华为云用户手册

2021/01/28 【新增功能】 新增WiFi设置功能 管理员可在管理后台新增一个与线下热点一样的配置并关联部门，员工可通过移动端 WeLink 的“WiFi一键连”We码，免输入密码，快速连接到企业WiFi。 问题反馈支持企业内处理 改为企业内处理后，新的问题反馈将由企业内管理员处理，管理员可直接回复或更改问题反馈的状态，也可随时将反馈内容转给WeLink平台处理。 水印功能到期后提示 水印设置为付费功能，到期后将出现购买提示页面。 管理后台1月28日版本更新内容介绍.docx

2020/04/03 【新增功能】 本次优化主要对企业管理后台界面做了相应调整并新增一些管理功能，主要特性如下： 全新首页，直观展示企业权益信息、主要运营数据和常用功能入口。 首页新增消息中心，可获取WeLink官方最新资讯。 支持设置移动端免密登录。 智能办公二级菜单调整，新增会议管理菜单，租户管理员进入企业会议管理平台更快速。 支持自定义手机端“我的应用”页面Banner，自由推广企业应用或推送公告资讯。 企业运营。业务分析中新增会议分析，可查看企业会议使用情况。 管理后台4月3号更新内容介绍.docx

2021/02—2021/04 一级菜单调整 名称修改 应用管理——应用；智能办公——智能；安全设置——安全；企业运营——运营 新增会议一级菜单 菜单顺序调整 安全菜单调整 设备管理改为安全围栏 安全水印和安全沙箱合并到数据密盾 安全围栏界面优化 新增会议一级菜单 新增直播 新增智慧教室 管理后台首页续费扩容改为直接跳转到华为云官网 权益信息界面调整 电话外呼—办公电话 WeLink云桥—安全隧道（云桥） 数据We盾—数据密盾 消息中心位置调整 消息中心位置调整，由原来banner下方调整到右上角 跨企业沟通 跨企业沟通改为跨租户沟通，同时精简文案 WiFi管理 WiFi管理更改热点加密方式，由原来的PSK加密改为portal认证，用户在设置热点时，不用再设置热点密码 云尊享 个性化设置升级为云尊享版，原有用户还可以继续使用，新用户必须启用尊享版之后才能使用 登录认证界面优化 登录认证界面优化，精简文案、优化交互 管理员权限 新增管理员时精简文案。同时限制安全管理员的权限，只能对自定义管理员进行增删改 管理后台2021年2月-4月版本更新内容介绍.docx

2020/04/24 【新增功能】 子部门默认继承上级部门通讯录权限。 新增二级及以下部门时，默认继承上级部门通讯录权限，管理员也可根据需要更改部门通讯录权限，权限管理更方便。 通讯录权限设置支持级联和非级联选择方式。 在设置部门通讯录权限时，可通过级联和非级联两种方式选择可查看部门范围，满足部门个性化权限设置。 支持设置部门可见范围，可隐藏部门。 在新建部门时，可设置部门可见范围，支持设置对所有部门不可见和对指定部门可见。 子部门管理员可添加下级部门及设置部门权限。 设置子部门管理员后，子部门管理员可在部门内添加新的子部门，并且支持设置部门内各子部门的通讯录权限。 批量导入部门模板优化了“通讯录权限”字段值。 导入模板中，通讯录权限字段更改。旧模板字段值为数字，新模板字段值为汉字。 管理后台重置员工登录密码功能下线。 新版后台将该功能下线，重置密码需员工在手机端操作。 管理后台4月24号更新内容介绍.docx

如何配置跳板机进行内网扫描？ 使用跳板机进行内网扫描的网络示意图如图1所示。 图1 网络示意图 创建主机扫描任务，IP地址栏填写目标主机的内网IP。 添加跳板机配置。 配置的跳板机“公网IP”需与被测目标机的内网环境互通。 添加跳板机后，还需在该跳板机的ssh配置文件“/etc/ssh/sshd_config”中添加：AllowTcpForwarding yes，用于支持SSH授权登录转发。修改配置后需重启sshd服务。 父主题： 主机扫描类

扫描的隐私合规问题如何分析定位？ 针对扫描结果中的隐私合规问题告警，可以通过以下几个信息进行分析定位，并整改处理。 截图：在动态运行APP过程中，对部分涉及界面的合规问题进行截图举证，在最终扫描结果中提供截图展示，用户可根据截图进行告警分析。 调用栈：涉及收集个人数据类告警，包括第三方SDK收集，扫描结果中会提供代码调用栈信息，帮助应用开发人员快速查找问题点。 隐私申明片段：对于应用实际行为与隐私声明不一致的合规问题，扫描结果中会提取相应的隐私审批片段，能快速从应用隐私申明、第三方SDK隐私申明中定位问题点。 相应政策规范：该项告警违反的哪些规范条目，在扫描报告中详细列举，用户可以针对性的进行分析整改。 父主题： 移动应用安全类

主机互通性测试异常如何处理？ 通过互通性测试可以测试待扫描的主机与扫描环境的连通性是否正常。 主机互通性测试不同异常提示的处理方法如下： 目标机或跳板机的SSH服务未开启，无法登录，请开启SSH服务。 目标机或跳板机的SSH服务连接超时，请确认网络是否可连通或是否有防火墙阻隔。 待扫描的主机或跳板机的IP地址网络不通，解决办法请参见如何解决主机不能访问？。 目标机或跳板机的系统账户密码错误，认证失败，请确认授权信息是否正确。 主机授权信息中用户密码不正确，解决办法请参见配置Linux主机授权。 目标机或跳板机的系统账户密钥错误，认证失败，请确认授权信息是否正确。 主机授权信息中用户密钥不正确，解决办法请参见配置Linux主机授权。 目标机的系统账户登录成功但权限不足，无法得到最完整、准确的扫描结果，请确认是否增加系统账户的权限。 主机授权信息中root权限加固场景下，用户密码不正确，解决办法请参见配置普通用户和sudo提权用户 漏洞扫描 失败案例。 Windows系统暂不支持互通性测试，请使用Linux系统主机进行互通性测试。 父主题： 主机扫描类

配置普通用户和sudo提权用户漏洞扫描操作案例 默认情况下，Linux系统没有将普通用户列入到sudoer列表中（普通用户 is not in the sudoers file. This incident will be reported.）: 登录系统并切换到root权限。 输入#vi /etc/sudoers，就会打开sudoers配置文件。 在配置文件末尾添加：普通用户名 ALL=(ALL:ALL) ALL，输入 :wq! ，保存修改。 说明： 使用漏洞管理服务的sudo提权扫描功能时，认证凭据输入位置的“普通用户密码”和“sudo密码”请保持一致，均为“普通用户”的密码。 对于在“/etc/sudoers”中配置了“Defaults targetpw”的操作系统，需要输入root密码才能提权执行命令，因此建议暂时先将“Defaults targetpw”相关配置注释掉，扫描完成后再恢复原配置。 扫描完成后，请还原配置。 父主题： 主机扫描类

使用跳板机扫描内网主机和直接扫描公网主机，在扫描能力方面有什么区别？ 使用跳板机扫描内网主机和直接扫描公网主机，在扫描能力方面区别如表1所示。 表1 扫描能力差异介绍 扫描能力 通过公网IP直接扫描公网主机 通过跳板机扫描内网主机 操作系统安全补丁扫描 支持 支持 远程服务/协议漏洞扫描 支持 不支持 说明： 远程服务/协议类漏洞的扫描依赖于扫描器与被测目标的相关端口直接交互，因此不能通过跳板机完成测试验证。 操作系统安全配置扫描 支持 支持 Web中间件安全配置扫描 支持 支持 等保合规扫描 支持 支持 父主题： 主机扫描类

使用浏览器插件获取网站cookie和storage值 如果您的网站登录之后不仅设置了cookie，还设置了storage，只提供cookie无法使漏洞管理服务正常登录网站，建议您通过浏览器插件获取网站cookie、local storage和session storage值，以Google Chrome浏览器为例，步骤如下： 下载浏览器插件Cookie Getter并解压缩。 表1 下载列表 支持浏览器 下载地址 SHA-256文件校验 Chrome、Edge Cookie Getter 7C35DC34F732B4B3F2B89C3B8ADAEE6ECE3079B991718AAB10B963F7D15B1468 打开Google Chrome浏览器，单击“设置”，单击“扩展程序”，打开“开发者模式”开关。 单击“加载已解压的扩展程序”，选择解压后的文件根目录，加载浏览器插件。 打开并登录网站。 单击扩展程序-浏览器插件Cookie Getter图标，获取浏览器插件展示的JSON格式cookie和storage值全文。 漏洞管理服务的Cookie登录支持设置“以分号分隔的键值对”和“JSON”两种格式cookie值。 您可以按需裁剪或修改浏览器插件获取的数据，保持正确的JSON格式并提供必要的cookie和storage值即可。

华为云“一键认证”失败的原因 华为云一键认证的功能只针对两种用户： 使用了华为云WAF的用户。 客户要扫描的网址对应的EIP是华为云华北、华东、华南、东北局点的EIP。 因此认证失败可能有以下原因： 用户不是上述的两种用户。 用户是华为云WAF的用户，但该WAF和漏洞管理服务不在一个账户下，则认证会失败，因为只有购买WAF的账户才能查看WAF的回源IP。 用户要扫描的EIP不是在该账户下购买的，因为系统是根据该账户去查询用户已经购买的EIP，然后和输入的EIP进行比对，所以不在同一个账号下无法一键认证。 域名 信息跟规范不符 该类网站不能使用漏洞管理服务。

成分分析的扫描原理是什么，主要识别哪些风险？ 对用户提供的软件包/固件进行全面分析，通过解压获取包中所有待分析文件，基于组件特征识别技术以及各种风险检测规则，获得相关被测对象的组件BOM清单和潜在风险清单。主要包括以下几类： 开源软件风险：检测包中的开源软件风险，如已知漏洞、License合规等。 安全配置风险：检测包中配置类风险，如硬编码凭证、敏感文件（如密钥、证书、调试工具等）问题、OS认证和访问控制类问题等。 信息泄露风险：检测包中信息泄露风险，如IP泄露、硬编码密钥、弱口令、 GIT/SVN仓泄露等风险。 安全编译选项：支持检测包中二进制文件编译过程中相关选项是否存在风险。 图1 风险项 父主题： 二进制成分分析类

成分分析的主要扫描规格有哪些？ 支持的编程语言类型：C/C++/Java/Go/JavaScript/Python/Rust/Swift/C#/PHP。 支持的文件：.7z、.arj、.cpio、.phar、.rar、.tar、.xar、.zip、.jar、.apk、.war等格式文件，及Android OTA Images、Android sparse、Intel HEX、RockChip、U-Boot等固件。 支持上传的文件大小：不超过5GB。 平均扫描时间预估：根据不同的压缩格式或者文件类型扫描时长会有一定的差异，平均100MB/6min。 服务采用基于软件版本的方式检测漏洞，不支持补丁修复漏洞场景的检测。 父主题： 二进制成分分析类

漏洞管理服务的主机扫描IP有哪些？ 如果待扫描的主机设置了访问限制，请添加策略允许漏洞管理服务的IP地址可以访问您的主机。 如果您使用了主机安全防护软件，请将漏洞管理服务访问主机的IP地址添加到该软件的白名单中，以免该软件拦截了漏洞管理服务访问用户主机的IP地址。 119.3.232.114，119.3.237.223，124.70.102.147，121.36.13.144，124.70.109.117，139.9.114.20，119.3.176.1，121.37.207.185，116.205.135.49，110.41.36.44，139.9.57.171，139.9.1.44，121.37.200.40 父主题： 主机扫描类

漏洞管理服务支持多个账号共享使用吗？ 漏洞管理服务支持多个账号或多个 IAM 用户共享使用，说明如下： 多个账号共享使用 例如，您通过注册华为云创建了2个账号（“domain1”和“domain2”），如果您将“domain1”的权限委托给“domain2”，则“domain2”可以使用“domain1”的漏洞管理服务。 有关委托管理的详细操作，请参见创建委托。 多个IAM用户共享使用 例如，您通过注册华为云创建了1个账号（“domain1”），且由“domain1”账号在IAM中创建了2个IAM用户（“sub-user1a”和“sub-user1b”），如果您授权了“sub-user1b”用户漏洞管理服务的权限策略，则“sub-user1b”用户可以使用“sub-user1a”用户的漏洞管理服务。 有关漏洞管理服务权限管理的详细操作，请参见创建用户并授权使用漏洞管理服务。 父主题： 产品咨询类

开启基于HTTP的WinRM服务 以Windows系统管理员身份运行PowerShell。 执行如下命令查看基于HTTP的WinRM是否开启。 winrm enumerate winrm/config/listener 如果存在报错信息，则表示WinRM服务未开启，请执行3。 如果不存在报错信息，则表示WinRM服务已开启，请执行4。 执行如下命令开启WinRM，选择y完成设置。 winrm quickconfig 配置Auth。 执行如下命令查看Auth信息。 winrm get winrm/config/service/auth 执行如下命令修改“Basic”的值为“true”。 当返回值中“Basic”为“true”时，无需执行该步骤。 winrm set winrm/config/service/auth '@{Basic="true"}' 配置加密方式为允许非加密。 执行如下命令查看Service信息。 winrm get winrm/config/service 当返回值中“AllowUnencrypted”为“false”时，请执行5.b。 执行如下命令修改“AllowUnencrypted”的值为“true”。 winrm set winrm/config/service '@{AllowUnencrypted="true"}' 执行如下命令检查基于HTTP的WinRM服务是否开启成功。 winrm e winrm/config/listener 查看返回值，输出结果有HTTP的“Listener”且“Enabled”为“true”，则为开启状态。

漏洞管理服务从哪些漏洞源获得已知漏洞信息？ 漏洞管理服务的已知漏洞信息来源主要为各操作系统厂商的安全公告、NVD公开漏洞库等。漏洞信息来源及修复建议中可能会包含一些公网域名，主要提供用户漏洞的官方参考链接，便于用户参考，具体如下所示： en.wikipedia.org、wiki.debian.org、lkml.iu.edu、www.huaweicloud.com、github.com、lists.apache.org、spring.io、oval.mitre.org、usn.ubuntu.com、ubuntu.com、lists.suse.com、bugzilla.suse.com、www.suse.com、lists.centos.org、access.redhat.com、bugzilla.redhat.com、lists.debian.org、salsa.debian.org、security-tracker.debian.org、bugs.debian.org、packages.debian.org、developer.huaweicloud.com、api.msrc.microsoft.com、support.microsoft.com、portal.msrc.microsoft.com、lists.fedoraproject.org、bodhi.fedoraproject.org、www.kylinos.cn、repo.huaweicloud.com、src.uniontech.com、nvd.nist.gov、git.launchpad.net、people.ubuntu.com、cve.mitre.org、secdb.alpinelinux.org、cve.mitre.org、www.hweuleros.com等公网域名。 父主题： 产品咨询类

开启基于HTTPS的WinRM服务 基于HTTPS的WinRM只支持Windows Server 2016及以上版本。 以Windows系统管理员身份运行PowerShell。 执行如下命令查看基于HTTPS的WinRM是否开启。 winrm e winrm/config/listener 输出结果有HTTPS的“Listener”且“Enabled”为“true”，则为开启状态。如果未开启，则请直接执行4。 校验WinRM是否使用用户名密码验证及使用的证书是否正确。 执行如下命令查看是否使用用户名密码验证。 执行如下命令查看Auth信息。 winrm get winrm/config/service/auth 执行如下命令修改“Basic”的值为“true”。 当返回值中“Basic”为“true”时，无需执行该步骤。 winrm set winrm/config/service/auth '@{Basic="true"}' 执行如下命令校验WinRM使用的证书是否正确。 ls Cert:\LocalMachine\My\ 如果有输出，且“Thumbprint”与2的Thumbprint对应，“CN”名与主机名对应，则基于HTTPS的WinRM已配置完成。 如果不满足上面任意一条则请直接执行5替换HTTPS WinRM使用的证书。 以Windows系统管理员身份运行cmd，并执行如下命令创建基于HTTPS的WinRM服务。 该步中需要使用CN与主机名相同的证书，如果不同，请先执行5.a生成证书。 winrm create winrm/config/Listener?Address=*+Transport=HTTPS @{Port="5986" ;Hostname="" ;CertificateThumbprint=""} 执行成功结果如上图。其中，“Port”为监听端口（建议不做更改），“CertificateThumbprint”为证书的Thumbprint，“Hostname”为主机名，可通过在PowerShell中输入如下命令获取： hostname 可再通过2～3验证HTTPS WinRM配置是否正确。 替换HTTPS WinRM使用证书。 生成CN与主机名相同的自签名证书。 在PowerShell中输入如下命令创建证书： $params = @{ Type = 'SSLServerAuthentication' Subject = 'CN=' TextExtension = @( '2.5.29.37={text}1.3.6.1.5.5.7.3.1' ) KeyAlgorithm = 'RSA' KeyLength = 2048 CertStoreLocation = 'Cert:\LocalMachine\My\'}New-SelfSignedCertificate @params 其中，除“Subject”的值外，其他值请和上述命令保持一致，“Subject”值的格式为“CN=hostname”，hostname的获取见4。 生成成功会输出证书的Subject和Thumbprint。 执行如下命令替换证书。 Set-WSManInstance -ResourceURI winrm/config/Listener -SelectorSet @{Address="*"; Transport="HTTPS"} -ValueSet @{CertificateThumbprint=""} 其中，“CertificateThumbprint”为证书的Thumbprint，可再通过2～3验证HTTPS WinRM配置是否正确。

如何确认目的主机是否支持公钥认证登录和root登录？ 执行如下命令查看配置文件是否开启公钥认证和root登录： egrep 'PubkeyAuthentication|PermitRootLogin' /etc/ssh/sshd_config 若出现如下回显则表示开启了公钥认证方式。 PubkeyAuthentication yes 若出现如下回显则表示允许root登录。 PermitRootLogin yes 父主题： 主机扫描类

Apache Log4j2漏洞检测相关问题 网站漏洞扫描 和主机扫描是否支持Apache Log4j2漏洞检测？检测原理有何不同？ 答：网站漏洞扫描和主机扫描支持Apache Log4j2漏洞检测，但检测原理不同。网站漏洞扫描的检测原理是基于漏洞POC验证，如果没有攻击入口或路径，或已经开启了 Web应用防火墙 等防护措施，则无法扫出来；主机扫描的检测原理是登录操作系统之后探测JAR包版本，匹配是否在受影响的版本范围之内，相对高效。 建议有条件的话，使用网站漏洞扫描和主机扫描远程扫描，若发现问题请尽快按处置办法进行操作。 Apache Log4j2漏洞之前能扫出来，后来扫不出来，不稳定是什么原因？ 答：只要扫出来过Apache Log4j2漏洞，建议马上排查相应网站或主机，尽快按处置办法进行操作。 后面扫不出来的原因，可能是网站已修复，或已通过Web应用防火墙等防护措施解决，另外由于该漏洞POC验证相对复杂，涉及较多网络交互，网络环境因素如安全组策略加固等变动，也可能导致漏洞不能稳定扫出来，但建议客户还是尽快排查处置，彻底规避风险。 哪些版本支持Apache Log4j2漏洞检测？ 答：当前包括基础版（可免费开通）在内的所有版本均支持，但由于基础版规格有较多限制，如不支持主机漏洞扫描、Web漏洞扫描的扫描时长和次数受限，可能存在扫描不全面的问题。建议有条件的话，根据业务需求购买专业版及以上版本进行全面扫描。 不同版本规格说明请参见服务版本。 父主题： 产品咨询类

主机扫描权限异常如何处理？ 当使用主机扫描功能遇到如下报错时： CodeArts Inspector.00050001: The user role has no permission to access the interface.User: AAA:user:BBB is not authorized to perform: kms:cmk:decryptData. 需登录AAA账号，检查BBB用户是否含有kms:cmk:decryptData权限。 如果没有kms:cmk:decryptData权限，可参考IAM指导文档手动添加相应的权限再进行互通性测试。 父主题： 主机扫描类

如何生成私钥和私钥密码？ 当主机扫描通过密钥的方式来登录目的主机时，会涉及到私钥和私钥密码的填写。 私钥和私钥密码的生成方式如下： 在目的主机上执行ssh-keygen命令生成公钥和私钥，按照提示信息输入生成密钥的文件路径，并输入2次私钥密码。 执行ls命令可查看在设置的文件路径下生成的公钥和私钥文件。 将公钥配到目的主机的sshd服务认证配置里面，然后执行systemctl restart sshd命令重启ssh服务。 执行cat命令查看私钥文件内容，并将私钥内容进行复制，拷贝至“授权信息管理”页面的私钥文本框中，并输入私钥密码。 到此，源主机就有了私钥，目的主机就有了公钥，源主机发起连接请求到目的主机时，目的主机会随机发送一个字符串给源主机，源主机利用私钥加密该字符串，然后发送给目的主机，目的主机利用公钥解密该字符串，如果和发送时匹配，则认证通过。 父主题： 主机扫描类

为什么安装了最新kernel后仍报出系统存在低版本kernel漏洞未修复？ 使用yum update kernel将kernel更新至最新版本后，漏洞管理服务扫描EulerOS仍报出大量kernel漏洞。这种情况不属于漏洞管理服务工具误报，而是由于升级kernel之后未及时重启并使用最新版本的kernel运行。kernel升级到最新版本后未重启并运行，实际上仍然使用未升级前的kernel扫描系统，所以漏洞仍然存在。 执行如下命令可以查看当前系统安装了哪些版本的kernel。 rpm -qa | grep kernel 执行如下命令可以查看当前系统实际使用的是什么版本的kernel。 uname -a 上面例子中就是实际使用的是低版本的存在大量CVE漏洞的kernel，因此使用漏洞管理服务扫描仍会报kernel存在CVE-2020-0465等漏洞。 此案例对于使用了CentOS、EulerOS、Red Hat、SUSE的用户均适用。 此外还有某些情况下，用户使用的yum源并不是操作系统官方最新的源，也即yum源中没有操作系统最新的安全补丁，此种情况下也可能报出kernel漏洞未修复的问题。此种情况下需要更新yum源为操作系统官方源或者向操作系统提供方寻求安全补丁的支持。总之，需要基于漏洞管理服务扫描报告中的“修复建议”中的installed version和fixed version的内容，进行分析和修复。 父主题： 主机扫描类

如何查看用户组是否具有Tenant Administrator或VSS Administrator权限，及如何对用户组角色授权？ 登录华为云，在右上角单击“控制台”。 单击右上角的个人账号下的“ 统一身份认证 ”，进入“统一身份认证服务”页面。 选择“用户组”，单击用户组名称即可查看角色授权记录。 图1 查看用户组授权记录 切换至“用户管理”页签，可以查看该用户组下的所有用户，也可以将其他用户添加至该用户组。 如果该用户组缺少相应角色权限，单击“授权”，进入“选择策略”步骤，模糊搜索“Tenant Administrator”或“VSS Administrator”权限的关键字，勾选相应策略。 单击“下一步”，设置最小授权范围。 图2 设置最小授权范围 单击“确定”，即可完成用户组角色授权。 父主题： 二进制成分分析类

漏洞管理服务支持哪些操作系统的主机扫描？ 漏洞管理服务支持扫描的主机操作系统版本如下： 支持的Linux操作系统版本，如表1所示。 支持的Windows操作系统版本，如表2所示。 表1 Linux操作系统版本 分类 支持的OS类型 EulerOS EulerOS 2.2，2.3，2.5，2.8 和2.9 64bit CentOS CentOS 6.10，7.1， 7.2，7.3，7.4，7.5，7.6，7.7，7.8， 7.9，8.0，8.1和8.2 64 bit 说明： CentOS 8基于RedHat 8公开的补丁信息做检查。 RedHat Red Hat Enterprise Linux 6.10，7.5和8 64bit Ubuntu Ubuntu 16.04，18.04，20.04和22.04 server 64bit SUSE SUSE Enterprise 11 SP4 64bit，SUSE Enterprise 12 SP1/SP2/SP3/SP4 64bit，SUSE Enterprise 15 SP1/SP2 64bit OpenSUSE OpenSUSE 13.2和42.2 64bit Debian Debian 8.2.0，8.8.0，9.0.0，10.0.0和11.1.0 64bit Kylin OS Kylin OS V10 SP1 64bit 统信UOS V20 Huawei Cloud EulerOS HCE 2.0 openEuler openEuler 20.03，22.03 AlmaLinux AlmaLinux 8/9 Rocky Linux Rocky Linux 8/9 表2 Windows操作系统版本 分类 支持的Windows系统版本 Windows Server Windows Server 2012 R2，Windows Server 2016，Windows Server 2019 父主题： 主机扫描类

标准策略、极速策略和深度策略有哪些区别？ 漏洞管理服务提供支持以下3种网站扫描模式： “极速策略”：扫描的网站URL数量有限且漏洞管理服务会开启耗时较短的扫描插件进行扫描。 “深度策略”：扫描的网站URL数量不限且漏洞管理服务会开启所有的扫描插件进行耗时较长的遍历扫描。 “标准策略”：扫描的网站URL数量和耗时都介于“极速策略”和“深度策略”两者之间。 有些接口只能在登录后才能访问，建议用户配置对应接口的用户名和密码，漏洞管理服务才能进行深度扫描。 父主题： 网站扫描类

如何选择区域？ 选择区域时，您需要考虑以下几个因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。在除中国大陆以外的亚太地区有业务的用户，可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。 在非洲地区有业务的用户，可以选择“非洲-约翰内斯堡”区域。 在欧洲地区有业务的用户，可以选择“欧洲-巴黎”区域。 资源的价格 不同区域的资源价格可能有差异，请参见华为云服务价格详情。

什么是区域、可用区？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前，华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。

为什么在扫描时会提示授权委托失败？ 授权委托失败可以根据以下方法进行排查与解决。 使用IAM用户账号进行扫描 如果您登录华为云使用的是子账号，请确保该子账号所在的用户组拥有Agent Operator和Security Administrator这两个权限，否则扫描时会提示委托授权失败。 使用企业账号（主账号进行扫描）（推荐） 如果用户使用的是主账号扫描还是提示委托失败，可能是因为委托数量到达了上限。 查询委托数量是否达到上限： 将鼠标移动至用户名，单击“统一身份认证”，如图1所示，进入“用户”页面。 图1 统一身份认证 单击“委托”，进入“委托”页面查看委托数量，如图2所示，最多可委托10个。 图2 委托数量 父主题： 主机扫描类

计费模式 漏洞管理服务提供按需计费和包年/包月两种计费模式，用户可以根据实际需求选择计费模式。 表2 各服务版本计费方式 服务版本 支持的计费方式 说明 价格详情 基础版 配额内的服务免费 按需计费 基础版配额内仅支持Web网站漏洞扫描（域名个数：5个，扫描次数：每日5次）是免费的。 基础版提供的以下功能按需计费： 可以将Web漏洞扫描或主机漏洞扫描任务升级为专业版规格进行扫描，扫描完成后进行一次性扣费。 主机扫描一次最多支持20台主机。 产品价格详情 专业版 包年/包月 相对于按需付费，包年/包月购买方式能够提供更大的折扣，对于长期使用者，推荐该方式。包周期计费按照订单的购买周期来进行结算，不限制扫描次数。 高级版 企业版