作业标准管理 新增检查单（API名称：createTask） 更新检查单（API名称：updateTask） 删除检查单（API名称：deleteTask） 创建安全视频模版（API名称：batchAddTemplates） 修改安全视频模版（API名称：batchUpdateTemplates） 查询安全视频模版（API名称：queryTemplates） 查询检查单详情（API名称：findModelByTaskId） 创建检查单模板头信息（API名称：createQcTemplate） 修改检查单模板头信息（API名称：updateQcTemplate） 分页查询检查单模板列表信息（API名称：queryPageQcTemplate） 保存检查单模板KCP、ITEM信息（API名称：batchSaveTemplateKcp） 查询检查单模板信息（API名称：findKcpListByTemplateId） 查询检查单模板以及采集数据（API名称：queryCollectData） 删除检查单模板（API名称：batchDeleteTemplate） 查询模板列表（API名称：findTemplate） 查询检查单状态（API名称：findTask） 查询任务条目下图片AI评审结果（API名称：findPhotoAiResult） 查询条目采集结果（API名称：findTaskCollectinfo） 查询条目审核记录（API名称：findTaskReviewResult） 检测智能对象（旧版本）（API名称：proxyTeslaService） 检测智能对象（标准）（API名称：detect） 检测指定时长或范围的智能对象（API名称：detect） 修改检查单模板智能分析输出项（API名称：batchUpdateOutPutUrl）

已使用华为云APIG还需要购买WAF吗？ 华为云API网关（API Gateway，APIG）是对API提供者和API调用者提供API托管的服务，APIG可以快速将企业服务能力包装成标准API服务，帮助企业轻松构建、管理和部署不同规模的API。APIG不会针对域名进行防护，在满足API安全使用的前提下，APIG可以对绑定的域名提供IP黑白名单控制、防重放攻击、认证鉴权防护功能。 华为云Web应用防火墙（Web Application Firewall，WAF）是对域名提供Web安全防护的服务。域名接入WAF后，WAF可以对网站业务流量进行多维度检测和防护，识别并阻断SQL注入、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，全方位保护Web服务安全稳定。 如果您需要为APIG中绑定的域名提供全方位的防护功能，您可以购买WAF，并将域名接入WAF，以轻松应对各种Web安全风险。 有关WAF功能的详细介绍，请参见功能特性。 有关购买WAF的详细操作，请参见购买Web应用防火墙。 有关使用WAF的详细操作，请参见入门教程。

成长地图 | 华为云 威胁检测服务 威胁检测服务（Managed Threat Detection，MTD），集成了AI智能引擎、威胁情报、规则基线三种检测方式，智能检测各类云服务日志中的恶意活动和未经授权行为，识别潜在威胁并生成告警信息，助您维护云上业务安全。 产品介绍 立即使用 成长地图 由浅入深，带您玩转MTD 弹性云服务器一 01 了解 了解威胁检测服务的功能特性和应用场景，有助于您更准确的匹配实际业务，有效配置云上安全威胁防护策略。 产品介绍 什么是威胁检测服务 功能特性 产品优势 应用场景 03 入门 通过创建威胁检测引擎和配置追踪器开启威胁检测服务，帮您实时检测目标区域中各服务的日志数据源。 开启威胁检测 创建检测引擎 配置追踪器 05 实践 基于业务场景及客户需求的最佳实践，助你快速使用MTD检测云服务中潜在的恶意活动和未经授权行为。 威胁检测最佳实践 快速掌控MTD潜在威胁 名单库策略提升检测效率 “MTD+OBS”数据同步 02 购买 根据您的业务情况，您可以购买需要的威胁检测包，不同的威胁检测包存在检测量多少的差异。 购买方式 如何购买 计费模式 计费说明 04 使用 根据您的业务需要，您可以设置检测类型、添加威胁情报、添加威胁白名单。此外，您也可以实时查看检测结果、分析告警事件，以便及时处理威胁隐患、优化服务安全防护措施，更好的防护您的云上业务。 常用操作 开启日志检测 查看检测结果 导入威胁情报 导入白名单 同步检测结果 设置告警通知 常见问题 了解更多常见问题、案例和解决方案 热门案例 威胁检测服务购买后如何使用？ 威胁检测服务的检测对象是什么？ 威胁检测服务可以检测哪些风险？ 威胁检测服务的检测源头是什么？ 购买MTD服务后，关闭所有日志数据源开关是够会计费？ 如何编辑Plaintext格式的对象？ 威胁检测服务是否支持自行防御措施？ 威胁检测服务可以跨区域使用吗？ 更多 产品咨询 什么是区域和可用区？ 什么是威胁检测服务？ 威胁检测服务可以跨区域使用吗？ 威胁检测服务的检测源头是什么？ 威胁检测服务的检测对象是什么？ 威胁检测服务能够解决什么其他安全服务解决不了的问题？ 威胁检测服务可以检测哪些风险？ 威胁检测服务购买后如何使用？ 什么是DGA域名生成算法？ 更多 功能类 如何编辑Plaintext格式的对象？ 威胁检测服务是否支持自动防御措施？ 如何通过主账号对子账号赋予MTD权限？ 更多 计费相关 购买MTD服务后，关闭所有日志数据源开关是否会计费？ 更多 技术专题 技术、观点、课程专题呈现 [整体安全] 十二大云安全威胁 介绍云端可能存在的十二种顶级安全威胁 安全侠带您了解威胁检测服务 威胁检测服务是您必不可少的云上安全小帮手 华为云助您甩掉90%安全烦恼 介绍华为云重点安全服务、关键特性和应用实践 智能客服 您好！我是有问必答知识渊博的的智能问答机器人，有问题欢迎随时求助哦！ 社区求助 华为云社区是华为云用户的聚集地。这里有来自容器服务的技术牛人，为您解决技术难题。

排查思路 如果打开网站有报错提示信息，首先应该根据报错提示信息，排查可能的原因。 您可以参考ECS API参考中通用请求返回值中错误码说明排查可能原因。 以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。 图1 网站无法访问排查思路 表1 网站无法访问排查思路 可能原因 处理措施 检查端口通信 检查Web端口是否正常监听，详细操作请参考检查端口通信问题。 检查安全组规则 检查安全组是否放通Web端口，详细操作请参考检查安全组规则。 检查防火墙配置 测试防火墙关闭后是否可以正常访问，详细操作请参考检查防火墙配置。 检查云服务器路由配置 查看云服务器路由表中网关信息配置是否正确，详细操作请参考检查云服务器路由配置。 检查本地网络 更换手机热点或其他网络测试是否可以正常访问，详细操作请参考检查本地网络。 检查云服务器CPU利用率 定位影响云服务器CPU利用率高的进程并优化进程，详细操作请参考检查云服务器CPU利用率。 检查域名解析（适用于域名访问的场景） 域名解析配置是否配置正确，详细操作请参考检查备案与域名解析是否正常（使用域名无法访问时适用）。 检查域名备案（适用于域名访问的场景） 网站的域名和服务器IP是否备案成功，详细操作请参考检查备案与域名解析是否正常（使用域名无法访问时适用）。

功能总览 功能总览 全部 管理检测与响应 企业版 等保建设助手 下载检测报告 验收管理检测与响应 查看服务单信息 管理检测与响应 管理检测与响应（Managed Detection Response，MDR）是结合华为30年安全经验积累，以云服务的形式，为客户建立由管理、技术与运维构成的安全风险管控体系，结合企业与机构业务的安全需求反馈和防控效果对用户安全防护进行持续改进，帮助企业与机构实现对安全风险与安全事件的有效监控，并及时采取有效措施持续降低安全风险，消除安全事件带来的损失。 目前，提供企业版和等保建设助手2种服务类型。 发布区域：全部 业务流程 服务单的有效期是多长？ 管理检测与响应支持跨平台和线下服务吗？ 哪些区域可以购买管理检测与响应？ 企业版 企业版管理检测与响应结合用户实际业务场景，通过云服务方式，提供华为云安全标准化的运维运营服务。 服务内容包括： 网站安全体检、主机安全体检、安全加固、安全监测、应急响应、安全配置服务、安全防护服务开通与部署、定期策略更新与维护、安全漏洞预警、主动安全预警、安全设备维护和漏洞管理。 发布区域：全部 购买企业版 企业版漏洞扫描和传统漏洞扫描的主要区别是什么？ 等保建设助手 等保建设助手为用户提供等保定级和差距评估咨询，根据系统情况提供定级参考意见和相关技术建议书以及等保条款分析情况汇总，根据等保差距要求，服务类型以远程或现场方式提供安全加固建议。 等保建设助手提供了基础版和高级版两种服务类型供您选择。 发布区域：全部 购买等保建设助手 下载检测报告 管理检测与响应服务后，系统将上传服务报告并发送邮件和短信通知信息，收到信息后，即可登录管理控制台下载服务报告。 等保测评报告将由测评公司邮寄。 发布区域：全部 下载检测报告 验收管理检测与响应 管理检测与响应服务后，系统将发送短信通知您登录管理控制台对本次服务进行验收。 验收周期从您收到短信日起共10个工作日，在周期内，若您未进行服务验收，系统将对本次服务进行自动验收。 发布区域：全部 验收管理检测与响应 查看服务单信息 购买MDR成功后，系统将自动生成服务单，华为管理检测与响应将在1个工作日内联系您，并与您沟通确定需求。此时，您可以登录控制台查看服务单信息和进展。 发布区域：全部 查看服务单进展

边界防护与响应 表1 规格清单 一级分类 二级分类 规格名称 规格描述 管理 安全态势大屏 资产失陷态势 资产失陷态势，包括：失陷主机趋势、失陷主机分布、失陷事件阻断率、最新失陷事件、top失陷主机、top失陷类型、top失陷事件。 基础安全事件态势 基础安全事件态势，包括：攻击位置、威胁判定平均时长、阻断率、top攻击类型展示，最近威胁事件，专项事件数量。 外部攻击源态势 外部攻击源态势，包括：外部攻击源趋势、攻击源分布、外部攻击阻断率、最新外部攻击、top攻击源、攻击资产、攻击类型。 定期安全报告 定期安全报告 按周、按月为用户提供安全服务报告，安全服务报告将以邮件形式发送至用户订阅邮箱。通过安全服务报告，客户可清晰了解以下信息： 安全服务概况。 威胁防护次数及趋势。 失陷主机数量及详情。 外部攻击源数量及趋势。 恶意文件数量及趋势。 支持应用访问行为统计，支持基于源IP、时间和应用分布等维度的统计，按周月提供统计分析报表 支持历史安全报告的查看和预览功能。 支持报告下载。 安全域管理 安全域状态管理 支持安全域状态监测，检查安全域物理连线是否接反。 支持针对安全域设置信任标签。 手机APP 手机APP 支持手机APP方式进行边界防护的威胁事件、黑白名单、安全报表等功能管理。 MSSP MSSP代维 可在用户运维平台对安全服务建立委托关系，给指定被委托方建立不同操作权限角色（管理员、审计员等）的代维委托。委托建立后，被委托方可查看、处置安全威胁事件。 MSSP安全大屏 支持针对MSSP管辖的租户进行安全大屏呈现。 MSSP工单流转 支持租户的工单流转到MSSP进行分析和处置。 防护 天关/防火墙威胁防护 恶意软件防护 支持多级防护技术，支持多种恶意代码载体类型检测，实时更新病毒库，覆盖流行高危恶意软件。注：1U款型支持500万病毒库，桌面型款型支持300万病毒库。 僵木蠕防护 支持基于僵尸网络拓扑分析技术的精准角色识别，支持500+僵尸网络识别，支持1000+蠕虫和木马识别。 业务感知 支持识别6000+应用，支持主流应用协议全覆盖。 WEB分类 支持Web分类库超1.2亿，对访问行为进行管理，防范恶意网站对企业网络的侵害。 入侵防御 支持基于漏洞与行为分析的攻击检测技术，支持上下文语义还原的防躲避技术，最大支持12000+特征库，支持自动更新 。1U款型支持12000特征库，桌面型款型支持5000特征库，支持僵尸网络检测及应用服务器防护 。 响应 手动封禁 手动封禁 可以通过检测到的外部攻击源事件，进行手动封禁攻击源的操作。 EDR联动处置 EDR联动处置 支持失陷主机、恶意文件进行EDR联动处置能力，支持进程隔离、病毒查杀等操作。 EDR资产和设备自动关联 通过EDR资产发送探测报文方式，实现EDR资产、边界防护与响应服务、资产管理服务、EDR服务等服务联动，进行EDR资产与天关设备自动关联。 威胁自动阻断 外部攻击源自动阻断 支持对外部高危攻击源精准识别，自动下发黑名单，阻拦其后续的攻击行为。 恶意域名自动阻断 支持基于DNS过滤实现恶意域名自动阻断，拦截用户网络内主机对恶意域名的访问行为。 紧急安全通知 短信通知 支持短信紧急安全通知，针对威胁事件发送紧急通知，及时指导进行响应。 手机APP通知 支持手机APP紧急安全通知，针对威胁事件发送紧急通知，及时指导进行响应。 邮件通知 支持邮件紧急安全通知，针对威胁事件发送紧急通知，及时指导进行响应。 告警模板 对于需要发送给用户的紧急告警，提供对应的告警模板自定义能力。 黑白名单功能 域名黑名单 支持配置域名黑名单，拦截用户网络内主机对恶意域名的访问行为。 设备黑名单 支持设备黑名单设置能力，快速阻断威胁攻击源。 支持设备历史黑名单的查看。 支持一键清除。 设备保护网段 支持设备保护网段联动能力，保护已知业务，防止黑名单误阻断。 租户全局白名单 支持租户全局白名单设置能力，保护已知业务，防止黑名单误阻断。 设备白名单 支持设备白名单设置能力，保护已知业务，加入设备白名单的地址不会再进行内容安全检测。 分析 专项事件分析 失陷主机 支持按失陷主机维度自动聚合，基于失陷主机进行快速分析和处置。 外部攻击源 支持按外部攻击源维度自动聚合，基于外部攻击源进行快速分析和处置。 支持外部攻击源导出能力。 恶意文件 支持按恶意文件维度自动聚合，基于恶意文件进行快速分析和处置 检测 云蜜罐 事件检测 支持联动云蜜罐进行威胁检测、分析研判与处置 云端DNS自动化威胁检测 DNS恶意域名检测 恶意域名检测支持基于DNS过滤日志和恶意域名库，针对内网主机请求外网恶意域名的检测 云端Metadata威胁检测 明文口令检测 检测网站交互流量中是否存在明文口令传输行为。 弱密码检测 检测网站交互流量中是否存在弱密码传输行为。 反序列化攻击检测 反序列化是指把字节序列恢复为对象的过程, 如果Web应用在进行反序列化时接收用户输入的数据，且缺少对输入数据必要的验证，那么攻击者可以通过构造恶意输入，让反序列化产生非预期的对象，导致任意代码执行。算法基于反序列化攻击中的恶意流量特征进行检测，并支持攻击成功判定。 暴力破解检测 暴力破解攻击是通过使用某一账号、密码字典（通常为网络社工收集），尝试枚举登录，如果登录成功，则可获取用户账号密码。算法基于流量检测针对SSH、RDP协议的暴力破解，包括常规爆破以及密码喷洒式爆破、慢速爆破。 SQL注入检测 SQL注入是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句中添加额外的SQL语句，实现欺骗数据库服务器执行非授权的任意查询，达到获取数据信息的目的。算法基于HTTP交互行为特征识别SQL注入，并支持SQL注入的攻击成功判定。 DNS Tunnel检测 DNS通道指攻击者通过将攻击报文封装在DNS协议中，利用DNS递归查询机制，与远程恶意DNS服务器实现C&C（命令和控制）通信、数据窃取操作。算法利用DNS流量中的交互行为特征，检测DNS隐蔽通道。 OGNL注入检测 OGNL注入指web应用程序对用户输入数据的合法性没有判断，攻击者通过构造带有攻击性的OGNL表达式，以此实现命令执行的目的。算法基于HTTP交互行为特征识别OGNL注入，并支持攻击成功判定。 WebShell检测 基于流量行为特征检测未经加密和部分加密（如冰蝎、weevely、jweevely等）的WebShell，包括WebShell文件上传和与WebShell交互的场景。 RCE攻击检测 远程命令注入RCE是一种由于服务器应用漏洞导致黑客可以在服务器上执行任意命令的攻击。算法基于Web流量，通过攻击交互的行为特征识别命令注入，并支持攻击成功判定。 XXE攻击检测 XXE即XML外部实体攻击，是一种针对解析XML格式应用程序的攻击类型之一。此类攻击发生在当配置不当的XML解析器处理指向外部实体的文档时，可能会导致敏感文件泄露、拒绝服务攻击、系统命令执行等危害。算法基于XXE页面攻击特征识别注入行为，并支持攻击成功判定。

功能总览 功能总览 全部 态势感知 安全概览 资源管理 业务分析 综合大屏 威胁告警 漏洞管理 基线检查 检测结果 安全报告 产品集成 日志管理 态势感知 态势感知（Situation Awareness，SA）是华为云安全管理与态势分析平台。能够检测出包括DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制等类别的云上安全风险。利用大数据分析技术，态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析，为用户呈现出全局安全攻击态势。 SA提供基础版、标准版和专业版三个版本。 发布区域：全部 服务版本差异 功能特性 应用场景 OBS 2.0支持 虚拟私有云子功能二 虚拟私有云（Virtual Private Cloud，以下简称VPC），为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。 您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。 除亚太-曼谷、亚太-新加坡、拉美-圣地亚哥以外的所有区域均已发布 如何创建虚拟私有云？ VPC服务介绍【视频】 VPC服务介绍【视频】 安全概览 “安全概览”分为安全评分、安全监控、安全趋势、威胁检测共四大板块，实时呈现云上整体安全评估状况，并联动其他云安全服务，集中展示云上安全。在“安全概览”查看安全概览信息和相关一键操作，实现云上安全态势一览和风险统一管控。 发布区域：全部 安全概览 资源管理 同步当前帐号中所有资源的安全状态统计信息。支持查看资源的名称、所属服务、所属区域、安全状况等，帮助您快速定位安全风险问题并提供解决方案。 发布区域：全部 资源管理 业务分析 联动企业主机安全服务（Host Security Service，HSS）、Web应用防火墙（Web Application Firewall，WAF）和数据库安全服务（Database Security Service，DBSS）三个安全防护服务，全面展示云上资产的安全状态和存在的安全风险。 发布区域：全部 业务分析 综合大屏 利用AI技术将海量云安全数据的分析并分类，通过综合大屏将数据可视化展示，集中呈现云上实时动态，云上关键风险一目了然，掌握云上安全态势更简单，更直观，更高效。 目前，综合大屏有“综合态势感知”和“主机态势感知”两个模块。 发布区域：全部 综合态势感知 主机安全态势 威胁告警 通过利用大数据量、高准确度的威胁情报库，“实时监控”云上威胁攻击，提供告警通知和监控，记录近180天告警事件详情，分析威胁攻击情况，并针对典型威胁事件预置策略实施防御手段。 目前支持检测和呈现以下类别的威胁告警事件：DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制。 发布区域：全部 威胁告警简介 查看告警列表 威胁分析 漏洞管理 通过实时获取业界热点安全漏洞讯息，同步主机漏洞扫描和网站漏洞扫描结果，全面掌握云上资产漏洞风险状况，并提供相应漏洞修复建议。 主机漏洞：通过授权主机，并一键扫描主机漏洞，呈现主机漏洞扫描检测信息，支持查看漏洞详情，并提供相应漏洞修复建议。 网站漏洞：通过自动同步VSS漏洞扫描结果，分类呈现网站漏洞扫描详情，支持查看漏洞详情列表、不同类型漏洞分布和不同漏洞等级分布，并提供相应漏洞修复建议。 应急漏洞公告：针对业界披露的热点安全漏洞，支持每5分钟抓取一次安全漏洞讯息，获取最新应急漏洞公告详情。 发布区域：全部 主机漏洞 网站漏洞 应急漏洞公告 专业版支持 基线检查 通过执行云服务基线扫描，检查基线配置风险状态，告警提示存在安全隐患的配置，并提供基线加固建议。 云服务基线检查：通过一键扫描或设置定期扫描，分类呈现云服务配置检测结果，提示不合格检测项，并提供相应配置加固建议和帮助指导。 发布区域：华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州、西南-贵阳一、中国-香港。 云服务基线检查 检测结果 通过集成安全防护产品，接入安全产品检测数据，管理全部检测结果。 发布区域：全部 检测结果 安全报告 为统计全局安全攻击态势，通过开启安全报告，态势感知以邮件形式向指定的收件人发送安全报告，反映阶段性安全概况、安全风险趋势。 发布区域：全部 分析报告 产品集成 通过集成安全防护产品，接入安全产品检测数据，管理检测结果的数据来源，支持查看传输数据量，管理数据上报健康状态。 发布区域：全部 安全产品集成 专业版支持 日志管理 态势感知支持将日志存储至对象存储服务（Object Storage Service，OBS），帮助用户轻松应对安全日志存储、导出场景，满足日志存储180天及集中审计的要求。 发布区域：全部 日志管理

修订记录 发布日期 修改说明 2022-04-22 第三十次正式发布。 等保安全和等保套餐服务类型已迁移至认证测试中心，刷新相关资料内容。 2022-03-30 第二十九次正式发布。 增加管理检测与响应专项版。 2022-01-11 第二十八次正式发布。 新增过等保三级需要日志服务器吗？章节。 2021-10-18 第二十七次正式发布。 等保问题，新增“等保通过后，升级软件对等保有影响吗？”常见问题。 2021-03-23 第二十六次正式发布。 哪些区域可以使用管理检测与响应？，优化相关内容描述。 2020-12-02 第二十五次正式发布。 管理检测与响应标准版功能下线。 2020-10-20 第二十四次正式发布。 哪些区域可以使用管理检测与响应？，修改可购买区域。 管理检测与响应支持跨平台和线下服务吗？，优化相关内容描述。 2020-10-10 第二十三次正式发布。 以下常见问题新增企业版相关内容描述： 管理检测与响应提供几种服务项目？ 管理检测与响应是第三方服务吗？ 管理检测与响应提供现场服务吗？ 用户通过管理检测与响应获得的最终交付件是什么？ 2020-09-16 第二十二次正式发布。 等保问题，优化华为云等保备案证书下载入口。 2020-09-14 第二十一次正式发布。 如下常见问题新增等保建设相关内容： 管理检测与响应提供现场服务吗？ 用户通过管理检测与响应获得的最终交付件是什么？ 2020-08-18 第二十次正式发布。 等保问题，优化相关内容描述。 2020-07-30 第十九次正式发布。 “安全专家服务”更名为“管理检测与响应”。 下线“企业版”相关内容。 2020-06-22 第十八次正式发布。 新增等保问题。 2020-05-20 第十七次正式发布。 “如何获取等保测评报告？”，优化相关内容描述。 2020-04-01 第十六次正式发布。 更新界面截图。 2020-02-21 第十五次正式发布。 服务单有哪些状态？，更新服务单状态。 “安全体检服务如何对用户站点进行认证？”，优化相关内容描述。 2020-01-20 第十四次正式发布。 哪些区域可以使用安全专家服务，新增可使用区域。 2019-11-18 第十三次正式发布。 修改哪些区域可以使用安全专家服务？ 修改服务单有哪些状态？ 2019-11-12 第十二次正式发布。 修改“如何获取等保测评报告？” 2019-10-30 第十一次正式发布。 修改服务单有哪些状态？ 2019-09-25 第十次正式发布。 修改“如何获取等保测评报告？” 2019-09-06 第九次正式发布。 修改“如何获取等保测评报告？” 新增“过等保需要哪些安全服务？” 2019-07-31 第八次正式发布。 修改如下常见问题： 安全专家服务审核体检报告的什么内容？ 安全专家服务审核服务单的什么内容？ 2019-07-11 第七次正式发布。 修改如下常见问题： 安全专家服务是否对中国以外的用户提供服务？ 执行等保安全服务的专业机构是什么？ 安全专家服务可以对华为云上哪些区域提供服务？ 安全专家服务可以对华为云外的站点提供服务吗？ 安全专家服务提供了哪些沟通渠道？ 服务单的有效期是多长？ 2019-06-28 第六次正式发布。 “如何获取等保测评报告？”，增加获取报告场景。 2019-05-10 第五次正式发布。 新增： “如何获取等保测评报告？” 安全专家服务是第三方服务吗？ 安全专家服务提供现场服务吗？ 修改： 执行等保安全服务的专业机构是什么？ 安全专家服务可以对华为云外的站点提供服务吗？ 用户通过安全专家服务获得的最终交付件是什么？ 2018-06-06 第四次正式发布。 修改如下常见问题： 安全专家服务提供几种服务项目？ 用户通过安全专家服务获得的最终交付件是什么？ 安全专家服务的服务内容是什么？ 服务单的有效期是多长？ 服务单有哪些状态？ 如何使用安全专家服务？ “安全体检服务如何对用户站点进行认证？” 2018-01-30 第三次正式发布。 新增如下常见问题： 预购服务模式生成的服务单的有效期是多长？ 安全体检服务是否对中国以外的用户提供服务？ 2017-11-30 第二次正式发布。 新增如下常见问题： “执行安全体检的专业机构是什么？” 安全体检服务可以对华为云上哪些区域提供服务？ “基础安全评估和专业安全评估的范围分别是什么？” 服务单有哪些状态？ 是否可以下载安全体检服务的体检报告？ 安全体检服务是否提供纸质体检报告？ “安全体检服务如何对用户站点进行认证？” 安全体检服务是否支持退款？ 2017-09-26 第一次正式发布。

配置思路 登录华为乾坤控制台，根据租户内网资产IP地址配置全局白名单，提升安全状态检测的准确性。 配置交换机： 配置Switch的GigabitEthernet0/0/2为观察端口，该端口直连天关，Switch将通过镜像将流量上送到天关进行检测。 配置Switch的GigabitEthernet0/0/1为镜像端口，开启端口镜像功能。 配置Switch的GigabitEthernet0/0/3为三层端口，与天关上漏洞扫描和云日志审计接口直连。 配置天关： 配置云端管理接口，用于天关与云端对接，包括设备向云端注册、向云端提供日志、接收云端下发配置等。 配置检测接口GE0/0/1为旁路检测模式，该二层接口与Switch的观察端口直连。 配置边界防护与响应服务的业务参数。 将GE0/0/1和对应VLAN都加入trust安全域，并配置旁路检测所需要的安全策略。 对于USG6603F-C，仅需要配置安全域，不需要配置安全策略。 配置漏洞扫描和云日志审计接口GE0/0/2为三层接口，并加入trust安全域，已购买漏洞扫描服务或云日志审计服务时需要配置。 分别配置漏洞扫描服务和云日志审计服务的业务参数，已购买漏洞扫描服务或云日志审计服务时需要配置。

功能总览 功能总览 全部 三要素人证核身 二要素人证核身 活体人证核身 OBS 2.0支持 三要素人证核身 使用姓名、身份证号码、人脸图片三要素进行身份审核。 身份验证时，传入的数据为人脸图片、身份证信息。 提取身份证信息时，可以使用身份证正反面图片，也可以直接输入姓名、身份证号文本。 发布区域：华北-北京四、华北-北京一 如何创建虚拟私有云？ VPC服务介绍【视频】 VPC服务介绍【视频】 OBS 2.0支持 二要素人证核身 使用姓名、身份证号码二要素进行身份核验。 身份验证时，传入的数据为身份证信息。提取身份证信息时，可以使用身份证正反面图片，也可以直接输入姓名、身份证号文本。 发布区域：华北-北京四、华北-北京一 如何创建虚拟私有云？ OBS 2.0支持 活体人证核身 实现活体认证核身，需要使用人脸识别服务（活体检测API）+人证核身服务（三要素API）。 活体检测API分为动作活体检测、静默活体检测，分别可以对视频人脸、图片人脸是否为真人进行验证。被检测人验证为活体后，调用三要素API实现身份核验。 发布区域：动作活体检测（华北-北京四、华北-北京一、华南-广州），静默活体检测（华北-北京四），三要素API（华北-北京四、华北北京一） 动作活体检测 静默活体检测 人证核身三要素

功能总览 功能总览 全部 主机安全服务 资产指纹管理 基线检查 漏洞管理 容器镜像安全 应用防护 入侵检测 未防护资产的免费体检 恶意程序隔离查杀 勒索病毒防护 文件隔离箱管理 文件完整性管理 自定义安全策略 动静态网页防篡改 特权进程可修改防篡改文件 双因子认证 SSH登录IP白名单 常用登录地/IP 告警白名单管理 告警通知 主机分类管理 订阅安全报告 Agent批量安装 主机安全服务 主机安全服务（Host Security Service，HSS）是以工作负载为中心的安全产品，旨在解决现代混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。它集成了主机安全、容器安全和网页防篡改。 发布区域：全部。 HSS版本功能特性 应用场景 资产指纹管理 可深度扫描出主机中的账号、端口、进程、Web目录、软件信息和自启动任务，在“资产管理”界面，您可以统一管理主机中的信息资产。 发布区域：全部。 查看资产指纹详情 历史变动记录 基线检查 HSS提供基线检查功能，主动检测主机中的口令复杂度策略，关键软件中含有风险的配置信息，并针对所发现的风险为您提供修复建议，帮助您正确地处理服务器内的各种风险配置信息。 发布区域：全部。 查看基线检查详情 管理基线检查策略 基线检查风险修复建议 漏洞管理 HSS提供漏洞管理功能，检测Linux漏洞、Windows漏洞、Web-CMS漏洞、应用漏洞，提供漏洞概览，包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5，帮助您实时了解主机漏洞情况。 发布区域：全部。 查看漏洞详情 漏洞修复与验证 容器镜像安全 扫描镜像仓库与正在运行的容器镜像，发现镜像中的漏洞、恶意文件等并给出修复建议，帮助您得到一个安全的镜像。 发布区域：全部。 容器镜像漏洞 镜像恶意文件 镜像基线检查 应用防护 为运行时的应用提供安全防御。您无需修改应用程序文件，只需将探针注入到应用程序，即可为应用提供强大的安全防护能力。 当前只支持操作系统为Linux的服务器，且仅支持Java应用接入。 发布区域：全部。 开启应用防护 应用防护管理 关闭应用防护 入侵检测 HSS支持账户暴力破解、进程异常、网站后门、异常登录、恶意进程等入侵检测能力，用户可通过事件管理全面了解入侵检测告警事件，帮助用户及时发现资产中的安全威胁、实时掌握资产的安全状态。 企业主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况，包括存在告警的服务器、待处理告警事件、未处理告警事件、已拦截IP和已隔离文件。 事件管理列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，对告警进行“手动处理”、“忽略”、”加入告警白名单”或者“隔离查杀”，自行判断并处理告警，快速清除资产中的安全威胁。 发布区域：全部。 查看和处理入侵告警事件 主机安全告警事件概述 容器安全告警事件概述 查看和处理容器告警事件 未防护资产的免费体检 对未开启防护的主机提供每周一次的免费扫描体检，针对频繁出现的漏洞、口令、资产风险生成安全报告供查看。 发布区域：全部。 未防护资产的免费体检 恶意程序隔离查杀 HSS采用先进的AI、机器学习等技术，并集成多种杀毒引擎，深度查杀主机中的恶意程序。 开启“恶意程序隔离查杀”后，HSS对识别出的后门、木马、蠕虫等恶意程序，提供自动隔离查杀功能，帮助用户自动识别处理系统存在的安全风险。 若未开启“恶意程序隔离查杀”功能，则HSS检测到恶意程序时，不会自动隔离查杀，仅会触发告警。您可以在“入侵检测”的“事件管理”中，查看“恶意程序（云查杀）”中的告警信息，并对恶意程序手动执行“隔离查杀”。 发布区域：全部。 开启恶意程序隔离查杀 仅旗舰版支持 勒索病毒防护 支持已知勒索病毒检测能力，支持自定义勒索备份恢复策略。 发布区域：全部。 开启勒索病毒防护 防护策略管理 关闭防护管理 仅旗舰版支持 文件隔离箱管理 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中，无法对主机造成威胁。被成功隔离的文件一直保留在文件隔离箱中，您也可以根据自己的需要进行一键恢复。 发布区域：全部。 管理文件隔离箱 仅旗舰版支持 文件完整性管理 文件完整性管理可以检查操作系统、应用程序软件和其他组件的文件，确定它们是否发生了可能遭受攻击的更改，同时，能够帮助用户通过PCI-DSS等安全认证。文件完整性管理功能是使用对比的方法来确定当前文件状态是否不同于上次扫描该文件时的状态，利用这种对比来确定文件是否发生了有效或可疑的修改。 文件完整性管理会验证Linux文件的完整性，并管理针对文件执行的活动，包括： 1、文件的创建与删除。 2、文件的修改（文件大小、访问控制列表和内容哈希的更改）。 发布区域：全部。 查看云服务器变更详情 查看历史变更文件 仅旗舰版支持 自定义安全策略 HSS旗舰版提供灵活的策略管理能力，用户可以根据需要自定义安全检测规则，并可以为不同的主机组或主机应用不同的策略，以满足不同应用场景的主机安全需求。 发布区域：全部。 查看策略组 创建策略组 修改策略内容 仅网页防篡改版支持 动静态网页防篡改 静态网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 支持对Windows和Linux进程添加白名单。网页防篡改功能将不对加入白名单的进程进行拦截。 动态网页防篡改提供tomcat应用运行时自我保护，能够检测针对数据库等动态数据的篡改行为。 发布区域：全部。 定时开启网页防篡改 开启动态网页防篡改 查看网页防篡改报告 仅网页防篡改版支持 特权进程可修改防篡改文件 开启网页防篡改防护后，防护目录中的内容是只读状态，如果您需要修改防护目录中的文件或更新网站，可以添加特权进程。 通过这个特权进程去修改防护目录里的文件或者更新网站，修改才会生效。若没有添加特权进程 ，网页防篡改仅防护原来的文件或者网站，即使修改了内容，文件或者网站也会恢复到原来的状态，修改不会生效。 特权进程可以访问被防护的目录，请确保特权进程安全可靠。 发布区域：全部。 添加防护目录 双因子认证 双因子认证功能是一种双因素身份验证机制，结合短信/邮箱验证码，对云服务器登录行为进行二次认证，极大地增强云服务器账户安全性。 开启双因子认证功能后，登录弹性云服务器时，主机安全服务将根据绑定的“消息通知服务主题”验证登录者的身份信息。 发布区域：全部。 开启双因子认证 SSH登录IP白名单 SSH登录IP白名单功能是防护账户爆破的一个重要方式，主要是限制需要通过SSH登录的服务器。 配置了白名单的服务器，只允许白名单内的IP通过SSH登录到服务器，拒绝白名单以外的IP： 1、启用该功能时请确保将所有需要发起SSH登录的IP地址都加入白名单中，否则您将无法SSH远程登录您的服务器。 若您的业务需要访问主机，但不需要SSH登录，则可以不用添加到白名单。 2、IP加入白名单后，账户破解防护功能将不再对来自白名单中的IP登录行为进行拦截，该IP对您加入白名单的服务器登录访问将不受任何限制，请谨慎操作。 发布区域：全部。 配置SSH登录IP白名单 常用登录地/IP 配置常用登录地/IP后，企业主机安全服务将对非常用地/IP登录主机的行为进行告警。每个主机可被添加在多个登录地中。 发布区域：全部。 配置常用登录地 配置常用登录IP 告警白名单管理 可以通过加入告警白名单避免大量告警误报的发生，提升安全事件告警质量。将当前告警事件加入告警白名单后，当再次发生相同的告警时不再进行告警。 发布区域：全部。 配置登录白名单 管理告警白名单 告警通知 开启告警通知功能后，您能接收到企业主机安全服务发送的告警通知，及时了解主机/网页内的安全风险。否则，无论是否有风险，您都只能登录管理控制台自行查看，无法收到报警信息。 告警通知设置仅在当前区域生效，若需要接收其他区域的告警通知，请切换到对应区域后进行设置。 发布区域：全部。 开启告警通知 主机分类管理 您可以创建服务器组，并将主机分配到服务器组，将主机进行分类管理。 您户可以根据创建的服务器组，查看该服务器组内的服务器数量、有风险服务器的数量、以及未防护的服务器数量。 发布区域：全部。 管理服务器组 订阅安全报告 主机安全支持订阅日报、周报、月报和自定义，展现不同周期主机安全趋势以及关键安全事件与风险，订阅报告将为您保存6个月，以满足等保测评以及审计的需要。 订阅主机安全报告 创建安全报告 Agent批量安装 指导您完成服务器Agent的批量安装操作，创建批量安装后系统将自动执行Agent安装操作，安装后才可以对目标服务器开启防护。 发布区域：全部。 批量安装Agent

主机安全 企业主机安全（Host Security Service，HSS）是提升服务器整体安全性的服务，为用户提供资产管理、漏洞管理、入侵检测、基线检查等功能，降低服务器被入侵的风险。 在弹性云服务器中安装Agent后，云服务器受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 图1 HSS功能原理 企业主机安全服务的组件功能及工作流程说明如下： 安全控制台： 可视化的管理平台，便于您集中下发配置信息，查看在同一区域内主机的防护状态和检测结果。 HSS云端防护中心： 接收您在控制台下发的配置信息和检测任务，并转发给安装在服务器上的Agent。 接收Agent上报的主机信息，分析主机中存在的安全风险和异常信息，将分析后的信息以检测报告的形式呈现在控制台界面。 HSS客户端： 接收HSS云端防护中心转发的检测任务。 按检测任务要求扫描弹性云服务器，并将事件扫描信息上报给HSS云端防护中心。 您在使用企业主机安全服务前，需要先在云服务器上安装客户端。更多信息，请参考主机安全。

安全与合规 服务 所属区域 控制台 API 委托 策略 企业项目 DDoS防护 Anti-DDoS 除全局区域外的其他区域 √ √ x x x DDoS防护 AAD 除全局区域外的其他区域 √ √ √ x √ DDoS防护 CNAD 全局区域 √ √ x √ x Web应用防火墙 WAF 除全局区域外的其他区域 √ x x x √ 云防火墙 CFW 除全局区域外的其他区域 √ x x √ x 漏洞扫描服务 VSS 除全局区域外的其他区域 √ x x x x 企业主机安全 HSS 除全局区域外的其他区域 √ x x x √ 数据库安全服务 DBSS 除全局区域外的其他区域 √ x x √ x 数据加密服务 DEW 除全局区域外的其他区域 √ √ x x x 管理检测与响应 MDR 除全局区域外的其他区域 √ x x x x SSL证书管理 SCM 全局区域 √ √ x √ x 容器安全服务 CGS 除全局区域外的其他区域 √ x x √ x 态势感知 SA 全局区域 √ √ √ √ x 云堡垒机 CBH 除全局区域外的其他区域 √ √ x √ x 数据安全中心 DSC 除全局区域外的其他区域 √ √ x √ x

护网检查—安全套件覆盖 表7 安全套件覆盖风险项检查项目 检查项目 检查内容 主机防护状态检查 企业主机安全服务（Host Security Service，HSS）是提升主机整体安全性的服务，通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能，全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 检查主机是否已开启防护。 主机Agent状态检查 企业主机安全服务（Host Security Service，HSS）是一个用于全面保障主机整体安全的服务，能帮助您高效管理主机的安全状态，并构建服务器安全体系，降低当前服务器面临的主要安全风险。 在主机中安装Agent后，您的主机才能收到HSS的保护。 检查主机Agent是否为在线状态。 主机安全检测状态检查 企业主机安全服务（Host Security Service，HSS）将实时检测主机中的风险和异常操作，在每日凌晨将对主机执行全面扫描。执行配置检测后，您可以根据检测结果中的相关信息，修复主机中含有风险的配置项或忽略可信任的配置项。 检查主机的检测结果是否存在异常。 WAF（云模式）基础防护配置检查 Web基础防护开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在云模式下是否已开启Web基础防护。 WAF（云模式）防护策略配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在云模式下是否已开启Web基础防护并设置为拦截模式。 WAF（独享模式）基础防护配置检查 Web基础防护开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在独享模式下是否已开启Web基础防护。 WAF（独享模式）防护策略配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在独享模式下是否已开启Web基础防护并设置为拦截模式。 主机Agent版本检查 在主机中安装Agent后，您的主机将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 企业主机安全服务有基础版、企业版、旗舰版和网页防篡改版四个版本。 基础版一般只用于测试、个人用户防护主机账户安全。建议您选择企业版及以上版本。 检查所有主机Agent是否为企业版及以上版本。

方案架构 该解决方案基于华为云Web应用防火墙 WAF构建，可以帮助企业网站业务流量进行多维度检测和防护，全面避免网站被黑客恶意攻击和入侵。 图1 方案架构图 该解决方案部署如下资源： 创建一台云模式入门版Web应用防火墙 WAF，用于对HTTP请求进行检测，保证Web服务安全稳定。 在Web应用防火墙WAF上一键添加防御域名，提高配置域名的便利性，构建风险全面可控的网站安全架构，保障网站业务连续可用。

终端防护与响应服务 表1 规格清单 一级分类 二级分类 规格名称 规格描述 终端接入 终端UI Agent UI交互 支持终端操作日志，隔离区，信任区UI交互。 终端安装 终端安装 支持Windows7，Window10，Window11，WindowsServer2012 R2及以上操作系统的终端，安装EDR Agent后终端资产在云端自动发现。 安装包管理 域控安装 支持租户管理员配置域控策略，域控中受控主机自动安装EDR。 邮件分享邀请安装 支持租户管理员设置需要安装EDR的用户邮箱列表，在线一键发送邮件，邀请用户安装EDR。 Agent安装包直接下载 支持租户管理员登录华为乾坤控制台后，选择Agent安装包直接下载后安装。 终端升级 自动升级 终端升级 终端上线后自动升级到最新版。 终端卸载 终端卸载 终端卸载 支持租户管理员远程卸载，支持终端用户通过PIN码卸载。 主动防护 防篡改 文件防篡改 支持用户自定义数据存储位置，数据类型，可访问进程等属性，定义数据资产防篡改策略。内核级保护文件数据资产安全，实时拦截恶意加密、删除等篡改行为。 诱饵捕获 诱饵捕获 基于海量勒索样本攻击路径分析，勒索必经路径放置诱饵文件，优先命中诱饵触发告警事件。 黑白名单 黑名单 支持客户按进程特征SHA256、进程名称自定义进程黑名单列表，拦截不希望在终端上运行的进程。支持按终端独立配置和按终端组批量方式配置。 病毒防护 云查杀 Agent采集可疑文件和进程特征信息，云端集成威胁情报服务亿级病毒文件特征库引擎能力即时查杀，特征库实时更新。 病毒报告导出 支持批量租户下各终端的病毒扫描报告。 病毒处置 支持高威胁病毒文件自动处置隔离，支持人工处置隔离。 实时防御 支持共享文件，文件下载，软件安装等场景病毒实时扫描。 周期查杀 制定病毒扫描任务，定时执行。 在线查杀 支持租户管理员远程指定在线终端执行病毒扫描，支持快速查杀、全盘查杀和自定义查杀。 威胁检测 异常登录 异常登录 基于用户配置策略（登录合法IP，合法登录账户，合法登录时间），检测规则外的异常登录事件。 威胁事件检测 异常入侵进程 支持实时检出主机上运行进程的监控，实时联动威胁信誉引擎，检测是否存在恶意进程。 挖矿病毒检测 基于DNS过滤日志和恶意域名库，针对终端主机请求挖矿木马域名的检测，支持3400+矿池库，覆盖90个家族，常见挖矿币种8类（XMRBTCETHDASHLTCHNSPASCZEC）；识别精确率100%；基于挖矿运行时上下文攻击行为识别挖矿木马，行为特征包括但不限于挖矿命令行特征、CPUGPU占用率、创建持久化任务等常见TTP。支持挖矿检测检出率80%，精确率95%+，具备未知挖矿变种检测能力。 暴力破解 暴力破解攻击是通过使用某一账号、密码字典（通常为网络社工收集），尝试枚举登录，如果登录成功，则可获取用户账号密码。算法基于日志检测针对RDP、SMB、FTP等协议的暴力破解，支持常规暴力破解和慢速分布式暴力破解检测，精确率99%+；支持检测终端上暴力破解成功的高危威胁事件；支持检测终端主机失陷后正在尝试暴力破解其他主机的事件。 勒索病毒检测 基于DNS过滤日志和恶意域名库，针对终端主机请求勒索域名的检测；自研L0~L3四层检测和响应框架，支持活跃勒索样本及其变种样本快速精准检出，活跃勒索样本检出率99%。 威胁溯源 事件溯源 事件溯源 基于DNS检测挖矿进程，自动溯源挖矿进程关联攻击链条，支持一键处置攻击链条上多个异常进程和文件。检测到勒索软件入侵，自动化溯源勒索软件入侵路径，影响范围，支持进程调用链，文件创建和篡改关系，网络、注册表、服务等元素溯源。 响应处置 隔离区和信任区 信任区 支持租户管理员在线创建信任文件和进程名单，支持用户在本地设置信任文件和进程。 隔离区 支持终端隔离区管理，隔离文件清理和恢复等操作。 响应处置动作 定时任务处置 支持清理主机上定时任务。 文件隔离 支持主机文件隔离处置。 进程终止 支持主机运行进程终止处置。 威胁事件响应方式 边界联动处置 华为乾坤边界防护与响应服务联动，支持网络边界的天关设备设置IP黑名单，快速阻断威胁攻击源。华为乾坤边界防护与响应服务检测主机恶意文件下载后，通过EDR溯源查找恶意文件下载位置，支持一键清理。华为乾坤边界防护与响应服务检测主机发送恶意外联行为，如挖矿域名请求，远控木马外联等，联动EDR溯源查找恶意外联进程，支持一键终止恶意进程。 自动处置 支持病毒文件自动隔离处置。支持挖矿木马事件自动处置模型管理，基于检测事件研判精准度，事件攻击路径溯源，自动匹配处置方案，下发处置动作。支持勒索攻击事件自动处置模型管理，基于检测事件研判精准度，事件攻击路径溯源，自动匹配处置方案，下发处置动作。 忽略 支持人工选择威胁事件忽略处置。 封禁攻击源 华为乾坤边界防护与响应服务联动，支持网络边界的天关设备设置IP黑名单，快速阻断威胁攻击源。 一键处置 支持人工通过威胁事件管理页面一键下发处置动作。 已人工处置 支持人工选择威胁事件，设置“已人工处置”的状态。 安全感知 安全报告和事件通知 报表订阅 按月为用户提供安全服务报告，安全服务报告将以邮件形式发送至用户订阅邮箱。通过安全服务报告，客户可清晰了解以下信息：1、安全服务概况； 2、终端风险影响评估；3、终端威胁事件分类和统计；4、终端威胁事件数量及趋势；5、安全风险加固建议。 事件通知 检测到高危害威胁事件后，立即通过短信方式及时通知预警。短信接收人范围支持按需订阅。 终端安全可视 租户首页概览 支持终端安全态势统计，终端Top10风险终端，最近一个月安全风险趋势统计等能力。 运行进程查看 远程实时查看在线终端运行中进程信息（类似Windows任务管理器。支持联动威胁信誉引擎，在线查看各进程威胁情报信息。 终端详情 支持终端操作系统版本、CPU型号、内存规格、IP地址和等信息采集和展示，集中管理。支持DHCP自动分配终端IP的场景，终端主机的历史IP，集中管理，支持历史IP查询关联。

功能总览 功能总览 全部 企业主机安全 资产管理 基线检查 漏洞管理 13大类入侵检测能力 账户暴力破解防护 恶意程序隔离查杀 勒索病毒防护 程序运行认证 文件完整性管理 自定义安全策略 动静态网页防篡改 特权进程可修改防篡改文件 双因子认证 SSH登录IP白名单 常用登录地/IP 告警白名单管理 告警通知 主机分类管理 订阅安全报告 企业主机安全 企业主机安全（Host Security Service，HSS）是提升主机整体安全性的服务，通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能，可全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 发布区域：全部。 HSS服务版本差异 功能特性 应用场景 资产管理 HSS提供资产管理功能，主动检测主机中的开放端口、系统运行中的进程、主机中的Web目录和自启动服务，并对账号信息和软件信息的变动情况进行记录。 通过资产管理，您能集中清点主机中的各项资产信息，及时发现主机中含有风险的各项资产。 资产管理仅提供风险检测功能，若发现有可疑资产信息，请手动处理。 发布区域：全部。 账号信息管理 开放端口检测 软件信息管理 基线检查 HSS提供基线检查功能，主动检测主机中的口令复杂度策略，关键软件中含有风险的配置信息，并针对所发现的风险为您提供修复建议，帮助您正确地处理服务器内的各种风险配置信息。 发布区域：全部。 告警策略 导出配置检测报告 基线检查风险修复建议 漏洞管理 HSS提供漏洞管理功能，检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞。 在“漏洞管理”界面，您可以查看漏洞的信息和状态，根据“修复紧急度”排查主机中的漏洞。 发布区域：全部。 检测原理 漏洞修复与验证 13大类入侵检测能力 HSS支持账户暴力破解、进程异常、网站后门、异常登录、恶意进程等13大类入侵检测能力，用户可通过事件管理全面了解入侵检测告警事件，帮助用户及时发现资产中的安全威胁、实时掌握资产的安全状态。 企业主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况，包括存在告警的服务器、待处理告警事件、未处理告警事件、已拦截IP和已隔离文件。 事件管理列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，对告警进行“手动处理”、“忽略”、”加入告警白名单”或者“隔离查杀”，自行判断并处理告警，快速清除资产中的安全威胁。 发布区域：全部。 告警事件列表说明 查看告警事件 处理告警事件 账户暴力破解防护 HSS可拦截的攻击类型包括：mysql、mssql、vsftp、filezilla、serv-u、ssh、rdp。 暴力破解是一种常见的入侵攻击行为，通过暴力破解或猜解主机密码，从而获得主机的控制权限，会严重危害主机的安全。 通过暴力破解检测算法和全网IP黑名单，若发现暴力破解主机的行为，HSS就会拦截该源IP，禁止其再次登录，防止主机因账户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 若被拦截的IP在超过默认拦截时间后，没有再被继续攻击，系统自动解除拦截。 发布区域：全部。 账户暴力破解防护 账户被暴力破解，怎么办？ 如何避免账户破解攻击？ 恶意程序隔离查杀 HSS采用先进的AI、机器学习等技术，并集成多种杀毒引擎，深度查杀主机中的恶意程序。 开启“恶意程序隔离查杀”后，HSS对识别出的后门、木马、蠕虫等恶意程序，提供自动隔离查杀功能，帮助用户自动识别处理系统存在的安全风险。 若未开启“恶意程序隔离查杀”功能，则HSS检测到恶意程序时，不会自动隔离查杀，仅会触发告警。您可以在“入侵检测”的“事件管理”中，查看“恶意程序（云查杀）”中的告警信息，并对恶意程序手动执行“隔离查杀”。 发布区域：全部。 开启恶意程序隔离查杀 仅旗舰版支持 勒索病毒防护 HSS支持勒索病毒防护功能，可有效监控您云主机上存储的重要文件，防止未经过认证或授权的进程文件对监控文件的加密或修改操作，保障您的主机不被勒索病毒侵害。 您可以通过创建勒索病毒防护策略，并为策略配置防护状态、监控的文件路径与关联服务器。策略通过机器学习引擎学习服务器上的进程修改文件的行为。策略学习完成后，自动应用于关联服务器。 策略通过对服务器运行状态的自动学习和管理端智能分析，完成可信程序的判定，在防护阶段对非可信程序的操作进行告警。 发布区域：全部。 查看防护策略列表 创建防护策略 查看和处理防护事件 仅旗舰版支持 程序运行认证 程序运行认证功能支持将重点防御的主机加入到白名单策略中，通过检测白名单中指定的应用程序区分“可信”、“不可信”和“未知”，防止未经白名单授权的程序运行。可避免您的主机受到不可信或恶意程序的侵害，还能防止不必要的资源浪费、保证您的资源被合理利用。 在创建白名单策略之后，您可以通过在需要重点防御的主机中应用该白名单策略，企业主机安全将检测服务器中是否存在可疑或恶意进程，并对不在白名单中的进程进行告警提示或者隔离。 发布区域：全部。 查看白名单策略列表 应用白名单策略 查看和处理应用进程事件 仅旗舰版支持 文件完整性管理 文件完整性管理可以检查操作系统、应用程序软件和其他组件的文件，确定它们是否发生了可能遭受攻击的更改，同时，能够帮助用户通过PCI-DSS等安全认证。文件完整性管理功能是使用对比的方法来确定当前文件状态是否不同于上次扫描该文件时的状态，利用这种对比来确定文件是否发生了有效或可疑的修改。 文件完整性管理会验证Linux文件的完整性，并管理针对文件执行的活动，包括： 1、文件的创建与删除。 2、文件的修改（文件大小、访问控制列表和内容哈希的更改）。 发布区域：全部。 添加管理文件 查看变更统计 仅旗舰版支持 自定义安全策略 HSS旗舰版提供灵活的策略管理能力，用户可以根据需要自定义安全检测规则，并可以为不同的主机组或主机应用不同的策略，以满足不同应用场景的主机安全需求。 发布区域：全部。 查看和创建策略组 修改策略内容 仅网页防篡改版支持 动静态网页防篡改 静态网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 支持对Windows和Linux进程添加白名单。网页防篡改功能将不对加入白名单的进程进行拦截。 动态网页防篡改提供tomcat应用运行时自我保护，能够检测针对数据库等动态数据的篡改行为。 发布区域：全部。 添加防护目录/文件系统 添加特权进程修改防护文件 开启动态网页防篡改 仅网页防篡改版支持 特权进程可修改防篡改文件 开启网页防篡改防护后，防护目录中的内容是只读状态，如果您需要修改防护目录中的文件或更新网站，可以添加特权进程。 通过这个特权进程去修改防护目录里的文件或者更新网站，修改才会生效。若没有添加特权进程 ，网页防篡改仅防护原来的文件或者网站，即使修改了内容，文件或者网站也会恢复到原来的状态，修改不会生效。 特权进程可以访问被防护的目录，请确保特权进程安全可靠。 发布区域：全部。 添加特权进程 双因子认证 双因子认证功能是一种双因素身份验证机制，结合短信/邮箱验证码，对云服务器登录行为进行二次认证，极大地增强云服务器账户安全性。 开启双因子认证功能后，登录弹性云服务器时，主机安全服务将根据绑定的“消息通知服务主题”验证登录者的身份信息。 发布区域：全部。 开启双因子认证 SSH登录IP白名单 SSH登录IP白名单功能是防护账户爆破的一个重要方式，主要是限制需要通过SSH登录的服务器。 配置了白名单的服务器，只允许白名单内的IP通过SSH登录到服务器，拒绝白名单以外的IP： 1、启用该功能时请确保将所有需要发起SSH登录的IP地址都加入白名单中，否则您将无法SSH远程登录您的服务器。 若您的业务需要访问主机，但不需要SSH登录，则可以不用添加到白名单。 2、IP加入白名单后，账户破解防护功能将不再对来自白名单中的IP登录行为进行拦截，该IP对您加入白名单的服务器登录访问将不受任何限制，请谨慎操作。 发布区域：全部。 配置SSH登录IP白名单 常用登录地/IP 配置常用登录地/IP后，企业主机安全服务将对非常用地/IP登录主机的行为进行告警。每个主机可被添加在多个登录地中。 发布区域：全部。 配置常用登录地 配置常用登录IP 告警白名单管理 告警白名单管理提供告警白名单的展示与批量导入/导出功能，用户可以通过导入/导出告警白名单避免大量告警误报的发生，提升安全事件告警质量。 发布区域：全部。 添加告警白名单 添加登录告警白名单 告警通知 开启告警通知功能后，您能接收到企业主机安全服务发送的告警通知，及时了解主机/网页内的安全风险。否则，无论是否有风险，您都只能登录管理控制台自行查看，无法收到报警信息。 告警通知设置仅在当前区域生效，若需要接收其他区域的告警通知，请切换到对应区域后进行设置。 发布区域：全部。 开启基础版/企业版/旗舰版告警通知 开启网页防篡改版告警通知 主机分类管理 用户可以创建服务器组，并将主机分配到服务器组，对主机进行分类管理。用户可以根据创建的服务器组，查看该服务器组内的服务器数量、有风险服务器的数量、以及未防护的服务器数量。 发布区域：全部。 创建服务器组 分配服务器到组 订阅安全报告 HSS支持订阅周报和月报，展现每周或每月的主机安全趋势以及关键安全事件与风险，订阅报告将为您保存6个月，以满足等保测评以及审计的需要。 勾选“订阅报告”后，第二天即可查看、下载。 发布区域：全部。 订阅主机安全报告

各版本支持的功能特性 云模式各个版本、独享模式适用的安全功能特性如表3所示，请您根据业务需求选择对应的服务版本。其中，云模式支持入门版、标准版、专业版和铂金版四种版本，您可以通过升级云模式版本和规格从较低版本升级到任一更高版本，以满足更多防护功能需求。 云模式的专业版和铂金版支持定制非标准端口，您可以提交工单申请开通定制的非标准端口。 标识说明： √：表示在当前版本中支持。 ×：表示在当前版本中不支持。 表3 安全功能特性 功能模板 入门版 标准版 专业版 铂金版 独享版 域名/带宽/规则扩展包 × √ √ √ × 域名备案检查 √ √ √ √ × 支持添加泛域名 × √ √ √ √ 非80、443标准端口防护 × √ √ √ √ 非80、443标准端口定制 × × √ √ × 批量灵活配置防护策略 √（仅支持批量配置全局白名单（原误报屏蔽）规则） × √ √ √ 为防护策略批量配置适用的防护域名 × × √ √ √ 支持IPv6防护 须知： 支持IPv6防护的版本/Region，请参考哪些版本/Region支持IPv6防护？ × × √ √ × 常见的Web应用攻击防护，包括SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等 √ √ √ √ √ 云端自动更新最新0Day漏洞防护规则，及时下发0Day漏洞虚拟补丁 × √ √ √ √ Webshell检测 √ √ √ √ √ 深度检测，同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等深度反逃逸检测 √ √ √ √ √ header全检测，对请求里header中所有字段进行攻击检测 √ √ √ √ √ CC攻击防护 × √ √ √ √ 精准访问防护 × √（不支持全检测） √ √ √ 引用表管理 × × √ √ √ IP黑白名单设置，支持批量导入IP地址/IP地址段 × √ √ √ √ 支持对指定国家、省份的IP自定义访问控制 × √ √ √ √ 网页防篡改 × √ √ √ √ 检测并拦截搜索引擎、扫描器、脚本工具、其它爬虫等爬虫行为 × × √ √ √ 检测并拦截JS脚本反爬虫检测行为 × × √ √ √ 防敏感信息泄露 × × √ √ √ 全局白名单（原误报屏蔽）规则 √ √ √ √ √ 隐私屏蔽 × √ √ √ √

护网检查—安全套件覆盖 表7 安全套件覆盖风险项检查项目 检查项目 检查内容 主机防护状态检查 企业主机安全服务（Host Security Service，HSS）是提升主机整体安全性的服务，通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能，全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 检查主机是否已开启防护。 主机Agent状态检查 企业主机安全服务（Host Security Service，HSS）是一个用于全面保障主机整体安全的服务，能帮助您高效管理主机的安全状态，并构建服务器安全体系，降低当前服务器面临的主要安全风险。 在主机中安装Agent后，您的主机才能收到HSS的保护。 检查主机Agent是否为在线状态。 主机安全检测状态检查 企业主机安全服务（Host Security Service，HSS）将实时检测主机中的风险和异常操作，在每日凌晨将对主机执行全面扫描。执行配置检测后，您可以根据检测结果中的相关信息，修复主机中含有风险的配置项或忽略可信任的配置项。 检查主机的检测结果是否存在异常。 WAF（云模式）基础防护配置检查 Web基础防护开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在云模式下是否已开启Web基础防护。 WAF（云模式）防护策略配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在云模式下是否已开启Web基础防护并设置为拦截模式。 WAF（独享模式）基础防护配置检查 Web基础防护开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在独享模式下是否已开启Web基础防护。 WAF（独享模式）防护策略配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在独享模式下是否已开启Web基础防护并设置为拦截模式。 主机Agent版本检查 在主机中安装Agent后，您的主机将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 企业主机安全服务有基础版、企业版、旗舰版和网页防篡改版四个版本。 基础版一般只用于测试、个人用户防护主机账户安全。建议您选择企业版及以上版本。 检查所有主机Agent是否为企业版及以上版本。

开启跨域访问 API网关代理默认不开启跨域访问，如果您需要开启，请参考以下说明完成跨域配置。 简单请求的跨域访问 如果是创建新的API，在“安全配置”时，打开“支持跨域（CORS）”开关。详细的使用指导，可参考简单请求。 非简单请求的跨域访问 非简单请求的跨域访问需要在API的分组中创建一个“请求方法”为“OPTIONS”的API，作为预检请求。 预检请求API的参数设置，请参考以下说明填写。详细的使用指导可参考非简单请求。 在“前端定义”中，参数填写说明如下： 请求方法：选择“OPTIONS”。 请求协议：选择与已开启CORS的API相同的请求协议。 路径：填斜杠/。 图2 预检请求-定义API请求。 在“安全配置”中，安全认证选“无认证”，勾选“开启支持跨域CORS”。 后端配置选择“Mock”。 图3 预检请求-后端选Mock

功能总览 功能总览 全部 威胁检测服务 日志检测 威胁情报管理 白名单管理 数据同步 告警详情 查看检测结果 威胁检测服务 威胁检测服务（Managed Threat Detection，简称MTD），通过接入目标区域中您在华为云操作所涉及到的IAM日志、DNS日志、CTS日志、OBS日志、VPC日志，持续实时监控日志中访问者的IP或域名是否存在潜在的恶意活动和未经授权行为并进行告警。此服务集成了AI智能引擎、威胁情报、规则基线三种检测方式，智能检测来自多个云服务（包含IAM服务、DNS服务、CTS服务、OBS服务、VPC服务）日志数据中的访问行为，去发现是否存在潜在威胁，对可能存在威胁的访问行为生成告警信息，输出告警结果。您可通过告警描述对告警信息进行核查、处理，在未造成信息泄露等重大损失之前，及时对潜在威胁进行处理，对服务安全进行升级加固，从而保护您的帐户安全、保障服务稳定运行。 支持区域：“华南-广州”、“华东-上海一”、“华北-北京四”。 什么是威胁检测服务？ 威胁检测服务快速使用流程 应用场景 功能特性 日志检测 通过对日志源的开启或关闭，实现对服务新产生的日志数据的检测控制，开启或关闭后不影响历史已检测的数据及结果。 支持区域：“华南-广州”、“华东-上海一”、“华北-北京四”。 关闭日志检测 开启日志检测 查看日志检测信息 威胁情报管理 您可对威胁情报信息进行导入、删除，通过导入Plaintext格式的第三方威胁情报数据源及可信IP列表，导入后服务将优先关联检测您导入的情报内的IP地址或域名进行威胁检测，删除后将取消情报数据的优先检测规则。 支持区域：“华南-广州”、“华东-上海一”、“华北-北京四”。 导入威胁情报 删除威胁情报 查看威胁情报信息 白名单管理 您可对白名单信息进行导入、删除，通过导入Plaintext格式的可信IP列表，导入后服务将优先对白名单内的IP地址或域名进行忽略，删除后将取消白名单信息的忽略规则。 支持区域：“华南-广州”、“华东-上海一”、“华北-北京四”。 导入白名单 删除白名单 查看白名单信息 数据同步 威胁检测服务告警结果默认保存30天，按照等保合规要求数据至少需要存储180天，为了满足等保合规要求对于MTD数据的存储要求，需将MTD数据转存至OBS桶满足等保合规要求。 支持区域：“华南-广州”、“华东-上海一”、“华北-北京四”。 告警详情 威胁检测服务目前支持3种检测方式，分别是威胁情报、规则基线、AI引擎，涵盖71种告警类型。 支持区域：“华南-广州”、“华东-上海一”、“华北-北京四”。 查看告警类型详情 查看检测结果 查看检测结果 创建威胁检测服务后，产生告警时可查看检测的告警详情。 支持区域：“华南-广州”、“华东-上海一”、“华北-北京四”。 查看检测结果

开启跨域访问 API网关默认不开启跨域访问，如果您需要开启，请参考以下说明完成跨域配置。如需自定义跨域的请求头、跨域的请求方法和指定授权访问的域，请使用跨域资源共享策略说明。 简单请求的跨域访问 如果是创建新的API，在“安全配置”时，打开“支持跨域（CORS）”开关。详细的使用指导，可参考简单请求。 非简单请求的跨域访问 非简单请求的跨域访问需要在API的分组中创建一个“请求方法”为“OPTIONS”的API，作为预检请求。 预检请求API的参数设置，请参考以下说明填写。详细的使用指导可参考非简单请求。 在“前端定义”中，参数填写说明如下： 请求方法：选择“OPTIONS” 请求协议：选择与已开启CORS的API相同的请求协议 路径：填斜杠/ 图2 预检请求-定义API请求 在“安全配置”中，安全认证选“无认证”，勾选“开启支持跨域CORS”。 图3 预检请求-使用无认证方式 后端配置选择“Mock”。 图4 预检请求-后端选Mock

后续操作 如果您需要检测更多的项目，请根据服务各版本支持的功能手动配置检测项，如图7所示。 版本之间的功能差异请参见服务版本差异。 图7 手动配置的检测项 表1 手动配置检测项 功能 检测项 相关链接 安装与配置 常用登录地/IP SSH登录IP白名单 开启恶意程序隔离查杀 安装与配置 入侵检测 配置告警白名单 配置登录白名单 入侵检测 主动防御 应用防护 网页防篡改 勒索病毒防护 文件完整性管理 主动防御 安全运营 策略管理 安全运营 安全报告 订阅安全报告 订阅安全报告

概述 欢迎使用容器安全服务（Container Guard Service，CGS），容器安全服务能够扫描镜像中的漏洞与配置信息，帮助企业解决传统安全软件无法感知容器环境的问题；同时提供容器进程白名单、文件只读保护和容器逃逸检测功能，有效防止容器运行时安全风险事件的发生。 您可以使用本文档提供的API对容器安全进行相关操作。 在调用容器安全服务API之前，请确保已经充分了解容器安全相关概念，详细信息请参见产品介绍。

sec-nip-attack IPS攻击日志的保留字段如表5所示。 表5 sec-nip-attack 字段 类型 字段含义 SyslogId String 日志序号。 Vsys String 虚拟系统名称。 Policy String 安全策略名称。 SrcIp String 报文的源IP地址 DstIp String 报文的目的IP地址 SrcPort String 报文的源端口（对于ICMP报文，该字段为0）。 DstPort String 报文的目的端口（对于ICMP报文，该字段为0）。 SrcZone String 报文的源安全域。 DstZone String 报文的目的安全域。 User String 用户名。 Protocol String 签名检测到的报文所属协议。 Application String 签名检测到的报文所属应用。 Profile String 配置文件的名称。 SignName String 签名的名称。 SignId String 签名的ID。 EventNum String 日志归并引入字段，是否归并需根据归并频率及日志归并条件来确定，不发生归并则为1。 Target String 签名所检测的报文所攻击的对象。具体情况如下： server：攻击对象为服务端。 client：攻击对象为客户端。 both：攻击对象为服务端和客户端。 Severity String 签名所检测的报文所造成攻击的严重性。具体情况如下： information：表示严重性为提示。 low：表示严重性为低。 medium：表示严重性为中。 high：表示严重性为高。 Os String 签名所检测的报文所攻击的操作系统。具体情况如下： all：所有系统。 android：安卓系统。 ios：苹果系统。 unix-like：Unix系统。 windows：Windows系统。 other：其他系统。 Category String 签名检测到的报文攻击特征所属的威胁分类。 Action String 签名动作。 alert：签名动作为告警。 block：签名动作为阻断。 Reference String 签名的参考信息。 Extend String 增强模式下的取证字段。

功能总览 功能总览 全部 漏洞扫描服务 网站漏洞扫描 主机漏洞扫描 安全监测 移动应用安全 二进制成分分析 漏洞扫描服务 漏洞扫描服务（Vulnerability Scan Service，简称VSS）是针对网站、主机、移动应用、软件包/固件进行漏洞扫描的一种安全检测服务，目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。扫描成功后，提供扫描报告详情，用于查看漏洞明细、修复建议等信息。 Web网站扫描：采用网页爬虫的方式全面深入的爬取网站url，基于多种不同能力的漏洞扫描插件，模拟用户真实浏览场景，逐个深度分析网站细节，帮助用户发现网站潜在的安全隐患。同时内置了丰富的无害化扫描规则，以及扫描速率动态调整能力，可有效避免用户网站业务受到影响。 主机扫描：经过用户授权（支持账密授权）访问用户主机，漏洞扫描服务能够自动发现并检测主机操作系统、中间件等版本漏洞信息和基线配置，实时同步官网更新的漏洞库匹配漏洞特征，帮助用户及时发现主机安全隐患。 移动应用安全：对用户提供的安卓、鸿蒙应用进行安全漏洞、隐私合规检测，基于静态分析技术，结合数据流静态污点跟踪，检测权限、组件、网络、等APP基础安全漏洞，并提供详细的漏洞信息及修复建议。 二进制成分分析：对用户提供的二进制软件包/固件进行全面分析，通过解压获取包中所有待分析文件，基于组件特征识别技术、静态检测技术以及各种风险检测规则，获得相关被测对象的组件BOM清单和潜在风险清单，并输出一份专业的分析报告。 发布区域：华北-北京四、华北-北京一、华东-上海一、华东-上海二、华南-广州、华南-广州-友好用户环境、华北-乌兰察布一、华南-深圳、西南-贵阳一、中国-香港 VSS产品介绍 VSS快速入门 VSS用户指南 网站漏洞扫描 丰富的漏洞规则库，可针对各种类型的网站进行全面深入的漏洞扫描，提供专业全面的扫描报告 具有OWASP TOP10和WASC的漏洞检测能力，支持扫描22种类型以上的漏洞。 扫描规则云端自动更新，全网生效，及时涵盖最新爆发的漏洞。 支持HTTPS扫描 发布区域：华北-北京四、华北-北京一、华东-上海一、华东-上海二、华南-广州、华南-广州-友好用户环境、华北-乌兰察布一、华南-深圳、西南-贵阳一、中国-香港 添加域名 域名认证 网站登录设置 创建扫描任务 查看网站扫描详情 下载网站扫描报告 删除域名 主机漏洞扫描 快速检测出主机存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 支持深入扫描：通过配置验证信息，可连接到服务器进行OS检测，进行多维度的漏洞、配置检测。 支持内网扫描：可以通过跳板机方式访问业务所在的服务器，适配不同企业网络管理场景。 支持中间件扫描：支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。支持通过标准包或者自定义安装等多种方式识别服务器的中间件及其版本，全方位发现服务器的漏洞风险。 发布区域：华北-北京四、华北-北京一、华东-上海一、华东-上海二、华南-广州、华南-广州-友好用户环境、华北-乌兰察布一、华南-深圳、西南-贵阳一、中国-香港 添加主机 配置Linux主机授权 开启主机扫描 查看主机扫描详情 下载主机扫描报告 其他操作 安全监测 漏洞扫描服务支持网站扫描，网站是您的“资产”，您可以在“安全监测”界面对您的资产进行安全扫描与编辑操作。 发布区域：华北-北京四、华北-北京一、华东-上海一、华东-上海二、华南-广州、华南-广州-友好用户环境、华北-乌兰察布一、华南-深圳、西南-贵阳一、中国-香港 新增监测任务 暂停监测任务 编辑监测任务 删除监测任务 查看任务详情 查看安全监测列表 通知设置 移动应用安全 移动应用安全服务能快速扫描您的应用，并提供详细的检测报告，协助你快速定位修复问题。 全自动化测试：您只需上传Android、HarmonyOS应用文件提交扫描任务，即可输出详尽专业的测试报告。 详细的测试报告：详尽的在线测试报告，一键即可下载，报告提供包括问题代码行、修复建议、调用栈信息、违规问题场景截图、关联隐私策略片段等信息。 支持第三方SDK隐私声明解析：针对第三方SDK隐私声明存在“表格”与“外链”两种展示方式。通过插桩方式获取应用隐私声明的url，继而提取并深度分析隐私声明内容。 支撑鸿蒙应用扫描：率先支持鸿蒙应用安全漏洞、隐私合规问题扫描。 发布区域：华北-北京四、华北-北京一、华东-上海一、华东-上海二、华南-广州、华南-广州-友好用户环境、华北-乌兰察布一、华南-深圳、西南-贵阳一、中国-香港 支持的服务版本 添加任务 管理任务 查看扫描详情 下载扫描报告 图解移动应用安全服务 二进制成分分析 对用户提供的二进制软件包及固件进行扫描，通过解压以及文件成分分析，识别包中的开源软件合规性及已知漏洞、敏感信息泄露、安全配置等风险，并提供全面直观的风险报告及解决方案。 安全合规：不依赖源码即可检测，规避企业、行业针对于源码不能外传的合规性问题。 检测能力全：支持开源软件合规及漏洞、安全配置、敏感信息泄露等多种类型风险检测。 支持对象多：支持Linux/Windows安装包、Web部署包、安卓/鸿蒙/IOS应用、IoT固件等多种类型文件上传扫描。 能力更新快：针对新风险响应迅速，从解读到落地调整检测规则到发布上线，按天更新推进。 报告全面专业：提供全面、直观的风险汇总信息，并针对不同的扫描告警提供专业的解决方案和修复建议。 发布区域：华北-北京四、华北-北京一、华东-上海一、华东-上海二、华南-广州、华南-广州-友好用户环境、华北-乌兰察布一、华南-深圳、西南-贵阳一、中国-香港 添加任务 管理任务 查看扫描详情 下载扫描报告 相关术语说明

收集范围 服务过程中收集及产生的个人数据如表1所示： 表1 个人数据范围列表 类型 收集方式及目的 是否可以修改 是否必须 生命周期 IP 调用接口 否 是 日志清空时删除 需要记录审计日志 管理检测与响应单申请交付页面填写 否 是 申请交付页面勾选了保留IP选项，会保留至租户销户时删除。 申请交付页面未勾选保留IP选项，系统不会保存。 网站域名/IP是管理检测与响应相关服务单交付必要信息 省市 管理检测与响应单创建等保安全服务单页面填写 否 是 工单处理完成后自动清除 等保安全服务单交付必要信息 手机号 管理检测与响应单创建等保安全服务单页面填写 否 是 工单处理完成后自动清除 等保安全服务单交付必要信息 邮箱 管理检测与响应单创建等保安全服务单页面填写 否 否 工单处理完成后自动清除 等保安全服务单交付可选信息

等保2.0三级要求—安全区域边界 表25 安全区域边界风险项检查项目 检查子项目 检查项目 访问控制 应在虚拟化网络边界部署访问控制机制，并设置访问控制规则。 应在不同等级的网络区域边界部署访问控制机制，设备访问控制规则 入侵防范 应能检测到云服务客户发起的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等。 应能检测到对虚拟网络节点的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等。 应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量。 应在检测到网络攻击行为、异常流量情况时进行告警。 安全审计 应对云服务提供商和云服务客户在远程管理时执行的特权命令进行审计，至少包括虚拟机删除、虚拟机重启。 应保证云服务提供商对云服务客户系统和数据的操作可被云服务客户审计。

移动应用安全扫描报告模板说明 下载扫描报告后，您可以根据扫描结果，对漏洞进行修复，报告模板主要内容说明如下：（以下截图中的数据仅供参考，请以实际扫描报告为准） 应用基本信息检测 包括基本信息、应用检测风险项汇总、漏洞风险项统计、漏洞风险检测项分布和检测情况汇总，如图2所示展示了检测汇总信息。 图2 检测情况汇总 应用漏洞检测 包括配置安全、加密安全、组件安全、签名证书安全、存储安全、权限安全和网络安全等，可以参考扫描出的漏洞详细信息修复漏洞，以配置安全为例，如图3所示。 图3 应用漏洞信息-配置安全 应用隐私合规检测 图4 应用隐私合规检测 应用权限信息检测 图5 应用权限信息 应用组件信息检测 查看软件的所有组件信息，包括Activity信息、Service信息、Provider信息和Receiver信息，以Activity信息为例，如图6所示。 图6 应用组件信息-Activity信息 移动应用安全评测依据 图7 移动应用安全评测信息

等保2.0三级要求—安全区域边界 表25 安全区域边界风险项检查项目 检查子项目 检查项目 访问控制 应在虚拟化网络边界部署访问控制机制，并设置访问控制规则。 应在不同等级的网络区域边界部署访问控制机制，设备访问控制规则 入侵防范 应能检测到云服务客户发起的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等。 应能检测到对虚拟网络节点的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等。 应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量。 应在检测到网络攻击行为、异常流量情况时进行告警。 安全审计 应对云服务提供商和云服务客户在远程管理时执行的特权命令进行审计，至少包括虚拟机删除、虚拟机重启。 应保证云服务提供商对云服务客户系统和数据的操作可被云服务客户审计。