功能总览 功能总览 全部 态势感知 安全概览 资源管理 业务分析 综合大屏 威胁告警 漏洞管理 基线检查 检测结果 安全报告 产品集成 日志管理 态势感知 态势感知（Situation Awareness，SA）是华为云安全管理与态势分析平台。能够检测出包括DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制等类别的云上安全风险。利用大数据分析技术，态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析，为用户呈现出全局安全攻击态势。 SA提供基础版、标准版和专业版三个版本。 发布区域：全部 服务版本差异 功能特性 应用场景 OBS 2.0支持 虚拟私有云子功能二 虚拟私有云（Virtual Private Cloud，以下简称VPC），为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。 您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。 除亚太-曼谷、亚太-新加坡、拉美-圣地亚哥以外的所有区域均已发布 如何创建虚拟私有云？ VPC服务介绍【视频】 VPC服务介绍【视频】 安全概览 “安全概览”分为安全评分、安全监控、安全趋势、威胁检测共四大板块，实时呈现云上整体安全评估状况，并联动其他云安全服务，集中展示云上安全。在“安全概览”查看安全概览信息和相关一键操作，实现云上安全态势一览和风险统一管控。 发布区域：全部 安全概览 资源管理 同步当前帐号中所有资源的安全状态统计信息。支持查看资源的名称、所属服务、所属区域、安全状况等，帮助您快速定位安全风险问题并提供解决方案。 发布区域：全部 资源管理 业务分析 联动企业主机安全服务（Host Security Service，HSS）、Web应用防火墙（Web Application Firewall，WAF）和数据库安全服务（Database Security Service，DBSS）三个安全防护服务，全面展示云上资产的安全状态和存在的安全风险。 发布区域：全部 业务分析 综合大屏 利用AI技术将海量云安全数据的分析并分类，通过综合大屏将数据可视化展示，集中呈现云上实时动态，云上关键风险一目了然，掌握云上安全态势更简单，更直观，更高效。 目前，综合大屏有“综合态势感知”和“主机态势感知”两个模块。 发布区域：全部 综合态势感知 主机安全态势 威胁告警 通过利用大数据量、高准确度的威胁情报库，“实时监控”云上威胁攻击，提供告警通知和监控，记录近180天告警事件详情，分析威胁攻击情况，并针对典型威胁事件预置策略实施防御手段。 目前支持检测和呈现以下类别的威胁告警事件：DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制。 发布区域：全部 威胁告警简介 查看告警列表 威胁分析 漏洞管理 通过实时获取业界热点安全漏洞讯息，同步主机漏洞扫描和网站漏洞扫描结果，全面掌握云上资产漏洞风险状况，并提供相应漏洞修复建议。 主机漏洞：通过授权主机，并一键扫描主机漏洞，呈现主机漏洞扫描检测信息，支持查看漏洞详情，并提供相应漏洞修复建议。 网站漏洞：通过自动同步VSS漏洞扫描结果，分类呈现网站漏洞扫描详情，支持查看漏洞详情列表、不同类型漏洞分布和不同漏洞等级分布，并提供相应漏洞修复建议。 应急漏洞公告：针对业界披露的热点安全漏洞，支持每5分钟抓取一次安全漏洞讯息，获取最新应急漏洞公告详情。 发布区域：全部 主机漏洞 网站漏洞 应急漏洞公告 专业版支持 基线检查 通过执行云服务基线扫描，检查基线配置风险状态，告警提示存在安全隐患的配置，并提供基线加固建议。 云服务基线检查：通过一键扫描或设置定期扫描，分类呈现云服务配置检测结果，提示不合格检测项，并提供相应配置加固建议和帮助指导。 发布区域：华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州、西南-贵阳一、中国-香港。 云服务基线检查 检测结果 通过集成安全防护产品，接入安全产品检测数据，管理全部检测结果。 发布区域：全部 检测结果 安全报告 为统计全局安全攻击态势，通过开启安全报告，态势感知以邮件形式向指定的收件人发送安全报告，反映阶段性安全概况、安全风险趋势。 发布区域：全部 分析报告 产品集成 通过集成安全防护产品，接入安全产品检测数据，管理检测结果的数据来源，支持查看传输数据量，管理数据上报健康状态。 发布区域：全部 安全产品集成 专业版支持 日志管理 态势感知支持将日志存储至对象存储服务（Object Storage Service，OBS），帮助用户轻松应对安全日志存储、导出场景，满足日志存储180天及集中审计的要求。 发布区域：全部 日志管理

边界防护与响应 表1 规格清单 一级分类 二级分类 规格名称 规格描述 管理 安全态势大屏 资产失陷态势 资产失陷态势，包括：失陷主机趋势、失陷主机分布、失陷事件阻断率、最新失陷事件、top失陷主机、top失陷类型、top失陷事件。 基础安全事件态势 基础安全事件态势，包括：攻击位置、威胁判定平均时长、阻断率、top攻击类型展示，最近威胁事件，专项事件数量。 外部攻击源态势 外部攻击源态势，包括：外部攻击源趋势、攻击源分布、外部攻击阻断率、最新外部攻击、top攻击源、攻击资产、攻击类型。 定期安全报告 定期安全报告 按周、按月为用户提供安全服务报告，安全服务报告将以邮件形式发送至用户订阅邮箱。通过安全服务报告，客户可清晰了解以下信息： 安全服务概况。 威胁防护次数及趋势。 失陷主机数量及详情。 外部攻击源数量及趋势。 恶意文件数量及趋势。 支持应用访问行为统计，支持基于源IP、时间和应用分布等维度的统计，按周月提供统计分析报表 支持历史安全报告的查看和预览功能。 支持报告下载。 安全域管理 安全域状态管理 支持安全域状态监测，检查安全域物理连线是否接反。 支持针对安全域设置信任标签。 手机APP 手机APP 支持手机APP方式进行边界防护的威胁事件、黑白名单、安全报表等功能管理。 MSSP MSSP代维 可在用户运维平台对安全服务建立委托关系，给指定被委托方建立不同操作权限角色（管理员、审计员等）的代维委托。委托建立后，被委托方可查看、处置安全威胁事件。 MSSP安全大屏 支持针对MSSP管辖的租户进行安全大屏呈现。 MSSP工单流转 支持租户的工单流转到MSSP进行分析和处置。 防护 天关/防火墙威胁防护 恶意软件防护 支持多级防护技术，支持多种恶意代码载体类型检测，实时更新病毒库，覆盖流行高危恶意软件。注：1U款型支持500万病毒库，桌面型款型支持300万病毒库。 僵木蠕防护 支持基于僵尸网络拓扑分析技术的精准角色识别，支持500+僵尸网络识别，支持1000+蠕虫和木马识别。 业务感知 支持识别6000+应用，支持主流应用协议全覆盖。 WEB分类 支持Web分类库超1.2亿，对访问行为进行管理，防范恶意网站对企业网络的侵害。 入侵防御 支持基于漏洞与行为分析的攻击检测技术，支持上下文语义还原的防躲避技术，最大支持12000+特征库，支持自动更新 。1U款型支持12000特征库，桌面型款型支持5000特征库，支持僵尸网络检测及应用服务器防护 。 响应 手动封禁 手动封禁 可以通过检测到的外部攻击源事件，进行手动封禁攻击源的操作。 EDR联动处置 EDR联动处置 支持失陷主机、恶意文件进行EDR联动处置能力，支持进程隔离、病毒查杀等操作。 EDR资产和设备自动关联 通过EDR资产发送探测报文方式，实现EDR资产、边界防护与响应服务、资产管理服务、EDR服务等服务联动，进行EDR资产与天关设备自动关联。 威胁自动阻断 外部攻击源自动阻断 支持对外部高危攻击源精准识别，自动下发黑名单，阻拦其后续的攻击行为。 恶意域名自动阻断 支持基于DNS过滤实现恶意域名自动阻断，拦截用户网络内主机对恶意域名的访问行为。 紧急安全通知 短信通知 支持短信紧急安全通知，针对威胁事件发送紧急通知，及时指导进行响应。 手机APP通知 支持手机APP紧急安全通知，针对威胁事件发送紧急通知，及时指导进行响应。 邮件通知 支持邮件紧急安全通知，针对威胁事件发送紧急通知，及时指导进行响应。 告警模板 对于需要发送给用户的紧急告警，提供对应的告警模板自定义能力。 黑白名单功能 域名黑名单 支持配置域名黑名单，拦截用户网络内主机对恶意域名的访问行为。 设备黑名单 支持设备黑名单设置能力，快速阻断威胁攻击源。 支持设备历史黑名单的查看。 支持一键清除。 设备保护网段 支持设备保护网段联动能力，保护已知业务，防止黑名单误阻断。 租户全局白名单 支持租户全局白名单设置能力，保护已知业务，防止黑名单误阻断。 设备白名单 支持设备白名单设置能力，保护已知业务，加入设备白名单的地址不会再进行内容安全检测。 分析 专项事件分析 失陷主机 支持按失陷主机维度自动聚合，基于失陷主机进行快速分析和处置。 外部攻击源 支持按外部攻击源维度自动聚合，基于外部攻击源进行快速分析和处置。 支持外部攻击源导出能力。 恶意文件 支持按恶意文件维度自动聚合，基于恶意文件进行快速分析和处置 检测 云蜜罐 事件检测 支持联动云蜜罐进行威胁检测、分析研判与处置 云端DNS自动化威胁检测 DNS恶意域名检测 恶意域名检测支持基于DNS过滤日志和恶意域名库，针对内网主机请求外网恶意域名的检测 云端Metadata威胁检测 明文口令检测 检测网站交互流量中是否存在明文口令传输行为。 弱密码检测 检测网站交互流量中是否存在弱密码传输行为。 反序列化攻击检测 反序列化是指把字节序列恢复为对象的过程, 如果Web应用在进行反序列化时接收用户输入的数据，且缺少对输入数据必要的验证，那么攻击者可以通过构造恶意输入，让反序列化产生非预期的对象，导致任意代码执行。算法基于反序列化攻击中的恶意流量特征进行检测，并支持攻击成功判定。 暴力破解检测 暴力破解攻击是通过使用某一账号、密码字典（通常为网络社工收集），尝试枚举登录，如果登录成功，则可获取用户账号密码。算法基于流量检测针对SSH、RDP协议的暴力破解，包括常规爆破以及密码喷洒式爆破、慢速爆破。 SQL注入检测 SQL注入是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句中添加额外的SQL语句，实现欺骗数据库服务器执行非授权的任意查询，达到获取数据信息的目的。算法基于HTTP交互行为特征识别SQL注入，并支持SQL注入的攻击成功判定。 DNS Tunnel检测 DNS通道指攻击者通过将攻击报文封装在DNS协议中，利用DNS递归查询机制，与远程恶意DNS服务器实现C&C（命令和控制）通信、数据窃取操作。算法利用DNS流量中的交互行为特征，检测DNS隐蔽通道。 OGNL注入检测 OGNL注入指web应用程序对用户输入数据的合法性没有判断，攻击者通过构造带有攻击性的OGNL表达式，以此实现命令执行的目的。算法基于HTTP交互行为特征识别OGNL注入，并支持攻击成功判定。 WebShell检测 基于流量行为特征检测未经加密和部分加密（如冰蝎、weevely、jweevely等）的WebShell，包括WebShell文件上传和与WebShell交互的场景。 RCE攻击检测 远程命令注入RCE是一种由于服务器应用漏洞导致黑客可以在服务器上执行任意命令的攻击。算法基于Web流量，通过攻击交互的行为特征识别命令注入，并支持攻击成功判定。 XXE攻击检测 XXE即XML外部实体攻击，是一种针对解析XML格式应用程序的攻击类型之一。此类攻击发生在当配置不当的XML解析器处理指向外部实体的文档时，可能会导致敏感文件泄露、拒绝服务攻击、系统命令执行等危害。算法基于XXE页面攻击特征识别注入行为，并支持攻击成功判定。

功能总览 功能总览 全部 漏洞扫描服务 网站漏洞扫描 主机漏洞扫描 安全监测 移动应用安全 二进制成分分析 漏洞扫描服务 漏洞扫描服务（Vulnerability Scan Service，简称VSS）是针对网站、主机、移动应用、软件包/固件进行漏洞扫描的一种安全检测服务，目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。扫描成功后，提供扫描报告详情，用于查看漏洞明细、修复建议等信息。 Web网站扫描：采用网页爬虫的方式全面深入的爬取网站url，基于多种不同能力的漏洞扫描插件，模拟用户真实浏览场景，逐个深度分析网站细节，帮助用户发现网站潜在的安全隐患。同时内置了丰富的无害化扫描规则，以及扫描速率动态调整能力，可有效避免用户网站业务受到影响。 主机扫描：经过用户授权（支持账密授权）访问用户主机，漏洞扫描服务能够自动发现并检测主机操作系统、中间件等版本漏洞信息和基线配置，实时同步官网更新的漏洞库匹配漏洞特征，帮助用户及时发现主机安全隐患。 移动应用安全：对用户提供的安卓、鸿蒙应用进行安全漏洞、隐私合规检测，基于静态分析技术，结合数据流静态污点跟踪，检测权限、组件、网络、等APP基础安全漏洞，并提供详细的漏洞信息及修复建议。 二进制成分分析：对用户提供的二进制软件包/固件进行全面分析，通过解压获取包中所有待分析文件，基于组件特征识别技术、静态检测技术以及各种风险检测规则，获得相关被测对象的组件BOM清单和潜在风险清单，并输出一份专业的分析报告。 发布区域：华北-北京四、华北-北京一、华东-上海一、华东-上海二、华南-广州、华南-广州-友好用户环境、华北-乌兰察布一、华南-深圳、西南-贵阳一、中国-香港 VSS产品介绍 VSS快速入门 VSS用户指南 网站漏洞扫描 丰富的漏洞规则库，可针对各种类型的网站进行全面深入的漏洞扫描，提供专业全面的扫描报告 具有OWASP TOP10和WASC的漏洞检测能力，支持扫描22种类型以上的漏洞。 扫描规则云端自动更新，全网生效，及时涵盖最新爆发的漏洞。 支持HTTPS扫描 发布区域：华北-北京四、华北-北京一、华东-上海一、华东-上海二、华南-广州、华南-广州-友好用户环境、华北-乌兰察布一、华南-深圳、西南-贵阳一、中国-香港 添加域名 域名认证 网站登录设置 创建扫描任务 查看网站扫描详情 下载网站扫描报告 删除域名 主机漏洞扫描 快速检测出主机存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 支持深入扫描：通过配置验证信息，可连接到服务器进行OS检测，进行多维度的漏洞、配置检测。 支持内网扫描：可以通过跳板机方式访问业务所在的服务器，适配不同企业网络管理场景。 支持中间件扫描：支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。支持通过标准包或者自定义安装等多种方式识别服务器的中间件及其版本，全方位发现服务器的漏洞风险。 发布区域：华北-北京四、华北-北京一、华东-上海一、华东-上海二、华南-广州、华南-广州-友好用户环境、华北-乌兰察布一、华南-深圳、西南-贵阳一、中国-香港 添加主机 配置Linux主机授权 开启主机扫描 查看主机扫描详情 下载主机扫描报告 其他操作 安全监测 漏洞扫描服务支持网站扫描，网站是您的“资产”，您可以在“安全监测”界面对您的资产进行安全扫描与编辑操作。 发布区域：华北-北京四、华北-北京一、华东-上海一、华东-上海二、华南-广州、华南-广州-友好用户环境、华北-乌兰察布一、华南-深圳、西南-贵阳一、中国-香港 新增监测任务 暂停监测任务 编辑监测任务 删除监测任务 查看任务详情 查看安全监测列表 通知设置 移动应用安全 移动应用安全服务能快速扫描您的应用，并提供详细的检测报告，协助你快速定位修复问题。 全自动化测试：您只需上传Android、HarmonyOS应用文件提交扫描任务，即可输出详尽专业的测试报告。 详细的测试报告：详尽的在线测试报告，一键即可下载，报告提供包括问题代码行、修复建议、调用栈信息、违规问题场景截图、关联隐私策略片段等信息。 支持第三方SDK隐私声明解析：针对第三方SDK隐私声明存在“表格”与“外链”两种展示方式。通过插桩方式获取应用隐私声明的url，继而提取并深度分析隐私声明内容。 支撑鸿蒙应用扫描：率先支持鸿蒙应用安全漏洞、隐私合规问题扫描。 发布区域：华北-北京四、华北-北京一、华东-上海一、华东-上海二、华南-广州、华南-广州-友好用户环境、华北-乌兰察布一、华南-深圳、西南-贵阳一、中国-香港 支持的服务版本 添加任务 管理任务 查看扫描详情 下载扫描报告 图解移动应用安全服务 二进制成分分析 对用户提供的二进制软件包及固件进行扫描，通过解压以及文件成分分析，识别包中的开源软件合规性及已知漏洞、敏感信息泄露、安全配置等风险，并提供全面直观的风险报告及解决方案。 安全合规：不依赖源码即可检测，规避企业、行业针对于源码不能外传的合规性问题。 检测能力全：支持开源软件合规及漏洞、安全配置、敏感信息泄露等多种类型风险检测。 支持对象多：支持Linux/Windows安装包、Web部署包、安卓/鸿蒙/IOS应用、IoT固件等多种类型文件上传扫描。 能力更新快：针对新风险响应迅速，从解读到落地调整检测规则到发布上线，按天更新推进。 报告全面专业：提供全面、直观的风险汇总信息，并针对不同的扫描告警提供专业的解决方案和修复建议。 发布区域：华北-北京四、华北-北京一、华东-上海一、华东-上海二、华南-广州、华南-广州-友好用户环境、华北-乌兰察布一、华南-深圳、西南-贵阳一、中国-香港 添加任务 管理任务 查看扫描详情 下载扫描报告 相关术语说明

扫描的安全漏洞告警如何分析定位? 针对移动扫描的安全漏洞，如何通过报告提供的信息进行分析、定位、修复？检测结果提供了如下信息： 报告提供了问题代码信息，包括文件名及其路径，可以通过该信息快速定位到问题文件。 针对部分检测问题，如签名安全检测告警，无具体问题文件显示。 漏洞特征信息，主要为安全漏洞所涉及的函数代码。 安全漏洞修复建议，结合上述代码信息确定具体告警位置，分析漏洞告警是否确认为安全漏洞。

产品优势 移动应用安全 扫描速度快：整个检测为分钟级，综合检测报告产出效率高。 能力更新快：针对新风险响应迅速，从解读到检测规则到发布上线，按天更新推进。 检测能力强：隐私解析集成CV图形学算法、OCR、NLP等多领域技术，提供精确的隐私行为一致性检测能力。 覆盖范围全：支持100+基础安全问题、30+隐私合规问题，提供详细的检测结果及修复建议。 二进制成分分析 安全合规 不依赖源码检测，规避企业、行业针对源码不能外传的合规性问题。 检测能力全 支持开源软件合规及漏洞、安全配置、敏感信息泄露等多种类型风险检测。 支持对象多 支持Linux/Windows安装包、Web部署包、安卓/鸿蒙/IOS应用、IoT固件等多种类型文件上传扫描。 能力更新快 针对新风险响应迅速，从解读到落地调整检测规则到发布上线，按天更新推进。 使用简单 开箱即用，无需本地安装运维。 代码检查 专业 提供近2000条华为典型检查规则。 提供多维度质量统计报表，包括质量门禁和代码健康度徽标等。 精准 精确定位缺陷，提供修复指导。 支持用户自定义检查规则集，精准检查用户关注缺陷。 全面 支持Java/C#/JS等10种主流开发语言。 支持代码规范检查、安全检查、代码重复率和圈复杂度检查。 兼容CWE/OWASP TOP 10/SANS TOP 25/MISRA/CERT安全标准。 易用 支持多种语言混合检查。 配置任务一键执行，批量过滤缺陷，分级分类快速处理。 漏洞扫描 扫描全面 涵盖多种类型资产扫描，支持云内外网站、主机漏洞、二进制成分分析和移动应用安全，智能关联各资产，自动发现资产指纹信息，避免扫描盲区。 简单易用 配置简单，一键全网扫描。可自定义扫描事件，分类管理资产安全，让运维工作更简单，风险状况更清晰了然。 高效精准 采用Web2.0智能爬虫技术，内部验证机制不断自测和优化，提高检测准确率。 时刻关注业界紧急CVE爆发漏洞情况，自动扫描，快速了解资产安全风险。 快速排查用户软件包/固件中的开源软件、安全配置等风险。 报告全面 清晰简洁的扫描报告，多角度分析资产安全风险，多元化数据呈现，将安全数据智能分析和整合，使安全现状清晰明了。

None 操作指导 漏洞扫描服务 VSS 介绍域名认证的操作流程 02:18 域名认证 漏洞扫描服务 VSS 介绍如何按需体验专业版web扫描服务 02:26 按需体验专业版Web扫描服务 漏洞扫描服务 VSS 介绍如何创建网站扫描任务 02:27 创建网站扫描任务 漏洞扫描服务 VSS 介绍主机扫描的操作流程 04:54 如何进行主机扫描 漏洞扫描服务 VSS 介绍如何查看漏洞检测日志 02:07 查看漏洞检测日志 漏洞扫描服务 VSS 介绍如何创建移动应用安全扫描 02:16 移动应用安全 漏洞扫描服务 VSS 介绍如何创建二进制成分分析 02:24 二进制成分分析

主机安全 企业主机安全（Host Security Service，HSS）是提升服务器整体安全性的服务，为用户提供资产管理、漏洞管理、入侵检测、基线检查等功能，降低服务器被入侵的风险。 在弹性云服务器中安装Agent后，云服务器受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 图1 HSS功能原理 企业主机安全服务的组件功能及工作流程说明如下： 安全控制台： 可视化的管理平台，便于您集中下发配置信息，查看在同一区域内主机的防护状态和检测结果。 HSS云端防护中心： 接收您在控制台下发的配置信息和检测任务，并转发给安装在服务器上的Agent。 接收Agent上报的主机信息，分析主机中存在的安全风险和异常信息，将分析后的信息以检测报告的形式呈现在控制台界面。 HSS客户端： 接收HSS云端防护中心转发的检测任务。 按检测任务要求扫描弹性云服务器，并将事件扫描信息上报给HSS云端防护中心。 您在使用企业主机安全服务前，需要先在云服务器上安装客户端。更多信息，请参考主机安全。

扫描的安全漏洞告警如何分析定位? 针对移动扫描的安全漏洞，如何通过报告提供的信息进行分析、定位、修复？检测结果提供了如下信息： 报告提供了问题代码信息，包括文件名及其路径，可以通过该信息快速定位到问题文件。 针对部分检测问题，如签名安全检测告警，无具体问题文件显示。 漏洞特征信息，主要为安全漏洞所涉及的函数代码。 安全漏洞修复建议，结合上述代码信息确定具体告警位置，分析漏洞告警是否确认为安全漏洞。

关键特性 表1 华为乾坤安全分支解决方案关键特性 特性类型 特性名称 简介 云管理网络 站点管理 支持按站点管理网络，可以查看网络拓扑、调整拓扑结构、配置站点业务。 设备管理 支持纳管网络设备（交换机、AP、AR、WAC）、安全设备（防火墙）和三方设备。 准入认证 提供了802.1X、Portal、MAC等多种认证方式，可按需对接入用户进行策略管控。 IPsec VPN 提供一种静态VPN，通过在站点之间建立IPsec隧道来创建VPN通道，实现分支与分支、分支与总部、分支与云之间的业务互访。 SD-WAN 提供一种动态VPN，可按需在站点间建立隧道，动态发布路由。通过站点间建立GRE隧道来创建VPN通道，同时支持在GRE隧道上进行IPsec加密，实现分支与分支、分支与总部、分支与云之间的业务安全互访。 支持基于应用、策略选择质量较优的链路发送数据，实现基于应用、策略的智能选路。 网络环境监控 支持网络健康度评估、网络问题分析、无线智能去噪。 用户体验保障 支持用户旅程回放、协议回放、用户问题分析。 应用分析 支持全网应用数据监控，保障网络应用畅通无阻。 智能调优 支持智能无线射频调优、智能无线漫游。 边界防护与响应服务 本地网络边界防护 天关/防火墙部署在租户网络边界，通过入侵防御、反病毒、DNS过滤等技术守护本地安全，可以执行以下防护动作： 对流量进行入侵防御检测，全方位防御各种威胁行为。 对流量进行反病毒处理，有效避免病毒文件引起的数据破坏、权限更改和系统崩溃等情况的发生。 对流量进行DNS过滤，全面控制域名访问。 租户数据安全处理 数据授权：在用户授权前提下，本地天关/防火墙仅提供用户授权范围内的数据。 加密传输：本地天关/防火墙采用HTTPS或TLS协议将日志提供到云服务平台。 加密保存：使用华为公司密钥管理中心（KMC）加密组件对数据进行加密，加密后存储在云端。 处理原则：仅供云服务平台运营专家进行威胁分析和溯源。 信息隔离：每个用户都有自己的服务账号，基于账号接收分析报表和短信，不同用户间信息隔离。 自动化分析 云端基于分析模型对威胁事件进行分析判定，并根据判定结果执行不同的处置。租户可依靠云端的自动化分析能力和安全专家简化本地运维，提升防护实效。 自动化分析以后，可以有如下几种处置方式： 事件命中误报模型，则此事件状态变更为误报。 事件命中告警自动确认模型、威胁分析等模型，则自动化分析将请求安全响应执行相应的处置。 在自动化分析的基础上，安全专家进一步分析处置事件。 安全响应 提供安全事件的响应闭环能力，主要包括下发黑名单、发送告警两种安全响应动作，租户可利用云端的安全响应能力有效提高安全事件的闭环效率。 针对以下场景提供下发黑名单、发送告警两种安全响应动作： 自动化分析判定后可以自动处置的事件，自动化分析将请求安全响应下发黑名单或发送告警。 自动化分析判定后需要安全专家处置的事件，安全专家分析后可通过Portal页面的事件管理菜单人工下发黑名单或发送告警。 租户在租户门户中下发黑名单。 云端专家精准分析 云端专家整合安全能力，快速准确识别复杂威胁： 现网对抗经验固化到云端，不断增强云端安全能力。 最新漏洞分析、云端智能签名生产，快速应对新型威胁。 专家针对发现的每一条安全告警进行统一分析，运用云端各种安全能力，解决最新“疑难杂症”。 终端防护与响应服务 终端识别与管理 终端自动识别：提供自动化终端资产清点能力，安装EDR Agent后，该终端即被自动识别。 资产信息管理：自动化统一管理主机列表、进程、端口、组件等终端资产信息。 终端安全管理：智能分析终端安全，呈现终端资产安全分析评分和风险总览。 威胁检测与处置 入侵检测：基于行为检测引擎，提供终端行为检测能力，检测暴力破解、异常登录、权限提升等恶意行为。 事件聚合：将离散的勒索类告警事件，基于进程调用链聚合成相应的勒索事件，且支持对其一键处置。 病毒查杀与处置 病毒查杀：基于华为第三代反病毒引擎，每日更新病毒特征库，实时更新紧急病毒，提供高质量病毒文件检测能力。 威胁分析：支持对检出的病毒文件进行威胁分析，展示详细的威胁信息，如病毒标识、风险值、置信度等。 主动防御 诱饵捕获：基于勒索病毒特征放置诱饵文件，实时检测并及时上报异常行为。 文件防篡改：对重点文件进行访问权限控制并实时检测，及时发现篡改行为。 实时防护：实时扫描全盘目录，及时识别病毒文件并阻断其传送行为。 溯源分析 取证分析：采集和存储终端信息，并通过数据挖掘、关联分析等方法，对威胁事件进行取证分析。 攻击可视化：通过EDR（Endpoint Detection and Response，端点侦测与回归）数字化建模、溯源推理算法，实现攻击可视化，精准还原威胁攻击链路。 威胁信息服务 威胁信息检索 支持全球恶意IP、恶意域名、恶意文件、漏洞信息等威胁信息的快速检索，数据详情包括但不限于威胁类型、风险级别、置信度、场景信息、地理位置、关联历史事件、关联恶意威胁信息、相关文章等信息。 安全研究 定期发布情报周报、情报预警、热点情报等文章，帮助用户了解近期关键安全事件。 高性能威胁信息查询接口 提供高性能的全球恶意IP、恶意域名、恶意文件、漏洞信息、URL分类等威胁信息的查询接口，辅助自动化分析人员进行分析取证及处置，提升运维效率。 重保威胁信息 在重保服务期间通过AI算法分析全网历史攻击行为及攻击方法，精准识别攻击方地址，实时共享历史重保专项威胁信息，有效提升信息的精准度。 云日志审计服务 日志接收/解析/存储/查询 支持接收不同类型资产（如服务器/终端、网络设备、安全设备、业务系统等）所产生的日志，将日志留存在云端，实现日志的集中管理和存储。 支持解析多种格式及多种来源的日志，将其标准化。 支持日志审计留存在云端，支持180天的日志留存时长。 支持用户按需实时查询日志信息，查询条件包含时间、日志级别、日志类型、资产名称、源/目的IP地址和端口等。 审计资产管理 支持增加多种类型的资产，如服务器、终端设备、网络设备、安全设备等，并对资产的等级进行标识，为用户判断是否需要进行日志审计提供参考信息。 支持灵活管理需要审计的资产。 日志审计统计数据可视化 支持查看当前所有日志数量以及各日志级别的日志数量。 支持按时间段查看日志容量使用趋势和日志数量趋势，如近7天、近一个月。 支持查看当前审计的资产数量及类型。 支持查看每天上报日志最多的TOP10资产。

边缘算法视觉能力包 边缘算法视觉能力包适用场景：算法模型下发到边缘节点的客户设备中，在客户设备中执行算法分析任务，视频流数据不需要提供到华为云上。 当前提供的边缘算法视觉能力包有边缘交通智能分析算法包、边缘专业类算法包和边缘通用类算法包，每个算法包中包含的算法服务如下面表格所示。 表1 视觉能力包列表-边缘交通智能分析算法包 序号 包含的算法服务 算法场景 场景说明 1 边缘异常停车 机动车违停 机动车违停主要检测在未经许可、非合法设置停车泊位的地点停放机动车。根据视频监控画面选取机动车禁停区域，当该区域内出现机动车停放且长时间（可配置）未离开时，经算法自动分析，主动获取事件的现场画面和发生时间，并将报警图片和信息推送至上级平台，用于生成案卷上报的依据。 表2 视觉能力包列表-边缘专业类算法包 序号 包含的算法服务 算法场景 场景说明 1 边缘高密度人群统计 人群聚集检测 人群密度估计主要是在政府大门、广场等特定场景下，检测人群聚集情况，及时发现集会、群访等社会问题。根据视频监控画面选取重点关注区域，经算法自动分析，输出人群中人数估计值。当画面中人数估计值超过阈值（可配置）时，主动获取事件的现场画面和发生时间，并将报警图片和信息推送至上级平台，用于生成案卷上报的依据。 2 户外人数估计 3 厂区人数超限 识别工厂内特定区域的人数超过特定限制的事件，并发出告警。抓取取证图片和对应的时间信息，用于生成案卷上报的依据，保障厂区管理安全。 4 边缘共享单车检测 共享单车乱摆放识别 共享单车违停检测是在监控区域内，对共享单车的违停行为进行自动检测，并对违停行为产生告警。监控人员观察告警视频画面，通知相关负责单位前去处理，以保障城市的管理秩序。 5 边缘城管事件-垃圾检测 暴露垃圾 打包垃圾、暴露垃圾、绿地脏乱是指公共场所未倒入垃圾容器的生活垃圾。当视频画面内出现暴露垃圾时，经算法自动分析，主动获取事件的现场画面和发生时间，并将报警图片和信息推送至上级平台，用于生成案卷上报的依据。 6 积存垃圾渣土 7 道路不洁 8 绿地脏乱 9 沙（河）滩不洁 识别沙滩、河滩上的垃圾袋、水瓶等生活垃圾，并进行告警，抓取取证图片和对应的时间信息，用于生成案卷上报的依据。 10 餐厨垃圾遗撒 餐厨垃圾遗撒检测算法通过对视频画面进行实时监控，对餐厨垃圾的现象进行检测、告警，通知相关人员前来处理，维护后厨环境卫生安全。 11 边缘城管事件-占道经营检测 出店经营 出店经营是指经营物品店外摆放，或者有跨门占道经营行为。当视频画面内的店面门口出现摆放摊位、桌椅等进行经营活动时，经算法分析，主动获取事件的现场画面和发生时间，并将报警图片和信息推送至上级平台，用于生成案卷上报的依据。 12 占道经营 无照经营游商、占道经营和占道废品收购是指在城市道路上进行摊位销售经营活动或者公共场所从事流动性经营行为，经算法自动分析，主动获取事件的现场画面和发生时间，并将报警图片和信息推送至上级平台，用于生成案卷上报的依据。 13 无照游商 14 边缘城市垃圾桶满溢检测 垃圾箱满溢 垃圾箱满溢是指道路、小区旁的垃圾箱出现垃圾溢满且无人处理的现象。当视频画面内出现垃圾箱满溢时，经算法自动分析，主动获取事件的现场画面和发生时间，并将报警图片和信息推送至上级平台，用于生成案卷上报的依据。 15 边缘垃圾桶异常检测 后厨垃圾桶未盖盖检测 垃圾桶开合检测算法通过对视频画面进行实时监控，对后厨垃圾桶未合盖的现象进行检测、告警，通知相关人员前来处理，维护后厨环境卫生安全。 16 边缘烟火检测 焚烧垃圾树叶 识别街道、园区等场景明火焚烧垃圾树叶的事件。焚烧时火焰需明显可见，或能产生显眼的浓烟。当视频画面内发生明火焚烧垃圾树叶的事件后，经算法分析，能够主动获取事件的现场画面和发生时间，抓取取证图片和对应的时间信息，用于生成案卷上报的依据。 17 火灾识别 识别工厂明火火灾、烟雾的事件。焚烧时火焰需明显可见，或能产生显眼的浓烟。当视频画面内发生明火或烟雾的事件后，经算法分析，能够主动获取事件的现场画面和发生时间，抓取取证图片和对应的时间信息，用于生成案卷上报的依据。 18 烟雾检测 19 工地扬尘 识别工地上大规模、浓烈明显的扬尘事件，并发出告警。抓取取证图片和对应的时间信息，用于生成案卷上报的依据，保障厂区管理安全。 20 厂区动火作业 识别工地上的动火事件，火焰需明显，并发出告警。抓取取证图片和对应的时间信息，用于生成案卷上报的依据，保障厂区管理安全。 21 边缘个体动作检测 攀爬行为检测 个体动作识别算法通过对监控视频流中的人物进行实时的检测与跟踪，并估计其人体骨架，结合单帧姿态识别和多帧动作识别实现高效准确的个体动作识别。算法可部署于工地、园区等场景，实现对攀爬行为事件的及时检测，保证相应区域及人员的安全。 22 挥手求救检测 个体动作识别算法通过对监控视频流中的人物进行实时的检测与跟踪，并估计其人体骨架，结合单帧姿态识别和多帧动作识别实现高效准确的个体动作识别。算法可部署于工地、园区等场景，实现对挥手求救动作事件的及时检测，保证相应区域及人员的安全。 23 摔倒识别 识别人员摔倒的事件，主要指滑倒、休克倒地等人员落地事件。当视频画面内发生摔倒事件后，经算法分析，能够主动获取事件的现场画面和发生时间，抓取取证图片和对应的时间信息，用于生成案卷上报的依据。 24 边缘个体事件行为检测 危险区域吸烟检测 吸烟动作识别算法通过对视频流进行实时分析，结合行人检测算法和人体骨骼关节点检测算法，筛选出具有疑似动作的目标，再通过对目标进行连续追踪和分析，判断出目标的具体行为，进而对吸烟行为进行告警。 25 打电话检测 识别是否有人员打电话的事件。在加油站等安全应急场景，打电话是十分危险的行为。通过行为识别的技术，当视频画面内发生人员打电话的事件后，经算法分析，能够主动获取事件的现场画面和发生时间，抓取取证图片和对应的时间信息，用于生成案卷上报的依据。 26 边缘打架检测 打架检测 识别人员打架的事件，主要指斗殴、拳击等较大程度的打架事件，但不包括扯衣服、对骂等较小程度的纷争。当视频画面内发生打架事件后，经算法分析，能够主动获取事件的现场画面和发生时间，抓取取证图片和对应的时间信息，用于生成案卷上报的依据。 27 边缘船只入侵检测 船只入侵 识别船只入侵的事件。根据视频监控画面选取重点关注区域（需配置），算法可自动识别是否有船只入侵至关注区域内。当视频画面内发生船只入侵的事件后，经算法分析，能够主动获取事件的现场画面和发生时间，抓取取证图片和对应的时间信息，用于生成案卷上报的依据。 28 边缘漂浮物监测 河道漂浮物识别 识别河道上是否存在漂浮物，漂浮物的类型主要指垃圾袋、水瓶等生活垃圾。当视频画面内发生河道漂浮物的事件后，经算法分析，能够主动获取事件的现场画面和发生时间，抓取取证图片和对应的时间信息，用于生成案卷上报的依据。 表3 视觉能力包列表-边缘通用类算法包 序号 包含的算法服务 算法场景 场景说明 1 边缘入侵检测 人员入侵检测 识别人员和车辆入侵的事件。根据视频监控画面选取重点关注区域（需配置），算法可自动识别是否有人员和车辆入侵至关注区域内。当视频画面内发生入侵的事件后，经算法分析，能够主动获取事件的现场画面和发生时间，抓取取证图片和对应的时间信息，用于生成案卷上报的依据 2 车辆入侵检测 3 特定区域人员闯入 识别人员闯入的事件。根据视频监控画面选取重点关注区域（需配置），算法可自动识别是否有人员入侵至关注区域内。当视频画面内发生入侵的事件后，经算法分析，能够主动获取事件的现场画面和发生时间，抓取取证图片和对应的时间信息，用于生成案卷上报的依据 4 行人踩踏绿地 识别行人踩踏绿地的事件。通过人员检测、跟踪算法，智能判断是否有行人踏入绿地中（绿地区域需要配置）。当视频画面内发生踩踏绿地的事件后，经算法分析，能够主动获取事件的现场画面和发生时间，抓取取证图片和对应的时间信息，用于生成案卷上报的依据 5 厂区非法闯入 识别工厂内一些重要区域、危险区域的人员闯入事件，并发出告警。抓取取证图片和对应的时间信息，用于生成案卷上报的依据，保障厂区管理安全 6 边缘关键岗位检测 工作室人员脱岗 通过人员检测、跟踪技术，识别摄像头画面中人员数量是否小于预设数量（需配置）。若识别的人员数量少于预设数量，则判断为有人员离岗，经算法分析，能够主动获取事件的现场画面和发生时间，抓取取证图片和对应的时间信息，用于生成案卷上报的依据 7 边缘人流量统计 人流量统计 人流统计服务是应用于园区、门店等监控区域内，统计用户感兴趣区域内的行人流量，不仅可统计时间段内进出某一区域的行人流量和属性，或者统计某时刻当前区域的行人流量和属性，或者显示历史访客热衷出现的区域，通过分析这些视频数据，更好地挖掘数据内部的价值，服务内外部客户； 8 边缘非机动车检测 非机动车乱停放 非机动车乱停放主要检测在未经许可、非合法设置停车泊位的地点停放非机动车。根据视频监控画面选取非机动车禁停区域，当该区域内出现非机动车停放且长时间（可配置）未离开时，经算法自动分析，主动获取事件的现场画面和发生时间，并将报警图片和信息推送至上级平台，用于生成案卷上报的依据 9 非机动车入侵 非机动车入侵主要检测在未经许可非机动车进入的地点出现非机动车。根据视频监控画面选取非机动车禁入区域，当该区域内出现非机动车时，经算法自动分析，主动获取事件的现场画面和发生时间，并将报警图片和信息推送至上级平台，用于生成案卷上报的依据 10 电动车入户检测 电动车入户检测主要检测是否有电动车进入楼梯间、电梯间等事件。根据视频监控画面选取电动车禁入区域，当该区域内出现电动车时，经算法自动分析，主动获取事件的现场画面和发生时间，并将报警图片和信息推送至上级平台，用于生成案卷上报的依据 11 非机动车占用机动车道 在监控区域内，对非机动车占用机动车道的事件进行自动检测、产生告警。通知相关部门处置，以保障城市的管理秩序 12 边缘消防通道车辆占用检测 消防通道车辆占用检测 消防通道占用服务应用于消防通道等场景，智能检测识别占用通道的堆物或车辆，同时输出占道车辆车牌号，并及时上报告警，通知管理人员来处理占道堆物或车辆，避免出现由于消防通道被占用，导致消防力量无法及时赶到火灾现场展开救援等恶劣情况； 13 消防通道堆物占用检测 14 边缘戴口罩检测 未戴口罩识别 未戴口罩识别服务是在监控区域内，对没有戴口罩的行人进行检测，并产生告警。告警可联动视频管理平台、门禁系统等，禁止该人员进入；或安排相关人员前去处理，以保障周边地区的疫情安全和相关人员的身体健康。 15 边缘遗留物检测 遗留物检测 识别车站、园区等公共场景是否有物品遗留的事件。支持的遗留物品类型主要包括包裹、拉杆箱。当视频画面内发生物品遗留的事件后，经算法分析，能够主动获取事件的现场画面和发生时间，抓取取证图片和对应的时间信息，用于生成案卷上报的依据。 16 边缘视频车辆 特殊车辆识别 识别道路上是否有特殊车辆经过，特殊车辆主要指渣土车、水泥搅拌车、拖挂车、吊车、环卫车，车型需具有与一般车辆的明显区分度。当视频画面内发生危险品车辆经过的事件后，经算法分析，能够主动获取事件的现场画面和发生时间，抓取取证图片和对应的时间信息，用于生成案卷上报的依据。 17 渣土车识别 识别道路上是否有渣土车经过。当视频画面内发生渣土车经过的事件后，经算法分析，能够主动获取事件的现场画面和发生时间，抓取取证图片和对应的时间信息，用于生成案卷上报的依据。 18 油罐车识别 识别道路上是否有油罐车经过。当视频画面内发生油罐车经过的事件后，经算法分析，能够主动获取事件的现场画面和发生时间，抓取取证图片和对应的时间信息，用于生成案卷上报的依据。 19 卡口进出车牌识别 识别卡口、出入口位置的车牌监控，识别车牌号码及颜色、上报事件。 20 边缘工服工帽检测 未穿工服检测 工人不佩戴安全帽和不穿反光衣的危险作业行为是日常管理中的一大难题，由于未佩戴安全帽或者未穿戴反光衣导致的安全隐患不容忽视。为解决安全生产中安全帽管理，提高工人的安全意识，利用建设在 、厂区的各种视频监控资源，根据人工智能分析技术对在岗工人是否佩戴安全帽和是否穿戴反光衣进行检测，做到日常监测和动态预警，实现安全生产信息化管理。 21 未戴安全帽检测

云上算法视觉能力包 云上算法视觉能力包适用场景：视频流数据需要上传到华为云，在华为云上进行算法分析。 当前提供的云上算法视觉能力包有云上专业类算法包和云上通用类算法包，每个算法包中包含的算法服务如下面表格所示。 表4 视觉能力包列表-云上专业类算法包 序号 包含的算法服务 算法场景 算法说明 1 云上高密度人群统计 人群聚集检测 人群密度估计主要是在政府大门、广场等特定场景下，检测人群聚集情况，及时发现集会、群访等社会问题。根据视频监控画面选取重点关注区域，经算法自动分析，输出人群中人数估计值。当画面中人数估计值超过阈值（可配置）时，主动获取事件的现场画面和发生时间，并将报警图片和信息推送至上级平台，用于生成案卷上报的依据。 2 户外人数估计 3 厂区人数超限 识别工厂内特定区域的人数超过特定限制的事件，并发出告警。抓取取证图片和对应的时间信息，用于生成案卷上报的依据，保障厂区管理安全。 4 云上共享单车检测 共享单车乱摆放识别 共享单车违停检测是在监控区域内，对共享单车的违停行为进行自动检测，并对违停行为产生告警。监控人员观察告警视频画面，通知相关负责单位前去处理，以保障城市的管理秩序。 5 云上城管事件-占道经营检测 出店经营 出店经营是指经营物品店外摆放，或者有跨门占道经营行为。当视频画面内的店面门口出现摆放摊位、桌椅等进行经营活动时，经算法分析，主动获取事件的现场画面和发生时间，并将报警图片和信息推送至上级平台，用于生成案卷上报的依据。 6 占道经营 无照经营游商、占道经营和占道废品收购是指在城市道路上进行摊位销售经营活动或者公共场所从事流动性经营行为，经算法自动分析，主动获取事件的现场画面和发生时间，并将报警图片和信息推送至上级平台，用于生成案卷上报的依据。 7 无照游商 8 云上烟火检测 焚烧垃圾树叶 识别街道、园区等场景明火焚烧垃圾树叶的事件。焚烧时火焰需明显可见，或能产生显眼的浓烟。当视频画面内发生明火焚烧垃圾树叶的事件后，经算法分析，能够主动获取事件的现场画面和发生时间，抓取取证图片和对应的时间信息，用于生成案卷上报的依据。 9 火灾识别 识别工厂明火火灾、烟雾的事件。焚烧时火焰需明显可见，或能产生显眼的浓烟。当视频画面内发生明火或烟雾的事件后，经算法分析，能够主动获取事件的现场画面和发生时间，抓取取证图片和对应的时间信息，用于生成案卷上报的依据。 10 烟雾检测 11 工地扬尘 识别工地上大规模、浓烈明显的扬尘事件，并发出告警。抓取取证图片和对应的时间信息，用于生成案卷上报的依据，保障厂区管理安全。 12 厂区动火作业 识别工地上的动火事件，火焰需明显，并发出告警。抓取取证图片和对应的时间信息，用于生成案卷上报的依据，保障厂区管理安全。 13 云上个体动作检测 攀爬行为检测 个体动作识别算法通过对监控视频流中的人物进行实时的检测与跟踪，并估计其人体骨架，结合单帧姿态识别和多帧动作识别实现高效准确的个体动作识别。算法可部署于工地、园区等场景，实现对攀爬行为事件的及时检测，保证相应区域及人员的安全。 14 挥手求救检测 个体动作识别算法通过对监控视频流中的人物进行实时的检测与跟踪，并估计其人体骨架，结合单帧姿态识别和多帧动作识别实现高效准确的个体动作识别。算法可部署于工地、园区等场景，实现对挥手求救动作事件的及时检测，保证相应区域及人员的安全。 15 摔倒识别 识别人员摔倒的事件，主要指滑倒、休克倒地等人员落地事件。当视频画面内发生摔倒事件后，经算法分析，能够主动获取事件的现场画面和发生时间，抓取取证图片和对应的时间信息，用于生成案卷上报的依据。 16 云上个体事件行为检测 危险区域吸烟检测 吸烟动作识别算法通过对视频流进行实时分析，结合行人检测算法和人体骨骼关节点检测算法，筛选出具有疑似动作的目标，再通过对目标进行连续追踪和分析，判断出目标的具体行为，进而对吸烟行为进行告警。 17 打电话检测 识别是否有人员打电话的事件。在加油站等安全应急场景，打电话是十分危险的行为。通过行为识别的技术，当视频画面内发生人员打电话的事件后，经算法分析，能够主动获取事件的现场画面和发生时间，抓取取证图片和对应的时间信息，用于生成案卷上报的依据。 18 云上打架检测 打架检测 识别人员打架的事件，主要指斗殴、拳击等较大程度的打架事件，但不包括扯衣服、对骂等较小程度的纷争。当视频画面内发生打架事件后，经算法分析，能够主动获取事件的现场画面和发生时间，抓取取证图片和对应的时间信息，用于生成案卷上报的依据。 表5 视觉能力包列表-云上通用类算法包 序号 包含的算法服务 算法场景 算法说明 1 云上关键岗位检测 工作室人员脱岗 通过人员检测、跟踪技术，识别摄像头画面中人员数量是否小于预设数量（需配置）。若识别的人员数量少于预设数量，则判断为有人员离岗，经算法分析，能够主动获取事件的现场画面和发生时间，抓取取证图片和对应的时间信息，用于生成案卷上报的依据。 2 云上人流量统计 人流量统计 人流统计服务是应用于园区、门店等监控区域内，统计用户感兴趣区域内的行人流量，不仅可统计时间段内进出某一区域的行人流量和属性，或者统计某时刻当前区域的行人流量和属性，或者显示历史访客热衷出现的区域，通过分析这些视频数据，更好地挖掘数据内部的价值，服务内外部客户。 3 云上入侵检测 人员入侵检测 识别人员和车辆入侵的事件。根据视频监控画面选取重点关注区域（需配置），算法可自动识别是否有人员和车辆入侵至关注区域内。当视频画面内发生入侵的事件后，经算法分析，能够主动获取事件的现场画面和发生时间，抓取取证图片和对应的时间信息，用于生成案卷上报的依据。 4 车辆入侵检测 5 特定区域人员闯入 识别人员闯入的事件。根据视频监控画面选取重点关注区域（需配置），算法可自动识别是否有人员入侵至关注区域内。当视频画面内发生入侵的事件后，经算法分析，能够主动获取事件的现场画面和发生时间，抓取取证图片和对应的时间信息，用于生成案卷上报的依据。 6 行人踩踏绿地 识别行人踩踏绿地的事件。通过人员检测、跟踪算法，智能判断是否有行人踏入绿地中（绿地区域需要配置）。当视频画面内发生踩踏绿地的事件后，经算法分析，能够主动获取事件的现场画面和发生时间，抓取取证图片和对应的时间信息，用于生成案卷上报的依据。 7 厂区非法闯入 识别工厂内一些重要区域、危险区域的人员闯入事件，并发出告警。抓取取证图片和对应的时间信息，用于生成案卷上报的依据，保障厂区管理安全。 8 云上非机动车检测 非机动车乱停放 非机动车乱停放主要检测在未经许可、非合法设置停车泊位的地点停放非机动车。根据视频监控画面选取非机动车禁停区域，当该区域内出现非机动车停放且长时间（可配置）未离开时，经算法自动分析，主动获取事件的现场画面和发生时间，并将报警图片和信息推送至上级平台，用于生成案卷上报的依据 9 非机动车入侵 非机动车入侵主要检测在未经许可非机动车进入的地点出现非机动车。根据视频监控画面选取非机动车禁入区域，当该区域内出现非机动车时，经算法自动分析，主动获取事件的现场画面和发生时间，并将报警图片和信息推送至上级平台，用于生成案卷上报的依据。 10 电动车入户检测 电动车入户检测主要检测是否有电动车进入楼梯间、电梯间等事件。根据视频监控画面选取电动车禁入区域，当该区域内出现电动车时，经算法自动分析，主动获取事件的现场画面和发生时间，并将报警图片和信息推送至上级平台，用于生成案卷上报的依据。 11 非机动车占用机动车道 在监控区域内，对非机动车占用机动车道的事件进行自动检测、产生告警。通知相关部门处置，以保障城市的管理秩序。 12 云上消防通道占用检测 消防通道车辆占用检测 消防通道占用服务应用于消防通道等场景，智能检测识别占用通道的堆物或车辆，同时输出占道车辆车牌号，并及时上报告警，通知管理人员来处理占道堆物或车辆，避免出现由于消防通道被占用，导致消防力量无法及时赶到火灾现场展开救援等恶劣情况。 13 消防通道堆物占用检测 14 云上戴口罩检测 未戴口罩识别 未戴口罩识别服务是在监控区域内，对没有戴口罩的行人进行检测，并产生告警。告警可联动视频管理平台、门禁系统等，禁止该人员进入；或安排相关人员前去处理，以保障周边地区的疫情安全和相关人员的身体健康。 15 云上遗留物检测 遗留物检测 识别车站、园区等公共场景是否有物品遗留的事件。支持的遗留物品类型主要包括包裹、拉杆箱。当视频画面内发生物品遗留的事件后，经算法分析，能够主动获取事件的现场画面和发生时间，抓取取证图片和对应的时间信息，用于生成案卷上报的依据。 16 云上异常停车 机动车违停 机动车违停主要检测在未经许可、非合法设置停车泊位的地点停放机动车。根据视频监控画面选取机动车禁停区域，当该区域内出现机动车停放且长时间（可配置）未离开时，经算法自动分析，主动获取事件的现场画面和发生时间，并将报警图片和信息推送至上级平台，用于生成案卷上报的依据。 17 云上视频车辆 特殊车辆识别 识别道路上是否有特殊车辆经过，特殊车辆主要指渣土车、水泥搅拌车、拖挂车、吊车、环卫车，车型需具有与一般车辆的明显区分度。当视频画面内发生危险品车辆经过的事件后，经算法分析，能够主动获取事件的现场画面和发生时间，抓取取证图片和对应的时间信息，用于生成案卷上报的依据。 18 渣土车识别 识别道路上是否有渣土车经过。当视频画面内发生渣土车经过的事件后，经算法分析，能够主动获取事件的现场画面和发生时间，抓取取证图片和对应的时间信息，用于生成案卷上报的依据。 19 油罐车识别 识别道路上是否有油罐车经过。当视频画面内发生油罐车经过的事件后，经算法分析，能够主动获取事件的现场画面和发生时间，抓取取证图片和对应的时间信息，用于生成案卷上报的依据。 20 卡口进出车牌识别 识别卡口、出入口位置的车牌监控，识别车牌号码及颜色、上报事件。 21 云上城管事件-垃圾检测 暴露垃圾 打包垃圾、暴露垃圾、绿地脏乱是指公共场所未倒入垃圾容器的生活垃圾。当视频画面内出现暴露垃圾时，经算法自动分析，主动获取事件的现场画面和发生时间，并将报警图片和信息推送至上级平台，用于生成案卷上报的依据。 22 积存垃圾渣土 23 道路不洁 24 绿地脏乱 25 沙（河）滩不洁 识别沙滩、河滩上的垃圾袋、水瓶等生活垃圾，并进行告警，抓取取证图片和对应的时间信息，用于生成案卷上报的依据。 26 餐厨垃圾遗撒 餐厨垃圾遗撒检测算法通过对视频画面进行实时监控，对餐厨垃圾的现象进行检测、告警，通知相关人员前来处理，维护后厨环境卫生安全。 27 云上垃圾桶异常检测 后厨垃圾桶未盖盖检测 垃圾桶开合检测算法通过对视频画面进行实时监控，对后厨垃圾桶未合盖的现象进行检测、告警，通知相关人员前来处理，维护后厨环境卫生安全。 28 云上工服工帽检测 未穿工服检测 工人不佩戴安全帽和不穿反光衣的危险作业行为是日常管理中的一大难题，由于未佩戴安全帽或者未穿戴反光衣导致的安全隐患不容忽视。为解决安全生产中安全帽管理，提高工人的安全意识，利用建设在 、厂区的各种视频监控资源，根据人工智能分析技术对在岗工人是否佩戴安全帽和是否穿戴反光衣进行检测，做到日常监测和动态预警，实现安全生产信息化管理。 29 未戴安全帽检测

名词解释 基本概念、云服务简介、专有名词解释： 认证测试中心CTC：是结合华为30年安全经验积累，并结合企业与机构的安全合规与防护需求，帮助企业与机构满足国家及行业法律法规要求，同时实现对安全风险与安全事件的有效监控，并及时采取有效措施持续降低安全风险，消除安全事件带来的损失。 云防火墙服务CFW：是新一代的云原生防火墙，提供云上互联网边界和VPC边界的防护，包括：实时入侵检测与防御，全局统一访问控制，全流量分析可视化，日志审计与溯源分析等，同时支持按需弹性扩容，是用户业务上云的网络安全防护基础服务。 企业主机安全HSS：是服务器贴身安全管家，通过资产管理、漏洞管理、基线检查、入侵检测、程序运行认证、文件完整性校验，安全运营、网页防篡改等功能，帮助企业更方便地管理主机安全风险，实时发现黑客入侵行为，以及满足等保合规要求。 Web应用防火墙WAF：对网站业务流量进行多维度检测和防护，结合深度机器学习智能识别恶意请求特征和防御未知威胁，全面避免网站被黑客恶意攻击和入侵。 云证书管理服务CCM：是华为联合全球知名数字证书服务机构，为您提供一站式证书的全生命周期管理服务，实现网站的可信身份认证与安全数据传输。 态势感知SA：为用户提供统一的威胁检测和风险处置平台。帮助用户检测云上资产遭受到的各种典型安全风险，还原攻击历史，感知攻击现状，预测攻击态势，为用户提供强大的事前、事中、事后安全管理能力。 威胁检测服务MTD：威胁检测服务持续发现恶意活动和未经授权的行为，从而保护账户和工作负载。该服务通过集成AI智能引擎、威胁黑白名单、规则基线等检测模型，识别各类云服务日志中的潜在威胁并输出分析结果，从而提升用户告警、事件检测准确性，提升运维运营效率，同时满足等保合规。 漏洞扫描服务VSS：集Web漏洞扫描、操作系统漏洞扫描、资产及内容合规检测、安全配置基线检查、弱密码检测、开源合规及漏洞检查、移动应用安全检查七大核心功能为一体，自动发现网站或服务器在网络中的安全风险，为云上业务提供多维度的安全检测服务，满足合规要求，让安全弱点无所遁形。 数据库安全服务DBSS：是一个智能的数据库安全服务，基于机器学习机制和大数据分析技术，提供数据库审计，SQL注入攻击检测，风险操作识别等功能，保障云上数据库安全。 云堡垒机CBH：提供主机管理、权限控制、运维审计、安全合规等功能，支持Chrome等主流浏览器随时随地远程运维，保障运维安全高效。

MTD与SA的区别 态势感知（Situation Awareness，简称SA）是华为云可视化威胁检测和分析的安全管理平台。着重呈现全局安全威胁攻击态势，统筹分析多服务威胁数据和云上安全威胁，帮助企业构建全局安全体系，呈现全局安全威胁攻击态势。 威胁检测服务（Managed Threat Detection，简称MTD）主要检测云服务日志侧的潜在威胁，利用服务自身的AI智能引擎、威胁情报和规则基线检测模型实现对各类云服务日志的威胁检测，满足对检测到的威胁进行告警，对告警结果进行统计和展示。 表1 MTD与SA主要区别 功能项 威胁检测服务（MTD） 态势感知（SA） 支持产品/服务 统一身份认证服务（IAM） 云解析服务（DNS） 云审计服务（CTS） 虚拟私有云服务（VPC） 对象存储服务（OBS） 企业主机安全（HSS） Anti-DDoS流量清洗（Anti-DDOS） Web应用防火墙（WAF） 云堡垒机（CBH） 容器安全服务（CGS） 漏洞扫描服务（VSS） 检测/分析数据源 统一身份认证服务（IAM）全量日志 云解析服务（DNS）全量日志 云审计服务（CTS）全量日志 全局服务的虚拟私有云服务（VPC）全量日志 对象存储服务（OBS）全量日志 全网流量 安全防护设备日志 DNS请求 威胁情报 安全资讯 威胁检测 告警事件 支持基于AI智能引擎、威胁情报和规则基线合计40+类的告警示例类型。 告警事件 支持检测和呈现8大类告警事件，共200+种子告警类型。支持上报告警通知。 安全编排 支持一键实施预置的安全编排策略，加固资产安全。

工作原理 在主机中安装Agent后，您的主机将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 主机安全的工作原理如图1所示。 图1 工作原理 主机安全的组件功能及工作流程说明如下： 表1 组件功能及工作流程说明 组件 说明 管理控制台 可视化的管理平台，便于您集中下发配置信息，查看在同一区域内主机的防护状态和检测结果。 HSS云端防护中心 使用AI、机器学习和深度算法等技术分析主机中的各项安全风险。 集成多种杀毒引擎，深度查杀主机中的恶意程序。 接收您在控制台下发的配置信息和检测任务，并转发给安装在服务器上的Agent。 接收Agent上报的主机信息，分析主机中存在的安全风险和异常信息，将分析后的信息以检测报告的形式呈现在控制台界面。 Agent Agent通过HTTPS和WSS协议与HSS云端防护中心进行连接通信，默认端口：10180。 每日凌晨定时执行检测任务，全量扫描主机；实时监测主机的安全状态；并将收集的主机信息（包含不合规配置、不安全配置、入侵痕迹、软件列表、端口列表、进程列表等信息）上报给云端防护中心。 根据您配置的安全策略，阻止攻击者对主机的攻击行为。 说明： 如果未安装Agent或Agent状态异常，您将无法使用主机安全服务。 Agent可安装在华为云弹性云服务器（Elastic Cloud Server，ECS）/裸金属服务器（Bare Metal Server，BMS）、线下主机以及第三方云主机中。 根据操作系统版本选择对应的安装命令/安装包进行安装。 网页防篡改、容器安全与主机安全共用同一个Agent，您只需在同一主机安装一次。

背景信息 HSS专项分析 主机安全服务（Host Security Service，HSS）是以工作负载为中心的安全产品，集成了主机安全、容器安全和网页防篡改，旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。HSS通过对主机、容器进行系统完整性的保护、应用程序控制、行为监控和基于主机的入侵防御等，保护工作负载免受攻击。 在SA中的HSS业务分析页面，您可以查看您所有资产的风险指数、风险趋势、TOP5事件类型以及您开通的主机安全和容器安全服务数量，帮助您实时了解主机和容器的安全状态和存在的安全风险。 WAF专项分析 Web应用防火墙（Web Application Firewall， WAF）对网站业务流量进行多维度检测和防护，结合深度机器学习智能识别恶意请求特征和防御未知威胁，全面避免网站被黑客恶意攻击和入侵。 在SA中的WAF业务分析页面，您可以查看昨天、今天、3天、7天或者30天内所有防护网站或所有实例以及指定防护网站或实例的防护日志。包括请求与各攻击类型统计次数，QPS、响应码信息，以及事件分布、受攻击域名 Top10、攻击源IP Top10、受攻击URL Top10、攻击来源区域 Top10和业务异常监控 Top10等防护数据。 安全总览页面统计数据每隔2分钟刷新一次。 DBSS专项分析 数据库安全服务（Database Security Service）是一个智能的数据库安全服务，基于机器学习机制和大数据分析技术，提供数据库审计，SQL注入攻击检测，风险操作识别等功能，保障云上数据库的安全。 在SA中的DBSS业务分析页面，您可以查看最近30分钟、最近1小时、最近24小时、7天或者30天内数据库的总体审计情况、风险分布、会话统计以及SQL分布情况。

威胁分析与处置 如图2所示，威胁分析与处置中心模块获取各业务数据后，通过威胁检测、事件分析响应、安全管理三个模块协同工作共同完成自动化分析和安全响应。 威胁检测：针对获取的日志，直接进行格式、字段等预处理后输出异常事件。 事件分析响应：对输出的异常事件依次进行聚合分析、自动化分析、安全响应。 针对输出的异常事件根据对应的聚合策略进行聚合分析，然后基于自动化分析模型对聚合后的事件进行自动化分析判定。对于命中分析模型的事件，由安全响应执行自动响应动作，在自动化分析的基础上，分析后的事件（包括命中或未命中事件）由安全专家进一步分析处置。 安全管理：为华为乾坤安全专家提供事件可视化Portal、事件人工处置能力，日常管理能力、安全响应管理能力等。 安全专家可以通过事件管理查看自动化分析后的事件；通过模型管理及时配置和调整自动化分析模型；通过响应管理完成黑白名单的日常维护工作。 图2 威胁分析与处置

工作原理 在主机中安装Agent后，您的主机将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 企业主机安全服务的工作原理如图1所示。 图1 工作原理 企业主机安全服务的组件功能及工作流程说明如下： 表1 组件功能及工作流程说明 组件 说明 管理控制台 可视化的管理平台，便于您集中下发配置信息，查看在同一区域内主机的防护状态和检测结果。 HSS云端防护中心 使用AI、机器学习和深度算法等技术分析主机中的各项安全风险。 集成多种杀毒引擎，深度查杀主机中的恶意程序。 接收您在控制台下发的配置信息和检测任务，并转发给安装在服务器上的Agent。 接收Agent上报的主机信息，分析主机中存在的安全风险和异常信息，将分析后的信息以检测报告的形式呈现在控制台界面。 Agent Agent通过HTTPS和WSS协议与HSS云端防护中心进行连接通信，默认端口：443。 每日凌晨定时执行检测任务，全量扫描主机；实时监测主机的安全状态；并将收集的主机信息（包含不合规配置、不安全配置、入侵痕迹、软件列表、端口列表、进程列表等信息）上报给云端防护中心。 根据您配置的安全策略，阻止攻击者对主机的攻击行为。 说明： 如果未安装Agent或Agent状态异常，您将无法使用企业主机安全服务。 Agent可安装在华为云弹性云服务器（Elastic Cloud Server，ECS）/裸金属服务器（Bare Metal Server，BMS）、线下主机以及第三方云主机中。 根据操作系统版本选择对应的安装命令/安装包进行安装。 网页防篡改与主机安全共用同一个Agent，您只需在同一主机安装一次。

关键特性 表1 关键特性 特性类型 特性名称 简介 边界防护与响应服务 本地网络边界防护 天关/防火墙部署在租户网络边界，通过入侵防御、反病毒、DNS过滤等技术守护本地安全，可以执行以下防护动作： 对流量进行入侵防御检测，全方位防御各种威胁行为。 对流量进行反病毒处理，有效避免病毒文件引起的数据破坏、权限更改和系统崩溃等情况的发生。 对流量进行DNS过滤，全面控制域名访问。 租户数据安全处理 数据授权：在用户授权前提下，本地天关/防火墙仅提供用户授权范围内的数据。 加密传输：本地天关/防火墙采用HTTPS或TLS协议将日志提供到云服务平台。 加密保存：使用华为公司密钥管理中心（KMC）加密组件对数据进行加密，加密后存储在云端。 处理原则：仅供云服务平台运营专家进行威胁分析和溯源。 信息隔离：每个客户都有自己的服务账号，基于账号接收分析报表和短信，不同客户间信息隔离。 自动化分析 云端基于分析模型对威胁事件进行分析判定，并根据判定结果执行不同的处置。租户可依靠云端的自动化分析能力和安全专家简化本地运维，提升防护实效。 自动化分析以后，可以有如下几种处置方式： 事件命中误报模型，则此事件状态变更为误报。 事件命中告警自动确认模型、威胁分析等模型，则自动化分析将请求安全响应执行相应的处置。 在自动化分析的基础上，安全专家进一步分析处置事件。 安全响应 提供安全事件的响应闭环能力，主要包括下发黑名单、发送告警两种安全响应动作，租户可利用云端的安全响应能力有效提高安全事件的闭环效率。 针对以下场景提供下发黑名单、发送告警两种安全响应动作： 自动化分析判定后可以自动处置的事件，自动化分析将请求安全响应下发黑名单或发送告警。 自动化分析判定后需要安全专家处置的事件，安全专家分析后可通过Portal页面的事件管理菜单人工下发黑名单或发送告警。 租户在租户门户中下发黑名单。 云端专家精准分析 云端专家整合安全能力，快速准确识别复杂威胁： 现网对抗经验固化到云端，不断增强云端安全能力。 最新漏洞分析、云端智能签名生产，快速应对新型威胁。 专家针对发现的每一条安全告警进行统一分析，运用云端各种安全能力，解决最新“疑难杂症”。 终端防护与响应服务 终端识别与管理 终端自动识别：提供自动化终端资产清点能力，安装EDR Agent后，该终端即被自动识别。 资产信息管理：自动化统一管理主机列表、进程、端口、组件等终端资产信息。 终端安全管理：智能分析终端安全，呈现终端资产安全分析评分和风险总览。 威胁检测与处置 入侵检测：基于行为检测引擎，提供终端行为检测能力，检测暴力破解、异常登录、权限提升等恶意行为。 事件聚合：将离散的勒索类告警事件，基于进程调用链聚合成相应的勒索事件，且支持对其一键处置。 病毒查杀与处置 病毒查杀：基于华为第三代反病毒引擎，每日更新病毒特征库，实时更新紧急病毒，提供高质量病毒文件检测能力。 威胁分析：支持对检出的病毒文件进行威胁分析，展示详细的威胁信息，如病毒标识、风险值、置信度等。 主动防御 诱饵捕获：基于勒索病毒特征放置诱饵文件，实时检测并及时上报异常行为。 文件防篡改：对重点文件进行访问权限控制并实时检测，及时发现篡改行为。 实时防护：实时扫描全盘目录，及时识别病毒文件并阻断其传送行为。 溯源分析 取证分析：采集和存储终端信息，并通过数据挖掘、关联分析等方法，对威胁事件进行取证分析。 攻击可视化：通过EDR（Endpoint Detection and Response，端点侦测与回归）数字化建模、溯源推理算法，实现攻击可视化，精准还原威胁攻击链路。 网络威胁评估服务（可选） 边界突破评估 通过勒索攻击模拟、内网横向移动扩散、钓鱼攻击模拟等攻击行为模拟，评估企业网络整体安全防御体系对边界突破行为的防御效果。 热门漏洞评估 通过对热门及严重漏洞进行攻击行为模拟，评估企业网络整体安全防御体系对热门漏洞的防御效果。 漏洞扫描服务（可选） 资产发现 基于客户提供的IP网段，主动发现网段内的联网资产。经客户确认后，支持资产一键录入，提高资产梳理效率。 目前仅适用于A类/B类/C类私有IP地址网段和资产IP白名单范围内的资产发现。 漏洞扫描 漏洞扫描支持系统扫描、应用扫描等多种扫描类型，并为扫描出的漏洞提供修复建议。同时支持漏洞扫描报告下载。 漏洞管理 以漏洞视角呈现每个漏洞的详细信息和关联资产。 详细信息包括漏洞名称、漏洞编号、漏洞优先级评级VPR和修复建议等。 漏洞优先级评级VPR（Vulnerability Priority Rating）用来表示漏洞修复优先级，是漏洞扫描服务基于漏洞利用代码成熟度、漏洞公布时长、产品的覆盖率、CVSS评分等多维度数据，通过机器学习算法计算的漏洞风险评分。分数越高，说明越需要优先修复。 关联资产能够帮助客户快速定位到风险资产，使漏洞修复更有针对性。 边界漏洞免疫（自动消减处置措施） 一般情况下，漏洞是通过在资产上安装补丁进行修复。当客户的实际环境无法满足安装补丁的条件，又希望降低被攻击风险时，可以利用天关/防火墙的入侵防御（IPS）能力，设置漏洞关联的IPS签名动作为“阻断”，通过在边界拦截异常流量，缓解漏洞被利用的风险。漏洞关联的IPS签名ID会被查询出来，显示在漏洞详情的界面中。 天关/防火墙侧的IPS签名动作一般有“告警”和“阻断”两种。 如果签名动作为“阻断”，则表示天关/防火墙会阻断异常流量。漏洞被利用的风险低。 如果签名动作为“告警”，则表示天关/防火墙只产生告警，不会阻断异常流量。漏洞可能会被利用，建议您联系华为乾坤运营人员（如：提交“工单”），重新设置签名动作。

任务部分检测项有数值，但任务状态显示失败？ 如下图显示，任务检测结果中安全漏洞检测有告警，隐私合规问题数为0，任务状态为“失败”。 每个任务会进行多个检测项的检查，如基础安全检测、违规收集信息检测、隐私声明一致性检测等，整个检测过程分为应用解析、静态分析、动态运行三个阶段，因为应用自身原因，如闪退、无法解析、无法安装等原因导致其中某个阶段出现异常的时候任务会中止。这时候已经有了一部分检测结果，但为了保证整体任务检测完整性，我们会判定当前任务失败，且报告不可查看，扫描失败的任务不扣费。

任务部分检测项有数值，但任务状态显示失败？ 如下图显示，任务检测结果中安全漏洞检测有告警，隐私合规问题数为0，任务状态为“失败”。 每个任务会进行多个检测项的检查，如基础安全检测、违规收集信息检测、隐私声明一致性检测等，整个检测过程分为应用解析、静态分析、动态运行三个阶段，因为应用自身原因，如闪退、无法解析、无法安装等原因导致其中某个阶段出现异常的时候任务会中止。这时候已经有了一部分检测结果，但为了保证整体任务检测完整性，我们会判定当前任务失败，且报告不可查看，扫描失败的任务不扣费。

安全重保解决方案 表1 规格清单 一级分类 二级分类 规格名称 规格描述 重保解决方案 备战 暴露面风险评估 从外网扫描发现暴露端口扫描。 资产识别与管理 支持手工录入&excel批量导入。 web漏洞扫描 对SQL注入、跨站脚本攻击、跨站请求伪造、安全配置错误、敏感信息泄露等多种Web常规漏洞进行扫描。 扫描任务最多支持10个资产。 漏洞扫描不支持多协议登录扫描，如：不支持SMB协议。 同一资产不支持同时在多个任务中发起扫描。 不支持防火墙云管理模式。 主机漏洞扫描 支持高危漏洞扫描、热点漏洞扫描、弱密码扫描、数据库扫描 实战 入侵检测防御 支持IPS、AV、弱密码、OGNL注入、暴力破解、RCE、反序列化攻击、Webshell、SQL注入检测。 黑白名单功能 支持通过黑名单对攻击源IP进行封禁，也支持通过白名单设置例外情况。 威胁防护识别库实时更新 设备的IPS/AV库每天更新一次。 自动化威胁检测 90%+威胁实现自动化检测。 重保威胁信息生产 支持生产输出攻击源IP在局点之间共享。 重保威胁检测 支持基于重保威胁库，对攻击源IP进行标注，标识是否是攻击队IP。 重保威胁信息查看 支持查看IP、文件、域名情报详情。 决战 定期安全报告 支持查看3个月内任意指定时间段的安全统计信息，包括：攻击数量、告警事件类型分布、以及历史趋势变化。 紧急安全通知 支持短信、邮件、APP方式通知到用户。 安全事件专家分析 支持后台人工分析。 MSSP代维 提供定制化MSSP作业界面，能够对多站点进行管理。 安全态势大屏 可以通过大屏查看整体健康度，近期攻击事件和变化趋势。 威胁自动阻断 对于特征明显的攻击在天关直接阻断，其余攻击上送云端研判后通过下发黑名单阻断。

工作原理 在主机中安装Agent后，您的主机将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 企业主机安全服务的工作原理如图1所示。 图1 工作原理 企业主机安全服务的组件功能及工作流程说明如下： 表1 组件功能及工作流程说明 组件 说明 管理控制台 可视化的管理平台，便于您集中下发配置信息，查看在同一区域内主机的防护状态和检测结果。 HSS云端防护中心 使用AI、机器学习和深度算法等技术分析主机中的各项安全风险。 集成多种杀毒引擎，深度查杀主机中的恶意程序。 接收您在控制台下发的配置信息和检测任务，并转发给安装在服务器上的Agent。 接收Agent上报的主机信息，分析主机中存在的安全风险和异常信息，将分析后的信息以检测报告的形式呈现在控制台界面。 Agent Agent通过HTTPS和WSS协议与HSS云端防护中心进行连接通信，默认端口：443。 每日凌晨定时执行检测任务，全量扫描主机；实时监测主机的安全状态；并将收集的主机信息（包含不合规配置、不安全配置、入侵痕迹、软件列表、端口列表、进程列表等信息）上报给云端防护中心。 根据您配置的安全策略，阻止攻击者对主机的攻击行为。 说明： 如果未安装Agent或Agent状态异常，您将无法使用企业主机安全服务。 Agent可安装在华为云弹性云服务器（Elastic Cloud Server，ECS）/裸金属服务器（Bare Metal Server，BMS）、线下主机以及第三方云主机中。 根据操作系统版本选择对应的安装命令/安装包进行安装。 网页防篡改与主机安全共用同一个Agent，您只需在同一主机安装一次。

工作原理 在主机中安装Agent后，您的主机将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 企业主机安全服务的工作原理如图1所示。 图1 工作原理 企业主机安全服务的组件功能及工作流程说明如下： 表1 组件功能及工作流程说明 组件 说明 管理控制台 可视化的管理平台，便于您集中下发配置信息，查看在同一区域内主机的防护状态和检测结果。 HSS云端防护中心 使用AI、机器学习和深度算法等技术分析主机中的各项安全风险。 集成多种杀毒引擎，深度查杀主机中的恶意程序。 接收您在控制台下发的配置信息和检测任务，并转发给安装在服务器上的Agent。 接收Agent上报的主机信息，分析主机中存在的安全风险和异常信息，将分析后的信息以检测报告的形式呈现在控制台界面。 Agent Agent通过HTTPS和WSS协议与HSS云端防护中心进行连接通信，默认端口：443。 每日凌晨定时执行检测任务，全量扫描主机；实时监测主机的安全状态；并将收集的主机信息（包含不合规配置、不安全配置、入侵痕迹、软件列表、端口列表、进程列表等信息）上报给云端防护中心。 根据您配置的安全策略，阻止攻击者对主机的攻击行为。 说明： 如果未安装Agent或Agent状态异常，您将无法使用企业主机安全服务。 Agent可安装在华为云弹性云服务器（Elastic Cloud Server，ECS）/裸金属服务器（Bare Metal Server，BMS）、线下主机以及第三方云主机中。 根据操作系统版本选择对应的安装命令/安装包进行安装。 网页防篡改与主机安全共用同一个Agent，您只需在同一主机安装一次。

检测能力 移动应用安全 对用户提供的安卓、鸿蒙应用进行安全漏洞、隐私合规检测，基于静态分析技术，结合数据流静态污点跟踪，检测权限、组件、网络、等APP基础安全漏洞，并提供详细的漏洞信息及修复建议。 二进制成分分析 对用户提供的二进制软件包/固件进行全面分析，通过解压获取包中所有待分析文件，基于组件特征识别技术、静态检测技术以及各种风险检测规则，获得相关被测对象的组件BOM清单和潜在风险清单，并输出一份专业的分析报告。 代码检查 由外部代码检查服务提供，代码检查（CodeArts Check）是基于云端实现代码质量管理的服务，软件开发者可在编码完成后执行多语言的代码静态检查和安全检查，获取全面的质量报告，并提供缺陷的分组查看与改进建议，有效管控代码质量。 漏洞扫描 由外部漏洞扫描服务提供，漏洞扫描服务（Vulnerability Scan Service，简称VSS）是针对网站、主机、移动应用、软件包/固件进行漏洞扫描的一种安全检测服务，目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。扫描成功后，提供扫描报告详情，用于查看漏洞明细、修复建议等信息。 漏洞扫描服务具有Web网站扫描和两种扫描能力。 Web网站扫描：采用网页爬虫的方式全面深入地爬取网站url，基于多种不同能力的漏洞扫描插件，模拟用户真实浏览场景，逐个深度分析网站细节，帮助用户发现网站潜在的安全隐患。同时内置了丰富的无害化扫描规则，以及扫描速率动态调整能力，可有效避免用户网站业务受到影响。 主机扫描：经过用户授权（支持帐密授权）访问用户主机，漏洞扫描服务能够自动发现并检测主机操作系统、中间件等版本漏洞信息和基线配置，实时同步官网更新的漏洞库匹配漏洞特征，帮助用户及时发现主机安全隐患。

名词解释 认证测试中心 CTC：是结合华为30年安全经验积累，并结合企业与机构的安全合规与防护需求，帮助企业与机构满足国家及行业法律法规要求，同时实现对安全风险与安全事件的有效监控，并及时采取有效措施持续降低安全风险，消除安全事件带来的损失。 云防火墙服务 CFW：是新一代的云原生防火墙，提供云上互联网边界和VPC边界的防护，包括：实时入侵检测与防御，全局统一访问控制，全流量分析可视化，日志审计与溯源分析等，同时支持按需弹性扩容，是用户业务上云的网络安全防护基础服务。 企业主机安全 HSS：是服务器贴身安全管家，通过资产管理、漏洞管理、基线检查、入侵检测、程序运行认证、文件完整性校验，安全运营、网页防篡改等功能，帮助企业更方便地管理主机安全风险，实时发现黑客入侵行为，以及满足等保合规要求。 Web应用防火墙 WAF：对网站业务流量进行多维度检测和防护，结合深度机器学习智能识别恶意请求特征和防御未知威胁，全面避免网站被黑客恶意攻击和入侵。 SSL证书 SCM：是华为联合全球知名数字证书服务机构，为您提供一站式证书的全生命周期管理服务，实现网站的可信身份认证与安全数据传输。 态势感知 SA：为用户提供统一的威胁检测和风险处置平台。帮助用户检测云上资产遭受到的各种典型安全风险，还原攻击历史，感知攻击现状，预测攻击态势，为用户提供强大的事前、事中、事后安全管理能力。 威胁检测服务 MTD：威胁检测服务持续发现恶意活动和未经授权的行为，从而保护账户和工作负载。该服务通过集成AI智能引擎、威胁黑白名单、规则基线等检测模型，识别各类云服务日志中的潜在威胁并输出分析结果，从而提升用户告警、事件检测准确性，提升运维运营效率，同时满足等保合规。 漏洞扫描服务 VSS：集Web漏洞扫描、操作系统漏洞扫描、资产及内容合规检测、安全配置基线检查、弱密码检测、开源合规及漏洞检查、移动应用安全检查七大核心功能为一体，自动发现网站或服务器在网络中的安全风险，为云上业务提供多维度的安全检测服务，满足合规要求，让安全弱点无所遁形。

移动应用安全类 支持哪些安全漏洞检测 隐私合规检测支持哪些场景 任务状态显示失败如何处理？ 扫描的安全漏洞告警如何分析定位? 扫描的隐私合规问题如何分析定位？ 任务部分检测项有数值，但任务状态显示失败？ 安全漏洞报告中问题文件或者漏洞特征信息为空? 任务扫描超1小时仍然未结束？ 哪些场景下检测结果可能会存在漏报？ 如何在应用检测过程中输入用户凭证登录应用？ 检测过程中，无法打开详情查看手机实时检测界面怎么解决？ 隐私声明URL地址、个人信息第三方共享目录URL地址如何获取？

功能特性 研发安全服务提供端到端的专项安全检测能力，各服务功能特性如下： 移动应用安全 移动应用安全服务能快速扫描您的应用，并提供详细的检测报告，协助你快速定位修复问题。 全自动化测试 您只需上传Android、HarmonyOS应用文件提交扫描任务，即可输出详尽专业的测试报告。 详细的测试报告 详尽的在线测试报告，一键即可下载，报告提供包括问题代码行、修复建议、调用栈信息、违规问题场景截图、关联隐私策略片段等信息。 支持第三方SDK隐私声明解析 针对第三方SDK隐私声明存在“表格”与“外链”两种展示方式。通过插桩方式获取应用隐私声明的url，继而提取并深度分析隐私声明内容。 支撑鸿蒙应用扫描 率先支持鸿蒙应用安全漏洞、隐私合规问题扫描。 二进制成分分析 全方位风险检测 对软件包/固件进行全面分析，基于各类检测规则，获得相关被测对象的开源软件、信息泄露、安全配置等存在的潜在风险。 支持各类应用 支持对桌面应用（Windows和Linux）、移动应用程序（APK、IPA、Hap等）、嵌入式系统固件等的检测。 专业分析指导 提供全面、直观的风险汇总信息，并针对不同的扫描告警提供专业的解决方案和修复建议。 代码检查 提供可协作的一站式代码检查服务。了解更多。 一站式：覆盖主流编程语言、主流编码标准、SDLC集成等。 灵活易用的检查方式：支持代码提交检查、定时执行检查，支持多分支检查。 可协作：提供问题责任人自动归属、提供问题修改建议、可聚焦处理新问题等。 漏洞扫描 漏洞扫描服务可以帮助您快速检测出您的网站、主机、移动应用和软件包/固件存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。了解更多。 网站漏洞扫描 一站式漏洞管理 支持弱密码扫描 支持端口扫描 自定义扫描 主机漏洞扫描 二进制成分分析 移动应用安全

排查思路 如果打开网站有报错提示信息，首先应该根据报错提示信息，排查可能的原因。 您可以参考ECS API参考中通用请求返回值中错误码说明排查可能原因。 以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。 图1 网站无法访问排查思路 表1 网站无法访问排查思路 可能原因 处理措施 检查端口通信 检查Web端口是否正常监听，详细操作请参考检查端口通信问题。 检查安全组规则 检查安全组是否放通Web端口，详细操作请参考检查安全组规则。 检查防火墙配置 测试防火墙关闭后是否可以正常访问，详细操作请参考检查防火墙配置。 检查云服务器路由配置 查看云服务器路由表中网关信息配置是否正确，详细操作请参考检查云服务器路由配置。 检查本地网络 更换手机热点或其他网络测试是否可以正常访问，详细操作请参考检查本地网络。 检查云服务器CPU利用率 定位影响云服务器CPU利用率高的进程并优化进程，详细操作请参考检查云服务器CPU利用率。 检查域名解析（适用于域名访问的场景） 域名解析配置是否配置正确，详细操作请参考检查备案与域名解析是否正常（使用域名无法访问时适用）。 检查域名备案（适用于域名访问的场景） 网站的域名和服务器IP是否备案成功，详细操作请参考检查备案与域名解析是否正常（使用域名无法访问时适用）。

终端防护与响应服务 表4 终端防护与响应服务功能描述 功能 描述 终端识别与管理 终端自动识别：提供自动化终端资产清点能力，安装EDR Agent后，该终端即被自动识别。 资产信息管理：自动化统一管理主机列表、进程、端口、组件等终端资产信息。 终端安全管理：智能分析终端安全，呈现终端资产安全分析评分和风险总览。 威胁检测与处置 入侵检测：基于行为检测引擎，提供终端行为检测能力，检测暴力破解、异常登录、权限提升等恶意行为。 事件聚合：将离散的勒索类告警事件，基于进程调用链聚合成相应的勒索事件，且支持对其一键处置。 病毒查杀与处置 病毒查杀：基于华为第三代反病毒引擎，每日更新病毒特征库，实时更新紧急病毒，提供高质量病毒文件检测能力。 威胁分析：支持对检出的病毒文件进行威胁分析，展示详细的威胁信息，如病毒标识、风险值、置信度等。 主动防御 诱饵捕获：基于勒索病毒特征放置诱饵文件，实时检测并及时上报异常行为。 文件防篡改：对重点文件进行访问权限控制并实时检测，及时发现篡改行为。 实时防护：实时扫描全盘目录，及时识别病毒文件并阻断其传送行为。 溯源分析 取证分析：采集和存储终端信息，并通过数据挖掘、关联分析等方法，对威胁事件进行取证分析。 攻击可视化：通过EDR（ Endpoint Detection and Response，端点检测与响应）数字化建模、溯源推理算法，实现攻击可视化，精准还原威胁攻击链路。

功能总览 功能总览 全部 管理检测与响应 企业版 等保建设助手 下载检测报告 验收管理检测与响应 查看服务单信息 管理检测与响应 管理检测与响应（Managed Detection Response，MDR）是结合华为30年安全经验积累，以云服务的形式，为客户建立由管理、技术与运维构成的安全风险管控体系，结合企业与机构业务的安全需求反馈和防控效果对用户安全防护进行持续改进，帮助企业与机构实现对安全风险与安全事件的有效监控，并及时采取有效措施持续降低安全风险，消除安全事件带来的损失。 目前，提供企业版和等保建设助手2种服务类型。 发布区域：全部 业务流程 服务单的有效期是多长？ 管理检测与响应支持跨平台和线下服务吗？ 哪些区域可以购买管理检测与响应？ 企业版 企业版管理检测与响应结合用户实际业务场景，通过云服务方式，提供华为云安全标准化的运维运营服务。 服务内容包括： 网站安全体检、主机安全体检、安全加固、安全监测、应急响应、安全配置服务、安全防护服务开通与部署、定期策略更新与维护、安全漏洞预警、主动安全预警、安全设备维护和漏洞管理。 发布区域：全部 购买企业版 企业版漏洞扫描和传统漏洞扫描的主要区别是什么？ 等保建设助手 等保建设助手为用户提供等保定级和差距评估咨询，根据系统情况提供定级参考意见和相关技术建议书以及等保条款分析情况汇总，根据等保差距要求，服务类型以远程或现场方式提供安全加固建议。 等保建设助手提供了基础版和高级版两种服务类型供您选择。 发布区域：全部 购买等保建设助手 下载检测报告 管理检测与响应服务后，系统将上传服务报告并发送邮件和短信通知信息，收到信息后，即可登录管理控制台下载服务报告。 等保测评报告将由测评公司邮寄。 发布区域：全部 下载检测报告 验收管理检测与响应 管理检测与响应服务后，系统将发送短信通知您登录管理控制台对本次服务进行验收。 验收周期从您收到短信日起共10个工作日，在周期内，若您未进行服务验收，系统将对本次服务进行自动验收。 发布区域：全部 验收管理检测与响应 查看服务单信息 购买MDR成功后，系统将自动生成服务单，华为管理检测与响应将在1个工作日内联系您，并与您沟通确定需求。此时，您可以登录控制台查看服务单信息和进展。 发布区域：全部 查看服务单进展