图2所示，详细说明如表2所示。 帮助您实时了解云主机的安全状态和存在的安全风险。详细信息请参见主机风险总览。 图2 主机安全总览 表2 风险统计 风险类别 风险说明 主机风险统计 为开启防护的云服务器发现的各类风险的个数（基线检查、入侵检测和漏洞风险）。 主机的防护统计 开启基础版防护、企业版防护、旗舰版防护和未开启防护的服务器的数量。 最近7天或者30天的风险趋势 统计最近7天、近30天的资产风险、漏洞风险、基线检测和入侵事件的风险数量趋势。 最近7天的安全运营趋势 统计最近7天的已处理入侵事件和已处理漏洞的数量趋势。 最近7天或者30天的入侵事件统计 统计入侵事件的总个数，以及各类入侵事件分类占比。 最近7天的TOP5风险主机 统计检测出的风险项TOP5的云服务器及各风险项的数量。 实时入侵事件 统计最近24小时内发生的最近的5条“未处理”的入侵事件。

功能总览 功能总览 全部 管理检测与响应 企业版 等保建设助手 下载检测报告 验收管理检测与响应 查看服务单信息 管理检测与响应 管理检测与响应（Managed Detection Response，MDR）是结合华为30年安全经验积累，以云服务的形式，为客户建立由管理、技术与运维构成的安全风险管控体系，结合企业与机构业务的安全需求反馈和防控效果对用户安全防护进行持续改进，帮助企业与机构实现对安全风险与安全事件的有效监控，并及时采取有效措施持续降低安全风险，消除安全事件带来的损失。 目前，提供企业版和等保建设助手2种服务类型。 发布区域：以控制台实际上线的区域为准。 业务流程 服务单的有效期是多长？ 管理检测与响应支持跨平台和线下服务吗？ 哪些区域可以购买管理检测与响应？ 企业版 企业版管理检测与响应结合用户实际业务场景，通过云服务方式，提供华为云安全标准化的运维运营服务。 服务内容包括： 网站安全体检、主机安全体检、安全加固、安全监测、应急响应、安全配置服务、安全防护服务开通与部署、定期策略更新与维护、安全漏洞预警、主动安全预警、安全设备维护和漏洞管理。 发布区域：以控制台实际上线的区域为准。 购买企业版 企业版漏洞扫描和传统漏洞扫描的主要区别是什么？ 等保建设助手 等保建设助手为用户提供等保定级和差距评估咨询，根据系统情况提供定级参考意见和相关技术建议书以及等保条款分析情况汇总，根据等保差距要求，服务类型以远程或现场方式提供安全加固建议。 等保建设助手提供了基础版和高级版两种服务类型供您选择。 发布区域：以控制台实际上线的区域为准。 购买等保建设助手 下载检测报告 管理检测与响应服务后，系统将上传服务报告并发送邮件和短信通知信息，收到信息后，即可登录管理控制台下载服务报告。 等保测评报告将由测评公司邮寄。 发布区域：以控制台实际上线的区域为准。 下载检测报告 验收管理检测与响应 管理检测与响应服务后，系统将发送短信通知您登录管理控制台对本次服务进行验收。 验收周期从您收到短信日起共10个工作日，在周期内，若您未进行服务验收，系统将对本次服务进行自动验收。 发布区域：以控制台实际上线的区域为准。 验收管理检测与响应 查看服务单信息 购买MDR成功后，系统将自动生成服务单，华为管理检测与响应将在1个工作日内联系您，并与您沟通确定需求。此时，您可以登录控制台查看服务单信息和进展。 发布区域：以控制台实际上线的区域为准。 查看服务单进展

漏洞管理 通过实时获取业界热点安全漏洞讯息，同步主机漏洞扫描和网站漏洞扫描结果，全面掌握云上资产漏洞风险状况，并提供相应漏洞修复建议。 表7 漏洞管理功能说明 功能模块 功能详情 主机漏洞 通过授权主机，并一键扫描主机漏洞，呈现主机漏洞扫描检测信息，支持查看漏洞详情，并提供相应漏洞修复建议。 Linux软件漏洞扫描 通过比对国际通用漏洞库，检测系统和官方软件（非绿色版、非自行编译安装版，例如：SSH、OpenSSL、Apache、MySQL等）存在的漏洞，识别Linux系统存在的漏洞风险。 Windows软件漏洞扫描 通过同步国际通用补丁源，识别并告警提醒Windows系统潜在漏洞风险。 Web-CMS漏洞扫描 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，提升Web服务安全性。 网站漏洞 通过自动同步VSS漏洞扫描结果，分类呈现网站漏洞扫描详情，支持查看漏洞详情列表、不同类型漏洞分布和不同漏洞等级分布，并提供相应漏洞修复建议。 Web常规漏洞扫描 提供OWASP TOP10和WASC的漏洞检测能力，支持扫描30多种常见漏洞。包括XSS、SQL注入等。 网站弱密码扫描 全方位的OS连接，涵盖90%的中间件，支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测；比对丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 网站端口扫描 扫描服务器端口的开放状态，检测出容易被黑客发现的端口。 CVE网站漏洞扫描 同步国际通用漏洞库，扫描网站安全状况。 网页内容合规检测 对网站文字和图片规范性进行检测。 网站挂马检测 检测网站是否被上传木马，避免网站运行时自动执行木马程序，而被黑客控制。 网站链接健康检测 检测网站的链接地址健康性状态，避免网站出现死链、暗链、恶意链接。 应急漏洞公告 针对业界披露的热点安全漏洞，支持每5分钟抓取一次安全漏洞讯息，获取最新应急漏洞公告详情。

功能特性 漏洞扫描服务可以帮助您快速检测出您的网站、主机、移动应用和软件包/固件存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 网站漏洞扫描 具有OWASP TOP10和WASC的漏洞检测能力，支持扫描22种类型以上的漏洞。 扫描规则云端自动更新，全网生效，及时涵盖最新爆发的漏洞。 支持HTTPS扫描。 一站式漏洞管理 支持任务完成后短信通知用户。如果您希望在扫描任务执行完成后收到短信通知，请购买专业版、高级版或者企业版。 提供漏洞修复建议。如果您需要查看修复建议，请购买专业版、高级版或者企业版。 支持下载扫描报告，用户可以离线查看漏洞信息，报告格式为PDF。如果您需要下载扫描报告，请购买专业版、高级版或者企业版。 支持重新扫描。 支持弱密码扫描 多场景可用 支持操作系统(RDP协议、SSH协议)、数据库（如Mysql、Redis）等常见中间件弱口令检测。 丰富的弱密码库 丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 支持端口扫描 扫描服务器端口的开放状态，检测出容易被黑客发现的“入侵通道”。 自定义扫描 支持任务定时扫描。 支持基于用户名密码登录、基于自定义Cookie登录。 支持Web 2.0高级爬虫扫描。 支持自定义Header扫描。 支持手动导入探索文件来进行被动扫描。 主机漏洞扫描 支持深入扫描 通过配置验证信息，可连接到服务器进行OS检测，进行多维度的漏洞、配置检测。 支持内网扫描 可以通过跳板机方式访问业务所在的服务器，适配不同企业网络管理场景。 支持中间件扫描 丰富的扫描场景 支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。 多扫描方式可选 支持通过标准包或者自定义安装等多种方式识别服务器的中间件及其版本，全方位发现服务器的漏洞风险。 二进制成分分析 全方位风险检测 对软件包/固件进行全面分析，基于各类检测规则，获得相关被测对象的开源软件、信息泄露、安全配置等存在的潜在风险。 支持各类应用 支持对桌面应用（Windows和Linux）、移动应用程序（APK、IPA、Hap等）、嵌入式系统固件等的检测。 专业分析指导 提供全面、直观的风险汇总信息，并针对不同的扫描告警提供专业的解决方案和修复建议。 移动应用安全 移动应用安全服务能快速扫描您的应用，并提供详细的检测报告，协助你快速定位修复问题。 全自动化测试 您只需上传Android、HarmonyOS应用文件提交扫描任务，即可输出详尽专业的测试报告 详细的测试报告 详尽的在线测试报告，一键即可下载，报告提供包括问题代码行、修复建议、调用栈信息、违规问题场景截图、关联隐私策略片段等信息。 支持第三方SDK隐私声明解析 针对第三方SDK隐私声明存在“表格”与“外链”两种展示方式。通过插桩方式获取应用隐私声明的url，继而提取并深度分析隐私声明内容。 支撑鸿蒙应用扫描 率先支持鸿蒙应用安全漏洞、隐私合规问题扫描。

Linux软件漏洞/Windows系统漏洞 登录管理控制台。 在页面左上角选择“区域”，单击，选择“安全与合规 > 企业主机安全”，进入企业主机安全页面。 图1 企业主机安全 选择“Linux软件漏洞管理”或“Windows系统漏洞管理”页签，进入相应漏洞管理页面，如图2所示。 图2 查看Linux软件/Windows系统漏洞检测结果 单击“漏洞名称”，查看漏洞信息，包括漏洞基本信息、解决方案、CVE漏洞描述。 图3 漏洞信息 查看漏洞影响的服务器，在该页面，您可以对漏洞进行处理。 图4 影响服务器 单击“修复”，您可一键修复该漏洞。 单击“忽略”，您可忽略该漏洞，HSS将不再上报并告警此服务器上的这个漏洞。 修复漏洞后，您可以单击“验证”，一键验证该漏洞是否已修复成功。 若您未进行手动验证，主机防护每日凌晨进行全量检测，您修复后需要等到次日凌晨检测后才能查看修复结果。 若您确认已完成漏洞修复，但验证后仍提示未修复，请参考漏洞修复未生效进行排查。 若提示修复失败，可以单击“查看原因”了解具体原因并处理。

修订记录 发布日期 修改记录 2022-09-07 第五十二次正式发布。 本次更新说明如下： 更新综合态势感知、主机安全态势章节内容，更新综合大屏数据更新时间说明。 2022-08-25 第五十一次正式发布。 本次更新说明如下： 刷新创建用户并授权使用SA章节内容，更新SA权限说明。 2022-08-01 第五十次正式发布。 本次更新说明如下： 新增配置基线检查功能所需的权限章节内容。 2022-07-04 第四十九次正式发布。 本次更新说明如下： 更新总览章节内容，新增了漏洞类型的描述。 新增处理基线检查结果章节内容，新增忽略和上报检查结果功能。 2022-06-20 第四十八次正式发布。 本次更新说明如下： 更新设置告警监控章节内容，更新图片及说明。 优化文档描述。 2022-03-18 第四十七次正式发布。 本次更新说明如下： 删除“资产管理”章节内容，资源信息统一在资源管理中呈现。 2022-02-28 第四十六次正式发布。 本次更新说明如下： 刷新基线检查项目章节内容，新增基线检查项目。 2022-02-11 第四十五次正式发布。 本次更新说明如下： 刷新基线检查项目章节内容，新增基线检查项目。 删除了“安全编排”章节内容。 2022-01-27 第四十四次正式发布。 本次更新说明如下： 刷新基线检查项目章节内容，新增基线检查项目。 2022-01-22 第四十三次正式发布。 本次更新说明如下： 新增资源管理章节，新增资源管理功能介绍。 2022-01-20 第四十二次正式发布。 本次更新说明如下： 刷新基线检查项目章节内容，新增基线检查项目。 2022-01-12 第四十一次正式发布。 本次更新说明如下： 刷新安全概览章节内容，“安全看板”改为“安全概览”，功能全新升级，更新安全概览相关描述。 刷新基线检查项目章节内容，新增基线检查项目。 2021-12-29 第四十次正式发布。 本次更新说明如下： 刷新了云服务基线简介章节，新增基线检查项目描述。 新增基线检查项目章节内容。 2021-12-22 第三十九次正式发布。 本次更新说明如下： 刷新了日志管理章节，删除存储SA日志至LTS服务的内容。 删除了“日志授权”章节内容。 2021-11-11 第三十八次正式发布。 本次更新说明如下： 新增购买标准版、业务分析章节内容。 新增了标准版相关描述。 2021-09-02 第三十七次正式发布。 本次更新说明如下： 刷新了云服务基线简介章节，更新云服务基线支持区域。 2021-08-13 第三十六次正式发布。 本次更新说明如下： 刷新了云服务基线简介章节，更新云服务基线子检查项。 2021-06-25 第三十五次正式发布。 本次更新说明如下： 刷新了基线检查章节，更新云服务基线子检查项。 新增检测设置章节，新增云服务基线检查的检查计划操作步骤。 2021-04-28 第三十四次正式发布。 本次更新说明如下： 修改了日志管理、“日志授权”章节，支持将态势感知日志存储至OBS桶。 2021-04-20 第三十三次正式发布。 本次更新说明如下： 修改了检测结果章节，支持查看威胁情报溯源信息； 修改了产品集成章节，升级产品集成功能，支持接入安天威胁情报综合分析平台数据。 2021-04-09 第三十二次正式发布。 本次更新说明如下： 新增了查看安全报告章节，介绍了态势感知安全月报相关内容。 2021-03-12 第三十一次正式发布。 本次更新说明如下： 修改了购买专业版章节，删除“网站最大配额数”说明； 修改了查看主机漏洞扫描详情章节，补充前提条件说明； 修改了查看网站漏洞扫描详情章节，补充前提条件说明。 2021-02-23 第三十次正式发布。 本次更新说明如下： 修改了检测结果章节，支持统筹管理合规检查、主机漏洞等检查结果； 修改了产品集成章节，升级产品集成功能，支持接入CGS和VSS产品数据。 2021-02-09 第二十九次正式发布。 本次更新说明如下： 新增了分析报告章节，支持自定义安全分析报告。 2020-12-24 第二十八次正式发布。 本次更新说明如下： 修改了检测结果章节，支持删除自定义过滤场景； 修改了产品集成章节，升级产品集成功能，支持接入云堡垒机数据，并支持查看数据上报的状态。 2020-10-21 第二十七次正式发布。 本次更新说明如下： 新增了检测结果章节，集中管理检测结果，支持自定义过滤场景； 新增了产品集成章节，集成安全产品，管理检测结果的数据来源。 2020-10-10 第二十六次正式发布。 本次更新说明如下： 修改了购买专业版章节，购买页改版； 修改了开通综合大屏章节，购买页改版； 修改了增加资产配额章节，购买页改版。 2020-09-29 第二十五次正式发布。 本次更新说明如下： 修改了告警概述章节，接入WAF告警事件，新增22种子告警项。 2020-08-28 第二十四次正式发布。 本次更新说明如下： 新增了专业版管理章节，Console新增专业版管理窗口，支持按需转包周期； 新增了开通综合大屏章节，介绍如何开通综合大屏功能； 修改了“安全编排”章节，补充背景介绍说明。 2020-08-13 第二十三次正式发布。 本次更新说明如下： 修改了应急漏洞公告章节，新增导出安全公告列表功能； 修改了日志管理章节，新增“查看日志”说明。 2020-07-23 第二十二次正式发布。 本次更新说明如下： 新增了漏洞管理概述章节，介绍漏洞管理主要功能范围； 修改了应急漏洞章节，应急漏洞功能改版，接入安全公告数据。 2020-07-10 第二十一次正式发布。 本次更新说明如下： 新增了“云服务基线概述”章节，新增17类云服务基线子检查项。 2020-07-09 第二十次正式发布。 本次更新说明如下： 修改了购买态势感知专业版章节，新增“按需计费”模式和“自动续费”功能； 修改了告警概述章节，新增7种“异常行为”告警事件的子告警项。 2020-06-11 第十九次正式发布。 本次更新说明如下： 修改了购买态势感知专业版章节，取消购买时长选择限制。 修改了“查看主机资产安全状态”章节，新增“旗舰版”主机防护版本。 2020-06-08 第十八次正式发布。 本次更新说明如下： 新增了权限管理章节，介绍授权使用SA、SA自定义策略、权限相关授权项等内容。 2020-05-09 第十七次正式发布。 本次更新说明如下： 修改了购买态势感知专业版章节，优化参数说明。 修改了告警概述章节，列表说明可检测的威胁攻击事件。 2020-04-08 第十六次正式发布。 本次更新说明如下： 修改了告警概述章节，新增导出近180天威胁告警功能。 2020-03-30 第十五次正式发布。 本次更新说明如下： 新增了安全概览章节，安全态势总览全新上线，原“总览”页面功能下线； Console切UI4.0，修改全量示例图。 2020-02-20 第十四次正式发布。 本次更新说明如下： 新增“实施编排策略”中“执行阶段说明”。 2019-12-16 第十三次正式发布。 本次更新说明如下： 新增日志管理章节； 新增“日志授权”章节。 2019-09-20 第十二次正式发布。 本次更新说明如下： 修改“综合态势感知”章节，增加示意地图说明； 修改“主机安全态势”章节，增加示意地图说明。 2019-08-30 第十一次正式发布。 本次更新说明如下： 新增服务操作入口插图，以及修改相关内容描述； 修改告警概述章节； 新增DDoS章节； 新增暴力破解章节； 新增Web攻击章节； 新增后门木马章节； 新增漏洞攻击章节； 新增僵尸主机章节； 新增异常行为章节； 新增命令与控制章节。 2019-08-23 第十次正式发布。 本次更新说明如下： 修改主机授权章节； 删除“Linux主机授权”章节； 删除“Windows主机授权”章节。 2019-08-09 第九次正式发布。 本次更新说明如下： 增加购买态势感知专业版章节。 2019-07-11 第八次正式发布。 本次更新说明如下： 增加“主机安全态势”章节； 增加告警监控设置章节； 增加深度专业的漏洞扫描章节。 2019-02-20 第七次正式发布。 本次更新说明如下： 增加“Windows主机授权”章节； 修改“网站资产安全”章节； 修改查看主机漏洞扫描详情章节； 修改“Linux主机授权”章节； 修改“云服务基线”章节。 2019-02-01 第六次正式发布。 本次更新说明如下： 增加“安全编排”章节； 修改查看主机漏洞扫描详情章节； 修改查看网站漏洞扫描详情章节； 修改应急漏洞章节。 2018-11-06 第五次正式发布。 2018-10-16 第四次正式发布。 2018-09-06 第三次正式发布。 2018-08-06 第二次正式发布。 2018-04-24 第一次正式发布。

如何修复扫描出来的主机漏洞？ 不同的主机系统修复漏洞的方法有所不同，软件漏洞的修复需要具有一定专业知识的人员进行操作，根据服务器的情况进行漏洞修复，可参考漏洞扫描服务给出的修复建议，修复漏洞时应按照如下的操作步骤进行修复。 对需要修复的服务器实例进行备份，防止出现不可预料的后果。 对需要修复的资产和漏洞进行多次确认。根据业务情况以及服务器的使用情况等综合因素，确认自己的资产是否需要做漏洞修复，并形成漏洞修复列表。 在模拟测试环境中部署待修复漏洞的相关补丁，从兼容性和安全性方面进行测试，并输出补丁漏洞修复测试报告，报告内容应包含补丁漏洞修复情况、漏洞修复的时长、补丁本身的兼容性、以及漏洞修复可能造成的影响。 进行漏洞修复时，最好多人在场，边操作边记录，防止出现误操作。 漏洞修复完成后，在测试环境对目标服务器系统上的漏洞进行修复验证，确保服务器没有异常，输出详细的修复记录进行归档，方便日后遇见相关问题可快速反应。 总之，为了防止在漏洞修复过程中出现问题，在漏洞修复前要及时备份、制定方案、在测试环境进行模拟测试验证可行性，在修复过程中要小心并及时记录，在修复后及时生成完备的修复报告进行归档。 如果以上方案仍未能解决您的问题，建议您使用华为云“管理检测与响应”的安全加固功能，一站式完成漏洞修复。

检测与修复建议 华为云企业主机安全服务提供了对该漏洞的便捷检测与修复。 在需要检测与修复的云主机上，已安装企业主机安全客户端（Agent），并开启防护。 登录管理控制台。 在页面左上角选择“区域”，单击，选择“安全与合规 > 企业主机安全”，进入企业主机安全页面。 图1 企业主机安全 单击左侧“主机管理”，在云服务器列表中，单击Windows操作系统主机所在行的“查看详情”，如图2所示。 图2 查看详情 在详情页面，单击“漏洞管理 > Windows系统漏洞 > 手动检测”检测主机存在的漏洞，如图3所示。 图3 手动检测漏洞 检测完成后，可查看“解决方案”所在列的修复建议，根据修复建议修复漏洞。 修复过程需要花费一段时间，修复完成后，请重启云主机使补丁生效。 重启云主机后，再次单击“手动检测”，验证该漏洞是否修复成功。 您也可以通过在企业主机安全服务中，选择“漏洞管理 > Windows系统漏洞管理”页签，进入漏洞管理页面，在漏洞列表右上角，输入漏洞名称。查看并修复该漏洞。 Windows Server 2019：KB4534273 Windows Server 2016：KB4534271

操作步骤 在管理PC上配置网口的IP地址为192.168.0.2（可以是192.168.0.2～192.168.0.254中的任何一个），子网掩码为255.255.255.0，然后打开Web浏览器访问设备的标准界面https://192.168.0.1:8443/。 配置云端管理接口。 GE0/0/3默认为二层接口，请按照如下方式配置成三层接口。 选择“网络 > 接口”。 单击GE0/0/3对应的，按照如下参数配置接口。 安全区域 untrust 模式 路由 IPv4 IP地址 172.16.10.10/24 配置云端管理接口的静态路由。 选择“网络 > 路由 > 静态路由”。 单击“静态路由列表”区域下的“新建”，添加静态路由。下一跳配置为网关地址。 配置检测接口GE0/0/1为旁路检测模式，该二层接口与Switch的观察端口直连。 选择“网络 > 接口”。 单击GE0/0/1对应的，按照下图所示配置接口，注意“模式”需要选择“旁路检测”。 选择“系统 > 配置 > 时钟配置”，检查设备系统时间是否与当前时间一致，如果不一致，请调整设备系统时间，以保证云端能够精确掌握威胁事件的发生时间。 配置业务参数（边界防护与响应服务）。 加载License。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 选择“系统 > License管理”，“License激活方式”设置为“本地手动激活”。 单击“浏览”，选择本地PC中的的License文件，并单击“激活”。 选择“策略 > 安全策略 > 安全策略”，检查default策略的动作是否为“允许”，如果不是，单击策略名称default进入修改安全策略界面，将动作修改为“允许”。 确认安全策略已成功下发。 设备上线后，云端会部署套餐，需要2分钟左右，部署成功后安全策略会自动下发。 安全策略下发后，如图1所示。共有5条安全策略，其中default安全策略建议改回禁止，默认安全需要。 如果设备上只有“default”和“rule_iss_dns”安全策略，或只有“default”安全策略时，由云端自动下发安全策略。 如果设备上存在其他安全策略时，云端不会自动下发安全策略，此时请参考如何配置边界防护与响应服务需要的安全策略（USG6000E-C天关、USG6000E防火墙）自行完成配置。 图1 安全策略 选择“系统 > 升级中心”，单击下图所示的立即升级，升级“入侵防御特征库”和“反病毒特征库”。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置旁路检测所需要的安全策略。 选择“网络 > 安全区域”。将GE0/0/1和对应VLAN都加入trust安全区域。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，配置名称为“trust-trust”的安全策略，源安全区域为trust，目的安全区域为trust，反病毒采用新建的AV_default，入侵防御采用新建的IPS_default，动作为“允许”。 配置漏洞扫描和云日志审计接口。 已购买漏洞扫描服务或云日志审计服务时需要执行本步骤。 GE0/0/2默认为二层接口，请按照如下方式配置成三层接口。请保证上报日志的资产与此IP地址路由可达。 选择“网络 > 接口”。 单击GE0/0/2对应的，按照如下参数配置接口。 安全区域 trust 模式 路由 IPv4 IP地址 192.168.56.10/24 配置业务参数（漏洞扫描服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表1 安全策略 服务 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 漏洞扫描服务 untrust-local untrust local any any udp：云端与防火墙之间建立VPN隧道。 tcp：对资产进行漏洞扫描。 允许 local-untrust local untrust any any any 允许 local-trust local trust any any tcp：对资产进行漏洞扫描。 允许 trust-local trust local any any tcp：对资产进行漏洞扫描。 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（云日志审计服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表2 安全策略 服务类型 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 云日志审计服务 trust-local trust local any any udp：资产上传日志到防火墙。 允许 local-untrust local untrust any any any 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。

修订记录 发布日期 修改说明 2022-06-30 第十三次正式发布。 下线主机安全“基础版（免费）”最佳实践。 2022-05-16 第十二次正式发布。 下线防御勒索病毒最佳实践。 2021-07-08 第十一次正式发布。 服务入口刷新。 2021-05-17 第十次正式发布。 新增6-主机安全“基础版（免费）”最佳实践。 2020-12-30 第九次正式发布。 5-防御勒索病毒最佳实践，新增Linux系统勒索病毒防护。 2020-10-15 第八次正式发布。 新增Git用户凭证泄露漏洞（CVE-2020-5260）。 新增5-防御勒索病毒最佳实践。 2020-06-19 第七次正式发布。 优化快速提升主机安全性。 删除“精准定位非法进程”，功能重构。 2020-05-08 第六次正式发布。 新增SaltStack远程命令执行漏洞（CVE-2020-11651/CVE-2020-11652）。 2020-04-26 第五次正式发布。 新增OpenSSL高危漏洞（CVE-2020-1967）。 新增Adobe Font Manager库远程代码执行漏洞（CVE-2020-1020/CVE-2020-0938）。 新增Windows内核特权提升漏洞（CVE-2020-1027）。 2020-04-09 第四次正式发布。 新增“精准定位非法进程”。 2020-02-12 第三次正式发布。 新增Windows CryptoAPI欺骗漏洞（CVE-2020-0601）。 2020-01-22 第二次正式发布。 2019-11-25 第一次正式发布。

修订记录 发布日期 修改说明 2022-10-25 第五十七次正式发布。 修改如下章节： 独享引擎实例升级最佳实践 2022-09-30 第五十六次正式发布。 增加“独享WAF+7层ELB”联动，实现防护任意非标端口。 2022-09-06 第五十五次正式发布。 修改如下章节： “CDN+WAF”联动，提升网站防护能力和访问速度 “DDoS高防+WAF”联动，提升网站全面防护能力 2022-08-11 第五十四次正式发布。 增加以下最佳实践： 通过业务Cookie和HWWAFSESID联合配置限制恶意抢购、下载等的最佳实践 2022-07-26 第五十三次正式发布。 修改“WAF+HSS”联动，提升网页防篡改能力章节。 2022-07-06 第五十二次正式发布。 全局计数功能上线，修改如下章节： CC攻击防御最佳实践 “CDN+WAF”联动，提升网站防护能力和访问速度 “DDoS高防+WAF”联动，提升网站全面防护能力 2022-07-04 第五十一次正式发布。 全局白名单功能上线，修改如下章节： 通过误报处理提升Web基础防护效果 使用Postman工具模拟业务验证全局白名单（原误报屏蔽）规则 2022-06-06 第五十次正式发布。 修改如下章节： 获取客户端真实IP “DDoS高防+WAF”联动，提升网站全面防护能力 2022-05-23 第四十九次正式发布。 增加“WAF+HSS”联动，提升网页防篡改能力。 修改获取客户端真实IP章节。 2022-05-17 第四十八次正式发布。 修改“DDoS高防+WAF”联动，提升网站全面防护能力章节。 2022-05-05 第四十七次正式发布。 修改获取客户端真实IP，增加了约束条件。 2022-04-19 第四十六次正式发布。 增加如下两个最佳实践： 通过LTS实时分析Spring core RCE漏洞的拦截情况 通过LTS配置WAF规则的拦截告警 2022-04-01 第四十五次正式发布。 增加Java Spring框架远程代码执行高危漏洞最佳实践。 2022-03-29 第四十四次正式发布。 准备阶段，增加了相关说明。 2022-02-11 第四十三次正式发布。 获取客户端真实IP，增加了Apache服务器为2.4及以上版本如何获取源站IP的方法。 2021-12-22 第四十二次正式发布。 新增通过LTS快速查询分析WAF访问日志。 2021-12-02 第四十一次正式发布。 新增使用Postman工具模拟业务验证全局白名单（原误报屏蔽）规则。 通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全，优化内容描述。 2021-10-21 第四十次正式发布。 “CDN+WAF”联动，提升网站防护能力和访问速度，优化内容描述。 2021-10-12 第三十九次正式发布。 通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全，优化内容描述。 2021-09-22 第三十八次正式发布。 新增独享引擎实例升级最佳实践。 2021-08-19 第三十七次正式发布。 “CDN+WAF”联动，提升网站防护能力和访问速度，更新界面截图。 2021-07-29 第三十六次正式发布。 “CDN+WAF”联动，提升网站防护能力和访问速度、“DDoS高防+WAF”联动，提升网站全面防护能力，补充接入成功生效条件。 2021-07-20 第三十五次正式发布。 修改管理控制台入口。 2021-06-25 第三十四次正式发布。 单独使用WAF配置指导，优化内容描述。 2021-06-08 第三十三次正式发布。 “CDN+WAF”联动，提升网站防护能力和访问速度，优化前提条件描述。 “DDoS高防+WAF”联动，提升网站全面防护能力，优化前提条件描述。 2021-05-20 第三十二次正式发布。 “DDoS高防+WAF”联动，提升网站全面防护能力，补充独享模式和ELB模式配置策略。 2021-05-14 第三十一次正式发布。 “CDN+WAF”联动，提升网站防护能力和访问速度，补充独享模式和ELB模式配置策略。 2021-04-08 第三十次正式发布。 单独使用WAF配置指导，优化内容描述。 2021-03-19 第二十九次正式发布。 通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全，优化内容描述。 2020-11-27 第二十八次正式发布。 通过配置ECS/ELB访问控制策略保护源站安全，优化内容描述。 通过误报处理提升Web基础防护效果，优化内容描述。 获取客户端真实IP，优化内容描述。 2020-11-20 第二十七次正式发布。 通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全，优化内容描述。 通过配置反爬虫防护策略阻止爬虫攻击，优化内容描述。 2020-08-17 第二十六次正式发布。 获取客户端真实IP，优化内容描述。 2020-05-14 第二十五次正式发布。 通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全，优化内容描述。 2020-04-16 第二十四次正式发布。 优化内容描述。 2020-04-02 第二十三次正式发布。 更新界面截图。 2020-02-27 第二十二次正式发布。 通过误报处理提升Web基础防护效果，更新界面截图并优化内容描述。 2020-02-14 第二十一次正式发布。 新增Apache Dubbo反序列化漏洞。 2020-01-03 第二十次正式发布。 获取客户端真实IP，修改标题。 2019-12-19 第十九次正式发布。 通过误报处理提升Web基础防护效果，增加IIS服务器获取访问者真实IP的方法。 “CDN+WAF”联动，提升网站防护能力和访问速度，优化内容描述。 2019-12-16 第十八次正式发布。 操作入口连环图更新。 2019-12-05 第十七次正式发布。 获取客户端真实IP，优化内容描述。 2019-10-21 第十六次正式发布。 通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全，优化内容描述。 CC攻击防御最佳实践，优化内容描述。 通过误报处理提升Web基础防护效果，优化内容描述。 “DDoS高防+WAF”联动，提升网站全面防护能力，优化内容描述。 “CDN+WAF”联动，提升网站防护能力和访问速度，优化内容描述。 2019-09-06 第十五次正式发布。 新增开源组件Fastjson拒绝服务漏洞。 2019-09-04 第十四次正式发布。 单独使用WAF配置指导，优化内容描述。 2019-08-30 第十三次正式发布。 “CDN+WAF”联动，提升网站防护能力和访问速度，优化内容描述。 2019-08-27 第十二次正式发布。 通过配置反爬虫防护策略阻止爬虫攻击，优化内容描述。 2019-08-01 第十一次正式发布。 新增“CDN+WAF”联动，提升网站防护能力和访问速度。 2019-07-12 第十次正式发布。 新增开源组件Fastjson远程代码执行漏洞。 2019-06-21 第九次正式发布。 新增获取客户端真实IP。 2019-06-04 第八次正式发布。 新增通过误报处理提升Web基础防护效果。 新增WAF接入配置最佳实践。 2019-05-16 第七次正式发布。 新增通过配置ECS/ELB访问控制策略保护源站安全。 新增Web基础防护功能最佳实践。 2019-05-05 第六次正式发布。 通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全，优化内容描述。 2019-04-28 第五次正式发布。 新增通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全。 2019-04-23 第四次正式发布。 新增Oracle WebLogic wls9-async反序列化远程命令执行漏洞（CNVD-C-2019-48814）。 CC攻击防御最佳实践，优化内容描述。 通过配置反爬虫防护策略阻止爬虫攻击，优化内容描述。 2018-11-08 第三次正式发布。 短描述和关键字的设置。 2018-10-15 第二次正式发布。 根据界面变化更新了截图和描述。 2018-05-11 第一次正式发布。

等保2.0三级要求—安全运维管理 表22 安全运维管理风险项检查项目 检查子项目 检查项目 环境管理 应指定专门的部门或人员负责机房安全，对机房出入进行管理，定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理。 应建立机房安全管理制度，对有关物理访问、物品带进出和环境安全等方面的管理作出规定。 应不在重要区域接待来访人员，不随意放置含有敏感信息的纸档文件和移动介质等。 资产管理 应编制并保存与保护对象相关的资产清单，包括资产责任部门、重要程度和所处位置等内容。 应根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施。 应对信息分类与标识方法作出规定，并对信息的使用、传输和存储等进行规范化管理。 介质管理 应将介质存放在安全的环境中，对各类介质进行控制和保护，实行存储环境专人管理，并根据存档介质的目录清单定期盘点。 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制，并对介质的归档和查询等进行登记记录。 设备维护管理 应对各种设备（包括备份和冗余设备）、线路等指定专门的部门或人员定期进行维护管理。 应建立配套设施、软硬件维护方面的管理制度，对其维护进行有效的管理，包括明确维护人员的责任、维修和服务的审批、维修过程的监督控制等。 信息处理设备应经过审批才能带离机房或办公地点，含有存储介质的设备带出工作环境时其中重要数据应加密。 含有存储介质的设备在报废或重用前，应进行完全清除或被安全覆盖，保证该设备上的敏感数据和授权软件无法被恢复重用。 漏洞和风险管理 应采取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。 应定期开展安全测评，形成安全测评报告，采取措施应对发现的安全问题。 网络和系统安全管理 应划分不同的管理员角色进行网络和系统的运维管理，明确各个角色的责任和权限。 应指定专门的部门或人员进行账户管理，对申请账户、建立账户、删除账户等进行控制。 应建立网络和系统安全管理制度，对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定。 应制定重要设备的配置和操作手册，依据手册对设备进行安全配置和优化配置等。 应详细记录运维操作日志，包括日常巡检工作、运行维护记录、参数的设置和修改等内容。 应指定专门的部门或人员对日志、监测和报警数据等进行分析、统计，及时发现可疑行为。 应严格控制变更性运维，经过审批后才可改变连接、安装系统组件或调整配置参数，操作过程中应保留不可更改的审计日志，操作结束后应同步更新配置信息库。 应严格控制运维工具的使用，经过审批后才可接入进行操作，操作过程中应保留不可更改的审计日志，操作结束后应删除工具中的敏感数据。 应严格控制远程运维的开通，经过审批后才可开通远程运维接口或通道，操作过程中应保留不可更改的审计日志，操作结束后立即关闭接口或通道。 应保证所有与外部的连接均得到授权和批准，应定期检查违反规定无线上网及其他违反网络安全策略的行为。 恶意代码防范管理 应提高所有用户的防恶意代码意识，对外来计算机或存储设备接入系统前进行恶意代码检查等。 应定期验证防范恶意代码攻击的技术措施的有效性。 配置管理 应记录和保存基本配置信息，包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等。 应将基本配置信息改变纳入变更范畴，实施对配置信息改变的控制，并及时更新基本配置信息库。 密码管理 应遵循密码相关国家标准和行业标准。 应使用国家密码管理主管部门认证核准的密码技术和产品。 变更管理 应明确变更需求，变更前根据变更需求制定变更方案，变更方案经过评审、审批后方可实施。 应建立变更的申报和审批控制程序，依据程序控制所有的变更，记录变更实施过程。 应建立中止变更并从失败变更中恢复的程序，明确过程控制方法和人员职责，必要时对恢复过程进行演练。 备份与恢复管理 应识别需要定期备份的重要业务信息、系统数据及软件系统等。 应规定备份信息的备份方式、备份频度、存储介质、保存期等。 应根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略、备份程序和恢复程序等。 安全事件处置 应及时向安全管理部门报告所发现的安全弱点和可疑事件。 应制定安全事件报告和处置管理制度，明确不同安全事件的报告、处置和响应流程，规定安全事件的现场处理、事件报告和后期恢复的管理职责等。 应在安全事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训。 对造成系统中断和造成信息泄漏的重大安全事件应采用不同的处理程序和报告程序。 应急预案管理 应规定统一的应急预案框架，包括启动预案的条件、应急组织构成、应急资源保障、事后教育和培训等内容。 应制定重要事件的应急预案，包括应急处理流程、系统恢复流程等内容。 应定期对系统相关的人员进行应急预案培训，并进行应急预案的演练。 应定期对原有的应急预案重新评估，修订完善。 外包运维管理 应确保外包运维服务商的选择符合国家的有关规定。 应与选定的外包运维服务商签订相关的协议，明确约定外包运维的范围、工作内容。 应保证选择的外包运维服务商在技术和管理方面均应具有按照等级保护要求开展安全运维工作的能力，并将能力要求在签订的协议中明。 应在与外包运维服务商签订的协议中明确所有相关的安全要求，如可能涉及对敏感信息的访问、处理、存储要求，对IT基础设施中断服务的应急保障要求等。

主机漏洞检测 主机漏洞检测（Host Vulnerability Detection，以下简称HVD）是为用户提供一个针对云服务器的安全检测服务，通过安装到弹性云服务器内部的Agent定期对操作系统进行扫描，帮助您及时了解系统存在的安全漏洞，防患于未然，在漏洞被利用之前发现漏洞并修补漏洞。 通过云审计服务，您可以记录与HVD主机漏洞检测服务相关的操作事件，便于日后的查询、审计和回溯。 表1 云审计服务支持的HVD操作列表 操作名称 资源类型 事件名称 开通主机漏洞检测 vm openHvd 关闭主机漏洞检测 vm stopHvd

等保2.0三级要求—安全运维管理 表22 安全运维管理风险项检查项目 检查子项目 检查项目 环境管理 应指定专门的部门或人员负责机房安全，对机房出入进行管理，定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理。 应建立机房安全管理制度，对有关物理访问、物品带进出和环境安全等方面的管理作出规定。 应不在重要区域接待来访人员，不随意放置含有敏感信息的纸档文件和移动介质等。 资产管理 应编制并保存与保护对象相关的资产清单，包括资产责任部门、重要程度和所处位置等内容。 应根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施。 应对信息分类与标识方法作出规定，并对信息的使用、传输和存储等进行规范化管理。 介质管理 应将介质存放在安全的环境中，对各类介质进行控制和保护，实行存储环境专人管理，并根据存档介质的目录清单定期盘点。 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制，并对介质的归档和查询等进行登记记录。 设备维护管理 应对各种设备（包括备份和冗余设备）、线路等指定专门的部门或人员定期进行维护管理。 应建立配套设施、软硬件维护方面的管理制度，对其维护进行有效的管理，包括明确维护人员的责任、维修和服务的审批、维修过程的监督控制等。 信息处理设备应经过审批才能带离机房或办公地点，含有存储介质的设备带出工作环境时其中重要数据应加密。 含有存储介质的设备在报废或重用前，应进行完全清除或被安全覆盖，保证该设备上的敏感数据和授权软件无法被恢复重用。 漏洞和风险管理 应采取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。 应定期开展安全测评，形成安全测评报告，采取措施应对发现的安全问题。 网络和系统安全管理 应划分不同的管理员角色进行网络和系统的运维管理，明确各个角色的责任和权限。 应指定专门的部门或人员进行账户管理，对申请账户、建立账户、删除账户等进行控制。 应建立网络和系统安全管理制度，对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定。 应制定重要设备的配置和操作手册，依据手册对设备进行安全配置和优化配置等。 应详细记录运维操作日志，包括日常巡检工作、运行维护记录、参数的设置和修改等内容。 应指定专门的部门或人员对日志、监测和报警数据等进行分析、统计，及时发现可疑行为。 应严格控制变更性运维，经过审批后才可改变连接、安装系统组件或调整配置参数，操作过程中应保留不可更改的审计日志，操作结束后应同步更新配置信息库。 应严格控制运维工具的使用，经过审批后才可接入进行操作，操作过程中应保留不可更改的审计日志，操作结束后应删除工具中的敏感数据。 应严格控制远程运维的开通，经过审批后才可开通远程运维接口或通道，操作过程中应保留不可更改的审计日志，操作结束后立即关闭接口或通道。 应保证所有与外部的连接均得到授权和批准，应定期检查违反规定无线上网及其他违反网络安全策略的行为。 恶意代码防范管理 应提高所有用户的防恶意代码意识，对外来计算机或存储设备接入系统前进行恶意代码检查等。 应定期验证防范恶意代码攻击的技术措施的有效性。 配置管理 应记录和保存基本配置信息，包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等。 应将基本配置信息改变纳入变更范畴，实施对配置信息改变的控制，并及时更新基本配置信息库。 密码管理 应遵循密码相关国家标准和行业标准。 应使用国家密码管理主管部门认证核准的密码技术和产品。 变更管理 应明确变更需求，变更前根据变更需求制定变更方案，变更方案经过评审、审批后方可实施。 应建立变更的申报和审批控制程序，依据程序控制所有的变更，记录变更实施过程。 应建立中止变更并从失败变更中恢复的程序，明确过程控制方法和人员职责，必要时对恢复过程进行演练。 备份与恢复管理 应识别需要定期备份的重要业务信息、系统数据及软件系统等。 应规定备份信息的备份方式、备份频度、存储介质、保存期等。 应根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略、备份程序和恢复程序等。 安全事件处置 应及时向安全管理部门报告所发现的安全弱点和可疑事件。 应制定安全事件报告和处置管理制度，明确不同安全事件的报告、处置和响应流程，规定安全事件的现场处理、事件报告和后期恢复的管理职责等。 应在安全事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训。 对造成系统中断和造成信息泄漏的重大安全事件应采用不同的处理程序和报告程序。 应急预案管理 应规定统一的应急预案框架，包括启动预案的条件、应急组织构成、应急资源保障、事后教育和培训等内容。 应制定重要事件的应急预案，包括应急处理流程、系统恢复流程等内容。 应定期对系统相关的人员进行应急预案培训，并进行应急预案的演练。 应定期对原有的应急预案重新评估，修订完善。 外包运维管理 应确保外包运维服务商的选择符合国家的有关规定。 应与选定的外包运维服务商签订相关的协议，明确约定外包运维的范围、工作内容。 应保证选择的外包运维服务商在技术和管理方面均应具有按照等级保护要求开展安全运维工作的能力，并将能力要求在签订的协议中明。 应在与外包运维服务商签订的协议中明确所有相关的安全要求，如可能涉及对敏感信息的访问、处理、存储要求，对IT基础设施中断服务的应急保障要求等。

配置思路 登录华为乾坤云服务控制台，配置全局白名单，防止租户内网资产IP地址被云端（包括云端自动下发、云端安全服务人员）错误下发黑名单。 登录天关2，主要配置以下内容： 配置Bypass接口对，用于转发内外网业务流量。 配置云端管理接口，用于天关与云端对接，包括设备向云端注册、向云端提供日志、接收云端下发配置等。 配置漏扫和日志审计业务接口，已购买漏洞扫描服务或云日志审计服务时需要配置。 分别配置边界防护与响应服务、漏洞扫描服务、云日志审计服务业务参数。 登录天关1，主要配置以下内容： 配置Bypass接口对，用于转发内外网业务流量。 配置云端管理接口，用于天关与云端对接，包括设备向云端注册、向云端提供日志、接收云端下发配置等。 配置漏扫和日志审计业务接口，已购买漏洞扫描服务或云日志审计服务时需要配置。 配置设备白名单，将区域2NAT后的地址192.168.55.100配置为白名单，保证天关1不检测区域2发出的流量。 分别配置边界防护与响应服务、漏洞扫描服务、云日志审计服务业务参数。

功能总览 功能总览 全部 企业主机安全 资产管理 基线检查 漏洞管理 13大类入侵检测能力 账户暴力破解防护 恶意程序隔离查杀 勒索病毒防护 程序运行认证 文件完整性管理 自定义安全策略 动静态网页防篡改 特权进程可修改防篡改文件 双因子认证 SSH登录IP白名单 常用登录地/IP 告警白名单管理 告警通知 主机分类管理 订阅安全报告 企业主机安全 企业主机安全（Host Security Service，HSS）是提升主机整体安全性的服务，通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能，可全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 发布区域：全部。 HSS服务版本差异 功能特性 应用场景 资产管理 HSS提供资产管理功能，主动检测主机中的开放端口、系统运行中的进程、主机中的Web目录和自启动服务，并对账号信息和软件信息的变动情况进行记录。 通过资产管理，您能集中清点主机中的各项资产信息，及时发现主机中含有风险的各项资产。 资产管理仅提供风险检测功能，若发现有可疑资产信息，请手动处理。 发布区域：全部。 账号信息管理 开放端口检测 软件信息管理 基线检查 HSS提供基线检查功能，主动检测主机中的口令复杂度策略，关键软件中含有风险的配置信息，并针对所发现的风险为您提供修复建议，帮助您正确地处理服务器内的各种风险配置信息。 发布区域：全部。 告警策略 导出配置检测报告 基线检查风险修复建议 漏洞管理 HSS提供漏洞管理功能，检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞。 在“漏洞管理”界面，您可以查看漏洞的信息和状态，根据“修复紧急度”排查主机中的漏洞。 发布区域：全部。 检测原理 漏洞修复与验证 13大类入侵检测能力 HSS支持账户暴力破解、进程异常、网站后门、异常登录、恶意进程等13大类入侵检测能力，用户可通过事件管理全面了解入侵检测告警事件，帮助用户及时发现资产中的安全威胁、实时掌握资产的安全状态。 企业主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况，包括存在告警的服务器、待处理告警事件、未处理告警事件、已拦截IP和已隔离文件。 事件管理列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，对告警进行“手动处理”、“忽略”、”加入告警白名单”或者“隔离查杀”，自行判断并处理告警，快速清除资产中的安全威胁。 发布区域：全部。 告警事件列表说明 查看告警事件 处理告警事件 账户暴力破解防护 HSS可拦截的攻击类型包括：mysql、mssql、vsftp、filezilla、serv-u、ssh、rdp。 暴力破解是一种常见的入侵攻击行为，通过暴力破解或猜解主机密码，从而获得主机的控制权限，会严重危害主机的安全。 通过暴力破解检测算法和全网IP黑名单，若发现暴力破解主机的行为，HSS就会拦截该源IP，禁止其再次登录，防止主机因账户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 若被拦截的IP在超过默认拦截时间后，没有再被继续攻击，系统自动解除拦截。 发布区域：全部。 账户暴力破解防护 账户被暴力破解，怎么办？ 如何避免账户破解攻击？ 恶意程序隔离查杀 HSS采用先进的AI、机器学习等技术，并集成多种杀毒引擎，深度查杀主机中的恶意程序。 开启“恶意程序隔离查杀”后，HSS对识别出的后门、木马、蠕虫等恶意程序，提供自动隔离查杀功能，帮助用户自动识别处理系统存在的安全风险。 若未开启“恶意程序隔离查杀”功能，则HSS检测到恶意程序时，不会自动隔离查杀，仅会触发告警。您可以在“入侵检测”的“事件管理”中，查看“恶意程序（云查杀）”中的告警信息，并对恶意程序手动执行“隔离查杀”。 发布区域：全部。 开启恶意程序隔离查杀 仅旗舰版支持 勒索病毒防护 HSS支持勒索病毒防护功能，可有效监控您云主机上存储的重要文件，防止未经过认证或授权的进程文件对监控文件的加密或修改操作，保障您的主机不被勒索病毒侵害。 您可以通过创建勒索病毒防护策略，并为策略配置防护状态、监控的文件路径与关联服务器。策略通过机器学习引擎学习服务器上的进程修改文件的行为。策略学习完成后，自动应用于关联服务器。 策略通过对服务器运行状态的自动学习和管理端智能分析，完成可信程序的判定，在防护阶段对非可信程序的操作进行告警。 发布区域：全部。 查看防护策略列表 创建防护策略 查看和处理防护事件 仅旗舰版支持 程序运行认证 程序运行认证功能支持将重点防御的主机加入到白名单策略中，通过检测白名单中指定的应用程序区分“可信”、“不可信”和“未知”，防止未经白名单授权的程序运行。可避免您的主机受到不可信或恶意程序的侵害，还能防止不必要的资源浪费、保证您的资源被合理利用。 在创建白名单策略之后，您可以通过在需要重点防御的主机中应用该白名单策略，企业主机安全将检测服务器中是否存在可疑或恶意进程，并对不在白名单中的进程进行告警提示或者隔离。 发布区域：全部。 查看白名单策略列表 应用白名单策略 查看和处理应用进程事件 仅旗舰版支持 文件完整性管理 文件完整性管理可以检查操作系统、应用程序软件和其他组件的文件，确定它们是否发生了可能遭受攻击的更改，同时，能够帮助用户通过PCI-DSS等安全认证。文件完整性管理功能是使用对比的方法来确定当前文件状态是否不同于上次扫描该文件时的状态，利用这种对比来确定文件是否发生了有效或可疑的修改。 文件完整性管理会验证Linux文件的完整性，并管理针对文件执行的活动，包括： 1、文件的创建与删除。 2、文件的修改（文件大小、访问控制列表和内容哈希的更改）。 发布区域：全部。 添加管理文件 查看变更统计 仅旗舰版支持 自定义安全策略 HSS旗舰版提供灵活的策略管理能力，用户可以根据需要自定义安全检测规则，并可以为不同的主机组或主机应用不同的策略，以满足不同应用场景的主机安全需求。 发布区域：全部。 查看和创建策略组 修改策略内容 仅网页防篡改版支持 动静态网页防篡改 静态网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 支持对Windows和Linux进程添加白名单。网页防篡改功能将不对加入白名单的进程进行拦截。 动态网页防篡改提供tomcat应用运行时自我保护，能够检测针对数据库等动态数据的篡改行为。 发布区域：全部。 添加防护目录/文件系统 添加特权进程修改防护文件 开启动态网页防篡改 仅网页防篡改版支持 特权进程可修改防篡改文件 开启网页防篡改防护后，防护目录中的内容是只读状态，如果您需要修改防护目录中的文件或更新网站，可以添加特权进程。 通过这个特权进程去修改防护目录里的文件或者更新网站，修改才会生效。若没有添加特权进程 ，网页防篡改仅防护原来的文件或者网站，即使修改了内容，文件或者网站也会恢复到原来的状态，修改不会生效。 特权进程可以访问被防护的目录，请确保特权进程安全可靠。 发布区域：全部。 添加特权进程 双因子认证 双因子认证功能是一种双因素身份验证机制，结合短信/邮箱验证码，对云服务器登录行为进行二次认证，极大地增强云服务器账户安全性。 开启双因子认证功能后，登录弹性云服务器时，主机安全服务将根据绑定的“消息通知服务主题”验证登录者的身份信息。 发布区域：全部。 开启双因子认证 SSH登录IP白名单 SSH登录IP白名单功能是防护账户爆破的一个重要方式，主要是限制需要通过SSH登录的服务器。 配置了白名单的服务器，只允许白名单内的IP通过SSH登录到服务器，拒绝白名单以外的IP： 1、启用该功能时请确保将所有需要发起SSH登录的IP地址都加入白名单中，否则您将无法SSH远程登录您的服务器。 若您的业务需要访问主机，但不需要SSH登录，则可以不用添加到白名单。 2、IP加入白名单后，账户破解防护功能将不再对来自白名单中的IP登录行为进行拦截，该IP对您加入白名单的服务器登录访问将不受任何限制，请谨慎操作。 发布区域：全部。 配置SSH登录IP白名单 常用登录地/IP 配置常用登录地/IP后，企业主机安全服务将对非常用地/IP登录主机的行为进行告警。每个主机可被添加在多个登录地中。 发布区域：全部。 配置常用登录地 配置常用登录IP 告警白名单管理 告警白名单管理提供告警白名单的展示与批量导入/导出功能，用户可以通过导入/导出告警白名单避免大量告警误报的发生，提升安全事件告警质量。 发布区域：全部。 添加告警白名单 添加登录告警白名单 告警通知 开启告警通知功能后，您能接收到企业主机安全服务发送的告警通知，及时了解主机/网页内的安全风险。否则，无论是否有风险，您都只能登录管理控制台自行查看，无法收到报警信息。 告警通知设置仅在当前区域生效，若需要接收其他区域的告警通知，请切换到对应区域后进行设置。 发布区域：全部。 开启基础版/企业版/旗舰版告警通知 开启网页防篡改版告警通知 主机分类管理 用户可以创建服务器组，并将主机分配到服务器组，对主机进行分类管理。用户可以根据创建的服务器组，查看该服务器组内的服务器数量、有风险服务器的数量、以及未防护的服务器数量。 发布区域：全部。 创建服务器组 分配服务器到组 订阅安全报告 HSS支持订阅周报和月报，展现每周或每月的主机安全趋势以及关键安全事件与风险，订阅报告将为您保存6个月，以满足等保测评以及审计的需要。 勾选“订阅报告”后，第二天即可查看、下载。 发布区域：全部。 订阅主机安全报告

修订记录 发布日期 修改说明 2022-08-30 第四十九次正式发布。 新增常见问题：Agent安装成功后显示未安装怎么处理？。 修改内容：如何批量安装Agent？，补充Agent支持的操作系统描述。 2022-08-10 第四十八次正式发布。 新增常见问题：漏洞修复失败如何处理？ 2022-07-30 第四十七次正式发布。 补充说明升级Agent全过程均为免费。 补充说明退订配额不支持批量退定。 2022-07-15 第四十六次正式发布。 下线支持centos 6系统版本的说明。 2022-06-30 第四十五次正式发布。 修改基础版免费使用的说明。 2022-05-31 第四十四次正式发布。 新增常见问题如下： Agent安装后控制台不显示怎么处理？ 如何防御勒索病毒攻击？ 2022-05-26 第四十三次正式发布。 新增Agent升级失败如何处理？ 2022-04-25 第四十二次正式发布。 优化、新增内容如下： 基础版使用及能力的说明。 收到告警信息不代表已被破解入侵的说明。 2022-04-20 第四十一次正式发布 新增常见问题如下： HSS拦截的IP是否需要处理？ 修改常见问题如下： 每台云服务器都需要配置部署主机安全服务吗？ 2022-04-11 第四十次正式发布。 新增常见问题如下： 修复漏洞时服务器内容被清空是否可以恢复？ 2022-03-18 第三十九次正式发布。 完善优化章节如下： 购买云服务器时，为什么无法选择免费的企业主机安全防护？ 如何扩充HSS防护配额？ 2022-01-29 第三十八次正式发布。 新增如下常见问题： 开启HSS基础版防护及说明 HSS的数据传输实现原理是什么？ 2022-01-13 第三十七次正式发布。 完善优化章节如下： 如何预防账户暴力破解攻击？ 收到来自华为云IP的暴力破解告警如何处理？ 2021-10-22 第三十六次正式发布。 新增如下常见问题： 收到来自华为云IP的暴力破解告警如何处理？ HSS如何查询漏洞、基线已修复记录？ 2021-10-18 第三十五次正式发布。 新增如下常见问题： 如何切换主机之间已绑定的防护配额？ HSS的恶意程序检测周期、隔离查杀是多久一次？ HSS的病毒库、漏洞库多久更新一次？ 每台云服务器都需要配置部署主机安全服务吗？ 频繁收到HSS暴力破解告警如何处理？ HSS怎么区分高危漏洞和低危漏洞？ 优化如下常见问题： Agent安装失败应如何处理？ 2021-08-03 第三十四次正式发布。 新增如下常见问题： 主机重装系统后，HSS防护功能是否需要手动开启？ 修改如下常见问题： Agent状态异常应如何处理？ 如何扩充HSS防护配额？ 2021-07-14 第三十三次正式发布。 新增如下常见问题： 如何修改告警通知的通知项？ 防护的主机切换操作系统，HSS配额会发生变化吗？ 如何筛选未绑定配额的主机？ HSS可以添加黑名单IP吗？ HSS与SA的基线检查有什么区别？ 如何扩充HSS防护配额？ 修改如下常见问题： Agent安装失败应如何处理？ 漏洞修复后，为什么仍然提示漏洞存在？ 2021-07-08 第三十二次正式发布。 Agent状态异常应如何处理？，增加“卸载Agent”和“安装Agent”链接。 2021-06-08 第三十一次正式发布。 新增如下常见问题： 安装HSS Agent有什么影响？ 如何手动解除误拦截IP？ “内核漏洞升级修复后，为什么仍然提示漏洞存在？” 漏洞修复后，为什么仍然提示漏洞存在？ HSS支持告警日志转存OBS吗？ 修改如下常见问题： HSS如何拦截账户暴力破解？ 账户被暴力破解，怎么办？ 如何预防账户暴力破解攻击？ 漏洞修复完毕后是否需要重启主机？ 2021-04-28 第三十次正式发布。 新增如下常见问题： 如何使用命令行方式安装Agent（Windows操作系统）？ 关闭弱口令策略后，之前扫描的弱口令事件为什么还会重复出现？。 修改如下常见问题： Agent状态异常应如何处理？ 添加登录白名单后，为什么还有异地登录告警？ 2021-02-25 第二十九次正式发布。 是否可以不开启HSS告警通知？修改问题内容，可以不设置告警通知，开启主机安全防护。 2021-02-01 第二十八次正式发布。 新增如下常见问题： HSS是否支持线下多台服务器共用一个公网IP？ 防护配额与主机不在同一企业项目，是否可以相互绑定？ 购买云服务器时，为什么无法选择免费的企业主机安全防护？ 2020-11-16 第二十七次正式发布。 HSS可以跨区域使用吗？将支持跨区域使用修改为“不支持跨区域使用”。 2020-11-10 第二十六次正式发布。 新增如下常见问题： 账户被暴力破解，怎么办？ 出现弱口令告警，怎么办？ 主机被挖矿攻击，怎么办？ 添加告警白名单后，为什么进程还是被隔离？ 添加登录白名单后，为什么还有异地登录告警？ 如何修改接收告警通知的手机号或邮箱？ 2020-06-20 第二十五次正式发布。 新增HSS支持企业项目后，如何同步配置数据？。 2020-05-18 第二十四次正式发布。 新增如下常见问题： HSS与WAF的网页防篡改有什么区别？ 如何查看HSS的日志文件？ 2020-03-09 第二十三次正式发布。 新增如下常见问题： 如何筛选未安装Agent的主机？ 为什么开启双因子认证后登录主机失败？ 开启双因子认证时，如何添加手机号？ 双因子认证中，验证码是一个固定的验证码吗？ 开启动态网页防篡改后，状态是“已开启未生效”，怎么办？ 如何清除HSS中配置的SSH登录IP白名单？ 2020-01-14 第二十二次正式发布。 新增如下常见问题： 什么是HSS的Agent？ 是否可以不开启HSS告警通知？ 2019-12-26 第二十一次正式发布。 新增如下常见问题： HSS可以跨账号使用吗？ 购买HSS后会自动安装Agent吗？ 2019-12-18 第二十次正式发布。 删除以下常见问题： 华为云主机安全是否支持订阅周报功能？ 2019-11-27 第十九次正式发布。 新增如下常见问题： HSS到期后不续费，对主机和业务有影响吗？ 开启网页防篡改后，如何修改文件？ 配置告警通知时选不到消息主题？ 如何避免账户破解攻击？ 开启防护时显示没有配额？ 2019-10-12 第十八次正式发布。 新增以下常见问题： 如何处理漏洞？ 2019-09-23 第十七次正式发布。 新增以下常见问题： 基础版能够升级为企业版吗？ 没有手动解除的IP拦截记录为什么会显示已解除？ 主机安全基线检测检查出配置风险项怎么办？ 为什么要添加防护目录？ 无法开启网页防篡改怎么办？ 2019-04-25 第十三次正式发布。 新增以下常见问题： 企业版能升级为网页防篡改版吗？ 2019-04-08 第十六次正式发布。 如何使用双因子认证？更新了截图和相关描述。 2019-03-18 第十五次正式发布。 新增以下常见问题： 企业主机安全是否支持对裸金属机器提供防护？ 2018-11-06 第十四次正式发布。 新增以下常见问题： 在Windows中文系统中输入数字卡顿或需要数字连输怎么办？ 如何批量安装Agent？ 2018-10-25 第十三次正式发布。 修改以下常见问题： 如何批量安装Agent？ 2018-09-15 第十二次正式发布。 新增以下常见问题： 如何开启登录失败日志开关？ 如何开启filezilla的登录失败日志开关？ 如何开启vsftp的登录失败日志开关？ 2018-08-02 第十一次正式发布。 修改以下常见问题： 如何解决Linux系统的账户破解防护功能未生效的问题？ 2018-07-19 第十次正式发布。 新增以下常见问题： 如何解决SUSE12 SP2（包含SAP）、Gentoo系统设置账户破解防护拦截IP后未生效？ 2018-06-28 第九次正式发布。 新增以下常见问题： Windows系统如何设置安全的口令复杂度策略？ 2018-06-13 第八次正式发布。 新增以下常见问题： 如何批量安装Agent？ 2018-05-17 第七次正式发布。 优化常见问题标题。 2018-05-07 第六次正式发布。 修改以下常见问题： 企业主机安全是否收费？ 2018-04-19 第五次正式发布。 修改以下常见问题： 更新“如何安装Agent？”的截图。 2018-03-15 第四次正式发布。 删除以下常见问题： 安装Windows版本Agent报错应该如何处理？ 2018-01-09 第三次正式发布。 新增以下常见问题： 如何安装Agent？ 2017-11-17 第二次正式发布。 新增以下常见问题： 如何安装PAM并设置安全的口令复杂度策略？ 2017-09-30 第一次正式发布。

背景信息 HSS专项分析 企业主机安全服务（Host Security Service，HSS）是提升主机整体安全性的服务，通过资产管理、漏洞管理、基线检查、入侵检测、程序运行认证、文件完整性校验、安全运营、网页防篡改等功能，全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 在SA中的HSS业务分析页面，您可以查看云主机的防护状态、当前开启防护的云主机最近24小时的风险统计、最近7天或30天内风险趋势和入侵事件统计数据，帮助您实时了解云主机的安全状态和存在的安全风险。 WAF专项分析 Web应用防火墙（Web Application Firewall， WAF）对网站业务流量进行多维度检测和防护，结合深度机器学习智能识别恶意请求特征和防御未知威胁，全面避免网站被黑客恶意攻击和入侵。 在SA中的WAF业务分析页面，您可以查看昨天、今天、3天、7天或者30天内所有防护网站或所有实例以及指定防护网站或实例的防护日志。包括请求与各攻击类型统计次数，QPS、响应码信息，以及事件分布、受攻击域名 Top10、攻击源IP Top10、受攻击URL Top10、攻击来源区域 Top10和业务异常监控 Top10等防护数据。 安全总览页面统计数据每隔2分钟刷新一次。 DBSS专项分析 数据库安全服务（Database Security Service）是一个智能的数据库安全服务，基于机器学习机制和大数据分析技术，提供数据库审计，SQL注入攻击检测，风险操作识别等功能，保障云上数据库的安全。 在SA中的DBSS业务分析页面，您可以查看最近30分钟、最近1小时、最近24小时、7天或者30天内数据库的总体审计情况、风险分布、会话统计以及SQL分布情况。

配置天关2 在管理PC上配置网口的IP地址为192.168.0.2（可以是192.168.0.2～192.168.0.254中的任何一个），子网掩码为255.255.255.0，然后打开Web浏览器访问设备的标准界面https://192.168.0.1:8443/。 配置Bypass接口对。 选择“网络 > 接口”。 单击GE0/0/20对应的，按照下图所示配置接口。 单击GE0/0/21对应的，按照下图所示配置接口。 选择“网络 > 接口对”。 单击“新建”，按照下图所示配置接口对，并单击“确定”。 配置云端管理接口。 GE0/0/3默认为二层接口，请按照如下方式配置成三层接口。 选择“网络 > 接口”。 单击GE0/0/3对应的，按照如下参数配置接口。 安全区域 untrust 模式 路由 IPv4 IP地址 172.16.10.10/24 配置云端管理接口的静态路由。 选择“网络 > 路由 > 静态路由”。 单击“静态路由列表”区域下的“新建”，添加静态路由。下一跳配置为网关地址。 配置漏洞扫描和云日志审计接口。 已购买漏洞扫描服务或云日志审计服务时需要执行本步骤。 GE0/0/2默认为二层接口，请按照如下方式配置成三层接口。请保证区域2中上报日志的资产与此IP地址路由可达。 选择“网络 > 接口”。 单击GE0/0/2对应的，按照如下参数配置接口。 安全区域 trust 模式 路由 IPv4 IP地址 172.16.11.10/24 选择“系统 > 配置 > 时钟配置”，检查设备系统时间是否与当前时间一致，如果不一致，请调整设备系统时间，以保证云端能够精确掌握威胁事件的发生时间。 配置业务参数（边界防护与响应服务）。 加载License。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 选择“系统 > License管理”，“License激活方式”设置为“本地手动激活”。 单击“浏览”，选择本地PC中的的License文件，并单击“激活”。 选择“策略 > 安全策略 > 安全策略”，检查default策略的动作是否为“允许”，如果不是，单击策略名称default进入修改安全策略界面，将动作修改为“允许”。 确认安全策略已成功下发。 设备上线后，云端会部署套餐，需要2分钟左右，部署成功后安全策略会自动下发。 安全策略下发后，如图1所示。共有5条安全策略，其中default安全策略建议改回禁止，默认安全需要。 如果设备上只有“default”和“rule_iss_dns”安全策略，或只有“default”安全策略时，由云端自动下发安全策略。 如果设备上存在其他安全策略时，云端不会自动下发安全策略，此时请参考如何配置边界防护与响应服务需要的安全策略（USG6000E-C天关、USG6000E防火墙）自行完成配置。 图1 安全策略 选择“系统 > 升级中心”，单击下图所示的立即升级，升级“入侵防御特征库”和“反病毒特征库”。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（漏洞扫描服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表1 安全策略 服务 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 漏洞扫描服务 untrust-local untrust local any any udp：云端与防火墙之间建立VPN隧道。 tcp：对资产进行漏洞扫描。 允许 local-untrust local untrust any any any 允许 local-trust local trust any any tcp：对资产进行漏洞扫描。 允许 trust-local trust local any any tcp：对资产进行漏洞扫描。 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（云日志审计服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表2 安全策略 服务类型 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 云日志审计服务 trust-local trust local any any udp：资产上传日志到防火墙。 允许 local-untrust local untrust any any any 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。

操作步骤 在管理PC上配置网口的IP地址为192.168.0.2（可以是192.168.0.2～192.168.0.254中的任何一个），子网掩码为255.255.255.0，然后打开Web浏览器访问设备的标准界面https://192.168.0.1:8443/。 配置Bypass接口对。 选择“网络 > 接口”。 单击GE0/0/20对应的，按照下图所示配置接口。 单击GE0/0/21对应的，按照下图所示配置接口。 选择“网络 > 接口对”。 单击“新建”，按照下图所示配置接口对，并单击“确定”。 配置云端管理接口。 GE0/0/3默认为二层接口，请按照如下方式配置成三层接口。 选择“网络 > 接口”。 单击GE0/0/3对应的，按照如下参数配置接口。 安全区域 untrust 模式 路由 IPv4 IP地址 172.16.10.10/24 配置云端管理接口的静态路由。 选择“网络 > 路由 > 静态路由”。 单击“静态路由列表”区域下的“新建”，添加静态路由。下一跳配置为网关地址。 配置漏洞扫描和云日志审计接口。 已购买漏洞扫描服务或云日志审计服务时需要执行本步骤。 GE0/0/2默认为二层接口，请按照如下方式配置成三层接口。请保证上报日志的资产与此IP地址路由可达。 选择“网络 > 接口”。 单击GE0/0/2对应的，按照如下参数配置接口。 安全区域 trust 模式 路由 IPv4 IP地址 192.168.56.10/24 选择“系统 > 配置 > 时钟配置”，检查设备系统时间是否与当前时间一致，如果不一致，请调整设备系统时间，以保证云端能够精确掌握威胁事件的发生时间。 配置业务参数（边界防护与响应服务）。 加载License。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 选择“系统 > License管理”，“License激活方式”设置为“本地手动激活”。 单击“浏览”，选择本地PC中的的License文件，并单击“激活”。 选择“策略 > 安全策略 > 安全策略”，检查default策略的动作是否为“允许”，如果不是，单击策略名称default进入修改安全策略界面，将动作修改为“允许”。 确认安全策略已成功下发。 设备上线后，云端会部署套餐，需要2分钟左右，部署成功后安全策略会自动下发。 安全策略下发后，如图1所示。共有5条安全策略，其中default安全策略建议改回禁止，默认安全需要。 如果设备上只有“default”和“rule_iss_dns”安全策略，或只有“default”安全策略时，由云端自动下发安全策略。 如果设备上存在其他安全策略时，云端不会自动下发安全策略，此时请参考如何配置边界防护与响应服务需要的安全策略（USG6000E-C天关、USG6000E防火墙）自行完成配置。 图1 安全策略 选择“系统 > 升级中心”，单击下图所示的立即升级，升级“入侵防御特征库”和“反病毒特征库”。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（漏洞扫描服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表1 安全策略 服务 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 漏洞扫描服务 untrust-local untrust local any any udp：云端与防火墙之间建立VPN隧道。 tcp：对资产进行漏洞扫描。 允许 local-untrust local untrust any any any 允许 local-trust local trust any any tcp：对资产进行漏洞扫描。 允许 trust-local trust local any any tcp：对资产进行漏洞扫描。 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（云日志审计服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表2 安全策略 服务类型 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 云日志审计服务 trust-local trust local any any udp：资产上传日志到防火墙。 允许 local-untrust local untrust any any any 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。

目前支持检测和呈现8大类告警事件，包括DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制。基础版与专业版能检测的威胁告警范围不同，详情请参见下表： 表2 不同版本威胁告警检测范围差异 告警事件 专业版 标准版 基础版 DDoS 支持检测100+种子类型DDoS威胁。 网络层攻击 NTP Flood攻击、CC攻击等。 传输层攻击 SYN Flood攻击、ACK Flood攻击等。 会话层攻击 SSL连接攻击等。 应用层攻击 HTTP Get Flood攻击、HTTP Post Flood攻击等。 全部支持 全部支持 暴力破解 支持检测22种子类型的暴力破解威胁。 支持检测的暴力破解威胁 包括SSH暴力破解（2种）、RDP暴力破解、MSSQL暴力破解、MySQL暴力破解、FTP暴力破解、SMB暴力破解（3种）、HTTP暴力破解（4种）、Telnet暴力破解。 接入的HSS服务上报的告警事件 包括SSH暴力破解、RDP暴力破解、FTP暴力破解、MySQL暴力破解、IRC暴力破解、Webmin暴力破解、其他端口被暴力破解、系统被成功爆破事件。 支持检测8种子类型暴力破解威胁。 包括SSH暴力破解（3种）、RDP暴力破解（2种）、MSSQL暴力破解、MySQL暴力破解（2种）。 不支持 Web攻击 支持检测38种子类型的Web攻击威胁。 支持检测的Web攻击威胁 包括Webshell攻击（3种）、跨站脚本攻击、代码注入攻击（7种）、SQL注入攻击（9种）、命令注入攻击。 接入的HSS服务上报的告警事件 包括Webshell攻击、Linux网页篡改、Windows网页篡改。 接入的WAF服务上报的告警事件 包括跨站脚本攻击、命令注入攻击、SQL注入攻击、目录遍历攻击、本地文件包含、远程文件包含、远程代码执行、网站后门、网站信息泄露、漏洞攻击、IP信誉库、恶意爬虫、网页防篡改、网页防爬虫。 支持检测19种子类型Web攻击威胁。 包括Webshell攻击（4种）、跨站脚本攻击（2种）、命令注入攻击、SQL注入攻击、目录遍历攻击、本地文件包含、远程文件包含、远程代码执行、网站后门、网站信息泄露、漏洞攻击、IP信誉库、恶意爬虫、网页防篡改、网页防爬虫。 不支持 后门木马 支持检测5种子类型的后门木马威胁。 检测主机资产上Web目录中的PHP、JSP等后门木马文件类型。 检测资产被植入木马特性 检测内容包括资产系统存在win32/ramnit checkin木马、被入侵后执行wannacry勒索病毒相关的DNS解析请求、被入侵后尝试下载木马程序，被入侵后访问HFS下载服务器等。 支持检测1种子类型后门木马威胁。 资产上木马文件 不支持 僵尸主机 支持检测7种子类型的僵尸主机威胁。 对外发起SSH暴力破解 对外发起RDP暴力破解 对外发起Web暴力破解 对外发起MySQL暴力破解 对外发起SQLServer暴力破解 对外发起DDoS攻击 被入侵后安装挖矿程序 支持检测5种子类型僵尸主机威胁。 包括MySQL暴力破解、对外发起RDP暴力破解、对外发起Web暴力破解、对外发起MySQL暴力破解、对外发起SQLServer暴力破解。 不支持 异常行为 支持检测21种子类型的异常行为威胁。 支持检测的异常行为威胁 包括文件系统被扫描、CMS V1.0漏洞、敏感文件被访问。 接入的HSS服务上报的告警事件 包括系统成功登录审计事件、文件目录变更监测事件、混杂模式网卡、异常权限用户、反弹Shell、异常Shell、高危命令执行、异常自启动、文件提权、进程提权、Rootkit程序。 接入的WAF服务上报的告警事件 包括自定义规则、白名单、黑名单、地理访问控制、扫描器爬虫、IP黑白名单、非法访问。 接入的MTD服务上报的告警事件 包括暴力破解、恶意攻击、渗透、挖矿攻击等恶意活动和未经授权行为。 支持检测7种子类型异常行为威胁。 包括自定义规则、白名单、黑名单、地理访问控制、扫描器爬虫、IP黑白名单、非法访问。 接入的MTD服务上报的告警事件 包括暴力破解、恶意攻击、渗透、挖矿攻击等恶意活动和未经授权行为。 不支持 漏洞攻击 支持检测2种子类型的漏洞攻击威胁。 SMBv1漏洞攻击 WebCMS漏洞攻击 不支持 不支持 命令控制 共支持检测3种子类型的命令控制威胁。 监控主机存在访问DGA域名行为 监控主机存在访问恶意C&C域名行为 监控主机存在恶意C&C通道行为 不支持 不支持

资产详情查看 前提条件 成功登录华为乾坤云服务控制台，并至少进行过一次资产录入。 背景信息 资产发现的来源有以下几种方式： 用户在控制台手工录入资产信息。 用户在控制台利用Excel模板批量导入资产信息。 依赖于漏洞扫描服务的主动发现功能，基于客户提供的IP网段，主动发现网段内的活跃资产。经客户确认后，支持一键录入，提高梳理效率。 依赖于终端防护与响应服务的Agent主动上报功能，已经安装Agent的终端，Agent经用户授权后将资产信息提供给云端。 资产详情页面仅提供查看资产信息的基础功能，同时基于用户已购买的华为乾坤云服务类型，集成资产体检、漏洞扫描、病毒查杀等高级功能，用户可以根据实际需要对资产进行处置。 用户在查找资产时，支持按资产名称、重要性等级、资产类型、资产来源、资产IP或网站、Agent状态等条件进行筛选，以便快速定位。 操作步骤 登录华为乾坤云服务控制台，选择“资源 > 资产管理”。 选择任一资产，单击资产名称进入资产详情界面。 查看资产详情，并对资产进行处置操作。 图1 资产详情界面 表1 资产详情界面说明 模块序号 模块名称 模块说明 1 更多信息 展示资产的基本信息、高级配置、和历史关联IP。 如果该资产已开通终端防护与响应服务，还将展示Agent信息，包含Agent版本、AV病毒引擎版本、AV病毒特征库等属性。 2 运行进程（仅当已开通终端防护与响应服务时呈现） 展示终端运行进程信息。 3 隔离区（仅当已开通终端防护与响应服务时呈现） 对已发现的威胁事件进行处置，运行中的进程将会被立即终止，其进程关联启动文件也会被立即移至该终端的隔离区中。展示隔离文件列表，并提供恢复功能。 4 资产相关服务开通状况 已开通的服务显示“已开启”，未开通的服务显示“推荐”标签。 5 处置记录 展示终端防护与响应服务Agent指令处理记录。 6 资产评估 基于算法，结合资产的漏洞扫描结果、资产面临的威胁事件、威胁情报等信息，整体评估出资产的风险值，帮助用户全面了解资产存在的风险。 资产风险值是量化数据，由边界防护威胁分、漏洞扫描得分、终端防护威胁分加权计算所得。 边界防护威胁分：从边界防护与响应服务实时获取。 漏洞扫描得分：根据扫描出的漏洞数量、漏洞级别而确定。 终端防护威胁分：从终端防护与响应服务实时获取。 说明： 如果用户只开通了边界防护与响应服务、漏洞扫描服务和终端防护与响应服务中的部分服务，未开通服务的资产评估得分将被算法剔除，不计入资产风险值的加权计算。 7 漏洞扫描（仅当已开通漏洞扫描服务时用户可操作） 用户可对资产执行漏洞扫描。 具体操作请参见《漏洞扫描服务用户指南-漏洞扫描》。

操作步骤 在管理PC上配置网口的IP地址为192.168.0.2（可以是192.168.0.2～192.168.0.254中的任何一个），子网掩码为255.255.255.0，然后打开Web浏览器访问设备的标准界面https://192.168.0.1:8443/。 配置云端管理接口。 GE0/0/3默认为二层接口，请按照如下方式配置成三层接口。 选择“网络 > 接口”。 单击GE0/0/3对应的，按照如下参数配置接口。 安全区域 untrust 模式 路由 IPv4 IP地址 172.16.10.10/24 配置云端管理接口的静态路由。 选择“网络 > 路由 > 静态路由”。 单击“静态路由列表”区域下的“新建”，添加静态路由。下一跳配置为网关地址。 配置业务接口。 选择“网络 > 接口”。 单击GE0/0/20，按如下参数配置，单击“确定”。 安全区域 trust 模式 接口对 参考上述步骤按如下参数配置GE0/0/21接口。 安全区域 untrust 模式 接口对 配置业务接口对。 选择“网络 > 接口”。 单击“新建”，按如下参数配置，单击“确定”。 名称 interface_bypass1 工作模式 不同口进出 成员 接口一 GE0/0/20 接口二 GE0/0/21 允许的VLAN 1-4094 接口对状态同步 不开启 配置漏洞扫描和云日志审计接口。 已购买漏洞扫描服务或云日志审计服务时需要执行本步骤。 GE0/0/2默认为二层接口，请按照如下方式配置成三层接口。请保证上报日志的资产与此IP地址路由可达。 选择“网络 > 接口”。 单击GE0/0/2对应的，按照如下参数配置接口。 安全区域 trust 模式 路由 IPv4 IP地址 192.168.56.10/24 选择“系统 > 配置 > 时钟配置”，检查设备系统时间是否与当前时间一致，如果不一致，请调整设备系统时间，以保证云端能够精确掌握威胁事件的发生时间。 配置业务参数（边界防护与响应服务）。 加载License。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 选择“系统 > License管理”，“License激活方式”设置为“本地手动激活”。 单击“浏览”，选择本地PC中的的License文件，并单击“激活”。 选择“策略 > 安全策略 > 安全策略”，检查default策略的动作是否为“允许”，如果不是，单击策略名称default进入修改安全策略界面，将动作修改为“允许”。 确认安全策略已成功下发。 设备上线后，云端会部署套餐，需要2分钟左右，部署成功后安全策略会自动下发。 安全策略下发后，如图1所示。共有5条安全策略，其中default安全策略建议改回禁止，默认安全需要。 如果设备上只有“default”和“rule_iss_dns”安全策略，或只有“default”安全策略时，由云端自动下发安全策略。 如果设备上存在其他安全策略时，云端不会自动下发安全策略，此时请参考如何配置边界防护与响应服务需要的安全策略（USG6000E-C天关、USG6000E防火墙）自行完成配置。 图1 安全策略 选择“系统 > 升级中心”，单击下图所示的立即升级，升级“入侵防御特征库”和“反病毒特征库”。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（漏洞扫描服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表1 安全策略 服务 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 漏洞扫描服务 untrust-local untrust local any any udp：云端与防火墙之间建立VPN隧道。 tcp：对资产进行漏洞扫描。 允许 local-untrust local untrust any any any 允许 local-trust local trust any any tcp：对资产进行漏洞扫描。 允许 trust-local trust local any any tcp：对资产进行漏洞扫描。 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（云日志审计服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表2 安全策略 服务类型 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 云日志审计服务 trust-local trust local any any udp：资产上传日志到防火墙。 允许 local-untrust local untrust any any any 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。

主机安全 企业主机安全（Host Security Service，HSS）是提升服务器整体安全性的服务，为用户提供资产管理、漏洞管理、入侵检测、基线检查等功能，降低服务器被入侵的风险。 在弹性云服务器中安装Agent后，云服务器受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 图1 HSS功能原理 企业主机安全服务的组件功能及工作流程说明如下： 安全控制台： 可视化的管理平台，便于您集中下发配置信息，查看在同一区域内主机的防护状态和检测结果。 HSS云端防护中心： 接收您在控制台下发的配置信息和检测任务，并转发给安装在服务器上的Agent。 接收Agent上报的主机信息，分析主机中存在的安全风险和异常信息，将分析后的信息以检测报告的形式呈现在控制台界面。 HSS客户端： 接收HSS云端防护中心转发的检测任务。 按检测任务要求扫描弹性云服务器，并将事件扫描信息上报给HSS云端防护中心。 您在使用企业主机安全服务前，需要先在云服务器上安装客户端。更多信息，请参考主机安全。

背景信息 为了解资产存在的风险，您可以对相应资产执行漏洞扫描，漏洞扫描支持全量扫描和专项扫描两种场景。漏洞扫描后，您可以在“资源>资产管理”界面，进入资产详情查看该资产存在的漏洞，以及资产风险值。 资产风险值是量化数据，由边界防护威胁分、漏洞扫描得分、终端防护威胁分加权计算所得。 边界防护威胁分：从边界防护与响应服务实时获取。 漏洞扫描得分：根据扫描出的漏洞数量、漏洞级别而确定。 终端防护威胁分：从终端防护与响应服务实时获取。

背景信息 HSS专项分析 企业主机安全（Host Security Service）是服务器贴身安全管家，通过资产管理、漏洞管理、基线检查、入侵检测、程序运行认证、文件完整性校验，安全运营、网页防篡改等功能，帮助企业更方便地管理主机安全风险，实时发现黑客入侵行为，以及满足等保合规要求。 在SA中的HSS业务分析页面，您可以查看云主机的防护状态、当前开启防护的云主机最近24小时的风险统计、最近7天或30天内风险趋势和入侵事件统计数据，帮助您实时了解云主机的安全状态和存在的安全风险。 WAF专项分析 Web应用防火墙（Web Application Firewall， WAF）对网站业务流量进行多维度检测和防护，结合深度机器学习智能识别恶意请求特征和防御未知威胁，全面避免网站被黑客恶意攻击和入侵。 在SA中的WAF业务分析页面，您可以查看昨天、今天、3天、7天或者30天内所有防护网站或所有实例以及指定防护网站或实例的防护日志。包括请求与各攻击类型统计次数，QPS、响应码信息，以及事件分布、受攻击域名 Top10、攻击源IP Top10、受攻击URL Top10、攻击来源区域 Top10和业务异常监控 Top10等防护数据。 安全总览页面统计数据每隔2分钟刷新一次。 DBSS专项分析 数据库安全服务（Database Security Service）是一个智能的数据库安全服务，基于机器学习机制和大数据分析技术，提供数据库审计，SQL注入攻击检测，风险操作识别等功能，保障云上数据库的安全。 在SA中的DBSS业务分析页面，您可以查看最近30分钟、最近1小时、最近24小时、7天或者30天内数据库的总体审计情况、风险分布、会话统计以及SQL分布情况。

态势感知-成长地图 | 华为云 安全云脑 安全云脑（Cloud Security Brain，CSB）是华为云安全运营管理中心，通过收集全网的资产漏洞信息、安全合规信息、安全日志和事件告警等综合评估，提供云安全态势感知，发现高级安全事件，通过安全响应剧本实现安全事件及时闭环，助您提升云安全运营处置的效率。 免费体验 图说CSB 图说ECS 立即使用 成长地图 由浅入深，带您玩转CSB 01 了解 了解安全云脑功能特性、工作原理和应用场景，助您快速熟悉安全云脑业务范围，准确获悉全局安全攻击态势。 产品介绍 功能介绍 应用场景 工作原理 产品介绍 功能介绍 应用场景 工作原理 03 入门 为可视化全局安全态势，您需配置“授权设置”和“扫描任务”获取主机安全数据，同时还可以配置告警发送威胁通知。 授权设置 主机授权 扫描任务 设置基线扫描时间 启动扫描任务 告警设置 通知告警 告警监控设置 05 实践 弹性云服务器（Elastic Cloud Server）是一种可随时自动获取、计算能力可弹性伸缩的云服务器。 部署web环境 什么是ECS 06 API 弹性云服务器（Elastic Cloud Server）是一种可随时自动获取、计算能力可弹性伸缩的云服务器。 API文档 什么是ECS 02 购买 针对不同安全威胁检测需求，您可以选择购买安全云脑标准版、态势大屏、智能分析、安全响应，呈现资产安全状态，评估全局威胁风险。 快速购买 购买CSB标准版 续订CSB标准版 计费详情 CSB价格详情 自定义购买 什么是ECS 04 使用 安全云脑检测云上安全风险，还原攻击历史，感知攻击现状，预测攻击态势，您可以通过查询和查看可视化安全态势数据，并获取强大的安全威胁发生事前、事中、事后的处理建议。 总览 CSB总览 威胁告警 查看告警 威胁分析 漏洞管理 主机漏洞扫描 网站漏洞扫描 应急漏洞扫描 基线检查 云服务基线 常见问题 了解更多常见问题、案例和解决方案 热门案例 为什么没有看到攻击数据或者看到的攻击数据很少？ 安全云脑生成威胁告警的数据来源是什么？ 如何获取风险程度最高的资产信息? 安全云脑可以为我提供什么服务？ 安全云脑如何收费？ 安全云脑支持续费吗？ 安全云脑支持退订吗？ 安全云脑与其他安全服务之间的关系与区别？ 更多 云服务器卡顿 应用容器化改造介绍 更多 磁盘相关 应用容器化改造介绍 更多 技术专题 技术、观点、课程专题呈现 云安全助你甩掉90%安全烦恼 介绍重点安全服务，关键特性和应用实践 华为云安全发展之路 介绍华为云安全可信发展之路和未来展望 跟唐老师学习云网络 唐老师将自己对网络的理解分享给大家 智能客服 您好！我是有问必答知识渊博的的智能问答机器人，有问题欢迎随时求助哦！ 社区求助 华为云社区是华为云用户的聚集地。这里有来自容器服务的技术牛人，为您解决技术难题。

配置天关1 在管理PC上配置网口的IP地址为192.168.0.2（可以是192.168.0.2～192.168.0.254中的任何一个），子网掩码为255.255.255.0，然后打开Web浏览器访问设备的标准界面https://192.168.0.1:8443/。 配置Bypass接口对。 选择“网络 > 接口”。 单击GE0/0/20对应的，按照下图所示配置接口。 单击GE0/0/21对应的，按照下图所示配置接口。 选择“网络 > 接口对”。 单击“新建”，按照下图所示配置接口对，并单击“确定”。 配置云端管理接口。 GE0/0/3默认为二层接口，请按照如下方式配置成三层接口。 选择“网络 > 接口”。 单击GE0/0/3对应的，按照如下参数配置接口。 安全区域 untrust 模式 路由 IP地址（IPv4） 192.168.55.1/24 配置云管理接口的静态路由。 选择“网络 > 路由 > 静态路由”。 单击“静态路由列表”区域下的“新建”，添加静态路由。下一跳配置为网关地址。 配置漏洞扫描服务和云日志审计的业务接口。 已购买漏洞扫描服务或云日志审计服务时需要执行本步骤。 GE0/0/2默认为二层接口，请按照如下方式配置成三层接口。请保证所有上报日志的资产与此IP地址路由可达。 选择“网络 > 接口”。 单击GE0/0/2对应的，按照如下参数配置接口。 安全区域 trust 模式 路由 IP地址 192.168.56.1/24 选择“系统 > 配置 > 时钟配置”，检查设备系统时间是否与当前时间一致，如果不一致，请调整设备系统时间，以保证云端能够精确掌握威胁事件的发生时间。 配置业务参数（边界防护与响应服务）。 加载License。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 选择“系统 > License管理”，“License激活方式”设置为“本地手动激活”。 单击“浏览”，选择本地PC中的的License文件，并单击“激活”。 选择“策略 > 安全策略 > 安全策略”，检查default策略的动作是否为“允许”，如果不是，单击策略名称default进入修改安全策略界面，将动作修改为“允许”。 确认安全策略已成功下发。 设备上线后，云端会部署套餐，需要2分钟左右，部署成功后安全策略会自动下发。 安全策略下发后，如图1所示。共有5条安全策略，其中default安全策略建议改回禁止，默认安全需要。 如果设备上只有“default”和“rule_iss_dns”安全策略，或只有“default”安全策略时，由云端自动下发安全策略。 如果设备上存在其他安全策略时，云端不会自动下发安全策略，此时请参考如何配置边界防护与响应服务需要的安全策略（USG6000E-C天关、USG6000E防火墙）自行完成配置。 图1 安全策略 选择“系统 > 升级中心”，单击下图所示的立即升级，升级“入侵防御特征库”和“反病毒特征库”。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（漏洞扫描服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表1 安全策略 服务 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 漏洞扫描服务 untrust-local untrust local any any udp：云端与防火墙之间建立VPN隧道。 tcp：对资产进行漏洞扫描。 允许 local-untrust local untrust any any any 允许 local-trust local trust any any tcp：对资产进行漏洞扫描。 允许 trust-local trust local any any tcp：对资产进行漏洞扫描。 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（云日志审计服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表2 安全策略 服务类型 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 云日志审计服务 trust-local trust local any any udp：资产上传日志到防火墙。 允许 local-untrust local untrust any any any 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。

漏洞管理 漏洞管理功能将检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞，帮助用户识别潜在风险。 表2 漏洞管理 功能项 功能描述 检测周期 软件漏洞检测 包括Linux软件漏洞和Windows系统漏洞。 通过与漏洞库进行比对，检测出系统和官方软件（非绿色版、非自行编译安装版；例如：SSH、OpenSSL、Apache、MySQL等）存在的漏洞，帮助用户识别出存在的风险。 每日凌晨自动检测 手动检测 Web-CMS漏洞检测 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，提升Web服务安全性。 您可在“风险预防 > 漏洞管理”页面查看漏洞的扫描检测结果，操作详情请参见查看漏洞详情。

操作步骤 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表1 安全策略 服务 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 漏洞扫描服务 untrust-local untrust local any any udp：云端与防火墙之间建立VPN隧道。 tcp：对资产进行漏洞扫描。 允许 local-untrust local untrust any any any 允许 local-trust local trust any any tcp：对资产进行漏洞扫描。 允许 trust-local trust local any any tcp：对资产进行漏洞扫描。 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。

操作步骤 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表1 安全策略 服务 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 漏洞扫描服务 untrust-local untrust local any any udp：云端与防火墙之间建立VPN隧道。 tcp：对资产进行漏洞扫描。 允许 local-untrust local untrust any any any 允许 local-trust local trust any any tcp：对资产进行漏洞扫描。 允许 trust-local trust local any any tcp：对资产进行漏洞扫描。 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。

步骤三：处理主机风险 开启主机防护，并处理主机风险，如图3所示。 图3 处理主机风险 若您的主机没有全部开启主机安全防护，为了保证主机的安全性，请将主机全部开启主机防护，详细操作请参见开启防护。 根据各类告警事件统计，批量处理实时入侵事件，如图4所示。详细操作请参见查看和处理告警事件。 图4 实时入侵事件 告警事件展示在“事件管理”页面中，事件管理列表仅展示最近30天的告警事件，您可以根据自己的业务需求，自行判断并处理告警。告警事件处理完成后，告警事件将从“未处理”状态变更为“已处理”。HSS将不再对已处理的事件进行统计，并且不在“总览”页展示。 表3 处理告警事件 处理方式 处理方式说明 忽略 仅忽略本次告警。若再次出现相同的告警信息，HSS会再次告警。 隔离查杀 选择隔离查杀后，该程序无法执行“读/写”操作，同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱，被隔离的文件将不会对主机造成威胁。 您可以单击“文件隔离箱”，查看已隔离的文件，详细信息请参见管理文件隔离箱。 有以下两类告警事件支持线上隔离查杀。 恶意程序（云查杀） 进程异常检测 说明： 程序被隔离查杀时，该程序的进程将被立即终止，为避免影响业务，请及时确认检测结果，若隔离查杀有误报，请在24小时内执行取消隔离/忽略操作。 手动处理 选择手动处理。您可以根据自己的需要为该事件添加“备注”信息，方便您记录手动处理该告警事件的详细信息。 加入登录白名单 如果确认“账号暴力破解”和“账户异常登录”类型的告警事件是误报，且不希望HSS再上报该告警，您可以将本次登录告警事件加入登录白名单。 HSS不会对登录白名单内的登录事件上报告警。加入登录白名单后，若再次出现该登录事件，则HSS不会告警。 加入告警白名单 如果确认以下类型的告警事件是误报，且不希望HSS再上报该告警，您可以将本次告警事件加入告警白名单。 HSS不会对告警白名单内的告警事件上报告警。加入告警白名单后，若再次出现该告警事件，则HSS不会告警。 反弹Shell Webshell检测 进程异常行为检测 进程提权 文件提权 高危命令 恶意程序 修复漏洞，请根据界面提供的修复建议进行手动修复，如图5所示。 图5 修复漏洞 评估漏洞 企业主机安全可以检测主机漏洞，并参考官方提供的漏洞分值评出修复紧急度，紧急度由高到低依次为：需立即修复、可延后修复、暂可不修复。 “需立即修复”的漏洞存在严重的安全风险，建议用户评估漏洞影响性之后尽快修复。 “可延后修复”以及“暂可不修复”的漏洞对操作系统安全性没有直接影响，建议用户评估漏洞影响性之后，根据主机操作系统或者软件版本的升级计划来安排漏洞修复计划。 “忽略”修复漏洞：某些漏洞只在特定条件下存在风险，如果评估后确认某些漏洞无害，可以忽略该漏洞，无需修复。 例如：某漏洞必须通过开放端口进行入侵，如果主机系统并未开放该端口，则该漏洞不存在威胁，则忽略该漏洞。 修复漏洞 您可以根据漏洞信息判断该漏洞是否存在威胁，并确定该漏洞是否需要修复或者忽略。 若需要修复漏洞，请根据“解决方案”提供的修复建议，进行控制台一键修复漏洞，或者手动修复漏洞，如图5所示。 关于漏洞修复的详细操作请参见漏洞修复。 为了避免漏洞修复失败导致数据丢失，请在执行漏洞修复前备份主机中的数据和配置信息。 若需要忽略漏洞，请单击“影响服务器”页签，查看该漏洞影响的服务器，在受影响服务器所在行单击“忽略”，忽略该漏洞，如图6所示。 图6 影响的服务器 处理高危配置风险，进入“基线检查”页面，根据修复建议，逐个对主机进行“口令风险”和“配置风险”修复，如图7所示。 图7 处理高危配置风险 检测高危配置风险 企业主机安全提供的基线检测功能将检测主机中的口令复杂度策略，主机系统和关键软件中含有风险的配置信息，并针对所发现的风险为您提供修复建议，帮助您正确地处理服务器内的各种风险配置信息。 关于基线检查的详细说明请参见基线检查功能介绍。 处理高危配置风险 表4 解决高危配置风险 风险项 风险说明 解决方法 存在弱口令 使用弱口令的账户被破解成功的风险非常高，需要高度重视。弱口令检测可检测出主机系统中使用弱口令的账户，您可以在控制台查看主机中的口令风险。 弱口令并没有严格和准确的定义，从安全领域来看，容易被猜到或者被暴力破解的口令都是弱口令。 弱口令通常具有以下特征： 口令长度太短、太简洁 口令全部或大部分字符串已经出现在网络中的密码字典中或相关列表中 口令中携带了个人信息 如果您的主机被检测出弱口令风险，建议您立即修改为安全性更高的口令。 详细操作请参见如何设置安全的口令。 口令复杂度策略太简单 如需监测Linux主机中的口令复杂度策略，请先在主机中安装PAM（Pluggable Authentication Modules），详细操作请参见如何为Linux主机安装PAM？。 修改Linux主机中口令复杂度策略的详细操作请参见如何在Linux主机上设置口令复杂度策略。 修改Windows主机中口令复杂度策略的详细操作请参见如何在Windows主机上设置口令复杂度策略。 建议用户按照提示修改口令复杂度策略。 采用更安全的复杂度策略之后，新增或者修改账户的口令时，口令复杂度会按照策略要求执行限制，提高新口令的安全性。 存在不安全配置项 系统中的关键应用如果采用不安全配置，有可能被黑客利用作为入侵主机系统的手段。 例如：SSH采用了不安全的加密算法；Tomcat服务采用root权限启动。 请根据“修改建议”处理主机中的异常信息。 详细操作请参见处理关键配置项。 清点资产，如图8所示。 每日凌晨定期收集并展示服务器的各项资产信息，包括：账号信息、对外端口监听、进程运行、Web目录、软件信息、自启动项，并对变动信息进行记录，便于用户对资产风险、资产变动进行排查，降低安全风险。 图8 清点资产 表5 资产管理 资产管理项 解决方法 账号信息 根据实时账号数据和历史变动记录，您可以统一管理所有主机中的账号信息。若发现系统中有不必要的多余账号，或者发现有超级权限的账号（拥有root权限），需要排查这些账号是否是正常业务使用，如果不是则建议删除多余账号或者修改账号的权限，避免账号被黑客利用。 开放端口 手动关闭风险端口 如果检测到开放了危险端口或者开放了不必要的端口，需要排查这些端口是否是正常业务使用，如果不是正常业务端口，建议关闭端口。对于危险端口建议进一步检查程序文件，如果存在风险建议删除或者隔离源文件。 建议您及时优先处理危险程度为“危险”的端口，根据业务实际情况处理危险程度为“未知”的端口。 忽略风险：如果检测出的危险端口是业务正在使用的正常端口，您可以忽略该条告警。忽略之后将不再作为危险项进行记录，也不再发送告警。 进程信息 根据进程检测结果中的详细信息，您可以快速查看主机中可疑的应用进程，并及时终止可疑的应用进程。 Web目录 HSS能够检测出主机中存在的Web目录，您可以根据检测结果及时发现主机中可能含有风险的Web目录，及时删除可疑的Web目录并终止可疑的进程。 软件信息 根据实时软件数据和历史变动记录，您可以统一管理所有主机中的软件信息。若发现主机中的软件版本过低或存在可疑的软件，您可以及时升级低版本的软件或删除可疑和无需使用的软件。 自启动 您可以查看自启动项对应的服务器名称、路径、文件HASH和最后修改时间，及时发现并清除木马程序问题。

配置思路 登录华为乾坤云服务控制台，根据租户内网资产IP地址配置全局白名单，提升安全状态检测的准确性。 配置交换机： 配置Switch的GigabitEthernet0/0/2为观察端口，该端口直连天关，Switch将通过镜像将流量上送到天关进行检测。 配置Switch的GigabitEthernet0/0/1为镜像端口，开启端口镜像功能。 配置Switch的GigabitEthernet0/0/3为三层端口，与天关上漏洞扫描和云日志审计接口直连。 配置天关： 配置云端管理接口，用于天关与云端对接，包括设备向云端注册、向云端提供日志、接收云端下发配置等。 配置检测接口GE0/0/1为旁路检测模式，该二层接口与Switch的观察端口直连。 配置边界防护与响应服务的业务参数。 将GE0/0/1和对应VLAN都加入trust安全域，并配置旁路检测所需要的安全策略。 对于USG6603F-C，仅需要配置安全域，不需要配置安全策略。 配置漏洞扫描和云日志审计接口GE0/0/2为三层接口，并加入trust安全域，已购买漏洞扫描服务或云日志审计服务时需要配置。 分别配置漏洞扫描服务和云日志审计服务的业务参数，已购买漏洞扫描服务或云日志审计服务时需要配置。

操作步骤 配置接口对。 选择“网络 > 接口”。 单击上行接口GE0/0/21对应的，按照下图所示配置接口。 单击下行接口GE0/0/20对应的，按照下图所示配置接口。 选择“系统 > 高可靠性 > Link-Group”。 配置Link-Group，添加GE0/0/21、GE0/0/20。 配置路由。 选择“网络 > 路由 > 静态路由”。 配置数据流量出场景的静态路由。 配置数据流量入场景的静态路由。 目的地址/掩码需要覆盖租户内网资产IP地址所在网段，如果涉及多个网段，则需要配置多条入场景的静态路由。本示例以配置区域1网段静态路由为例。 选择“系统 > 配置 > 时钟配置”，检查设备系统时间是否与当前时间一致，如果不一致，请调整设备系统时间，以保证云端能够精确掌握威胁事件的发生时间。 配置业务参数（边界防护与响应服务）。 加载License。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 选择“系统 > License管理”，“License激活方式”设置为“本地手动激活”。 单击“浏览”，选择本地PC中的的License文件，并单击“激活”。 选择“策略 > 安全策略 > 安全策略”，检查default策略的动作是否为“允许”，如果不是，单击策略名称default进入修改安全策略界面，将动作修改为“允许”。 确认安全策略已成功下发。 设备上线后，云端会部署套餐，需要2分钟左右，部署成功后安全策略会自动下发。 安全策略下发后，如图1所示。共有5条安全策略，其中default安全策略建议改回禁止，默认安全需要。 如果设备上只有“default”和“rule_iss_dns”安全策略，或只有“default”安全策略时，由云端自动下发安全策略。 如果设备上存在其他安全策略时，云端不会自动下发安全策略，此时请参考如何配置边界防护与响应服务需要的安全策略（USG6000E-C天关、USG6000E防火墙）自行完成配置。 图1 安全策略 选择“系统 > 升级中心”，单击下图所示的立即升级，升级“入侵防御特征库”和“反病毒特征库”。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（漏洞扫描服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表1 安全策略 服务 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 漏洞扫描服务 untrust-local untrust local any any udp：云端与防火墙之间建立VPN隧道。 tcp：对资产进行漏洞扫描。 允许 local-untrust local untrust any any any 允许 local-trust local trust any any tcp：对资产进行漏洞扫描。 允许 trust-local trust local any any tcp：对资产进行漏洞扫描。 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（云日志审计服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表2 安全策略 服务类型 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 云日志审计服务 trust-local trust local any any udp：资产上传日志到防火墙。 允许 local-untrust local untrust any any any 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。

二进制成分分析扫描报告模板说明 下载扫描报告后，您可以根据扫描结果，对漏洞进行修复，报告模板主要内容说明如下：（以下截图中的数据仅供参考，请以实际扫描报告为准） 概览 查看目标软件包的扫描漏洞数。 图4 查看任务概览信息 结果概览 统计漏洞类型及分布情况。 图5 查看结果概览信息 组件列表 查看软件的所有组件信息。 图6 查看组件列表信息 漏洞列表 您可以参考每个组件扫描出的漏洞详细信息修复漏洞。 图7 查看漏洞列表信息 密钥和信息泄露问题列表 图8 查看密钥和信息泄露信息 安全配置检查列表 图9 查看安全配置检查列表

配置天关（USG6502E-C/USG6503E-C） 在管理PC上配置网口的IP地址为192.168.0.2（可以是192.168.0.2～192.168.0.254中的任何一个），子网掩码为255.255.255.0，然后打开Web浏览器访问设备的标准界面https://192.168.0.1:8443/。 配置云端管理接口。 GE0/0/3默认为二层接口，请按照如下方式配置成三层接口。 选择“网络 > 接口”。 单击GE0/0/3对应的，按照如下参数配置接口。 安全区域 untrust 模式 路由 IPv4 IP地址 172.16.10.10/24 配置云端管理接口的静态路由。 选择“网络 > 路由 > 静态路由”。 单击“静态路由列表”区域下的“新建”，添加静态路由。下一跳配置为网关地址。 配置漏洞扫描和云日志审计接口。 选择“网络 > 接口”。 单击“VLAN”对应的，配置其IP地址为192.168.56.10/24，其他保持默认。请保证上报日志的资产与此IP地址路由可达。 配置漏洞扫描和云日志审计接口的备份路由。 选择“网络 > 路由 > 静态路由”。 单击“静态路由列表”区域下的“新建”，添加静态路由。下一跳配置为网关地址。请保证优先级数值高于配置云端管理接口的静态路由中设置的优先级数值，确保上报的日志优先通过云端管理通道到达云端。 配置业务接口。 选择“网络 > 接口”。 单击GE0/0/20，按如下参数配置，单击“确定”。 安全区域 trust 模式 接口对 参考上述步骤按如下参数配置GE0/0/21接口。 安全区域 untrust 模式 接口对 单击GE0/0/22，按如下参数配置，单击“确定”。 安全区域 trust 模式 接口对 参考上述步骤按如下参数配置GE0/0/23接口。 安全区域 untrust 模式 接口对 配置业务接口对。 选择“网络 > 接口”。 单击“新建”，按如下参数创建接口对，单击“确定”。 名称 interface_bypass1 工作模式 不同口进出 成员 接口一 GE0/0/20 接口二 GE0/0/21 允许的VLAN 1-4094 接口对状态同步 不开启 参考上述步骤按如下参数再次创建interface_bypass2接口对。 名称 interface_bypass2 工作模式 不同口进出 成员 接口一 GE0/0/22 接口二 GE0/0/23 允许的VLAN 1-4094 接口对状态同步 不开启 创建Link-Group1、Link-Group2，分别添加bypass接口对。 创建Link-Group-Monitor，并添加Link-Group1、Link-Group2。 选择“系统 > 配置 > 时钟配置”，检查设备系统时间是否与当前时间一致，如果不一致，请调整设备系统时间，以保证云端能够精确掌握威胁事件的发生时间。 配置业务参数（边界防护与响应服务）。 加载License。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 选择“系统 > License管理”，“License激活方式”设置为“本地手动激活”。 单击“浏览”，选择本地PC中的的License文件，并单击“激活”。 选择“策略 > 安全策略 > 安全策略”，检查default策略的动作是否为“允许”，如果不是，单击策略名称default进入修改安全策略界面，将动作修改为“允许”。 确认安全策略已成功下发。 设备上线后，云端会部署套餐，需要2分钟左右，部署成功后安全策略会自动下发。 安全策略下发后，如图1所示。共有5条安全策略，其中default安全策略建议改回禁止，默认安全需要。 如果设备上只有“default”和“rule_iss_dns”安全策略，或只有“default”安全策略时，由云端自动下发安全策略。 如果设备上存在其他安全策略时，云端不会自动下发安全策略，此时请参考如何配置边界防护与响应服务需要的安全策略（USG6000E-C天关、USG6000E防火墙）自行完成配置。 图1 安全策略 选择“系统 > 升级中心”，单击下图所示的立即升级，升级“入侵防御特征库”和“反病毒特征库”。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（漏洞扫描服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表1 安全策略 服务 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 漏洞扫描服务 untrust-local untrust local any any udp：云端与防火墙之间建立VPN隧道。 tcp：对资产进行漏洞扫描。 允许 local-untrust local untrust any any any 允许 local-trust local trust any any tcp：对资产进行漏洞扫描。 允许 trust-local trust local any any tcp：对资产进行漏洞扫描。 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（云日志审计服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表2 安全策略 服务类型 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 云日志审计服务 untrust-local untrust local any any udp：资产上传日志到防火墙。 允许 local-untrust local untrust any any any 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。

方案架构 该解决方案能帮您快速在华为云上搭建等保二级合规安全解决方案，帮助客户快速、低成本完成安全整改，轻松满足等保二级合规要求。 解决方案架构如下: 图1 方案架构图 该解决方案将会部署如下资源： Web应用防火墙 WAF用来对业务流量进行多维度检测和防护。 企业主机安全HSS用来提升主机整体安全性，提供资产管理、漏洞管理、入侵检测、基线检查等功能，帮助企业降低主机安全风险。 SSL证书 SCM实现网站的可信身份认证与安全数据传输。 态势感知 SA用来对攻击事件、威胁告警和攻击源头进行分类统计和综合分析，为用户呈现出全局安全攻击态势。 威胁检测服务 MTD用来识别云服务日志中的潜在威胁，并对检测出的威胁告警进行统计。

使用流程 安全分析功能使用流程如使用流程所示，具体流程如表1所示。 图1 使用流程 表1 使用流程 子流程 说明 新增工作空间 新增工作空间，用于资源隔离和控制。 数据接入 配置需要接入的数据。 目前支持收集Web应用防火墙（Web Application Firewall，WAF）、企业主机安全（Host Security Service，HSS）、Anti-DDoS流量清洗（Anti-DDoS）和入侵防御系统（Intrusion Prevention System，IPS）的日志，接入后，可以检索并分析所有收集到的日志。日志具体收集情况如下： WAF：访问请求日志、攻击日志 HSS：主机安全告警日志、主机漏洞扫描结果日志 DDoS：攻击日志 IPS：攻击日志 （可选）新增数据空间 创建用于存储收集日志数据的数据空间。 通过控制台接入的数据，系统将创建默认数据空间，无需再进行创建。 （可选）创建管道 创建用于日志数据的采集、存储和查询的数据管道。 通过控制台接入的数据，系统将创建默认数据管道，无需再进行创建。 查询分析 对接入的数据进行查询、分析。

产品优势 使用简单：无需部署硬件设备，无需提前申请流程，租户只需要保证企业网络与华为乾坤云服务网络可通即可使用。 覆盖全面：全链路安全评估，从边界到站点、到内网，针对企业整个纵深，提供全链路的安全防护效果评估能力。 多维度攻击模拟：针对安全控制点、典型攻击场景、典型的攻击技术、APT组织、安全合规等提供多维度的安全评估能力。 报告清晰：多角度分析安全风险，多元化数据呈现，将安全数据智能分析和整合，使安全现状清晰明了。 定位精准：专家团队和自动化工具协同，云端管理中心汇总分析终端信息，精确扫描并上报目标主机上的可利用漏洞。 过程可控：采用攻击模拟技术，所有攻击模拟行为可回退，对正常的网络业务不产生影响。 更新及时：时刻关注业界紧急安全事件，及时更新模拟攻击行为库，保证安全评估的准确性。

态势感知-成长地图 | 华为云 态势感知 态势感知（Situation Awareness，SA）是华为云安全管理与态势分析平台，能够检测出8大类的云上安全风险，利用大数据分析技术，为用户呈现出全局安全攻击态势。 免费体验 图说SA 图说ECS 立即使用 成长地图 由浅入深，带您玩转SA 01 了解 了解态势感知功能特性、工作原理和应用场景，助您快速熟悉态势感知业务范围，准确获悉全局安全攻击态势。 产品介绍 功能介绍 应用场景 工作原理 工作原理 产品介绍 功能介绍 应用场景 工作原理 工作原理 03 入门 为可视化全局安全态势，您需配置“授权设置”和“扫描任务”获取主机安全数据，同时还可以配置告警发送威胁通知。 授权设置 主机授权 扫描任务 设置基线扫描时间 启动扫描任务 告警设置 通知告警 告警监控设置 05 实践 弹性云服务器（Elastic Cloud Server）是一种可随时自动获取、计算能力可弹性伸缩的云服务器。 部署web环境 什么是ECS 06 API 弹性云服务器（Elastic Cloud Server）是一种可随时自动获取、计算能力可弹性伸缩的云服务器。 API文档 什么是ECS 02 购买 针对不同安全威胁检测需求，您可以选择购买态势感知专业版和态势大屏，呈现资产安全状态，评估全局威胁风险。 快速购买 购买SA专业版 续订SA专业版 计费详情 SA价格详情 自定义购买 什么是ECS 04 使用 态势感知检测云上安全风险，还原攻击历史，感知攻击现状，预测攻击态势，您可以通过查询和查看可视化安全态势数据，并获取强大的安全威胁发生事前、事中、事后的处理建议。 总览 SA总览 威胁告警 查看告警 威胁分析 漏洞管理 主机漏洞扫描 网站漏洞扫描 应急漏洞扫描 基线检查 云服务基线 常见问题 了解更多常见问题、案例和解决方案 热门案例 为什么没有看到攻击数据或者看到的攻击数据很少？ 态势感知生成威胁告警的数据来源是什么？ 如何获取风险程度最高的资产信息? 态势感知可以为我提供什么服务？ 如何获取攻击者的信息？ 态势感知如何收费？ 态势感知支持续费吗？ 态势感知支持退订吗？ 态势感知与其他安全服务之间的关系与区别？ 更多 云服务器卡顿 应用容器化改造介绍 更多 磁盘相关 应用容器化改造介绍 更多 技术专题 技术、观点、课程专题呈现 云安全助你甩掉90%安全烦恼 介绍重点安全服务，关键特性和应用实践 华为云安全发展之路 介绍华为云安全可信发展之路和未来展望 跟唐老师学习云网络 唐老师将自己对网络的理解分享给大家 智能客服 您好！我是有问必答知识渊博的的智能问答机器人，有问题欢迎随时求助哦！ 社区求助 华为云社区是华为云用户的聚集地。这里有来自容器服务的技术牛人，为您解决技术难题。

移动应用安全类 任务状态显示失败如何处理？ 扫描的安全漏洞告警如何分析定位? 扫描的隐私合规问题如何分析定位？ 任务部分检测项有数值，但任务状态显示失败？ 安全漏洞报告中问题文件或者漏洞特征信息为空? 任务扫描超1小时仍然未结束？ 哪些场景下检测结果可能会存在漏报？ 如何在应用检测过程中输入用户凭证登录应用？ 检测过程中，无法打开详情查看手机实时检测界面怎么解决？ 隐私声明URL地址、个人信息第三方共享目录URL地址如何获取？

边界防护与响应服务 表1 边界防护与响应服务功能描述 功能 描述 自动化分析 云端基于分析模型对安全日志进行分析判定，并根据判定结果执行不同的处置。租户可依靠云端的自动化分析能力提升防护响应速度。 自动化分析以后，可以有如下几种处置方式： 事件命中误报模型，则此事件状态变更为误报。 事件命中告警自动确认模型、威胁分析等模型，则自动化分析将请求安全响应执行相应的处置。 在自动化分析的基础上，安全专家进一步分析处置事件。 安全响应 提供安全事件的响应闭环能力，主要包括下发黑名单、发送告警两种安全响应动作，租户可利用云端的安全响应能力有效提高安全事件的闭环效率。 针对以下场景提供下发黑名单、发送告警两种安全响应动作： 自动化分析判定后可以自动处置的事件，自动化分析将请求安全响应下发黑名单或发送告警。 自动化分析判定后需要安全专家处置的事件，安全专家分析后可通过Portal页面的事件管理菜单人工下发黑名单或发送告警。 租户在租户门户中下发黑名单。 云端专家精准分析 云端专家整合安全能力，快速准确识别复杂威胁： 现网对抗经验固化到云端，不断增强云端安全能力。 最新漏洞分析、云端智能签名生产，快速应对新型威胁。 专家针对发现的每一条安全告警进行统一分析，运用云端各种安全能力，解决最新“疑难杂症”。 资产暴露面风险监测 采用流量实时分析技术与云端探测相结合的方式，对暴露面进行精确识别和活跃度持续跟踪，快速感知暴露面风险，做到一目了然且有据可查。 极致体验 定期安全报告：定期自动生成周报、月报，并通过邮件发送至用户邮箱。 事件紧急通知：通过短信、邮件两种方式通知用户。 安全态势大屏：提供全局的攻击防御大屏展示。

边界防护与响应服务 表2 边界防护与响应服务功能描述 功能 描述 自动化分析 云端基于分析模型对安全日志进行分析判定，并根据判定结果执行不同的处置。租户可依靠云端的自动化分析能力提升防护响应速度。 自动化分析以后，可以有如下几种处置方式： 事件命中误报模型，则此事件状态变更为误报。 事件命中告警自动确认模型、威胁分析等模型，则自动化分析将请求安全响应执行相应的处置。 在自动化分析的基础上，安全专家进一步分析处置事件。 安全响应 提供安全事件的响应闭环能力，主要包括下发黑名单、发送告警两种安全响应动作，租户可利用云端的安全响应能力有效提高安全事件的闭环效率。 针对以下场景提供下发黑名单、发送告警两种安全响应动作： 自动化分析判定后可以自动处置的事件，自动化分析将请求安全响应下发黑名单或发送告警。 自动化分析判定后需要安全专家处置的事件，安全专家分析后可通过Portal页面的事件管理菜单人工下发黑名单或发送告警。 租户在租户门户中下发黑名单。 云端专家精准分析 云端专家整合安全能力，快速准确识别复杂威胁： 现网对抗经验固化到云端，不断增强云端安全能力。 最新漏洞分析、云端智能签名生产，快速应对新型威胁。 专家针对发现的每一条安全告警进行统一分析，运用云端各种安全能力，解决最新“疑难杂症”。 资产暴露面风险监测 采用流量实时分析技术与云端探测相结合的方式，对暴露面进行精确识别和活跃度持续跟踪，快速感知暴露面风险，做到一目了然且有据可查。 极致体验 定期安全报告：定期自动生成周报、月报，并通过邮件发送至用户邮箱。 事件紧急通知：通过短信、邮件两种方式通知用户。 安全态势大屏：提供全局的攻击防御大屏展示。

查看单台服务器安全详情 您可在“主机管理 > 云服务器”页面，单击“有风险”，进入单台服务器安全详情页面。 在单台服务器安全详情页面，可快速查看当前服务器的资产信息、未处理的漏洞和安全事件。 表2 单服务器安全详情 安全项 说明 资产管理 您可以查看主机上的“账号信息”、“开放端口”、“进程信息”、“WEB目录”、“软件信息”、“自启动”。 账号信息 列出当前系统的账号信息，帮助用户进行账户安全性管理。 开放端口 列出当前系统开放的端口列表，帮助用户识别出其中的危险端口和未知端口。 进程信息 对运行中的进程进行收集及呈现，便于自主清点合法进程发现异常进程。 WEB目录 列出当前系统中Web服务使用的目录，帮助用户进行Web资源管理。 软件信息 列出当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 自启动 列出当前系统中的自启动信息，帮助用户快速识别主机中可疑的自启动。 漏洞管理 您可以查看主机系统中的漏洞和Web-CMS漏洞。 Windows系统漏洞 通过订阅微软官方更新，统计服务器中未修复的漏洞，推送微软官方补丁。 Linux软件漏洞 通过与漏洞库进行比对，检测出系统和软件（例如：SSH、OpenSSL、Apache、Mysql等）存在的漏洞，帮助用户识别出存在的风险。 Web-CMS漏洞 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，提升Web服务安全性。 基线检查 您可以查看主机的系统、数据库、账号配置存在的风险点。 口令风险 检测系统中的口令复杂度策略，给出修改建议，帮助用户提升口令安全性检测账户口令是否属于常用的弱口令，针对弱口令提示用户修改，防止账户口令被轻易猜解。 配置风险 对常见的Tomcat配置、SSH登录配置、Nginx配置进行检查，帮助用户识别不安全的配置项。 入侵检测 您可以查看主机上的账户暴力破解、进程异常行为、网站后门、异常登录、恶意进程等13大类入侵并告警。详细信息请参见入侵告警事件概述。

查看应急漏洞公告 登录管理控制台。 在页面左上角单击，选择“安全与合规 > 态势感知”，进入态势感知管理页面。 在态势感知管理页面选择“漏洞管理 > 应急漏洞公告”，进入“应急漏洞公告”汇聚页面。 图1 应急漏洞公告 查看应急漏洞公告列表刷新时间。 查看右上角“更新时间”，即可获知列表刷新时间。 查看应急漏洞公告详细信息。 单击应急漏洞公告名称，“一键跳转”到安全公告的漏洞详情页面，可查看安全漏洞披露历程，威胁级别、影响范围、处置办法等信息。 按时间查看应急漏洞公告。 在下拉框筛选“全部时间”、“近7天”、“近3天”或“近24小时”条件选项，在列表栏查看显示符合过滤条件的应急漏洞公告。 搜索历史应急漏洞公告。 通过在搜索框输入关键字，可搜索到相关应急漏洞公告，在列表栏查看显示符合过滤条件的应急漏洞公告。

查看任务 登录管理控制台。 选择“服务列表 >安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务管理控制台。 在左侧导航栏，单击二进制成分分析。 在“二进制成分分析”页面，查看成分分析任务列表，相关参数说明如图1所示。 图1 成分分析任务列表 表1 成分分析任务列表参数说明 参数 参数说明 文件名 软件包名称。 任务描述 自定义描述。 任务状态 “等待中” 导入扫描对象后开始等待扫描。 “进行中” 任务正在进行扫描。 “已完成” 任务已完成扫描。 “已停止” 任务扫描中单击了操作栏的“停止”。 “已失败” 任务扫描失败。 安全漏洞 成分分析扫描出的漏洞分布情况。 开始时间 成分分析开始的时间。 任务时长 成分分析扫描完成、失败或停止的所用时长。 操作 查看报告、停止、删除按钮。 在下拉框下拉选择任务状态，可根据任务状态筛选查看任务。 在输入框中输入文件名关键字或任务描述，可根据文件名关键字或任务描述筛选查看，可以和任务状态联合使用。 单击刷新任务列表。

查看应急漏洞公告 登录管理控制台。 在页面左上角单击，选择“安全与合规 > 态势感知”，进入态势感知管理页面。 在态势感知管理页面选择“漏洞管理 > 应急漏洞公告”，进入“应急漏洞公告”汇聚页面。 图1 应急漏洞公告 查看应急漏洞公告列表刷新时间。 查看右上角“更新时间”，即可获知列表刷新时间。 查看应急漏洞公告详细信息。 单击应急漏洞公告名称，“一键跳转”到安全公告的漏洞详情页面，可查看安全漏洞披露历程，威胁级别、影响范围、处置办法等信息。 按时间查看应急漏洞公告。 在下拉框筛选“全部时间”、“近7天”、“近3天”或“近24小时”条件选项，在列表栏查看显示符合过滤条件的应急漏洞公告。 搜索历史应急漏洞公告。 通过在搜索框输入关键字，可搜索到相关应急漏洞公告，在列表栏查看显示符合过滤条件的应急漏洞公告。

查看任务 登录管理控制台。 选择“服务列表 >安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务管理控制台。 在左侧导航栏，单击移动应用安全。 在“移动应用安全”页面，查看应用安全任务列表，相关参数说明如表1所示。 图1 应用安全任务列表 表1 应用安全任务列表参数说明 参数 参数说明 文件名 扫描文件名称。 应用包名 应用packagename。 应用类型 安卓或鸿蒙 任务描述 对任务信息进行说明。 任务发起时间 任务开始时间。 任务状态 “排队中”：上传扫描对象后开始等待扫描。 “分析中”：任务正在进行扫描。 当任务处于“分析中”状态大约5分钟时，可以单击任务状态进入检测详情界面。 详情界面左侧实时显示应用运行过程。 当出现登录界面时，暂停运行，此时支持用户操作手机界面输入登录凭证，输入完成后可单击右侧“完成”继续自动化检测。如果用户选择“跳过”，界面忽略登录操作，继续运行剩余检测任务。 说明： 如果用户选择“跳过”，移动应用安全服务无法检测需要登录才能访问的页面，最终检测结果也不会包含需要登录才能访问的页面检测结果。 隐私合规检测完成后，会自动断开手机投屏界面。 “完成”：任务已完成扫描。 “失败”：任务扫描失败。 分析时长 分析上传文件的时间。 安全漏洞 扫描结果的漏洞分布情况。 隐私合规 隐私合规的扫描结果。 在下拉框下拉选择任务状态，可根据任务状态筛选查看任务。 在输入框中输入任务名称关键字，可根据任务名称关键字筛选查看。可以和任务状态联合使用。 单击刷新任务列表。

配置思路 登录华为乾坤云服务控制台，根据租户内网资产IP地址配置全局白名单，提升安全状态检测的准确性。 配置交换机： 配置Switch的GigabitEthernet0/0/2为观察端口，该端口直连天关，Switch将通过镜像将流量上送到天关进行检测。 配置Switch的GigabitEthernet0/0/1为镜像端口，开启端口镜像功能。 配置Switch的GigabitEthernet0/0/3为三层端口，与天关上漏洞扫描和云日志审计接口直连。 配置天关： 配置云端管理接口，用于天关与云端对接，包括设备向云端注册、向云端提供日志、接收云端下发配置等。 配置接口GE0/0/21和GE0/0/20为接口对模式，GE0/0/20与Switch的观察端口直连。 配置漏洞扫描和云日志审计接口GE0/0/2为三层接口，并加入trust安全域，已购买漏洞扫描服务或云日志审计服务时需要配置。 分别配置边界防护与响应、漏洞扫描服务、云日志审计业务参数。

步骤四：验证主机安全性 检测主机风险 以上安全威胁修复完成后，为了确认主机是否依然存在安全威胁，您可以通过以下方式进行验证，如表6所示。 表6 验证主机风险 验证方式 推荐适用检测场景 检查项目 操作方式 手动检测 需要尽快知道修复结果。 一键手动检测： 软件信息检测 漏洞检测 网站后门检测 口令风险检测 配置检测 选择“主机管理”，单击页面右上角“手动检测”。 单项目手动检测： 软件信息检测 漏洞检测 口令风险检测 配置检测 选择“主机管理”，在云服务器列表的“操作”列中，单击“查看详情”，进入指定主机的详情页面。 选择“资产管理”，在“软件信息”页签中，手动检测主机中的不合规的软件信息。 选择“漏洞管理”，手动检测主机中的软件、系统和Web-CMS漏洞信息。 选择“基线检查”，在“口令风险”页签中，手动检测主机中的口令风险。 选择“基线检查”，在“配置风险”页签中，手动检测主机中不安全的配置项。 自动检测 不急于知道修复结果。 以下检测项HSS每日凌晨自动执行全面检测，检测完成后可查看修复结果。 软件信息检测 漏洞检测 网站后门检测 口令风险检测 配置检测 其他检测项HSS会实时检测主机中的风险和异常操作，修复后可直接查看结果。 HSS在每日凌晨执行全面检测，检测主机中的风险和异常操作。 查看风险总览 检测完成后，您可以在“总览”页查看各项风险统计。 在“总览”页查看主机安全风险统计结果，如图9所示。 图9 主机安全总览 主机风险统计 确认主机资产风险、基线检查、入侵检测和漏洞风险数据是否降低。 主机防护统计 确认主机是否已全部开启防护。 安全风险趋势 确认安全风险趋势是否呈下降趋势。 安全运营趋势 确认安全运营是否呈下降趋势。 若确保以上数据均有下降趋势，则说明您已成功提升了您主机的安全性。

配置思路 登录华为乾坤云服务控制台，配置全局白名单，防止租户内网资产IP地址被云端（包括云端自动下发、云端安全服务人员）错误下发黑名单。 登录天关，主要配置以下内容： 配置Bypass接口对，用于转发内外网业务流量。 配置云端管理接口，用于天关与云端对接，包括设备向云端注册、向云端提供日志、接收云端下发配置等。 配置漏扫和日志审计业务接口，已购买漏洞扫描服务或云日志审计服务时需要配置。 分别配置边界防护与响应服务、漏洞扫描服务、云日志审计服务业务参数。

操作步骤 登录华为云管理控制台。 选择“服务列表 >安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务管理控制台。 在左侧导航栏，选择“资产列表 > 主机”。 单击主机信息“操作”列的扫描，进入主机扫描入口，如图1所示。 图1 进入主机扫描入口 您可以选中需要扫描的主机，在主机列表上方单击“一键扫描”，对选中的多台主机批量进行扫描。 查看主机信息，相关参数说明如表1所示。 表1 主机资产列表参数说明 参数 参数说明 主机信息 IP 主机名称 VPC 所在分组/区域/操作系统 主机所在分组/区域/操作系统，可在目标主机的“操作”列，单击“更换分组”，更换主机组。 跳板机/授权信息 添加跳板机的具体操作请参见添加主机。 主机授权的具体操作请参见配置Linux主机授权。 上一次扫描时间 主机最近一次扫描任务扫描时间。 上一次扫描结果 主机最近一次扫描任务的信息，包括得分和各等级的漏洞数量。单击分数或者“查看详情”，进入“任务详情”界面查看扫描概况。 在目标主机所在行的“上一次扫描结果”列，单击分数或者“查看详情”，查看相应任务的“扫描项总览”，如图2所示，各栏目说明如表2所示。 基础版用户按次购买主机扫描功能后，如果扫描任务失败，请在扫描详情页面单击“重新扫描（免费）”，系统将重新执行扫描任务。 图2 查看主机扫描详情 表2 详情总览说明 栏目 说明 目标IP 主机IP。 任务信息 显示目标任务的基本信息，包括： 得分：任务被创建后，初始得分是一百分，任务扫描完成后，根据扫描出的漏洞个数和漏洞级别会扣除相应的分数，无漏洞则不扣分。 漏洞总数：漏洞总数及各级别的漏洞个数。 基线风险：各级别的基线风险个数，windows扫描不支持此项检测。 等保合规：为您提供本地化、系统化、专业的等保测评服务，为您提供一站式安全产品及服务，帮助您测评整改，提升安全防护能力，快速满足国家实行的网络安全等级保护制度。 须知： 仅企业版可查看“等保合规”功能的检测结果。 扫描详情：开始时间及任务扫描耗时。 扫描结果；扫描任务的执行结果，有“扫描成功”和“扫描失败”两种结果。 扫描项 显示扫描任务的类别、扫描项名称、扫描统计、等级和扫描状态。 选择“扫描项”页签，查看目标主机的扫描项信息，如图3所示。 图3 扫描项 选择“漏洞列表”页签，查看目标主机的漏洞信息，如图4所示。 图4 漏洞列表界面 如果您确认扫描出的漏洞不会对主机造成危害，您可以在目标漏洞所在行的“操作”列，单击“忽略”，忽略该漏洞，后续执行扫描任务会扫描出该漏洞，但相应的漏洞统计结果将发生变化，扫描报告中也不会出现该漏洞。 单击漏洞名称，进入“漏洞详情”页面，根据修复建议修复漏洞。 选择“基线检查”页签，查看主机扫描的基线检查信息，如图5所示。 图5 基线检查 如果您确认扫描出的检查项不会对主机造成危害，您可以在目标检查项所在行的“操作”列，单击“忽略”，忽略该检查项，后续执行扫描任务会扫描出该漏洞，但相应的检查项统计结果将发生变化，扫描报告中也不会出现该检查项。 Windows扫描暂不支持基线检测扫描。 单击“等保合规（企业版）”页签，进入“等保合规（企业版）”的详情列表界面，显示目标主机的等保合规检测信息，如图6所示。 图6 等保合规 如果您确认扫描出的检查项不会对主机造成危害，您可以在目标检查项所在行的“操作”列，单击“忽略”，忽略该检查项，后续执行扫描任务会扫描出该漏洞，但相应的检查项统计结果将发生变化，扫描报告中也不会出现该检查项。 VSS目前仅企业版用户支持等保合规检测，如果您需要对您的主机进行等保合规检测，请购买企业版。

修订记录 发布日期 修改说明 2021-07-09 第二十七次正式发布。 服务入口刷新。 2020-01-26 第二十六次正式发布。 查看运行时安全详情，新增检测说明。 2020-10-20 第二十五次正式发布。 购买容器安全配额，新增背景信息。 2020-06-22 第二十四次正式发布。 查看基线检查详情，优化相关内容描述。 2020-05-26 第二十三次正式发布。 新增设置告警通知。 修改（可选）策略配置，更新界面截图。 2020-04-20 第二十二次正式发布。 “服务版本”，优化相关内容描述。 2020-04-07 第二十一次正式发布。 修改创建用户并授权使用CGS，优化相关内容描述。 2020-04-01 第二十次正式发布。 更新界面截图。 2020-02-28 第十九次正式发布。 新增“服务版本”。 修改服务授权，优化相关内容描述。 修改管理本地镜像漏洞，新增前提条件。 修改管理私有镜像仓库漏洞，新增检测说明。 2020-02-21 第十八次正式发布。 新增CGS自定义策略。 新增CGS权限及授权项。 创建用户并授权使用CGS，添加细粒度策略。 2020-01-20 第十七次正式发布。 修改创建用户并授权使用CGS，优化相关内容描述。 删除用户指南以下章节： 权限管理 > 权限管理基本概念 权限管理 > 策略语法：RBAC 2020-01-03 第十六次正式发布。 修改创建用户并授权使用CGS，更新界面截图。 修改“策略语法：RBAC”章节，更新界面截图和优化相关内容。 2019-12-27 第十五次正式发布。 新增查看基线检查详情。 管理私有镜像仓库新增查看私有镜像的基线检查详情。 2019-12-18 第十四次正式发布。 新增审计。 修改购买容器安全配额，优化相关内容描述。 修改创建用户并授权使用CGS，更细界面截图和优化相关内容描述。 “查看容器异常监控结果”修改为查看运行时安全，并优化相关内容描述。 2019-11-29 第十三次正式发布。 创建用户并授权使用CGS，更新界面截图和优化相关内容。 2019-11-26 第十二次正式发布。 开启集群防护，增加按需计费说明。 查看防护列表，优化相关内容描述。 购买容器安全配额，增加区域使用说明。 2019-11-12 第十一次正式发布。 开启集群防护，优化相关内容描述。 （可选）策略配置，优化相关内容描述。 查看恶意文件检测详情，优化相关内容描述。 查看防护列表，优化相关内容描述。 关闭集群防护，优化相关内容描述。 2019-10-21 第十次正式发布。 新增查看恶意文件检测详情。 修改管理本地镜像漏洞。 修改管理私有镜像仓库漏洞。 修改管理官方镜像仓库漏洞。 2019-09-25 第九次正式发布。 管理私有镜像仓库，增加查看私有镜像的恶意文件、查看私有镜像的软件信息、查看私有镜像的文件信息。 2019-08-30 第八次正式发布。 优化操作入口描述。 2019-08-23 第七次正式发布。 服务授权，更新界面截图和优化相关内容描述。 开启集群防护，更新界面截图和优化相关内容描述。 查看防护列表，增加防护配额说明。 关闭集群防护，更新界面截图和优化相关内容描述。 “安装Shield插件”，更新界面截图和优化相关内容描述。 “卸载Shield插件”章节，更新界面截图和优化相关内容描述。 2019-08-13 第六次正式发布。 新增服务授权。 新增购买容器安全配额。 修改以下章节： 开启集群防护 镜像安全 管理镜像信息 查看防护列表 关闭集群防护 2019-06-14 第五次正式发布。 查看防护列表，优化相关内容描述。 2019-05-30 第四次正式发布。 开启集群防护，删除节点开启防护相关内容描述。 镜像安全，更新界面截图以及相关内容描述。 管理镜像信息，更新界面截图以及相关内容描述。 查看防护列表，更新界面截图以及相关内容描述。 关闭集群防护，更新界面截图以及相关内容描述。 “卸载Shield插件”，更新界面截图以及相关内容描述。 2019-05-27 第三次正式发布。 新增如下章节： 创建用户并授权使用CGS。 “权限管理基本概念”。 “策略语法：RBAC”。 2019-01-3 第二次正式发布。 新增如下章节： 管理私有镜像仓库。 管理官方镜像仓库。 管理私有镜像仓库漏洞。 管理官方镜像仓库漏洞。 2018-10-18 第一次正式发布。