主机安全 企业主机安全（Host Security Service，HSS）是提升服务器整体安全性的服务，为用户提供资产管理、漏洞管理、入侵检测、基线检查等功能，降低服务器被入侵的风险。 在弹性云服务器中安装Agent后，云服务器受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 图1 HSS功能原理 企业主机安全服务的组件功能及工作流程说明如下： 安全控制台： 可视化的管理平台，便于您集中下发配置信息，查看在同一区域内主机的防护状态和检测结果。 HSS云端防护中心： 接收您在控制台下发的配置信息和检测任务，并转发给安装在服务器上的Agent。 接收Agent上报的主机信息，分析主机中存在的安全风险和异常信息，将分析后的信息以检测报告的形式呈现在控制台界面。 HSS客户端： 接收HSS云端防护中心转发的检测任务。 按检测任务要求扫描弹性云服务器，并将事件扫描信息上报给HSS云端防护中心。 您在使用企业主机安全服务前，需要先在云服务器上安装客户端。更多信息，请参考主机安全。

工作原理 在主机中安装Agent后，您的主机将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 主机安全的工作原理如图1所示。 图1 工作原理 主机安全的组件功能及工作流程说明如下： 表1 组件功能及工作流程说明 组件 说明 管理控制台 可视化的管理平台，便于您集中下发配置信息，查看在同一区域内主机的防护状态和检测结果。 HSS云端防护中心 使用AI、机器学习和深度算法等技术分析主机中的各项安全风险。 集成多种杀毒引擎，深度查杀主机中的恶意程序。 接收您在控制台下发的配置信息和检测任务，并转发给安装在服务器上的Agent。 接收Agent上报的主机信息，分析主机中存在的安全风险和异常信息，将分析后的信息以检测报告的形式呈现在控制台界面。 Agent Agent通过HTTPS和WSS协议与HSS云端防护中心进行连接通信，默认端口：10180。 每日凌晨定时执行检测任务，全量扫描主机；实时监测主机的安全状态；并将收集的主机信息（包含不合规配置、不安全配置、入侵痕迹、软件列表、端口列表、进程列表等信息）上报给云端防护中心。 根据您配置的安全策略，阻止攻击者对主机的攻击行为。 说明： 如果未安装Agent或Agent状态异常，您将无法使用主机安全服务。 Agent可安装在华为云弹性云服务器（Elastic Cloud Server，ECS）/裸金属服务器（Bare Metal Server，BMS）、线下主机以及第三方云主机中。 根据操作系统版本选择对应的安装命令/安装包进行安装。 网页防篡改、容器安全与主机安全共用同一个Agent，您只需在同一主机安装一次。

工作原理 在主机中安装Agent后，您的主机将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 企业主机安全服务的工作原理如图1所示。 图1 工作原理 企业主机安全服务的组件功能及工作流程说明如下： 表1 组件功能及工作流程说明 组件 说明 管理控制台 可视化的管理平台，便于您集中下发配置信息，查看在同一区域内主机的防护状态和检测结果。 HSS云端防护中心 使用AI、机器学习和深度算法等技术分析主机中的各项安全风险。 集成多种杀毒引擎，深度查杀主机中的恶意程序。 接收您在控制台下发的配置信息和检测任务，并转发给安装在服务器上的Agent。 接收Agent上报的主机信息，分析主机中存在的安全风险和异常信息，将分析后的信息以检测报告的形式呈现在控制台界面。 Agent Agent通过HTTPS和WSS协议与HSS云端防护中心进行连接通信，默认端口：443。 每日凌晨定时执行检测任务，全量扫描主机；实时监测主机的安全状态；并将收集的主机信息（包含不合规配置、不安全配置、入侵痕迹、软件列表、端口列表、进程列表等信息）上报给云端防护中心。 根据您配置的安全策略，阻止攻击者对主机的攻击行为。 说明： 如果未安装Agent或Agent状态异常，您将无法使用企业主机安全服务。 Agent可安装在华为云弹性云服务器（Elastic Cloud Server，ECS）/裸金属服务器（Bare Metal Server，BMS）、线下主机以及第三方云主机中。 根据操作系统版本选择对应的安装命令/安装包进行安装。 网页防篡改与主机安全共用同一个Agent，您只需在同一主机安装一次。

工作原理 在主机中安装Agent后，您的主机将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 企业主机安全服务的工作原理如图1所示。 图1 工作原理 企业主机安全服务的组件功能及工作流程说明如下： 表1 组件功能及工作流程说明 组件 说明 管理控制台 可视化的管理平台，便于您集中下发配置信息，查看在同一区域内主机的防护状态和检测结果。 HSS云端防护中心 使用AI、机器学习和深度算法等技术分析主机中的各项安全风险。 集成多种杀毒引擎，深度查杀主机中的恶意程序。 接收您在控制台下发的配置信息和检测任务，并转发给安装在服务器上的Agent。 接收Agent上报的主机信息，分析主机中存在的安全风险和异常信息，将分析后的信息以检测报告的形式呈现在控制台界面。 Agent Agent通过HTTPS和WSS协议与HSS云端防护中心进行连接通信，默认端口：443。 每日凌晨定时执行检测任务，全量扫描主机；实时监测主机的安全状态；并将收集的主机信息（包含不合规配置、不安全配置、入侵痕迹、软件列表、端口列表、进程列表等信息）上报给云端防护中心。 根据您配置的安全策略，阻止攻击者对主机的攻击行为。 说明： 如果未安装Agent或Agent状态异常，您将无法使用企业主机安全服务。 Agent可安装在华为云弹性云服务器（Elastic Cloud Server，ECS）/裸金属服务器（Bare Metal Server，BMS）、线下主机以及第三方云主机中。 根据操作系统版本选择对应的安装命令/安装包进行安装。 网页防篡改与主机安全共用同一个Agent，您只需在同一主机安装一次。

工作原理 在主机中安装Agent后，您的主机将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 企业主机安全服务的工作原理如图1所示。 图1 工作原理 企业主机安全服务的组件功能及工作流程说明如下： 表1 组件功能及工作流程说明 组件 说明 管理控制台 可视化的管理平台，便于您集中下发配置信息，查看在同一区域内主机的防护状态和检测结果。 HSS云端防护中心 使用AI、机器学习和深度算法等技术分析主机中的各项安全风险。 集成多种杀毒引擎，深度查杀主机中的恶意程序。 接收您在控制台下发的配置信息和检测任务，并转发给安装在服务器上的Agent。 接收Agent上报的主机信息，分析主机中存在的安全风险和异常信息，将分析后的信息以检测报告的形式呈现在控制台界面。 Agent Agent通过HTTPS和WSS协议与HSS云端防护中心进行连接通信，默认端口：443。 每日凌晨定时执行检测任务，全量扫描主机；实时监测主机的安全状态；并将收集的主机信息（包含不合规配置、不安全配置、入侵痕迹、软件列表、端口列表、进程列表等信息）上报给云端防护中心。 根据您配置的安全策略，阻止攻击者对主机的攻击行为。 说明： 如果未安装Agent或Agent状态异常，您将无法使用企业主机安全服务。 Agent可安装在华为云弹性云服务器（Elastic Cloud Server，ECS）/裸金属服务器（Bare Metal Server，BMS）、线下主机以及第三方云主机中。 根据操作系统版本选择对应的安装命令/安装包进行安装。 网页防篡改与主机安全共用同一个Agent，您只需在同一主机安装一次。

主机安全是提升主机整体安全性的服务，通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能，全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 在主机中安装Agent后，您的主机将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 主机安全的工作原理如图1所示。 图1 工作原理 主机安全的组件功能及工作流程说明如下： 表1 组件功能及工作流程说明 组件 说明 管理控制台 可视化的管理平台，便于您集中下发配置信息，查看在同一区域内主机的防护状态和检测结果。 HSS云端防护中心 使用AI、机器学习和深度算法等技术分析主机中的各项安全风险。 集成多种杀毒引擎，深度查杀主机中的恶意程序。 接收您在控制台下发的配置信息和检测任务，并转发给安装在服务器上的Agent。 接收Agent上报的主机信息，分析主机中存在的安全风险和异常信息，将分析后的信息以检测报告的形式呈现在控制台界面。 Agent Agent通过HTTPS和WSS协议与HSS云端防护中心进行连接通信，默认端口：10180。 每日凌晨定时执行检测任务，全量扫描主机；实时监测主机的安全状态；并将收集的主机信息（包含不合规配置、不安全配置、入侵痕迹、软件列表、端口列表、进程列表等信息）上报给云端防护中心。 根据您配置的安全策略，阻止攻击者对主机的攻击行为。 说明： 如果未安装Agent或Agent状态异常，您将无法使用主机安全服务。 Agent可安装在华为云弹性云服务器（Elastic Cloud Server，ECS）/裸金属服务器（Bare Metal Server，BMS）、线下主机以及第三方云主机中。 根据操作系统版本选择对应的安装命令/安装包进行安装。 网页防篡改、容器安全与主机安全共用同一个Agent，您只需在同一主机安装一次。

关于认证测试中心服务有效期的公告 尊敬的华为云客户，您好： 华为云认证测试中心服务（原管理检测与响应服务）自成功购买后，服务单（含等保安全、密评安全订单）有效期为一年，若您购买的服务已超出有效期，华为云将不予提供服务。 对此，为避免由于长期未交付而导致服务过期，造成您的业务损失，请务必需要注意以下几点： 从成功购买认证测试中心（原管理检测与响应服务，含等保安全、密评安全）起计算，订单的有效期为1年，请您务必在有效期内使用。 2021年下单认证测试中心（原管理检测与响应服务，含等保安全、密评安全），且订单未超有效期的，请您尽快联系我们提供相关服务。 2020年及2020年前下单管理检测与响应未交付的订单（含等保安全），订单已处于失效状态，如您仍有业务需求，烦请重新按需购买。 在此期间，如您有任何异议，请随时与我们联系，华为云认证测试中心团队将一如既往竭诚为您服务。 感谢您对华为云的支持！

功能总览 功能总览 全部 主机安全服务 资产指纹管理 基线检查 漏洞管理 容器镜像安全 应用防护 入侵检测 未防护资产的免费体检 恶意程序隔离查杀 勒索病毒防护 文件隔离箱管理 文件完整性管理 自定义安全策略 动静态网页防篡改 特权进程可修改防篡改文件 双因子认证 SSH登录IP白名单 常用登录地/IP 告警白名单管理 告警通知 主机分类管理 订阅安全报告 Agent批量安装 主机安全服务 主机安全服务（Host Security Service，HSS）是以工作负载为中心的安全产品，旨在解决现代混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。它集成了主机安全、容器安全和网页防篡改。 发布区域：全部。 HSS版本功能特性 应用场景 资产指纹管理 可深度扫描出主机中的账号、端口、进程、Web目录、软件信息和自启动任务，在“资产管理”界面，您可以统一管理主机中的信息资产。 发布区域：全部。 查看资产指纹详情 历史变动记录 基线检查 HSS提供基线检查功能，主动检测主机中的口令复杂度策略，关键软件中含有风险的配置信息，并针对所发现的风险为您提供修复建议，帮助您正确地处理服务器内的各种风险配置信息。 发布区域：全部。 查看基线检查详情 管理基线检查策略 基线检查风险修复建议 漏洞管理 HSS提供漏洞管理功能，检测Linux漏洞、Windows漏洞、Web-CMS漏洞、应用漏洞，提供漏洞概览，包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5，帮助您实时了解主机漏洞情况。 发布区域：全部。 查看漏洞详情 漏洞修复与验证 容器镜像安全 扫描镜像仓库与正在运行的容器镜像，发现镜像中的漏洞、恶意文件等并给出修复建议，帮助您得到一个安全的镜像。 发布区域：全部。 容器镜像漏洞 镜像恶意文件 镜像基线检查 应用防护 为运行时的应用提供安全防御。您无需修改应用程序文件，只需将探针注入到应用程序，即可为应用提供强大的安全防护能力。 当前只支持操作系统为Linux的服务器，且仅支持Java应用接入。 发布区域：全部。 开启应用防护 应用防护管理 关闭应用防护 入侵检测 HSS支持账户暴力破解、进程异常、网站后门、异常登录、恶意进程等入侵检测能力，用户可通过事件管理全面了解入侵检测告警事件，帮助用户及时发现资产中的安全威胁、实时掌握资产的安全状态。 企业主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况，包括存在告警的服务器、待处理告警事件、未处理告警事件、已拦截IP和已隔离文件。 事件管理列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，对告警进行“手动处理”、“忽略”、”加入告警白名单”或者“隔离查杀”，自行判断并处理告警，快速清除资产中的安全威胁。 发布区域：全部。 查看和处理入侵告警事件 主机安全告警事件概述 容器安全告警事件概述 查看和处理容器告警事件 未防护资产的免费体检 对未开启防护的主机提供每周一次的免费扫描体检，针对频繁出现的漏洞、口令、资产风险生成安全报告供查看。 发布区域：全部。 未防护资产的免费体检 恶意程序隔离查杀 HSS采用先进的AI、机器学习等技术，并集成多种杀毒引擎，深度查杀主机中的恶意程序。 开启“恶意程序隔离查杀”后，HSS对识别出的后门、木马、蠕虫等恶意程序，提供自动隔离查杀功能，帮助用户自动识别处理系统存在的安全风险。 若未开启“恶意程序隔离查杀”功能，则HSS检测到恶意程序时，不会自动隔离查杀，仅会触发告警。您可以在“入侵检测”的“事件管理”中，查看“恶意程序（云查杀）”中的告警信息，并对恶意程序手动执行“隔离查杀”。 发布区域：全部。 开启恶意程序隔离查杀 仅旗舰版支持 勒索病毒防护 支持已知勒索病毒检测能力，支持自定义勒索备份恢复策略。 发布区域：全部。 开启勒索病毒防护 防护策略管理 关闭防护管理 仅旗舰版支持 文件隔离箱管理 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中，无法对主机造成威胁。被成功隔离的文件一直保留在文件隔离箱中，您也可以根据自己的需要进行一键恢复。 发布区域：全部。 管理文件隔离箱 仅旗舰版支持 文件完整性管理 文件完整性管理可以检查操作系统、应用程序软件和其他组件的文件，确定它们是否发生了可能遭受攻击的更改，同时，能够帮助用户通过PCI-DSS等安全认证。文件完整性管理功能是使用对比的方法来确定当前文件状态是否不同于上次扫描该文件时的状态，利用这种对比来确定文件是否发生了有效或可疑的修改。 文件完整性管理会验证Linux文件的完整性，并管理针对文件执行的活动，包括： 1、文件的创建与删除。 2、文件的修改（文件大小、访问控制列表和内容哈希的更改）。 发布区域：全部。 查看云服务器变更详情 查看历史变更文件 仅旗舰版支持 自定义安全策略 HSS旗舰版提供灵活的策略管理能力，用户可以根据需要自定义安全检测规则，并可以为不同的主机组或主机应用不同的策略，以满足不同应用场景的主机安全需求。 发布区域：全部。 查看策略组 创建策略组 修改策略内容 仅网页防篡改版支持 动静态网页防篡改 静态网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 支持对Windows和Linux进程添加白名单。网页防篡改功能将不对加入白名单的进程进行拦截。 动态网页防篡改提供tomcat应用运行时自我保护，能够检测针对数据库等动态数据的篡改行为。 发布区域：全部。 定时开启网页防篡改 开启动态网页防篡改 查看网页防篡改报告 仅网页防篡改版支持 特权进程可修改防篡改文件 开启网页防篡改防护后，防护目录中的内容是只读状态，如果您需要修改防护目录中的文件或更新网站，可以添加特权进程。 通过这个特权进程去修改防护目录里的文件或者更新网站，修改才会生效。若没有添加特权进程 ，网页防篡改仅防护原来的文件或者网站，即使修改了内容，文件或者网站也会恢复到原来的状态，修改不会生效。 特权进程可以访问被防护的目录，请确保特权进程安全可靠。 发布区域：全部。 添加防护目录 双因子认证 双因子认证功能是一种双因素身份验证机制，结合短信/邮箱验证码，对云服务器登录行为进行二次认证，极大地增强云服务器账户安全性。 开启双因子认证功能后，登录弹性云服务器时，主机安全服务将根据绑定的“消息通知服务主题”验证登录者的身份信息。 发布区域：全部。 开启双因子认证 SSH登录IP白名单 SSH登录IP白名单功能是防护账户爆破的一个重要方式，主要是限制需要通过SSH登录的服务器。 配置了白名单的服务器，只允许白名单内的IP通过SSH登录到服务器，拒绝白名单以外的IP： 1、启用该功能时请确保将所有需要发起SSH登录的IP地址都加入白名单中，否则您将无法SSH远程登录您的服务器。 若您的业务需要访问主机，但不需要SSH登录，则可以不用添加到白名单。 2、IP加入白名单后，账户破解防护功能将不再对来自白名单中的IP登录行为进行拦截，该IP对您加入白名单的服务器登录访问将不受任何限制，请谨慎操作。 发布区域：全部。 配置SSH登录IP白名单 常用登录地/IP 配置常用登录地/IP后，企业主机安全服务将对非常用地/IP登录主机的行为进行告警。每个主机可被添加在多个登录地中。 发布区域：全部。 配置常用登录地 配置常用登录IP 告警白名单管理 可以通过加入告警白名单避免大量告警误报的发生，提升安全事件告警质量。将当前告警事件加入告警白名单后，当再次发生相同的告警时不再进行告警。 发布区域：全部。 配置登录白名单 管理告警白名单 告警通知 开启告警通知功能后，您能接收到企业主机安全服务发送的告警通知，及时了解主机/网页内的安全风险。否则，无论是否有风险，您都只能登录管理控制台自行查看，无法收到报警信息。 告警通知设置仅在当前区域生效，若需要接收其他区域的告警通知，请切换到对应区域后进行设置。 发布区域：全部。 开启告警通知 主机分类管理 您可以创建服务器组，并将主机分配到服务器组，将主机进行分类管理。 您户可以根据创建的服务器组，查看该服务器组内的服务器数量、有风险服务器的数量、以及未防护的服务器数量。 发布区域：全部。 管理服务器组 订阅安全报告 主机安全支持订阅日报、周报、月报和自定义，展现不同周期主机安全趋势以及关键安全事件与风险，订阅报告将为您保存6个月，以满足等保测评以及审计的需要。 订阅主机安全报告 创建安全报告 Agent批量安装 指导您完成服务器Agent的批量安装操作，创建批量安装后系统将自动执行Agent安装操作，安装后才可以对目标服务器开启防护。 发布区域：全部。 批量安装Agent

护网检查—安全套件覆盖 表7 安全套件覆盖风险项检查项目 检查项目 检查内容 主机防护状态检查 企业主机安全服务（Host Security Service，HSS）是提升主机整体安全性的服务，通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能，全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 检查主机是否已开启防护。 主机Agent状态检查 企业主机安全服务（Host Security Service，HSS）是一个用于全面保障主机整体安全的服务，能帮助您高效管理主机的安全状态，并构建服务器安全体系，降低当前服务器面临的主要安全风险。 在主机中安装Agent后，您的主机才能收到HSS的保护。 检查主机Agent是否为在线状态。 主机安全检测状态检查 企业主机安全服务（Host Security Service，HSS）将实时检测主机中的风险和异常操作，在每日凌晨将对主机执行全面扫描。执行配置检测后，您可以根据检测结果中的相关信息，修复主机中含有风险的配置项或忽略可信任的配置项。 检查主机的检测结果是否存在异常。 WAF（云模式）基础防护配置检查 Web基础防护开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在云模式下是否已开启Web基础防护。 WAF（云模式）防护策略配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在云模式下是否已开启Web基础防护并设置为拦截模式。 WAF（独享模式）基础防护配置检查 Web基础防护开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在独享模式下是否已开启Web基础防护。 WAF（独享模式）防护策略配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在独享模式下是否已开启Web基础防护并设置为拦截模式。 主机Agent版本检查 在主机中安装Agent后，您的主机将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 企业主机安全服务有基础版、企业版、旗舰版和网页防篡改版四个版本。 基础版一般只用于测试、个人用户防护主机账户安全。建议您选择企业版及以上版本。 检查所有主机Agent是否为企业版及以上版本。

修订记录 发布日期 修改说明 2022-04-22 第三十次正式发布。 等保安全和等保套餐服务类型已迁移至认证测试中心，刷新相关资料内容。 2022-03-30 第二十九次正式发布。 增加管理检测与响应专项版。 2022-01-11 第二十八次正式发布。 新增过等保三级需要日志服务器吗？章节。 2021-10-18 第二十七次正式发布。 等保问题，新增“等保通过后，升级软件对等保有影响吗？”常见问题。 2021-03-23 第二十六次正式发布。 哪些区域可以使用管理检测与响应？，优化相关内容描述。 2020-12-02 第二十五次正式发布。 管理检测与响应标准版功能下线。 2020-10-20 第二十四次正式发布。 哪些区域可以使用管理检测与响应？，修改可购买区域。 管理检测与响应支持跨平台和线下服务吗？，优化相关内容描述。 2020-10-10 第二十三次正式发布。 以下常见问题新增企业版相关内容描述： 管理检测与响应提供几种服务项目？ 管理检测与响应是第三方服务吗？ 管理检测与响应提供现场服务吗？ 用户通过管理检测与响应获得的最终交付件是什么？ 2020-09-16 第二十二次正式发布。 等保问题，优化华为云等保备案证书下载入口。 2020-09-14 第二十一次正式发布。 如下常见问题新增等保建设相关内容： 管理检测与响应提供现场服务吗？ 用户通过管理检测与响应获得的最终交付件是什么？ 2020-08-18 第二十次正式发布。 等保问题，优化相关内容描述。 2020-07-30 第十九次正式发布。 “安全专家服务”更名为“管理检测与响应”。 下线“企业版”相关内容。 2020-06-22 第十八次正式发布。 新增等保问题。 2020-05-20 第十七次正式发布。 “如何获取等保测评报告？”，优化相关内容描述。 2020-04-01 第十六次正式发布。 更新界面截图。 2020-02-21 第十五次正式发布。 服务单有哪些状态？，更新服务单状态。 “安全体检服务如何对用户站点进行认证？”，优化相关内容描述。 2020-01-20 第十四次正式发布。 哪些区域可以使用安全专家服务，新增可使用区域。 2019-11-18 第十三次正式发布。 修改哪些区域可以使用安全专家服务？ 修改服务单有哪些状态？ 2019-11-12 第十二次正式发布。 修改“如何获取等保测评报告？” 2019-10-30 第十一次正式发布。 修改服务单有哪些状态？ 2019-09-25 第十次正式发布。 修改“如何获取等保测评报告？” 2019-09-06 第九次正式发布。 修改“如何获取等保测评报告？” 新增“过等保需要哪些安全服务？” 2019-07-31 第八次正式发布。 修改如下常见问题： 安全专家服务审核体检报告的什么内容？ 安全专家服务审核服务单的什么内容？ 2019-07-11 第七次正式发布。 修改如下常见问题： 安全专家服务是否对中国以外的用户提供服务？ 执行等保安全服务的专业机构是什么？ 安全专家服务可以对华为云上哪些区域提供服务？ 安全专家服务可以对华为云外的站点提供服务吗？ 安全专家服务提供了哪些沟通渠道？ 服务单的有效期是多长？ 2019-06-28 第六次正式发布。 “如何获取等保测评报告？”，增加获取报告场景。 2019-05-10 第五次正式发布。 新增： “如何获取等保测评报告？” 安全专家服务是第三方服务吗？ 安全专家服务提供现场服务吗？ 修改： 执行等保安全服务的专业机构是什么？ 安全专家服务可以对华为云外的站点提供服务吗？ 用户通过安全专家服务获得的最终交付件是什么？ 2018-06-06 第四次正式发布。 修改如下常见问题： 安全专家服务提供几种服务项目？ 用户通过安全专家服务获得的最终交付件是什么？ 安全专家服务的服务内容是什么？ 服务单的有效期是多长？ 服务单有哪些状态？ 如何使用安全专家服务？ “安全体检服务如何对用户站点进行认证？” 2018-01-30 第三次正式发布。 新增如下常见问题： 预购服务模式生成的服务单的有效期是多长？ 安全体检服务是否对中国以外的用户提供服务？ 2017-11-30 第二次正式发布。 新增如下常见问题： “执行安全体检的专业机构是什么？” 安全体检服务可以对华为云上哪些区域提供服务？ “基础安全评估和专业安全评估的范围分别是什么？” 服务单有哪些状态？ 是否可以下载安全体检服务的体检报告？ 安全体检服务是否提供纸质体检报告？ “安全体检服务如何对用户站点进行认证？” 安全体检服务是否支持退款？ 2017-09-26 第一次正式发布。

名词解释 认证测试中心 CTC：是结合华为30年安全经验积累，并结合企业与机构的安全合规与防护需求，帮助企业与机构满足国家及行业法律法规要求，同时实现对安全风险与安全事件的有效监控，并及时采取有效措施持续降低安全风险，消除安全事件带来的损失。 云防火墙服务 CFW：是新一代的云原生防火墙，提供云上互联网边界和VPC边界的防护，包括：实时入侵检测与防御，全局统一访问控制，全流量分析可视化，日志审计与溯源分析等，同时支持按需弹性扩容，是用户业务上云的网络安全防护基础服务。 企业主机安全 HSS：是服务器贴身安全管家，通过资产管理、漏洞管理、基线检查、入侵检测、程序运行认证、文件完整性校验，安全运营、网页防篡改等功能，帮助企业更方便地管理主机安全风险，实时发现黑客入侵行为，以及满足等保合规要求。 Web应用防火墙 WAF：对网站业务流量进行多维度检测和防护，结合深度机器学习智能识别恶意请求特征和防御未知威胁，全面避免网站被黑客恶意攻击和入侵。 SSL证书 SCM：是华为联合全球知名数字证书服务机构，为您提供一站式证书的全生命周期管理服务，实现网站的可信身份认证与安全数据传输。 态势感知 SA：为用户提供统一的威胁检测和风险处置平台。帮助用户检测云上资产遭受到的各种典型安全风险，还原攻击历史，感知攻击现状，预测攻击态势，为用户提供强大的事前、事中、事后安全管理能力。 威胁检测服务 MTD：威胁检测服务持续发现恶意活动和未经授权的行为，从而保护账户和工作负载。该服务通过集成AI智能引擎、威胁黑白名单、规则基线等检测模型，识别各类云服务日志中的潜在威胁并输出分析结果，从而提升用户告警、事件检测准确性，提升运维运营效率，同时满足等保合规。 漏洞扫描服务 VSS：集Web漏洞扫描、操作系统漏洞扫描、资产及内容合规检测、安全配置基线检查、弱密码检测、开源合规及漏洞检查、移动应用安全检查七大核心功能为一体，自动发现网站或服务器在网络中的安全风险，为云上业务提供多维度的安全检测服务，满足合规要求，让安全弱点无所遁形。

什么是主机安全 企业主机安全（Host Security Service，HSS）是提升服务器整体安全性的服务，通过主机管理、风险防御、入侵检测、安全运营、网页防篡改功能，可全面识别并管理云服务器中的信息资产，实时监测云服务器中的风险，降低服务器被入侵的风险。 使用主机安全需要在云服务器中安装Agent。安装Agent后，您的云服务器将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。

名词解释 基本概念、云服务简介、专有名词解释： 认证测试中心CTC：是结合华为30年安全经验积累，并结合企业与机构的安全合规与防护需求，帮助企业与机构满足国家及行业法律法规要求，同时实现对安全风险与安全事件的有效监控，并及时采取有效措施持续降低安全风险，消除安全事件带来的损失。 云防火墙服务CFW：是新一代的云原生防火墙，提供云上互联网边界和VPC边界的防护，包括：实时入侵检测与防御，全局统一访问控制，全流量分析可视化，日志审计与溯源分析等，同时支持按需弹性扩容，是用户业务上云的网络安全防护基础服务。 企业主机安全HSS：是服务器贴身安全管家，通过资产管理、漏洞管理、基线检查、入侵检测、程序运行认证、文件完整性校验，安全运营、网页防篡改等功能，帮助企业更方便地管理主机安全风险，实时发现黑客入侵行为，以及满足等保合规要求。 Web应用防火墙WAF：对网站业务流量进行多维度检测和防护，结合深度机器学习智能识别恶意请求特征和防御未知威胁，全面避免网站被黑客恶意攻击和入侵。 云证书管理服务CCM：是华为联合全球知名数字证书服务机构，为您提供一站式证书的全生命周期管理服务，实现网站的可信身份认证与安全数据传输。 态势感知SA：为用户提供统一的威胁检测和风险处置平台。帮助用户检测云上资产遭受到的各种典型安全风险，还原攻击历史，感知攻击现状，预测攻击态势，为用户提供强大的事前、事中、事后安全管理能力。 威胁检测服务MTD：威胁检测服务持续发现恶意活动和未经授权的行为，从而保护账户和工作负载。该服务通过集成AI智能引擎、威胁黑白名单、规则基线等检测模型，识别各类云服务日志中的潜在威胁并输出分析结果，从而提升用户告警、事件检测准确性，提升运维运营效率，同时满足等保合规。 漏洞扫描服务VSS：集Web漏洞扫描、操作系统漏洞扫描、资产及内容合规检测、安全配置基线检查、弱密码检测、开源合规及漏洞检查、移动应用安全检查七大核心功能为一体，自动发现网站或服务器在网络中的安全风险，为云上业务提供多维度的安全检测服务，满足合规要求，让安全弱点无所遁形。 数据库安全服务DBSS：是一个智能的数据库安全服务，基于机器学习机制和大数据分析技术，提供数据库审计，SQL注入攻击检测，风险操作识别等功能，保障云上数据库安全。 云堡垒机CBH：提供主机管理、权限控制、运维审计、安全合规等功能，支持Chrome等主流浏览器随时随地远程运维，保障运维安全高效。

什么是主机安全 企业主机安全（Host Security Service，HSS）是提升服务器整体安全性的服务，通过主机管理、风险防御、入侵检测、安全运营、网页防篡改功能，可全面识别并管理云服务器中的信息资产，实时监测云服务器中的风险，降低服务器被入侵的风险。 使用主机安全需要在云服务器中安装Agent。安装Agent后，您的云服务器将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。

主机安全 主机安全是提升主机整体安全性的服务，通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能，全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 在主机中安装Agent后，您的主机将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 主机安全的工作原理如图1所示。 图1 工作原理

资源和成本规划 表1 等保二级 云资源 规格 数量 每年费用（元） 云防火墙 标准版 1 28000 Web应用防火墙 标准版 1 38800 主机安全 旗舰版 2 4000 威胁检测 初级包 1 10000 漏洞扫描 专业版 1 3000 云堡垒机 100资产基础版 1 37800 数据库安全服务 专业版 11 60000 安全态势感知 专业版 2 3000 SSL证书服务 企业型（OV）SSL证书Globalsign（单域名） 1 3094.24 云审计 平台基础服务，不涉及版本 / / 云监控 平台基础服务，不涉及版本 / / 云日志 平台基础服务，不涉及版本 / 0.00125/GB/小时 等保测评二级 基础版 1 200000 总计：387694.24 表2 等保三级 云资源 规格 数量 每年费用（元） 云防火墙 标准版 1 28000 Web应用防火墙 标准版 1 38800 DDoS高防（选配） BGPpro保底10G 1 9800 主机安全 旗舰版 2 4000 威胁检测 初级包 1 10000 漏洞扫描 专业版 1 3000 云堡垒机 100资产基础版 1 37800 数据库安全服务 专业版 11 60000 安全态势感知 专业版 2 3000 SSL证书服务 企业型（OV）SSL证书Globalsign（单域名） 1 3094.24 数据安全中心（选配） 标准版 1 30000 数据加密服务（选配） 秘钥管理服务 1 0.015458元/个/小时 云审计 平台基础服务，不涉及版本 / / 云监控 平台基础服务，不涉及版本 / / 云日志 平台基础服务，不涉及版本 / 0.00125/GB/小时 等保测评三级 基础版 1 200000 总计：513494.24

功能介绍 认证测试中心提供以下功能： 执行认证测试中心 等保安全 当订单成功支付后，华为安全专家团队将为您量身定制等保合规整改方案，指导您进行安全服务的选型和部署，对您的网络、主机、数据库、安全管理制度等进行整改，优选具有资质的权威等保测评机构，提供专业的测评认证测试中心。 等保套餐 等保2.0产品优惠套餐为您提供一站式的安全解决方案，帮助您快速、低成本完成安全整改，轻松满足等保合规要求。 等保建设助手 等保建设助手为您提供等保定级和差距评估咨询，根据系统情况提供定级参考意见和相关技术建议书以及等保条款分析情况汇总，根据等保差距要求，服务类型以远程或现场方式提供安全加固建议。 检测认证测试中心 认证测试服务后，系统自动生成认证测试中心认证测试报告，您会收到邮件和短信通知信息。您可在收到通知信息后下载认证测试中心报告。

操作步骤 在“实时灾备管理”页面，选择已创建的灾备任务，单击“编辑”。 根据界面提示，将灾备实例的弹性公网IP加入生产中心RDS for MySQL实例所属安全组的入方向规则，选择TCP协议，端口为生产中心RDS for MySQL实例的端口号。 图1 添加安全组规则 源库信息中的“IP地址或域名”填写生产中心RDS for MySQL实例绑定的EIP，“端口”填写生产中心RDS for MySQL实例的端口号。测试通过后，单击“下一步”。 图2 编辑灾备任务 设置流速模式后，单击“下一步”。 图3 设置流速模式 查看预检查100%通过，单击“下一步”。 图4 预检查通过 设置参数后，单击“下一步”。 图5 设置参数 单击“启动任务”。 图6 启动任务 查看任务状态为“灾备中”。 图7 查看任务状态 单击灾备实例名称，确认灾备对比、灾备进度、灾备数据。 图8 灾备对比 图9 灾备进度 图10 灾备数据

操作步骤 在“实时灾备管理”页面，选择已创建的灾备任务，单击“编辑”。 根据界面提示，将灾备实例的弹性公网IP加入生产中心RDS for MySQL实例所属安全组的入方向规则，选择TCP协议，端口为生产中心RDS for MySQL实例的端口号。 图1 添加安全组规则 源库信息中的“IP地址或域名”填写生产中心RDS for MySQL实例绑定的EIP，“端口”填写生产中心RDS for MySQL实例的端口号。测试通过后，单击“下一步”。 图2 编辑灾备任务 设置流速模式后，单击“下一步”。 图3 设置流速模式 查看预检查100%通过，单击“下一步”。 图4 预检查通过 设置参数后，单击“下一步”。 图5 设置参数 单击“启动任务”。 图6 启动任务 查看任务状态为“灾备中”。 图7 查看任务状态 单击灾备实例名称，确认灾备对比、灾备进度、灾备数据。 图8 灾备对比 图9 灾备进度 图10 灾备数据

成长地图 | 华为云 威胁检测服务 威胁检测服务（Managed Threat Detection，MTD），集成了AI智能引擎、威胁情报、规则基线三种检测方式，智能检测各类云服务日志中的恶意活动和未经授权行为，识别潜在威胁并生成告警信息，助您维护云上业务安全。 产品介绍 立即使用 成长地图 由浅入深，带您玩转MTD 弹性云服务器一 01 了解 了解威胁检测服务的功能特性和应用场景，有助于您更准确的匹配实际业务，有效配置云上安全威胁防护策略。 产品介绍 什么是威胁检测服务 功能特性 产品优势 应用场景 03 入门 通过创建威胁检测引擎和配置追踪器开启威胁检测服务，帮您实时检测目标区域中各服务的日志数据源。 开启威胁检测 创建检测引擎 配置追踪器 05 实践 基于业务场景及客户需求的最佳实践，助你快速使用MTD检测云服务中潜在的恶意活动和未经授权行为。 威胁检测最佳实践 快速掌控MTD潜在威胁 名单库策略提升检测效率 “MTD+OBS”数据同步 02 购买 根据您的业务情况，您可以购买需要的威胁检测包，不同的威胁检测包存在检测量多少的差异。 购买方式 如何购买 计费模式 计费说明 04 使用 根据您的业务需要，您可以设置检测类型、添加威胁情报、添加威胁白名单。此外，您也可以实时查看检测结果、分析告警事件，以便及时处理威胁隐患、优化服务安全防护措施，更好的防护您的云上业务。 常用操作 开启日志检测 查看检测结果 导入威胁情报 导入白名单 同步检测结果 设置告警通知 常见问题 了解更多常见问题、案例和解决方案 热门案例 威胁检测服务购买后如何使用？ 威胁检测服务的检测对象是什么？ 威胁检测服务可以检测哪些风险？ 威胁检测服务的检测源头是什么？ 购买MTD服务后，关闭所有日志数据源开关是够会计费？ 如何编辑Plaintext格式的对象？ 威胁检测服务是否支持自行防御措施？ 威胁检测服务可以跨区域使用吗？ 更多 产品咨询 什么是区域和可用区？ 什么是威胁检测服务？ 威胁检测服务可以跨区域使用吗？ 威胁检测服务的检测源头是什么？ 威胁检测服务的检测对象是什么？ 威胁检测服务能够解决什么其他安全服务解决不了的问题？ 威胁检测服务可以检测哪些风险？ 威胁检测服务购买后如何使用？ 什么是DGA域名生成算法？ 更多 功能类 如何编辑Plaintext格式的对象？ 威胁检测服务是否支持自动防御措施？ 如何通过主账号对子账号赋予MTD权限？ 更多 计费相关 购买MTD服务后，关闭所有日志数据源开关是否会计费？ 更多 技术专题 技术、观点、课程专题呈现 [整体安全] 十二大云安全威胁 介绍云端可能存在的十二种顶级安全威胁 安全侠带您了解威胁检测服务 威胁检测服务是您必不可少的云上安全小帮手 华为云助您甩掉90%安全烦恼 介绍华为云重点安全服务、关键特性和应用实践 智能客服 您好！我是有问必答知识渊博的的智能问答机器人，有问题欢迎随时求助哦！ 社区求助 华为云社区是华为云用户的聚集地。这里有来自容器服务的技术牛人，为您解决技术难题。

护网检查—安全套件覆盖 表7 安全套件覆盖风险项检查项目 检查项目 检查内容 主机防护状态检查 企业主机安全服务（Host Security Service，HSS）是提升主机整体安全性的服务，通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能，全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 检查主机是否已开启防护。 主机Agent状态检查 企业主机安全服务（Host Security Service，HSS）是一个用于全面保障主机整体安全的服务，能帮助您高效管理主机的安全状态，并构建服务器安全体系，降低当前服务器面临的主要安全风险。 在主机中安装Agent后，您的主机才能收到HSS的保护。 检查主机Agent是否为在线状态。 主机安全检测状态检查 企业主机安全服务（Host Security Service，HSS）将实时检测主机中的风险和异常操作，在每日凌晨将对主机执行全面扫描。执行配置检测后，您可以根据检测结果中的相关信息，修复主机中含有风险的配置项或忽略可信任的配置项。 检查主机的检测结果是否存在异常。 WAF（云模式）基础防护配置检查 Web基础防护开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在云模式下是否已开启Web基础防护。 WAF（云模式）防护策略配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在云模式下是否已开启Web基础防护并设置为拦截模式。 WAF（独享模式）基础防护配置检查 Web基础防护开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在独享模式下是否已开启Web基础防护。 WAF（独享模式）防护策略配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在独享模式下是否已开启Web基础防护并设置为拦截模式。 网站高危漏洞检查 漏洞扫描服务（Vulnerability Scan Service，简称VSS）可以帮助您快速检测出您的网站存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 检查网站中是否存在高危漏洞。 网站中危漏洞检查 漏洞扫描服务（Vulnerability Scan Service，简称VSS）可以帮助您快速检测出您的网站存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 检查网站中是否存在中危漏洞。 扫描时间检查 漏洞扫描服务（Vulnerability Scan Service，简称VSS）可以帮助您快速检测出您的网站存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 检查扫描时间是否已超过一周。 SA专业版购买检查 态势感知提供基础版、标准版和专业版三个版本，不同版本有不同功能使用范围。 专业版可以呈现全局安全态势。通过动态安全检测和威胁分析，并提供安全加固建议。 检查是否已购买SA专业版。 主机Agent版本检查 在主机中安装Agent后，您的主机将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 企业主机安全服务有基础版、企业版、旗舰版和网页防篡改版四个版本。 基础版一般只用于测试、个人用户防护主机账户安全。建议您选择企业版及以上版本。 检查所有主机Agent是否为企业版及以上版本。

立即购买 登录认证测试中心主页。 在页面中单击“立即申请”，跳转至购买页面。 在“等保套餐”下方，单击“立即购买”，进入“购买CTC服务”页面。 图1 选择等保套餐 选择区域。 请就近选择靠近您业务的区域，可减少网络时延，提高访问速度 。 选择推荐套餐，支持的套餐有“等保二级方案”、“等保三级方案基础版”、“等保三级方案高级版”或“多云安全方案套餐”。 图2 选择套餐 根据选择的套餐，配置套餐商品信息。以下是所有套餐配套商品信息。 配置云防火墙。 请根据您的业务情况选择购买“扩展防护公网IP数”以及选择“购买时长”。 图3 配置云防火墙 配置Web应用防火墙。 请根据您的业务情况购买“域名扩展包”或“带宽扩展包”以及选择“购买时长”。 图4 配置Web应用防火墙 一个域名包支持10个域名，限制仅支持1个一级域名和与一级域名相关的子域名或泛域名。 一个带宽扩展包包含20Mbit/s/50Mbit/s（华为云外/华为云内）或者1,000QPS（Query Per Second，即每秒钟的请求量，例如一个HTTP GET请求就是一个Query）。 配置企业主机安全。 请根据您的业务情况购买“防护主机数量”和选择“购买时长”。 图5 配置企业主机安全 配属数据库安全审计。 请根据您的业务情况选择“可用区”、“规格”、“实例名称”、“虚拟私有云”、“安全组”、“子网”以及选择“购买时长”。 图6 配置数据库安全审计 表1 数据库安全审计实例参数说明 参数名称 说明 取值样例 虚拟私有云 可以选择使用已有的虚拟私有云（Virtual Private Cloud，VPC）网络，或者单击“查看虚拟私有云”创建新的虚拟私有云。 说明： 请选择Agent安装节点（应用端或数据库端）所在的VPC。 不支持修改VPC。若要修改，请退订后重新申请。 更多有关虚拟私有云的信息，请参见《虚拟私有云用户指南》。 vpc-sec 安全组 界面显示实例已配置的安全组。选择实例的安全组后，该实例将受到该安全组访问规则的保护。 更多有关安全组的信息，请参见《虚拟私有云用户指南》。 sg 子网 界面显示所有可选择的子网。 更多有关子网的信息，请参见《虚拟私有云用户指南》。 public_sunnet 实例名称 您可以自定义实例的名称。 DBSS-test 配置态势感知。 请根据您的业务情况设置“最大配额数”和勾选“使用态势大屏”以及选择“购买时长”。 图7 配置态势感知 配置云堡垒机。 请根据您的业务情况选择“可用区”、“性能规格”、“实例名称”、“虚拟私有云”、“安全组”、“子网”、“弹性IP”以及选择“购买时长”。 若在当前区域无可选EIP，可单击“购买弹性IP”创建弹性IP。 图8 配置云堡垒机 配置漏洞扫描服务。 请根据您的业务情况选择“规格”、“扫描配额包”和“购买时长”。 图9 配置漏洞扫描服务 配置SSL证书。 请根据您的业务情况选择“域名类型”、“域名数量”和“有效期”。 图10 配置SSL证书 配置专属加密服务。 请根据您的业务情况选择“购买数量”和“购买时长”。 图11 配置专属加密服务 配置数据安全中心。 请根据您的业务情况选择“规格”、“数据库扩展包”、“OBS扩展包”和“购买时长”。 图12 配置数据安全中心 在页面右下方，单击“下一步”。 确认订单无误并阅读《认证测试中心免责声明》和《隐私政策声明》后，勾选“我已阅读并同意《认证测试中心免责声明》和《隐私政策声明》”，单击“去支付”。 在“支付”页面，请选择付款方式进行付款。 付款成功后，单击“返回认证测试中心控制台”，返回到“认证测试中心”界面。

帮助面板二级页面 DSC简介 功能特性 使用约束 购买DSC 云资产委托授权 添加资产 快速识别敏感数据并脱敏 数据水印 用户异常行为识别并告警 如何排查添加数据库连通性失败？ 开通云资源授权后，获得了授权资产服务的哪些权限？ DSC能够识别哪些数据源对象？ DSC的扫描时长和脱敏时长？ DSC支持识别的敏感数据类型？ DSC可以检测哪些类型的异常事件？ 如何对DSC的操作记录进行审计？ 数据安全中心如何收费？ 如何为DSC续费？ 如何退订数据安全中心服务？ 数据安全中心是否会保存您的数据和文件？ 数据安全中心可以跨区域使用吗？ 数据脱敏是否对原始数据有影响？ 数据水印功能会不会修改源数据？ 文档损坏后，是否可以提取出水印？

边界防护与响应 表1 规格清单 一级分类 二级分类 规格名称 规格描述 管理 安全态势大屏 资产失陷态势 资产失陷态势，包括：失陷主机趋势、失陷主机分布、失陷事件阻断率、最新失陷事件、top失陷主机、top失陷类型、top失陷事件。 基础安全事件态势 基础安全事件态势，包括：攻击位置、威胁判定平均时长、阻断率、top攻击类型展示，最近威胁事件，专项事件数量。 外部攻击源态势 外部攻击源态势，包括：外部攻击源趋势、攻击源分布、外部攻击阻断率、最新外部攻击、top攻击源、攻击资产、攻击类型。 定期安全报告 定期安全报告 按周、按月为用户提供安全服务报告，安全服务报告将以邮件形式发送至用户订阅邮箱。通过安全服务报告，客户可清晰了解以下信息： 安全服务概况。 威胁防护次数及趋势。 失陷主机数量及详情。 外部攻击源数量及趋势。 恶意文件数量及趋势。 支持应用访问行为统计，支持基于源IP、时间和应用分布等维度的统计，按周月提供统计分析报表 支持历史安全报告的查看和预览功能。 支持报告下载。 安全域管理 安全域状态管理 支持安全域状态监测，检查安全域物理连线是否接反。 支持针对安全域设置信任标签。 手机APP 手机APP 支持手机APP方式进行边界防护的威胁事件、黑白名单、安全报表等功能管理。 MSSP MSSP代维 可在用户运维平台对安全服务建立委托关系，给指定被委托方建立不同操作权限角色（管理员、审计员等）的代维委托。委托建立后，被委托方可查看、处置安全威胁事件。 MSSP安全大屏 支持针对MSSP管辖的租户进行安全大屏呈现。 MSSP工单流转 支持租户的工单流转到MSSP进行分析和处置。 防护 天关/防火墙威胁防护 恶意软件防护 支持多级防护技术，支持多种恶意代码载体类型检测，实时更新病毒库，覆盖流行高危恶意软件。注：1U款型支持500万病毒库，桌面型款型支持300万病毒库。 僵木蠕防护 支持基于僵尸网络拓扑分析技术的精准角色识别，支持500+僵尸网络识别，支持1000+蠕虫和木马识别。 业务感知 支持识别6000+应用，支持主流应用协议全覆盖。 WEB分类 支持Web分类库超1.2亿，对访问行为进行管理，防范恶意网站对企业网络的侵害。 入侵防御 支持基于漏洞与行为分析的攻击检测技术，支持上下文语义还原的防躲避技术，最大支持12000+特征库，支持自动更新 。1U款型支持12000特征库，桌面型款型支持5000特征库，支持僵尸网络检测及应用服务器防护 。 响应 手动封禁 手动封禁 可以通过检测到的外部攻击源事件，进行手动封禁攻击源的操作。 EDR联动处置 EDR联动处置 支持失陷主机、恶意文件进行EDR联动处置能力，支持进程隔离、病毒查杀等操作。 EDR资产和设备自动关联 通过EDR资产发送探测报文方式，实现EDR资产、边界防护与响应服务、资产管理服务、EDR服务等服务联动，进行EDR资产与天关设备自动关联。 威胁自动阻断 外部攻击源自动阻断 支持对外部高危攻击源精准识别，自动下发黑名单，阻拦其后续的攻击行为。 恶意域名自动阻断 支持基于DNS过滤实现恶意域名自动阻断，拦截用户网络内主机对恶意域名的访问行为。 紧急安全通知 短信通知 支持短信紧急安全通知，针对威胁事件发送紧急通知，及时指导进行响应。 手机APP通知 支持手机APP紧急安全通知，针对威胁事件发送紧急通知，及时指导进行响应。 邮件通知 支持邮件紧急安全通知，针对威胁事件发送紧急通知，及时指导进行响应。 告警模板 对于需要发送给用户的紧急告警，提供对应的告警模板自定义能力。 黑白名单功能 域名黑名单 支持配置域名黑名单，拦截用户网络内主机对恶意域名的访问行为。 设备黑名单 支持设备黑名单设置能力，快速阻断威胁攻击源。 支持设备历史黑名单的查看。 支持一键清除。 设备保护网段 支持设备保护网段联动能力，保护已知业务，防止黑名单误阻断。 租户全局白名单 支持租户全局白名单设置能力，保护已知业务，防止黑名单误阻断。 设备白名单 支持设备白名单设置能力，保护已知业务，加入设备白名单的地址不会再进行内容安全检测。 分析 专项事件分析 失陷主机 支持按失陷主机维度自动聚合，基于失陷主机进行快速分析和处置。 外部攻击源 支持按外部攻击源维度自动聚合，基于外部攻击源进行快速分析和处置。 支持外部攻击源导出能力。 恶意文件 支持按恶意文件维度自动聚合，基于恶意文件进行快速分析和处置 检测 云蜜罐 事件检测 支持联动云蜜罐进行威胁检测、分析研判与处置 云端DNS自动化威胁检测 DNS恶意域名检测 恶意域名检测支持基于DNS过滤日志和恶意域名库，针对内网主机请求外网恶意域名的检测 云端Metadata威胁检测 明文口令检测 检测网站交互流量中是否存在明文口令传输行为。 弱密码检测 检测网站交互流量中是否存在弱密码传输行为。 反序列化攻击检测 反序列化是指把字节序列恢复为对象的过程, 如果Web应用在进行反序列化时接收用户输入的数据，且缺少对输入数据必要的验证，那么攻击者可以通过构造恶意输入，让反序列化产生非预期的对象，导致任意代码执行。算法基于反序列化攻击中的恶意流量特征进行检测，并支持攻击成功判定。 暴力破解检测 暴力破解攻击是通过使用某一账号、密码字典（通常为网络社工收集），尝试枚举登录，如果登录成功，则可获取用户账号密码。算法基于流量检测针对SSH、RDP协议的暴力破解，包括常规爆破以及密码喷洒式爆破、慢速爆破。 SQL注入检测 SQL注入是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句中添加额外的SQL语句，实现欺骗数据库服务器执行非授权的任意查询，达到获取数据信息的目的。算法基于HTTP交互行为特征识别SQL注入，并支持SQL注入的攻击成功判定。 DNS Tunnel检测 DNS通道指攻击者通过将攻击报文封装在DNS协议中，利用DNS递归查询机制，与远程恶意DNS服务器实现C&C（命令和控制）通信、数据窃取操作。算法利用DNS流量中的交互行为特征，检测DNS隐蔽通道。 OGNL注入检测 OGNL注入指web应用程序对用户输入数据的合法性没有判断，攻击者通过构造带有攻击性的OGNL表达式，以此实现命令执行的目的。算法基于HTTP交互行为特征识别OGNL注入，并支持攻击成功判定。 WebShell检测 基于流量行为特征检测未经加密和部分加密（如冰蝎、weevely、jweevely等）的WebShell，包括WebShell文件上传和与WebShell交互的场景。 RCE攻击检测 远程命令注入RCE是一种由于服务器应用漏洞导致黑客可以在服务器上执行任意命令的攻击。算法基于Web流量，通过攻击交互的行为特征识别命令注入，并支持攻击成功判定。 XXE攻击检测 XXE即XML外部实体攻击，是一种针对解析XML格式应用程序的攻击类型之一。此类攻击发生在当配置不当的XML解析器处理指向外部实体的文档时，可能会导致敏感文件泄露、拒绝服务攻击、系统命令执行等危害。算法基于XXE页面攻击特征识别注入行为，并支持攻击成功判定。

如何保护弹性云服务器安全？ 企业主机安全（Host Security Service，HSS）是提升服务器整体安全性的服务，通过主机管理、风险防御、入侵检测、安全运营、网页防篡改功能，可全面识别并管理云服务器中的信息资产，实时监测云服务器中的风险，降低服务器被入侵的风险。 使用主机安全需要在云服务器中安装Agent。安装Agent后，您的云服务器将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 使用公共镜像创建弹性云服务器时，默认在“安全防护”参数中勾选“免费开启主机安全基础防护”，免费赠送一个月的主机安全基础版防御功能。HSS会自动为云服务器安装Agent并开启基础版防护。 怎样使用主机安全服务

【2022年3月7日】等保安全页面变更通知 尊敬的华为云客户，您好： 为了给您提供更加便捷的服务，等保安全服务类型将于2022年3月7日由原管理检测与响应(MDR) 迁移到认证测试中心（CTC） 认证测试中心（CTC）页面链接： https://www.huaweicloud.com/service/ctc.html 原等保安全服务类型（管理检测与响应MDR--等保安全）于2022年3月30日正式停用，2022年3月30日前下单页面保持不变，订单均可正常提交。我们将在更新期间对订单进行持续跟踪处理，原页面与新页面的订单均能得到有效处理。 在此期间，如您有任何异议，请随时与我们联系，华为云将一如既往竭诚为您服务。 感谢您的理解和支持！

功能总览 功能总览 全部 态势感知 安全概览 资源管理 业务分析 综合大屏 威胁告警 漏洞管理 基线检查 检测结果 安全报告 产品集成 日志管理 态势感知 态势感知（Situation Awareness，SA）是华为云安全管理与态势分析平台。能够检测出包括DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制等类别的云上安全风险。利用大数据分析技术，态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析，为用户呈现出全局安全攻击态势。 SA提供基础版、标准版和专业版三个版本。 发布区域：全部 服务版本差异 功能特性 应用场景 OBS 2.0支持 虚拟私有云子功能二 虚拟私有云（Virtual Private Cloud，以下简称VPC），为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。 您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。 除亚太-曼谷、亚太-新加坡、拉美-圣地亚哥以外的所有区域均已发布 如何创建虚拟私有云？ VPC服务介绍【视频】 VPC服务介绍【视频】 安全概览 “安全概览”分为安全评分、安全监控、安全趋势、威胁检测共四大板块，实时呈现云上整体安全评估状况，并联动其他云安全服务，集中展示云上安全。在“安全概览”查看安全概览信息和相关一键操作，实现云上安全态势一览和风险统一管控。 发布区域：全部 安全概览 资源管理 同步当前帐号中所有资源的安全状态统计信息。支持查看资源的名称、所属服务、所属区域、安全状况等，帮助您快速定位安全风险问题并提供解决方案。 发布区域：全部 资源管理 业务分析 联动企业主机安全服务（Host Security Service，HSS）、Web应用防火墙（Web Application Firewall，WAF）和数据库安全服务（Database Security Service，DBSS）三个安全防护服务，全面展示云上资产的安全状态和存在的安全风险。 发布区域：全部 业务分析 综合大屏 利用AI技术将海量云安全数据的分析并分类，通过综合大屏将数据可视化展示，集中呈现云上实时动态，云上关键风险一目了然，掌握云上安全态势更简单，更直观，更高效。 目前，综合大屏有“综合态势感知”和“主机态势感知”两个模块。 发布区域：全部 综合态势感知 主机安全态势 威胁告警 通过利用大数据量、高准确度的威胁情报库，“实时监控”云上威胁攻击，提供告警通知和监控，记录近180天告警事件详情，分析威胁攻击情况，并针对典型威胁事件预置策略实施防御手段。 目前支持检测和呈现以下类别的威胁告警事件：DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制。 发布区域：全部 威胁告警简介 查看告警列表 威胁分析 漏洞管理 通过实时获取业界热点安全漏洞讯息，同步主机漏洞扫描和网站漏洞扫描结果，全面掌握云上资产漏洞风险状况，并提供相应漏洞修复建议。 主机漏洞：通过授权主机，并一键扫描主机漏洞，呈现主机漏洞扫描检测信息，支持查看漏洞详情，并提供相应漏洞修复建议。 网站漏洞：通过自动同步VSS漏洞扫描结果，分类呈现网站漏洞扫描详情，支持查看漏洞详情列表、不同类型漏洞分布和不同漏洞等级分布，并提供相应漏洞修复建议。 应急漏洞公告：针对业界披露的热点安全漏洞，支持每5分钟抓取一次安全漏洞讯息，获取最新应急漏洞公告详情。 发布区域：全部 主机漏洞 网站漏洞 应急漏洞公告 专业版支持 基线检查 通过执行云服务基线扫描，检查基线配置风险状态，告警提示存在安全隐患的配置，并提供基线加固建议。 云服务基线检查：通过一键扫描或设置定期扫描，分类呈现云服务配置检测结果，提示不合格检测项，并提供相应配置加固建议和帮助指导。 发布区域：华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州、西南-贵阳一、中国-香港。 云服务基线检查 检测结果 通过集成安全防护产品，接入安全产品检测数据，管理全部检测结果。 发布区域：全部 检测结果 安全报告 为统计全局安全攻击态势，通过开启安全报告，态势感知以邮件形式向指定的收件人发送安全报告，反映阶段性安全概况、安全风险趋势。 发布区域：全部 分析报告 产品集成 通过集成安全防护产品，接入安全产品检测数据，管理检测结果的数据来源，支持查看传输数据量，管理数据上报健康状态。 发布区域：全部 安全产品集成 专业版支持 日志管理 态势感知支持将日志存储至对象存储服务（Object Storage Service，OBS），帮助用户轻松应对安全日志存储、导出场景，满足日志存储180天及集中审计的要求。 发布区域：全部 日志管理

安全与合规 服务 所属区域 控制台 API 委托 策略 企业项目 DDoS防护 Anti-DDoS 除全局区域外的其他区域 √ √ x x x DDoS防护 AAD 除全局区域外的其他区域 √ √ √ x √ DDoS防护 CNAD 全局区域 √ √ x √ x Web应用防火墙 WAF 除全局区域外的其他区域 √ x x x √ 云防火墙 CFW 除全局区域外的其他区域 √ x x √ x 漏洞扫描服务 VSS 除全局区域外的其他区域 √ x x x x 企业主机安全 HSS 除全局区域外的其他区域 √ x x x √ 数据库安全服务 DBSS 除全局区域外的其他区域 √ x x √ x 数据加密服务 DEW 除全局区域外的其他区域 √ √ x x x 管理检测与响应 MDR 除全局区域外的其他区域 √ x x x x SSL证书管理 SCM 全局区域 √ √ x √ x 容器安全服务 CGS 除全局区域外的其他区域 √ x x √ x 态势感知 SA 全局区域 √ √ √ √ x 云堡垒机 CBH 除全局区域外的其他区域 √ √ x √ x 数据安全中心 DSC 除全局区域外的其他区域 √ √ x √ x

背景信息 HSS专项分析 主机安全服务（Host Security Service，HSS）是以工作负载为中心的安全产品，集成了主机安全、容器安全和网页防篡改，旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。HSS通过对主机、容器进行系统完整性的保护、应用程序控制、行为监控和基于主机的入侵防御等，保护工作负载免受攻击。 在SA中的HSS业务分析页面，您可以查看您所有资产的风险指数、风险趋势、TOP5事件类型以及您开通的主机安全和容器安全服务数量，帮助您实时了解主机和容器的安全状态和存在的安全风险。 WAF专项分析 Web应用防火墙（Web Application Firewall， WAF）对网站业务流量进行多维度检测和防护，结合深度机器学习智能识别恶意请求特征和防御未知威胁，全面避免网站被黑客恶意攻击和入侵。 在SA中的WAF业务分析页面，您可以查看昨天、今天、3天、7天或者30天内所有防护网站或所有实例以及指定防护网站或实例的防护日志。包括请求与各攻击类型统计次数，QPS、响应码信息，以及事件分布、受攻击域名 Top10、攻击源IP Top10、受攻击URL Top10、攻击来源区域 Top10和业务异常监控 Top10等防护数据。 安全总览页面统计数据每隔2分钟刷新一次。 DBSS专项分析 数据库安全服务（Database Security Service）是一个智能的数据库安全服务，基于机器学习机制和大数据分析技术，提供数据库审计，SQL注入攻击检测，风险操作识别等功能，保障云上数据库的安全。 在SA中的DBSS业务分析页面，您可以查看最近30分钟、最近1小时、最近24小时、7天或者30天内数据库的总体审计情况、风险分布、会话统计以及SQL分布情况。

MDR权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 MDR部署时不区分物理区域，为全局级服务。授权时，在全局级服务中设置权限，访问MDR时，不需要切换区域。 如表1所示，包括了MDR的所有系统角色。由于华为云各服务之间存在业务交互关系，管理检测与响应服务的角色依赖其他服务的角色实现功能。因此给用户授予管理检测与响应的角色时，需要同时授予依赖的角色，管理检测与响应的权限才能生效。 表1 MDR系统角色 角色名称 描述 依赖关系 SES Administrator 管理检测与响应服务的管理员权限。 购买实例需要具有BSS Administrator角色。 BSS Administrator：对帐号中心、费用中心、资源中心中的所有菜单项执行任意操作。项目级策略，在同项目中勾选。