华为云用户手册

后续操作 如果您需要检测更多的项目，请根据服务各版本支持的功能手动配置检测项。 版本之间的功能差异请参见服务版本差异。 图4 手动配置的检测项 表1 手动配置检测项 功能 检测项 相关链接 安装与配置 常用登录地/IP SSH登录IP白名单 开启恶意程序隔离查杀 常用安全配置 入侵检测 配置告警白名单 配置登录告警白名单 入侵检测 主动防御 应用防护 勒索病毒防护 文件完整性管理 主动防御 安全运营 策略管理 安全运营 安全报告 订阅安全报告 订阅安全报告

约束条件 Linux操作系统 使用鲲鹏计算EulerOS（EulerOS with ARM）的主机，在遭受SSH账户破解攻击时，HSS不会对攻击IP进行拦截，仅支持对攻击行为进行告警。 Windows操作系统 开启主机防护时，需要授权开启Windows防火墙，且使用主机安全服务期间请勿关闭Windows防火墙。若关闭Windows防火墙，HSS无法拦截账户暴力破解的攻击源IP。 通过手动开启Windows防火墙，也可能导致HSS不能拦截账户暴力破解的攻击源IP。

前提条件 云服务器的“状态”为“运行中”，且可正常访问公网。 云服务器安全组出方向的设置允许访问100.125.0.0/16网段的10180端口（默认允许访问，如做了改动请修正）。 云服务器的DNS服务器地址已配置为华为云内网 DNS地址 ，具体请参考修改云服务器的DNS服务器地址和华为云内网DNS地址。 安装Agent的磁盘剩余可用容量大于300M，否则可能导致Agent安装失败。 云服务器已关闭Selinux防火墙（防止Agent安装失败，请安装成功后再打开）。 如果云服务器已安装第三方安全软件，可能会导致主机安全服务Agent无法正常安装，请您关闭或卸载第三方安全软件后再安装Agent。 待安装Agent的服务器支持SSH登录。

Docker插件应用场景 开通 容器安全 防护后，如果您需要使用镜像阻断功能，您需要安装Docker插件。 Docker插件是实现镜像阻断能力的一个插件。镜像阻断是一种容器安全防御功能， 它可以在Docker环境中容器启动前阻断具有高危漏洞或不符合安全标准的容器镜像的运行。 镜像阻断的应用场景如下： 当您需要保证容器镜像的安全质量，避免因为使用不可信或过时的镜像而导致安全风险时，您可以配置镜像阻断策略，指定阻断的漏洞等级或白名单。 当您需要遵循一些行业或法规的安全要求，例如：PCI DSS、CIS等，您可以配置镜像阻断策略，指定阻断的安全基线或合规检查项。 当您需要实现容器DevSecOps的最佳实践，将安全检查和防御嵌入到容器生命周期的每个阶段时，您可以配置镜像阻断策略，实现从源头到终端的安全保障。

端口扫描检测 单击“端口扫描检测”，滑出“端口扫描检测”策略详情界面。 在弹出的端口扫描检测界面中，修改“策略内容”，参数说明如表23所示。 表23 端口扫描检测策略参数说明 参数名称 参数说明 取值样例 扫描源IP白名单 填写IP白名单，多个用英文分号隔开。 test_bj4 待检测端口列表 待检测的端口号和协议类型详情。 - 确认无误，单击“确认”，完成修改。 如果企业项目选择的“所有项目”，且修改的默认策略组的策略，您可以单击“保存并应用到其他项目”，将当前策略内容的修改应用到其他同版本策略下。

容器文件监控 当被监控的文件路径位于挂载路径下，而非容器在主机上的可写层时，无法触发容器文件修改的告警。此类文件可以通过主机的文件保护策略进行防护。 单击“容器文件监控”，滑出“容器文件监控”策略详情界面。 在弹出的容器文件监控界面中，修改“策略内容”，参数说明如表19所示。 表19 容器文件监控策略参数说明 参数名称 参数说明 取值样例 模糊匹配 是否启动对目标文件的模糊匹配，建议勾选。 勾选。 镜像名称 执行检测的目标镜像的名称。 test_bj4 镜像ID 执行检测的目标镜像的ID。 - 文件 执行检测的目标镜像下的文件名称。 /tmp/testw.txt 确认无误，单击“确认”，完成修改。 如果企业项目选择的“所有项目”，且修改的默认策略组的策略，您可以单击“保存并应用到其他项目”，将当前策略内容的修改应用到其他同版本策略下。

镜像异常行为 单击“镜像异常行为”，滑出“镜像异常行为”策略详情界面。 在弹出的镜像异常行为界面中，修改“策略内容”，参数说明如表21所示。 表21 镜像异常行为策略参数说明 参数名称 参数说明 取值样例 规则名称 不同规则的名称。 - 规则描述 不同规则的简要描述。 - 规则模板 选择不同的规则进行配置，支持的规则项如下： 镜像白名单 镜像黑名单 镜像标签白名单 镜像标签黑名单 创建容器白名单 创建容器黑名单 容器mount proc白名单 容器seccomp unconfined 容器特权白名单 容器capabilities白名单 规则填写参数说明如下： 精准匹配：通过目标镜像名称来检测，填写目标镜像名称匹配镜像，多个名称以英文分号隔开，最多填写20个。 正则匹配：通过正则来检测，填写正则表达式匹配镜像，多个表达式以英文分号隔开，最多填写20个。 前缀匹配：通过前缀名称来检测，填写前缀名称匹配镜像，多个前缀以英文分号隔开，最多填写20个。 标签名称：通过标签及标签值来筛选检测，最多可添加20个标签项。 权限类型：通过选择权限进行指定检测或忽略检测，权限说明详情请参见表22。 - 表22 镜像异常行为权限说明 权限名称 权限说明 AUDIT_WRITE 将记录写入内核审计日志的。 CHOWN 对文件UID和GID进行任意更改的。 DAC_OVERRIDE 绕过文件读、写和执行权限检查。 FOWNER 绕过权限检查通常要求进程的文件系统UID与文件UID匹配的操作。 FSETID 修改文件时不清除set-user-ID和set-group-ID权限位。 KILL 放通发送信号的权限检查。 MKNOD 使用mknod创建特殊文件。 NET_BIND_SERVICE 将socket绑定到internet域特权端口（端口号小于1024）。 NET_RAW 使用原始socket和数据包socket。 SETFCAP 设置文件功能。 SETGID 对进程GID和补充GID列表进行任意操作。 SETPCAP 修改进程能力。 SETUID 对进程UID进行任意操作。 SYS_CHROOT 使用chroot，更改根目录。 AUDIT_CONTROL 启用和禁用内核审计；更改审计筛选规则；检索审计状态和筛选规则。 AUDIT_READ 允许通过组播网络链接套接字读取审计日志。 BLOCK_SUSPEND 允许防止系统挂起。 BPF 允许创建BPF映射、加载BPF类型格式（BTF）数据、检索BPF程序的JITed代码等。 CHECKPOINT_RESTORE 允许检查点/恢复相关操作。 DAC_READ_SEARCH 绕过文件读取权限检查和目录读取和执行权限检查。 IPC_LOCK 锁定内存(mlock、mlockall、mmap、shmctl)。 IPC_OWNER 绕过对System V IPC对象的操作的权限检查。 LEASE 在任意文件上建立租赁。 LINUX_IMMUTABLE 设置FS_APPEND_FL和FS_IMMUTABLE_FL i节点标志。 MAC_ADMIN 允许MAC配置或状态更改。 MAC_OVERRIDE 覆盖强制访问控制(MAC)。 NET_ADMIN 执行各种与网络相关的操作。 NET_BROADCAST 进行socket广播，并侦听组播。 PERFMON 允许使用perf_events、i915_perf和其他内核子系统进行系统性能和可观察性特权操作。 SYS_ADMIN 执行一系列系统管理操作。 SYS_BOOT 使用重新启动和kexec_load，重新启动并加载新内核以便以后执行。 SYS_MODULE 加载和卸载内核模块。 SYS_NICE 提升进程良好值（良好，设置优先级)，并更改任意进程的良好值。 SYS_PACCT 使用账户，打开或关闭进程记账。 SYS_PTRACE 使用ptrace跟踪任意进程。 SYS_RAWIO 执行I/O端口操作(ipl和ioperm)。 SYS_RESOURCE 覆盖资源限制。 SYS_TIME 设置系统时钟(settimeofday、stime、adjtimex)；设置实时（硬件）时钟。 SYS_TTY_CONFIG 使用vhangup；在虚拟终端上使用各种特权ioctl操作。 SYS LOG 执行特权系统日志操作。 WAKE_ALARM 触发将唤醒系统的东西。 确认无误，单击“确认”，完成修改。 如果企业项目选择的“所有项目”，且修改的默认策略组的策略，您可以单击“保存并应用到其他项目”，将当前策略内容的修改应用到其他同版本策略下。

容器逃逸 单击“容器逃逸”，系统弹出“容器逃逸”策略详情页面。 在弹出的“容器逃逸”策略页面中，编辑策略内容，参数说明如表 容器逃逸策略参数说明所示。 如果没有需要添加白名单的镜像、进程、POD，可不填写对应的白名单。 表17 容器逃逸策略参数说明 参数名称 参数说明 镜像白名单 填写无需检测容器逃逸行为的镜像名称，镜像名只能包含字母、数字、下划线、中划线，多个镜像名以换行符隔开，最多可添加100个镜像名。 进程白名单 填写无需检测容器逃逸行为的进程名称，进程名只能包含字母、数字、下划线、中划线，多个进程名以换行符隔开，最多可添加100个进程名。 POD白名单 填写无需检测容器逃逸行为的POD名称，POD名只能包含字母、数字、下划线、中划线，多个POD名以换行符隔开，最多可添加100个POD名。 确认无误，单击“确认”，完成修改。 如果企业项目选择的“所有项目”，且修改的默认策略组的策略，您可以单击“保存并应用到其他项目”，将当前策略内容的修改应用到其他同版本策略下。

容器进程白名单 单击“容器进程白名单”，滑出“容器进程白名单”策略详情界面。 在弹出的容器进程白名单界面中，修改“策略内容”，参数说明如表20所示。 表20 容器进程白名单策略参数说明 参数名称 参数说明 取值样例 模糊匹配 是否启动对目标文件的模糊匹配，建议勾选。 勾选。 镜像名称 执行检测的目标镜像的名称。 test_bj4 镜像ID 执行检测的目标镜像的ID。 - 进程 执行检测的目标镜像下的文件路径。 /tmp/testw 确认无误，单击“确认”，完成修改。 如果企业项目选择的“所有项目”，且修改的默认策略组的策略，您可以单击“保存并应用到其他项目”，将当前策略内容的修改应用到其他同版本策略下。

容器信息模块 单击“容器信息模块”，弹出“容器信息模块”策略详情页面。 根据界面提示，修改策略内容。策略内容相关参数说明请参见表 容器信息模块策略参数说明。 表18 容器信息模块策略参数说明 参数名称 参数说明 自定义容器名称白名单 自定义填写需要入侵检测功能忽略不进行检测的容器名称。 基于Docker运行时的容器可以配置简单名称，HSS会自行模糊匹配；其他运行时的容器会根据名称进行精确匹配。 多个镜像白名单以换行符相隔，最多可添100个白名单。 自定义组织白名单 自定义填写需要入侵检测功能忽略不进行检测的镜像所属组织名称。 多个组织白名单以换行符相隔，最多可添100个白名单。 确认无误，单击“确认”，完成修改。 如果企业项目选择的“所有项目”，且修改的默认策略组的策略，您可以单击“保存并应用到其他项目”，将当前策略内容的修改应用到其他同版本策略下。

进程异常行为 单击“进程异常行为”，弹出“进程异常行为”策略详情界面。 在弹出的进程异常行为管理界面中，修改“策略内容”，参数说明如表10所示。 表10 进程异常行为策略内容参数说明 参数 说明 取值样例 检测模式 选择进程异常行为的检测模式 高检出模式：对所有进程进行深度、全量的检测扫描，可能存在一定误报，适用于护网重保等场景。 均衡模式：对所有进程进行全量的检测扫描，检测结果准确性和异常进程的检出率均得到一定平衡，适用于日常防护。 低误报模式：对所有进程进行全量的检测扫描，重点提升检测结果的准确性，减少误报的情况，适用于误报较多的场景。 均衡模式 确认无误，单击“确认”，完成修改。 如果企业项目选择的“所有项目”，且修改的默认策略组的策略，您可以单击“保存并应用到其他项目”，将当前策略内容的修改应用到其他同版本策略下。

集群入侵检测 单击“集群入侵检测”，滑出“集群入侵检测”策略详情界面。 在弹出的集群入侵检测界面中，修改“策略内容”，参数说明如表16所示。 表16 集群入侵检测策略参数说明 参数名称 参数说明 取值样例 基础检测case 提供所有支持基础检测的检测项，根据需求勾选即可。 全选。 白名单 自定义添加在检测中需要忽略的类型及对应的值，且可自定义进行添加的删除。 支持的类型如下： ip过滤 pod名称过滤 image名称过滤 执行用户过滤 pod标签过滤 namespace过滤 说明： 每一种类型只能使用一次。 类型：ip过滤 值：192.168.x.x 该策略配置完成后，还需开启日志审计功能，且主机安全服务Agent需要部署在集群的管理节点上（APIServer所在的节点）才能正常生效。 确认无误，单击“确认”，完成修改。 如果企业项目选择的“所有项目”，且修改的默认策略组的策略，您可以单击“保存并应用到其他项目”，将当前策略内容的修改应用到其他同版本策略下。

AV检测 单击“AV检测”，弹出“AV检测”策略详情界面。 在弹出的AV检测界面中，修改“策略内容”，参数说明如表14所示。 表14 AV检测策略内容参数说明 参数名称 参数说明 取值样例 是否开启实时防护 开启后，执行该策略时AV检测提供实时检测防护，建议开启。 ：开启。 ：关闭。 ：开启。 防护文件类型 自定义勾选自动实时检测的文件的类型。 全部：选中所有文件类型。 可执行：常见的exe，dll，sys等。 压缩：常见的zip，rar，jar等。 文本：常见的php，jsp，html，bash等。 OLE：复合型文档，常见的office格式文件（ppt，doc）和保存的邮件文件（msg）。 其他：除开以上类型的其他类型。 全部 防护动作 目标检测告警的防护动作。 自动处理：检测为高危等级病毒文件将自动执行隔离，其余风险等级病毒不自动隔离。 人工处理：检测的病毒无论是什么风险等级，都不会自动隔离，需手动处理。 自动处理 确认无误，单击“确认”，完成修改。 如果企业项目选择的“所有项目”，且修改的默认策略组的策略，您可以单击“保存并应用到其他项目”，将当前策略内容的修改应用到其他同版本策略下。

容器信息收集 单击“容器信息收集”，弹出“容器信息收集”策略详情界面。 在弹出的容器信息收集界面中，修改“策略内容”，参数说明如表15所示。 白名单优先级更高，若白名单和黑名单配置了一样的目录，则目录以白名单为基准，允许挂载。 表15 容器信息收集策略参数说明 参数名称 参数说明 取值样例 挂载目录白名单 填写允许挂载的目录。 /test/docker或/root/* 注：路径以*结束表示目标路径下的所有子目录，不包括主目录。 如：设置/var/test/*为白名单目录，表示：目录/var/test/下的所有子目录为白名单目录，不包括test这层。 挂载目录黑名单 填写不允许挂载的目录，如user、bin为主机关键信息文件路径，不建议作为挂载目录，否则重要信息可能存在暴露风险。 确认无误，单击“确认”，完成修改。 如果企业项目选择的“所有项目”，且修改的默认策略组的策略，您可以单击“保存并应用到其他项目”，将当前策略内容的修改应用到其他同版本策略下。

root提权 单击“root提权”，弹出“root提权”策略详情界面。 在弹出的root提权界面中，修改“策略内容”，参数说明如表11所示。 图8 修改root提权策略 表11 root提权策略内容参数说明 参数 说明 忽略的进程文件路径 忽略的进程文件的路径。 文件路径以“/”开头，不能以“/”结尾。多个路径通过回车换行分隔且名称中不能包含空格。 确认无误，单击“确认”，完成修改。 如果企业项目选择的“所有项目”，且修改的默认策略组的策略，您可以单击“保存并应用到其他项目”，将当前策略内容的修改应用到其他同版本策略下。

rootkit检测 单击“rootkit检测”，弹出“rootkit检测”策略详情界面。 在弹出的rootkit检测界面中，修改“策略内容”。 图10 修改rootkit检测策略 表13 rootkit检测策略内容参数说明 参数名称 参数说明 取值样例 内核模块白名单 自定义填写检测时忽略的内核模块名称。 可填写多个，不同模块名称之间用换行隔开，最多可添加10个。 xt_conntrack virtio_scsi tun 确认无误，单击“确认”，完成修改。 如果企业项目选择的“所有项目”，且修改的默认策略组的策略，您可以单击“保存并应用到其他项目”，将当前策略内容的修改应用到其他同版本策略下。

登录安全检测 单击“登录安全检测”，弹出“登录安全检测”策略详情界面。 在弹出的“登录安全检测”策略内容中，修改“策略内容”，参数说明如表 登录安全检测策略内容参数说明所示。 图6 修改安全检测策略 表8 登录安全检测策略内容参数说明 参数 说明 封禁时间（分钟） 可设置被阻断攻击IP的封禁时间，封禁时间内不可登录，封禁时间结束后自动解封，可配置范围为“1~43200”。 是否审计登录成功 开启此功能后，HSS将上报登录成功的事件。 ：开启。 ：关闭。 阻断攻击IP（非白名单） 开启阻断攻击IP后，HSS将阻断爆破行为的IP（非白名单）登录。 白名单爆破行为是否告警 开启后，HSS将对白名单IP产生的爆破行为进行告警。 ：开启。 ：关闭。 白名单 将IP添加到白名单后，HSS不会阻断白名单内IP的爆破行为。最多可添加50个IP或网段到白名单，且同时支持IPV4和IPV6。 确认无误，单击“确认”，完成修改。 如果企业项目选择的“所有项目”，且修改的默认策略组的策略，您可以单击“保存并应用到其他项目”，将当前策略内容的修改应用到其他同版本策略下。

恶意文件检测 单击“恶意文件检测”，弹出“恶意文件检测”策略详情界面。 在弹出的恶意文件检测界面中，修改“策略内容”，参数说明如表9所示。 图7 修改恶意文件检测策略 表9 恶意文件检测策略内容参数说明 参数 说明 反弹shell忽略的进程文件路径 反弹shell忽略的进程文件的路径。 文件路径以“/”开头，不能以“/”结尾。多个路径通过回车换行分隔且名称中不能包含空格。 忽略的反弹shell本地端口 无需扫描反弹shell的本地端口。 忽略的反弹shell远程地址 无需扫描反弹shell的远程地址。 反弹shell检测 选择是否开启反弹shell检测，建议开启。 ：开启。 ：关闭。 反弹Shell自动化阻断 选择是否开启反弹Shell自动阻断，建议开启。 ：开启。 ：关闭。 说明： 在开启恶意程序隔离查杀后生效。 异常shell检测 选择是否开启异常shell检测，建议开启。 ：开启。 ：关闭。 确认无误，单击“确认”，完成修改。 如果企业项目选择的“所有项目”，且修改的默认策略组的策略，您可以单击“保存并应用到其他项目”，将当前策略内容的修改应用到其他同版本策略下。

HIPS检测 单击“HIPS检测”，弹出“HIPS检测”策略详情页面。 修改策略内容，相关参数说明如表 HIPS检测策略内容参数说明所示。 图5 修改HIPS检测策略 表7 HIPS检测策略内容参数说明 参数名称 参数说明 自动化阻断 开启后，对检测到的注册表、文件及进程等异常变更行为进行阻断，例如反弹Shell、高危命令等。 ：开启。 ：关闭。 可信进程 添加可信进程的文件路径。单击“添加”可增加一条路径输入框，单击“删除”可删除进程文件路径。 确认无误，单击“确认”，完成修改。 如果企业项目选择的“所有项目”，且修改的默认策略组的策略，您可以单击“保存并应用到其他项目”，将当前策略内容的修改应用到其他同版本策略下。

文件保护 单击“文件保护”，弹出“文件保护”策略详情界面。 在弹出的文件保护界面中，修改“策略内容”，参数说明如表6所示。 图4 修改文件保护策略 表6 文件保护策略内容参数说明 参数 说明 文件提权检测 启用：是否开启文件提权检测。 ：开启。 ：关闭。 忽略的文件路径：填写需要忽略的文件路径。文件路径以“/”开头，不能以“/”结尾，多个路径通过回车换行分隔且名称中不能包含空格。 关键文件完整性检测 启用：是否开启关键文件完整性检测。 ：开启。 ：关闭。 监控文件：配置监控文件。 关键文件目录变更检测 启用：是否开启关键文件目录变更检测。 ：开启。 ：关闭。 会话IP白名单：如果操作文件的进程属于以上IP的会话，则不予审计。 忽略监控文件类型后缀：忽略监控的文件类型的后缀。 忽略监控的文件路径：配置忽略监控文件的路径。 监控登录密钥：是否开启监控登录密钥。 ：开启。 ：关闭。 文件目录监控 监控模式：监控文件或目录路径的模式，“护网/重保”模式相较于“日常运营”模式，默认多勾选“监控子目录”、“监控修改属性”两项，因此默认情况监控的变更项更多。 文件或目录路径：系统预置了部分文件或目录监控路径，您可以自行修改需要检测的文件更改类型以及添加需要监控的文件或目录路径。 确认无误，单击“确认”，完成修改。 如果企业项目选择的“所有项目”，且修改的默认策略组的策略，您可以单击“保存并应用到其他项目”，将当前策略内容的修改应用到其他同版本策略下。

Webshell检测 如果未设置“用户指定扫描路径”，Webshell检测功能默认扫描您资产中的Web站点路径。设置“用户指定扫描路径”后，Webshell检测功能仅扫描您指定的路径。 单击“Webshell检测”，弹出“Webshell检测”策略详情界面。 在弹出的“Webshell检测”界面中，修改“策略内容”，参数说明如表5所示。 图3 修改Webshell检测策略 表5 Webshell检测策略内容参数说明 参数 说明 检测时间 配置Webshell检测的时间，可具体到每一天的每一分钟。 随机偏移时间（秒） 配置随机偏移时间，可配置范围为“0~7200秒”。 检测日 Webshell检测日期，勾选周一到周日的检测Webshell的时间。 用户指定扫描路径 手动添加需要检测的Web目录。 文件路径以“/”开头，不能以“/”结尾。 多个路径通过回车换行分隔且名称中不能包含空格。 确认无误，单击“确认”，完成修改。 如果企业项目选择的“所有项目”，且修改的默认策略组的策略，您可以单击“保存并应用到其他项目”，将当前策略内容的修改应用到其他同版本策略下。

弱口令检测 弱口令/密码不归属于某一类漏洞，但其带来的安全隐患却不亚于任何一类漏洞。数据、程序都储存在系统中，若密码被破解，系统中的数据和程序将毫无安全可言。 主机安全服务会对使用经典弱口令的用户账号告警，主动检测出主机中使用经典弱口令的账号。您也可以将疑似被泄露的口令添加在自定义弱口令列表中，防止主机中的账户使用该弱口令，给主机带来危险。 单击“弱口令检测”，弹出“弱口令检测”策略详情界面。 在弹出的“策略内容”界面中，修改“策略内容”，参数说明如表3所示。 图1 修改弱口令检测 表3 弱口令检测策略内容参数说明 参数 说明 检测时间 配置弱口令检测的时间，可具体到每一天的每一分钟。 随机偏移时间（秒） 检测配置的弱口令时间的随机偏移时间，在“检测时间”的基础上偏移，可配置范围为“0~7200秒”。 检测日 弱口令检测日期。勾选周一到周日检测弱口令的时间。 自定义弱口令 您可以将疑似被泄露的口令添加在自定义弱口令文本框中，防止主机中的账户使用该弱口令，给主机带来危险。 填写多个弱口令时，每个弱口令之间需换行填写，最多可添加300条。 确认无误，单击“确认”，完成修改。 如果企业项目选择的“所有项目”，且修改的默认策略组的策略，您可以单击“保存并应用到其他项目”，将当前策略内容的修改应用到其他同版本策略下。

配置检测 单击“配置检测”，弹出“配置检测”策略详情界面。 在“配置检测”界面，修改“策略内容”。 图2 修改配置检测 表4 系统配置检测策略内容参数说明 参数 说明 检测时间 配置系统检测的时间，可具体到每一天的每一分钟。 随机偏移时间（秒） 配置系统检测的随机偏移时间，可配置范围为“0~7200秒”。 检测日 系统配置检测日期，勾选周一到周日的检测系统配置的时间。 系统默认基线库 系统已经配置好的检测基线，只需要勾选需要扫描检测的基线即可，所有值均为默认，不可修改。 勾选需要检测的基线或自定义基线。 若有等保合规的需求，可按需勾选“标准类型”为“等保合规”的基线项。 确认无误，单击“确认”，完成修改。 如果企业项目选择的“所有项目”，且修改的默认策略组的策略，您可以单击“保存并应用到其他项目”，将当前策略内容的修改应用到其他同版本策略下。

资产发现 单击“资产发现”，弹出“资产发现”策略详情界面。 在弹出的资产管理界面中，修改“策略内容”，参数说明如表2所示。 表2 资产管理策略内容参数说明 参数名称 参数说明 检测时间 针对不同资产自动执行检测的固定时间点，其中中间件、Web框架、内核模块、Web应用、Web站点、Web服务、数据库可进行自定义检测时间。 偏移时间指在设置的目标时间向前或向后做自动调节执行检测。 账号：Linux每小时自动检测一次，Windows实时检测。 开放端口：每30秒自动检测一次。 进程：每小时自动检测一次。 软件：每天自动检测一次。 自启动项：每小时自动检测一次。 中间件/Web框架：可一起选择检测日和时间。 内核模块：需根据需求独立设置检测日和时间。 Web应用/Web站点/Web服务/数据库：可一起选择检测日和时间。 指定待扫描web目录 需要扫描的web目录。 确认无误，单击“确认”，完成修改。 如果企业项目选择的“所有项目”，且修改的默认策略组的策略，您可以单击“保存并应用到其他项目”，将当前策略内容的修改应用到其他同版本策略下。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

约束与限制 该方案当前仅支持华北-北京四区域。 在使用之前，请 注册华为账号 并开通华为云，并完成实名认证，账号不能处于欠费或冻结状态。 该方案支持识别发票图片，发票PDF、OFD文件。其中，图片支持JPEG、JPG、PNG、BMP、TIFF格式，多页PDF仅识别第一页。 同一张发票每天最多可查验真伪5次；可查验最近5年内（国家税务总局）增值税发票管理系统开具的发票。 卸载解决方案前，请先确保OBS桶中无数据，否则解决方案将卸载失败。 该解决方案暂时不支持OBS上传KMS加密文件。

方案架构 图1 方案架构图 部署该解决方案会使用到如下资源： 创建用于上传发票的OBS桶，企业业务系统将员工报销的发票图片或者电子发票PDF文件上传到该桶。 创建用于存储发票识别与验真结果的OBS桶，企业业务系统定时从该桶中获取结果并处理。 函数工作流 ：用于实现调用 文字识别 服务的业务逻辑，当OBS桶收到上传的发票文件后，会自动通知函数调用文字识别服务，并将结果存放到指定的OBS桶里。 文字识别服务：提供发票识别与验真服务，识别用户上传的发票内容以及对接国税局系统进行真伪验证。

应用场景 该解决方案基于华为云文字识别服务增值税发票识别与发票验真技术构建，自动识别和录入增值税发票各字段信息，减少人工核算工作量，实现财税报销自动化。同时，自动接入国家税务机关发票查验平台进行发票真伪核验，降低企业人力查验成本，防止税务合规风险。支持增值税发票、增值税普通发票、增值税电子普通发票以及增值税普通发票（卷票）四种类型发票的识别与验真。该方案主要适用于如下场景： 企业日常财务报销 供应链发票核验 财税 代理记账

方案优势 场景丰富 支持发票识别和发票验真功能。 支持增值税专用发票、增值税普通发票、增值税电子普通发票、增值税普通发票（卷票）4种发票。 支持发票图片或者电子发票PDF文件。 简单易用 企业业务系统只需要对接华为云 对象存储服务 即可自动实现发票的内容识别与验真，降低企业业务系统集成文字识别服务的难度。 降本增效 按需付费，用户只需花费少量成本，即可代替发票的人工录入以及真伪审核，提升业务效率以及防止税务合规风险。

给 rf_admin_trust 委托添加 IAM Agency Management FullAcces 策略 登录 统一身份认证 服务（IAM）控制台。 进入“委托”菜单，选择rf_admin_trust委托。 图11 委托列表 进入“授权记录”菜单，单击“授权”按钮。 图12 授权记录 在搜索框输入IAM Agency Management FullAcces，勾选过滤出来的记录，单击下一步，并确认完成权限的配置。 图13 配置 IAM Agency Management FullAcces 策略 配置成功后：rf_admin_trust委托拥有Tenant Administrator和IAM AgencyManagement FullAccess权限。 图14 授权记录列表