华为云用户手册

事件类型：勒索软件攻击 勒索软件（Ransomware）又称勒索病毒，是一种特殊的恶意软件，属于“阻断访问式攻击”（denial-of-access attack）的一种。它通过技术手段限制受害者访问自己的系统或系统内的数据，如文档、邮件、数据库、源代码等，以此达到勒索钱财的目的。 一旦勒索软件对系统攻击成功后，再对系统实行中断攻击并减轻损害的措施是有限，并且极具挑战性的。因此，关注预防措施以减少此类攻击显得至关重要。 本文档介绍了一系列旨在有效管理和应对勒索软件攻击的步骤和策略。

事件响应流程 获取、保存、记录证据。 根据您的华为云环境的配置情况，您可能通过各种来源了解到潜在的勒索软件事件： 某IT员工反馈，通过SSH及其他类似方式无法访问E CS 实例。 ECS实例创建正常，华为云的 云监控 （Cloud Eye）或其他监控工具也没有上报告警，但依然无法访问ECS实例。 由ECS实例的异常指标或异常日志触发生成一个工单在您的工单系统中。 ECS实例在华为云控制台或云监控的告警中上报网络异常问题。 攻击者通过其他通信渠道（如电子邮件）收到勒索软件的请求。 通过华为 云安全 服务或其他安全工具发现ECS实例遭受到攻击。 您的华为云或者其他第三方监控系统发出告警或显示指标异常。 当确认某个事件为安全事件后，评估其影响范围至关重要，包括受影响资源的数量和所涉及数据的敏感性。 排查是否有任何已知事件可能导致服务中断或影响实例指标，例如，由于正在进行的事件导致云监控中的网络指标增加。 使用云监控或其他应用程序性能监控工具将记录的应用程序的性能基线指标与当前异常指标进行对比，判断是否存在异常行为。 确定存储在ECS实例、OBS桶或其他存储中的数据的分类级别。 请确保已为该事件创建工单。如果未创建，请手动创建一个。 如果为已有工单，请确定当前指示问题的告警或指标是什么。 如果工单是由告警或指标触发自动生成的工单，可明确其自动生成工单的什么的原因；如果工单非自动生成，则记录导致识别问题的告警或通知。确认服务中断是由已知事件还是其他原因造成的，如果不能判断，则记录攻击的实际媒介。 使用日志搜索来确定勒索攻击发生的时间。 可以使用华为云的 云审计 服务（Cloud Trace Service）服务，它提供对各种云资源操作记录的收集、存储和查询功能。 确定并记录对最终用户的影响及其体验。 如果用户受到影响，请在工单中记录导致攻击事件的详细步骤，以帮助识别攻击媒介并制定适当的缓解策略。 根据您企业/组织的事件响应计划确定事件涉及的角色。通知相关角色，包括法务人员、技术团队和开发人员，并确保他们被添加到工单和WarRoom中持续响应该事件。 确保您的组织的法律顾问了解并参与到事件的内部响应和外部沟通中，并将负责公共或外部沟通的同事添加到工单中，以便他们能够及时履行其沟通职责。如果地方或联邦法规要求报告此类事件，请通知有关当局，并向其法律顾问或执法部门寻求关于收集证据和保存监管链的指导。如果法规没有要求，向开放数据库、政府机构或非政府组织报告此类事件也可能有助于推进响应此事件。 控制事件。 尽早检测异常用户行为或网络活动是减少勒索软件事件影响的关键。可以参考以下步骤来帮助您控制事件。如果以下步骤适用，请与您的企业/组织的法律和合规团队合作，采取任何必要的响应措施，并继续进行事件响应流程。 确定攻击事件中涉及的勒索软件的类型。常见的勒索软件类型如下： 加密勒索软件：加密文件和对象。 锁定勒索软件：锁定对设备的访问。 其他类型：新类型或以前未记载的类型。 受攻击影响的工作负载，对于已识别出的与其相关联的华为云资源，可以通过修改安全组、OBS桶策略或相关身份和访问管理策略来隔离网络或互联网连接，以最大限度地减少感染传播的机会，或最大限度地减少攻击者访问这些资源的机会。 请注意，由于连接跟踪，有时修改安全组可能不会达到预期效果。 评估ECS实例是否需要恢复。如果该实例属于弹性伸缩组，则请从组中移除该实例。此外，如果事件与主机操作系统中的漏洞有关，请更新系统并确保已修补漏洞。 通过云审计服务查看操作日志，查看是否存在未经授权的活动，例如，创建未经授权的 IAM 用户、策略、角色或临时安全凭证。如果有，请删除任何未经授权的IAM用户、角色和策略，并撤销所有临时凭据。 如果攻击媒介是由未修补的软件、操作系统更新、过期的恶意软件或防病毒工具造成的，请确保所有ECS实例都更新到最新版本的操作系统，所有软件包和补丁程序都是最新的，并且所有ECS实例上的病毒特征码和定义文件都是最新的。您可以通过如下方式进行处理：针对可变架构，请立即进行修补；针对不可变架构，请进行重新部署。 根据5中的更新，删除被识别为有感染风险的所有剩余资源（可能访问了下载勒索软件的同一媒介，无论是通过电子邮件、访问受感染的网站，还是其他方式）。对于通过弹性伸缩管理的资源，重点识别攻击媒介，并采取措施防止其他资源通过同一媒介受到感染。 消除事件。 评估事件的影响是否仅限于环境的特定部分。如果能从备份或快照中恢复被勒索的数据，请参考备份或快照进行恢复。 请注意，在隔离的环境下调查事件以进行根本原因分析，对于实施控制措施以防止将来发生类似事件具有极大价值。 考虑使用最新的防病毒或防恶意软件来消除勒索软件。 请谨慎此操作，因为此操作可能会向攻击者发出警报。建议在隔离的取证环境中查看被锁定或加密的对象，例如，从受感染的ECS实例中删除网络访问权限。 删除在取证分析过程中识别到的所有恶意软件，并识别入侵指标。 如果已确定勒索软件毒种，请检查是否有可用的第三方解密工具或其他可能有助于解密数据的在线资源。 从事故中恢复。 确定从备份执行的所有还原操作的还原点。 查看备份策略，以确定是否可以恢复所有对象和文件，这取决于在资源上应用的生命周期策略。 使用取证方法确认数据在恢复之前是安全的，然后从备份中恢复数据，或者恢复到ECS实例的早期快照。 如果您已成功使用任何开源解密工具恢复数据，请从实例中删除该数据，并执行必要的分析以确认数据是安全的。然后，恢复实例，终止或隔离实例并创建新的实例，并将数据还原至新实例中。 如果从备份恢复或解密数据都不可行，请评估在新环境中重新开始的可能性。 事故后活动。 将在模拟和现场事件中吸取的经验教训记录并应用到后续的流程和程序中，可以使受害方更好地了解事件是如何在系统配置和流程中发生的（例如，哪里存在弱点、哪里的自动化可能出现故障、哪里缺乏可见性），以及如何加强其整体安全态势。 如果您已经确定了最初的攻击媒介或进入点，请如何降低风险再次发生的最佳方法。 例如，如果恶意软件最初通过一个未修补的面向公众的ECS实例进入，并且您已将缺失的补丁程序应用于所有当前实例，请考虑如何改进补丁程序管理流程，旨在更快速和一致地测试和应用补丁程序，以防止将来出现类似问题。 如果您已经制定了解决特定威胁的技术步骤，请评估当检测到相关威胁时自动执行这些步骤的几率。使用自动化处理，可以帮助更快地减轻威胁，从而最大限度地减少影响的范围和严重性。 向响应过程中的所有角色收集其获得的经验教训，并根据需要更新您的事件响应计划、灾难恢复计划和本响应方案。同时，酌情考虑和资助新的技术能力和人员技能，以弥补已发现的差距。

安全大屏概述 在现场讲解汇报、实时监控等场景下，为了获得更好的演示效果，通常需要将 安全云脑 服务的分析结果展示在大型屏幕上。如果只是单纯将控制台界面放大显示，视觉效果并不是很理想。此时可以利用安全大屏，展示专为大型屏幕设计的服务界面，获得更清晰的态势信息和更好的视觉效果。安全云脑默认提供如下安全大屏： 综合态势感知大屏：可以还原攻击历史，感知攻击现状，预测攻击态势，为用户提供强大的事前、事中、事后安全管理能力，实现一屏全面感知。 值班响应大屏：可以查看未处理告警、事件、漏洞、基线的总览情况，实现一屏全面感知。 资产大屏：可以查看资产总数、受攻击资产数、未防护资产数等总览情况，实现一屏全面感知。 威胁态势大屏：可以查看网络攻击次数、应用拦截次数、主机层拦截次数等总览情况，实现一屏全面感知。 脆弱性大屏：可以查看脆弱性资产、漏洞、基线、未防护资产等总览情况，实现一屏全面感知。 此外，安全云脑联动Astro大屏应用（Astro Canvas，简称AstroCanvas），支持指标自定义接入，页面零代码开发，数据分钟级接入。AstroCanvas以数据可视技术为核心，以屏幕轻松编排，多屏适配可视为基础，帮助非专业开发者通过图形化界面轻松搭建专业水准的 数据可视化 大屏应用，满足项目运营管理、业务监控、风险预警等多种业务场景下的一站式数据实时可视化大屏展示需求，更多AstroCanvas详细介绍请参见什么是Astro大屏应用。 安全云脑支持升级为自定义大屏，以及新增自定义大屏。 （可选）升级为自定义大屏：如果需要使用AstroCanvas大屏，且购买安全云脑时未进行购买，请参考此章节进行处理。 新增自定义大屏：购买AstroCanvas大屏后，可以根据需要新增自定义展示大屏。 父主题： 查看安全大屏

GROUP WINDOW 语法说明 Group Window定义在GROUP BY里，每个分组只输出一条记录，包括以下几种： 分组函数 表1 分组函数表 分组窗口函数 说明 TUMBLE(time_attr, interval) 定义一个滚动窗口。滚动窗口把行分配到有固定持续时间（ interval ）的不重叠的连续窗口。比如，5 分钟的滚动窗口以 5 分钟为间隔对行进行分组。滚动窗口可以定义在事件时间（批处理、流处理）或处理时间（流处理）上。 HOP(time_attr, interval, interval) 定义一个跳跃的时间窗口（在 Table API 中称为滑动窗口）。滑动窗口有一个固定的持续时间（ 第二个 interval 参数 ）以及一个滑动的间隔（第一个 interval 参数 ）。若滑动间隔小于窗口的持续时间，滑动窗口则会出现重叠；因此，行将会被分配到多个窗口中。比如，一个大小为 15 分组的滑动窗口，其滑动间隔为 5 分钟，将会把每一行数据分配到 3 个 15 分钟的窗口中。滑动窗口可以定义在事件时间（批处理、流处理）或处理时间（流处理）上。 SESSION(time_attr, interval) 定义一个会话时间窗口。会话时间窗口没有一个固定的持续时间，但是它们的边界会根据 interval 所定义的不活跃时间所确定；即一个会话时间窗口在定义的间隔时间内没有时间出现，该窗口会被关闭。例如时间窗口的间隔时间是 30 分钟，当其不活跃的时间达到30分钟后，若观测到新的记录，则会启动一个新的会话时间窗口（否则该行数据会被添加到当前的窗口），且若在 30 分钟内没有观测到新纪录，这个窗口将会被关闭。会话时间窗口可以使用事件时间（批处理、流处理）或处理时间（流处理）。 在流处理表中的 SQL 查询中，分组窗口函数的 time_attr 参数必须引用一个合法的时间属性，且该属性需要指定行的处理时间或事件时间。 time_attr设置为event-time时参数类型为timestamp(3)类型。 time_attr设置为processing-time时无需指定类型。 对于批处理的 SQL 查询，分组窗口函数的 time_attr 参数必须是一个timestamp类型的属性。 窗口辅助函数 可以使用以下辅助函数选择组窗口的开始和结束时间戳以及时间属性。 表2 窗口辅助函数表 辅助函数 说明 TUMBLE_START(time_attr, interval) HOP_START(time_attr, interval, interval) SESSION_START(time_attr, interval) 返回相对应的滚动、滑动和会话窗口范围内的下界时间戳。 TUMBLE_END(time_attr, interval) HOP_END(time_attr, interval, interval) SESSION_END(time_attr, interval) 返回相对应的滚动、滑动和会话窗口范围以外的上界时间戳。 注意： 范围以外的上界时间戳不可以 在随后基于时间的操作中，作为行时间属性使用，比如基于时间窗口的join以及分组窗口或分组窗口上的聚合。 TUMBLE_ROWTIME(time_attr, interval) HOP_ROWTIME(time_attr, interval, interval) SESSION_ROWTIME(time_attr, interval) 返回的是一个可用于后续需要基于时间的操作的时间属性（rowtime attribute），比如基于时间窗口的join以及 分组窗口或分组窗口上的聚合。 TUMBLE_PROCTIME(time_attr, interval) HOP_PROCTIME(time_attr, interval, interval) SESSION_PROCTIME(time_attr, interval) 返回一个可用于后续需要基于时间的操作的 处理时间参数，比如基于时间窗口的join以及分组窗口或分组窗口上的聚合. 辅助函数必须使用与GROUP BY 子句中的分组窗口函数完全相同的参数来调用。 示例 1 2 3 4 5 6 7 8 91011121314151617181920212223242526 // 每天计算SUM（金额）（事件时间）。SELECT name, TUMBLE_START(ts, INTERVAL '1' DAY) as wStart, SUM(amount) FROM Orders GROUP BY TUMBLE(ts, INTERVAL '1' DAY), name;// 每天计算SUM（金额）（处理时间）。SELECT name, SUM(amount) FROM Orders GROUP BY TUMBLE(proctime, INTERVAL '1' DAY), name;// 每个小时计算事件时间中最近24小时的SUM（数量）。SELECT product, SUM(amount) FROM Orders GROUP BY HOP(ts, INTERVAL '1' HOUR, INTERVAL '1' DAY), product;// 计算每个会话的SUM（数量），间隔12小时的不活动间隙（事件时间）。SELECT name, SESSION_START(ts, INTERVAL '12' HOUR) AS sStart, SESSION_END(ts, INTERVAL '12' HOUR) AS sEnd, SUM(amount) FROM Orders GROUP BY SESSION(ts, INTERVAL '12' HOUR), name;

OVER WINDOW Over Window与Group Window区别在于Over window每一行都会输出一条记录。 语法格式 1 2 3 4 5 6 7 8 91011 SELECT agg1(attr1) OVER ( [PARTITION BY partition_name] ORDER BY proctime|rowtime ROWS BETWEEN (UNBOUNDED|rowCOUNT) PRECEDING AND CURRENT ROW FROM TABLENAMESELECT agg1(attr1) OVER ( [PARTITION BY partition_name] ORDER BY proctime|rowtime RANGE BETWEEN (UNBOUNDED|timeInterval) PRECEDING AND CURRENT ROW FROM TABLENAME 语法说明 表5 参数说明 参数 参数说明 PARTITION BY 指定分组的主键，每个分组各自进行计算。 ORDER BY 指定数据按processing time或event time作为时间戳。 ROWS 个数窗口。 RANGE 时间窗口。 注意事项 所有的聚合必须定义到同一个窗口中，即相同的分区、排序和区间。 当前仅支持 PRECEDING (无界或有界) 到 CURRENT ROW 范围内的窗口、FOLLOWING 所描述的区间并未支持。 ORDER BY 必须指定于单个的时间属性。 示例 1 2 3 4 5 6 7 8 91011121314151617 // 计算从规则启动到目前为止的计数及总和(in proctime)SELECT name, count(amount) OVER (PARTITION BY name ORDER BY proctime RANGE UNBOUNDED preceding) as cnt1, sum(amount) OVER (PARTITION BY name ORDER BY proctime RANGE UNBOUNDED preceding) as cnt2 FROM Orders; // 计算最近四条记录的计数及总和(in proctime)SELECT name, count(amount) OVER (PARTITION BY name ORDER BY proctime ROWS BETWEEN 4 PRECEDING AND CURRENT ROW) as cnt1, sum(amount) OVER (PARTITION BY name ORDER BY proctime ROWS BETWEEN 4 PRECEDING AND CURRENT ROW) as cnt2 FROM Orders;// 计算最近60s的计数及总和(in eventtime),基于事件时间处理，事件时间为Orders中的timeattr字段。SELECT name, count(amount) OVER (PARTITION BY name ORDER BY timeattr RANGE BETWEEN INTERVAL '60' SECOND PRECEDING AND CURRENT ROW) as cnt1, sum(amount) OVER (PARTITION BY name ORDER BY timeattr RANGE BETWEEN INTERVAL '60' SECOND PRECEDING AND CURRENT ROW) as cnt2 FROM Orders;

语法说明 ROW_NUMBER(): 从第一行开始，依次为每一行分配一个唯一且连续的号码。 PARTITION BY col1[, col2...]: 指定分区的列，例如去重的键。 ORDER BY time_attr [asc|desc]: 指定排序的列。所指定的列必须为时间属性。目前仅支持proctime。升序（ ASC ）排列指只保留第一行，而降序排列（ DESC ）则只保留最后一行。 WHERE rownum = 1: Flink 需要 rownum = 1 以确定该查询是否为去重查询。

示例 根据order_id对数据进行去重，其中proctime为事件时间属性列。 123456 SELECT order_id, user, product, number FROM ( SELECT *, ROW_NUMBER() OVER (PARTITION BY order_id ORDER BY proctime ASC) as row_num FROM Orders) WHERE row_num = 1;

响应方案 针对以上背景，安全云脑提供的HSS文件隔离查杀剧本，自动隔离查杀恶意软件。 “HSS文件隔离查杀”剧本已匹配“HSS文件隔离查杀”流程，当有恶意软件和勒索软件告警生成时，通过判断受攻击资产HSS防护版本，版本为专业版或者高于专业版但未开启自动隔离查杀的就满足隔离查杀条件，人工审批进行隔离查杀，就会通过HSS文件隔离查杀进行告警处置，隔离软件成功，关闭告警。隔离失败，添加手动处理的评论，提示需要进行手动操作。 图1 HSS文件隔离查杀

事件响应 获取、保护、记录证据。 根据您华为云环境的配置，通过 企业主机安全 配置可通过AV检测和HIPS检测帮助您发现资产中的安全威胁，检测到恶意软件和勒索软件。 可通过SSH等方法访问云服务器，查看实例状态和监控等信息，查看是否有异常。或者通过其他方式收到攻击信息或勒索信息请求发现潜在威胁。 一旦确认攻击是事件，需要评估受影响范围、受攻击机器和受影响业务及数据信息。 通过安全云脑“转事件”能力，持续跟踪对应事件，记录所有涉及事件信息。详细操作请参见告警转事件。 同时可通过日志信息溯源，通过“安全分析”能力审核所有相关日志信息，在“事件管理”中记录存档，便于后续跟踪运营。 控制事件。 通过告警和日志信息，确定攻击类型、影响主机和业务进程信息。 通过HSS文件隔离查杀脚本对涉及进程软件进行进程查杀、软件隔离操作。降低后续影响。 排查感染范围，有感染风险都需要进行排查，一旦有沦陷及时处理控制。 同时也可使用其他剧本流程进行风险控制，比如“主机隔离”，通过安全组策略，从访问控制方面隔离受感染机器，隔离网络传播风险。 消除事件。 评估受影响机器是否需要加固恢复。如果已经沦陷，需要通过溯源结果加固恢复机器。如安全凭证泄露造成的攻击，则删除任何未经授权的IAM用户、角色和策略，并吊销凭据等操作进行主机加固。 对受感染机器可以进行风险排查，排查是否有漏洞、过时的软件、未修补的漏洞等，这些都可能会造成后续机器的持续沦陷，可以通过“漏洞管理”排查和修复处理对应机器漏洞；排查是否有风险配置，可以通过“基线检查”排查机器配置，针对有风险配置进行及时处理修复。 评估影响范围，如果已经有其他机器沦陷，需要同步处理所有影响主机。 从事故中恢复。 确定从备份执行的所有还原操作的还原点。 查看备份策略，以确定是否可以恢复所有对象和文件，这取决于在资源上应用的生命周期策略。 使用取证方法确认数据在恢复之前是安全的，然后从备份中恢复数据，或者恢复到ECS实例的早期快照。 如果您已成功使用任何开源解密工具恢复数据，请从实例中删除该数据，并执行必要的分析以确认数据是安全的。然后，恢复实例，终止或隔离实例并创建新的实例，并将数据还原至新实例中。 如果从备份恢复或解密数据都不可行，请评估在新环境中重新开始的可能性。 事故后活动。 通过整个告警处理流程中分析告警发生详细信息，持续运营优化模型，提升模型告警准确率。如判断是业务相关的，无风险的告警可以直接通过模型进行筛选。 通过溯源告警发生，更好的了解事件的整个流程，持续优化资产防护策略，降低资源风险，收缩攻击面。 通过告警事件处理，结合自己业务实际场景，优化自动化处理剧本流程，例如，通过分析之后告警准确率提升可替换人工审核策略，以全自动化替代，提升处理效率，更快速的对风险进行处理。 风险分析可结合所有同类恶意软件和勒索软件攻击点，进行风险前置，在未发生事件之前进行风险控制处理。

背景说明 攻击链路在网络安全领域中是一个重要的概念，它主要指的是攻击者为了达成攻击目的，在目标网络或系统中采取的一系列攻击步骤和路径。这些步骤和路径构成了攻击链路，通过它们，攻击者能够逐步深入目标系统，最终实现其攻击目标。 攻击链路对目标网络或系统的危害是巨大的。一旦攻击者成功构建了攻击链路，并突破了目标系统的防御措施，就可以对目标系统进行任意操作，包括窃取敏感信息、破坏系统数据、瘫痪系统服务等。这些危害不仅会导致经济损失，还可能对国家安全和社会稳定造成严重影响。

事件响应 获取、保护、记录证据。 根据您华为云环境的配置，通过企业主机安全（HSS）以及 Web应用防火墙 （WAF）来源检测相关类型的告警。 可通过SSH等方法访问云服务器，查看实例状态和监控等信息，查看是否有异常。或者通过其他方式收到的告警信息。 一旦确认攻击是事件，需要评估受影响范围、攻击机器和受影响业务及数据信息。 通过安全云脑“转事件”能力，持续跟踪对应事件，记录所有涉及事件信息。详细操作请参见告警转事件。 同时可通过日志信息溯源，通过“安全分析”能力审核所有相关日志信息，在“事件管理”中记录存档，便于后续跟踪运营。 控制事件。 通过告警和日志信息，确定攻击类型、影响主机和业务进程信息。 通过隔离查杀，策略阻断等脚本对涉及进程软件进行进程查杀、软件隔离等操作，降低后续影响。 排查感染范围，有感染风险都需要进行排查，一旦有沦陷及时处理控制。 同时也可使用其他剧本流程进行风险控制，比如“主机隔离”，通过安全组策略，从访问控制方面隔离受感染机器，隔离网络传播风险。 消除事件。 评估受影响机器是否需要加固恢复。如果已经沦陷，需要通过溯源结果加固恢复机器。如安全凭证泄露造成的攻击，则删除任何未经授权的IAM用户、角色和策略，并吊销凭据等操作进行主机加固。 对受感染机器可以进行风险排查，排查是否有漏洞、过时的软件、未修补的漏洞等，这些都可能会造成后续机器的持续沦陷，可通过“漏洞管理”排查和修复处理对应机器漏洞；排查是否有风险配置，可以通过“基线检查”排查机器配置，针对有风险配置进行及时处理修复。 评估影响范围，如果已经有其他机器沦陷，需要同步处理所有影响主机。 从事故中恢复。 确定从备份执行的所有还原操作的还原点。 查看备份策略，以确定是否可以恢复所有对象和文件，这取决于在资源上应用的生命周期策略。 使用取证方法确认数据在恢复之前是安全的，然后从备份中恢复数据，或者恢复到ECS实例的早期快照。 如果您已成功使用任何开源解密工具恢复数据，请从实例中删除该数据，并执行必要的分析以确认数据是安全的。然后，恢复实例，终止或隔离实例并创建新的实例，并将数据还原至新实例中。 如果从备份恢复或解密数据都不可行，请评估在新环境中重新开始的可能性。 事故后活动。 通过整个告警处理流程中分析告警发生详细信息，持续运营优化模型，提升模型告警准确率。如判断是业务相关的，无风险的告警可以直接通过模型进行筛选。 通过溯源告警发生，更好的了解事件的整个流程，持续优化资产防护策略，降低资源风险，收缩攻击面。 通过告警事件处理，结合自己业务实际场景，优化自动化处理剧本流程，例如，通过分析之后告警准确率提升可替换人工审核策略，以全自动化替代，提升处理效率，更快速的对风险进行处理。 通过风险分析，结合攻击链路告警分析，进行风险前置，在未发生事件之前进行风险控制处理。

响应方案 攻击者攻击 域名 成功之后会对后端服务器进行攻击，因此针对此链路攻击的路径，安全云脑提供了攻击链路分析告警通知剧本。当攻击者通过层层攻击到主机之后，进行告警，通知运营人员进行处置。 “攻击链路分析告警通知”剧本已匹配“攻击链路分析告警通知”流程，该流程需要使用 消息通知 服务（Simple Message Notification， SMN ）来创建安全云脑告警通知主题，并完成订阅即可接收到告警通知。 “攻击链路分析告警通知”流程是通过资产关联，查询对应HSS告警影响资产所关联的网站资产列表，流程预置默认查询最多3条网站资产。 如果有关联网站资产，则每条网站资产查询3小时前到现在这个时间段内对应的WAF告警数据（告警类型为XSS、SQL注入、命令注入、本地文件包含、远程文件包含、Webshell、漏洞攻击），同样的，最多查询3条告警数据。 如果有对应WAF告警，则将WAF告警数据与本条HSS告警数据进行关联，并通过SMN通知到邮箱。 图1 攻击链路分析告警通知

背景说明 恶意软件攻击是指通过电子邮件、远程下载、恶意广告等多种手段，向用户传播恶意软件（如病毒、蠕虫、木马、勒索软件等），并在目标主机上执行恶意程序，从而实现对远程主机的控制、攻击网络系统、窃取敏感信息或进行其他恶意行为。这类攻击对计算机系统、网络和个人设备的安全构成了严重威胁，可能导致数据泄露、系统崩溃、个人隐私泄露、金融损失以及其他安全风险。 针对以上问题，通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，能有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，检测出主机中未知的恶意程序和病毒变种，也可检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。因此，当有此类攻击发生的时候如何预防降低风险就至关重要。 本文档就恶意软件和勒索软件隔离查杀进行详细介绍。

剧本说明 安全云脑提供的高危漏洞自动通知剧本，当新增主机漏洞，且等级为高危时，自动通知运营人员。 “高危漏洞自动通知”剧本已匹配“高危漏洞自动通知”流程，该流程需要使用消息通知服务（Simple Message Notification，SMN）来创建安全云脑告警通知主题，并完成订阅即可接收到告警通知。 当新增HSS的高危漏洞时，会通过SMN服务对运营人员发送漏洞通知。 图1 高危漏洞自动通知流程

保留关键字 目前，由于SecMaster SQL特性功能还在不断更新完善中，其中有一些字符串的组合已被预留为关键字在后续功能特性中使用，因此，如果您需要使用这些字符串作为字段名，请使用反引号将字段名进行包装，例如，`value`, `count`。 具体保留关键字如下： 表1 保留关键字 首字母 安全云脑保留关键字 A A, ABS, ABSOLUTE, ACTION, ADA, ADD, ADMIN, AFTER, ALL, ALLOCATE, ALLOW, ALTER, ALWAYS, AND, ANALYZE, ANY, ARE, ARRAY, AS, ASC, ASENSITIVE, ASSERTION, ASSIGNMENT, ASYMMETRIC, AT, ATOMIC, ATTRIBUTE, ATTRIBUTES, AUTHORIZATION, AVG B BEFORE, BEGIN, BERNOULLI, BETWEEN, BIGINT, BINARY, BIT, BLOB, BOOLEAN, BOTH, BREADTH, BY, BYTES C C, CALL, CALLED, CARDINALITY, CASCADE, CASCADED, CASE, CAST, CATA LOG , CATALOG_NAME, CEIL, CEILING, CENTURY, CHAIN, CHAR, CHARACTER, CHARACTERIS TICS , CHARACTERS, CHARACTER_LENGTH, CHARACTER_SET_CATALOG, CHARACTER_SET_NAME, CHARACTER_SET_SCHEMA, CHAR_LENGTH, CHECK, CLASS_ORIGIN, CLOB, CLOSE, COALESCE, COBOL, COLLATE, COLLATION, COLLATION_CATALOG, COLLATION_NAME, COLLATION_SCHEMA, COLLECT, COLUMN, COLUMNS, COLUMN_NAME, COMMAND_FUNCTION, COMMAND_FUNCTION_CODE, COMMIT, COMMITTED, CONDITION, CONDITION_NUMBER, CONNECT, CONNECTION, CONNECTION_NAME, CONSTRAINT, CONSTRAINTS, CONSTRAINT_CATALOG, CONSTRAINT_NAME, CONSTRAINT_SCHEMA, CONSTRUCTOR, CONTAINS, CONTINUE, CONVERT, CORR, CORRESPONDING, COUNT, COVAR_POP, COVAR_SAMP, CREATE, CROSS, CUBE, CUME_DIST, CURRENT, CURRENT_CATALOG, CURRENT_DATE, CURRENT_DEFAULT_TRANSFORM_GROUP, CURRENT_PATH, CURRENT_ROLE, CURRENT_SCHEMA, CURRENT_TIME, CURRENT_TIMESTAMP, CURRENT_TRANSFORM_GROUP_FOR_TYPE, CURRENT_USER, CURSOR, CURSOR_NAME, CYCLE D DATA, DATABASE, DATE, DATETIME_INTERVAL_CODE, DATETIME_INTERVAL_PRECISION, DAY, DEALLOCATE, DEC, DECADE, DECIMAL, DECLARE, DEFAULT, DEFAULTS, DEFERRABLE, DEFERRED, DEFINED, DEFINER, DEGREE, DELETE, DENSE_RANK, DEPTH, DEREF, DERIVED, DESC, DESCRIBE, DESCRIPTION, DESCRIPTOR, DETERMINISTIC, DIAGNOSTICS, DISALLOW, DISCONNECT, DISPATCH, DISTINCT, DOMAIN, DOUBLE, DOW, DOY, DROP, DYNAMIC, DYNAMIC_FUNCTION, DYNAMIC_FUNCTION_CODE E EACH, ELEMENT, ELSE, END, END-EXEC, EPOCH, EQUALS, ESCAPE, EVERY,EXCEPT, EXCEPTION, EXCLUDE, EXCLUDING, EXEC, EXECUTE, EXISTS, EXP, EXPLAIN, EXTEND, EXTERNAL, EXTRACT F FALSE, FETCH, FILTER, FINAL, FIRST, FIRST_VALUE, FLOAT, FLOOR, FOLLOWING, FOR, FOREIGN, FORTRAN, FOUND, FRAC_SECOND, FREE, FROM, FULL, FUNCTION, FUSION G G, GENERAL, GENERATED, GET, GLOBAL, GO, GOTO, GRANT, GRANTED, GROUP, GROUPING H HAVING, HIERARCHY, HOLD, HOUR I IDENTITY, IMMEDIATE, IMPLEMENTATION, IMPORT, IN, INCLUDING, INCREMENT, INDICATOR, INITIALLY, INNER, INOUT, INPUT, INSENSITIVE, INSERT, INSTANCE, INSTANTIABLE, INT, INTEGER, INTERSECT, INTERSECTION, INTERVAL, INTO, INVOKER, IS, ISOLATION J JAVA, JOIN K K, KEY, KEY_MEMBER, KEY_TYPE L LABEL, LANGUAGE, LARGE, LAST, LAST_VALUE, LATERAL, LEADING, LEFT, LENGTH, LEVEL, LIBRARY, LIKE, LIMIT, LN, LOCAL, LOCALTIME, LOCALTIMESTAMP, LOCATOR, LOWER M M, MAP, MATCH, MATCHED, MAX, MAXVALUE, MEMBER, MERGE, MESSAGE_LENGTH, MESSAGE_OCTET_LENGTH, MESSAGE_TEXT, METHOD, MICROSECOND, MILLENNIUM, MIN, MINUTE, MINVALUE, MOD, MODIFIES, MODULE, MODULES, MONTH, MORE, MULTISET, MUMPS N NAME, NAMES, NATIONAL, NATURAL, NCHAR, NCLOB, NESTING, NEW, NEXT, NO, NONE, NORMALIZE, NORMALIZED, NOT, NULL, NULLABLE, NULLIF, NULLS, NUMBER, NUMERIC O OBJECT, OCTETS, OCTET_LENGTH, OF, OFFSET, OLD, ON, ONLY, OPEN, OPTION, OPTIONS, OR, ORDER, ORDERING, ORDINALITY, OTHERS, OUT, OUTER, OUTPUT, OVER, OVERLAPS, OVERLAY, OVERRIDING P PAD, PA RAM ETER, PARAMETER_MODE, PARAMETER_NAME, PARAMETER_ORDINAL_POSITION, PARAMETER_SPECIFIC_CATALOG, PARAMETER_SPECIFIC_NAME, PARAMETER_SPECIFIC_SCHEMA, PARTIAL, PARTITION, PASCAL, PASSTHROUGH, PATH, PERCENTILE_CONT, PERCENTILE_DISC, PERCENT_RANK, PLACING, PLAN, PLI, POSITION, POWER, PRECEDING, PRECISION, PREPARE, PRESERVE, PRIMARY, PRIOR, PRIVILEGES, PROCEDURE, PUBLIC Q QUARTER R RANGE, RANK, RAW, READ, READS, REAL, RECURSIVE, REF, REFEREN CES , REFERENCING, REGR_AVGX, REGR_AVGY, REGR_COUNT, REGR_INTERCEPT, REGR_R2, REGR_SLOPE, REGR_SXX, REGR_SXY, REGR_SYY, RELATIVE, RELEASE, REPEATABLE, RESET, RESTART, RESTRICT, RESULT, RETURN, RETURNED_CARDINALITY, RETURNED_LENGTH, RETURNED_OCTET_LENGTH, RETURNED_SQLSTATE, RETURNS, REVOKE, RIGHT, ROLE, ROLLBACK, ROLLUP, ROUTINE, ROUTINE_CATALOG, ROUTINE_NAME, ROUTINE_SCHEMA, ROW, ROWS, ROW_COUNT, ROW_NUMBER S SAVEPOINT, SCALE, SCHEMA, SCHEMA_NAME, SCOPE, SCOPE_CATALOGS, SCOPE_NAME, SCOPE_SCHEMA, SCROLL, SEARCH, SECOND, SECTION, SECURITY, SELECT, SELF, SENSITIVE, SEQUENCE, SERIALIZABLE, SERVER, SERVER_NAME, SESSION, SESSION_USER, SET, SETS, SIMILAR, SIMPLE, SIZE, SMALLINT, SOME, SOURCE, SPACE, SPECIFIC, SPECIFICTYPE, SPECIFIC_NAME, SQL, SQLEXCEPTION, SQLSTATE, SQLWARNING, SQL_TSI_DAY, SQL_TSI_FRAC_SECOND, SQL_TSI_HOUR, SQL_TSI_MICROSECOND, SQL_TSI_MINUTE, SQL_TSI_MONTH, SQL_TSI_QUARTER, SQL_TSI_SECOND, SQL_TSI_WEEK, SQL_TSI_YEAR, SQRT, START, STATE, STATEMENT, STATIC, STDDEV_POP, STDDEV_SAMP, STREAM, STRING, STRUCTURE, STYLE, SUBCLASS_ORIGIN, SUBMULTISET, SUBSTITUTE, SUBSTRING, SUM, SYMMETRIC, SYSTEM, SYSTEM_USER T TABLE, TABLESAMPLE, TABLE_NAME, TEMPORARY, THEN, TIES, TIME, TIMESTAMP, TIMESTAMPADD, TIMESTAMPDIFF, TIMEZONE_HOUR, TIMEZONE_MINUTE, TINYINT, TO, TOP_LEVEL_COUNT, TRAILING, TRANSACTION, TRANSACTIONS_ACTIVE, TRANSACTIONS_COMMITTED, TRANSACTIONS_ROLLED_BACK, TRANSFORM, TRANSFO RMS , TRANSLATE, TRANSLATION, TREAT, TRIGGER, TRIGGER_CATALOG, TRIGGER_NAME, TRIGGER_SCHEMA, TRIM, TRUE, TYPE U UESCAPE, UNBOUNDED, UNCOMMITTED, UNDER, UNION, UNIQUE, UNKNOWN, UNNAMED, UNNEST, UPDATE, UPPER, UPSERT, USAGE, USER, USER_DEFINED_TYPE_CATALOG, USER_DEFINED_TYPE_CODE, USER_DEFINED_TYPE_NAME, USER_DEFINED_TYPE_SCHEMA, USING V VALUE, VALUES, VARBINARY, VARCHAR, VARYING, VAR_POP, VAR_SAMP, VERSION, VIEW W WEEK, WHEN, WHENEVER, WHERE, W IDT H_BUCKET, WINDOW, WITH, WITHIN, WITHOUT, WORK, WRAPPER, WRITE X XML Y YEAR Z ZONE 父主题： 数据操作语句DQL

DQL语句 语法定义 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99100101102103104105106107108109110111112113114115116117 query: values | { select | selectWithoutFrom | query UNION [ ALL ] query | query EXCEPT query | query INTERSECT query } [ ORDER BY orderItem [, orderItem ]* ] [ LIMIT { count | ALL } ] [ OFFSET start { ROW | ROWS } ] [ FETCH { FIRST | NEXT } [ count ] { ROW | ROWS } ONLY]orderItem: expression [ ASC | DESC ]select: SELECT [ ALL | DISTINCT ] { * | projectItem [, projectItem ]* } FROM tableExpression [ WHERE booleanExpression ] [ GROUP BY { groupItem [, groupItem ]* } ] [ HAVING booleanExpression ] [ WINDOW windowName AS windowSpec [, windowName AS windowSpec ]* ]selectWithoutFrom: SELECT [ ALL | DISTINCT ] { * | projectItem [, projectItem ]* }projectItem: expression [ [ AS ] columnAlias ] | tableAlias . *tableExpression: tableReference [, tableReference ]* | tableExpression [ NATURAL ] [ LEFT | RIGHT | FULL ] JOIN tableExpression [ joinCondition ]joinCondition: ON booleanExpression | USING '(' column [, column ]* ')'tableReference: tablePrimary [ matchRecognize ] [ [ AS ] alias [ '(' columnAlias [, columnAlias ]* ')' ] ]tablePrimary: [ TABLE ] [ [ catalogName . ] schemaName . ] tableName | LATERAL TABLE '(' functionName '(' expression [, expression ]* ')' ')' | UNNEST '(' expression ')'values: VALUES expression [, expression ]*groupItem: expression | '(' ')' | '(' expression [, expression ]* ')' | CUBE '(' expression [, expression ]* ')' | ROLLUP '(' expression [, expression ]* ')' | GROUPING SETS '(' groupItem [, groupItem ]* ')'windowRef: windowName | windowSpecwindowSpec: [ windowName ] '(' [ ORDER BY orderItem [, orderItem ]* ] [ PARTITION BY expression [, expression ]* ] [ RANGE numericOrIntervalExpression {PRECEDING} | ROWS numericExpression {PRECEDING} ] ')'matchRecognize: MATCH_RECOGNIZE '(' [ PARTITION BY expression [, expression ]* ] [ ORDER BY orderItem [, orderItem ]* ] [ MEASURES measureColumn [, measureColumn ]* ] [ ONE ROW PER MATCH ] [ AFTER MATCH ( SKIP TO NEXT ROW | SKIP PAST LAST ROW | SKIP TO FIRST variable | SKIP TO LAST variable | SKIP TO variable ) ] PATTERN '(' pattern ')' [ WITHIN intervalLiteral ] DEFINE variable AS condition [, variable AS condition ]* ')'measureColumn: expression AS aliaspattern: patternTerm [ '|' patternTerm ]*patternTerm: patternFactor [ patternFactor ]*patternFactor: variable [ patternQuantifier ]patternQuantifier: '*' | '*?' | '+' | '+?' | '?' | '??' | '{' { [ minRepeat ], [ maxRepeat ] } '}' ['?'] | '{' repeat '}'

表达式GROUP BY 功能描述 按表达式对流进行分组操作。 语法格式 1234 SELECT [ ALL | DISTINCT ] { * | projectItem [, projectItem ]* } FROM tableExpression [ WHERE booleanExpression ] [ GROUP BY { groupItem [, groupItem ]* } ] 语法说明 groupItem：可以是单字段，多字段，也可以是字符串函数等调用，不能是聚合函数。 注意事项 无。 示例 先利用substring函数取字段name的子字符串，并按照该子字符串进行分组，返回每个子字符串及对应的记录数。 12 SELECT substring(name,6),count(name) FROM student GROUP BY substring(name,6);

按列GROUP BY 功能描述 按列进行分组操作。 语法格式 1234 SELECT [ ALL | DISTINCT ] { * | projectItem [, projectItem ]* } FROM tableExpression [ WHERE booleanExpression ] [ GROUP BY { groupItem [, groupItem ]* } ] 语法说明 GROUP BY：按列可分为单列GROUP BY与多列GROUP BY。 单列GROUP BY：指GROUP BY子句中仅包含一列。 多列GROUP BY：指GROUP BY子句中不止一列，查询语句将按照GROUP BY的所有字段分组，所有字段都相同的记录将被放在同一组中。 注意事项 GroupBy在流处理表中会产生更新结果。 示例 根据score及name两个字段对表student进行分组，并返回分组结果。 12 SELECT name,score, max(score) FROM student GROUP BY name,score;

Grouping sets, Rollup, Cube 功能描述 GROUPING SETS 的 GROUP BY 子句可以生成一个等效于由多个简单 GROUP BY 子句的 UNION ALL 生成的结果集，并且其效率比 GROUP BY 要高。 ROLLUP与CUBE按一定的规则产生多种分组，然后按各种分组统计数据。 CUBE生成的结果集显示了所选列中值的所有组合的聚合。 Rollup生成的结果集显示了所选列中值的某一层次结构的聚合。 语法格式 1234 SELECT [ ALL | DISTINCT ] { * | projectItem [, projectItem ]* } FROM tableExpression [ WHERE booleanExpression ] [ GROUP BY groupingItem] 语法说明 groupingItem：是Grouping sets(columnName [, columnName]*)、Rollup(columnName [, columnName]*)、Cube(columnName [, columnName]*) 注意事项 无。 示例 分别产生基于user和product的结果。 123 SELECT SUM(amount)FROM OrdersGROUP BY GROUPING SETS ((user), (product));

隐私保护遵从包 当前可选择的隐私保护遵从包如表2所示，用户依据判定指引选择并订阅安全遵从包。 表2 隐私保护遵从包 遵从包名称 描述 适用区域 分类 领域 判定指引 中国-澳门隐私保护遵从包 该遵从包依据《澳门个人资料保护法》2005年（Personal Data Protection Act，2005，简称“PDPA”），提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并为您的企业处理个人数据的有关活动提供指引。 中国-澳门 法律法规 隐私保护 您或者您的企业是否涉及如下场景之一： 以全部或部分自动化方式进行个人资料（在本遵从包中也称作“个人数据”）处理活动； 以非自动化方式进行的，构成或拟构成人工存档系统的一部分的个人资料的处理活动； 使用监控录像或其它设备来捕捉、处理和传播可用以识别某一特定个人的声音和图像。 说明： 澳门个人资料保护法没有对适用的“地域范围”进行规定。是否适用澳门PDPA或者是否受澳门法律的管辖，在上述3个场景涉及的情况，建议考虑以下两点： 资料处理活动是否在澳门特区领土范围有关联，例如在澳门特区内进行的个人资料搜集、储存的行为； 资料处理活动是否与澳门居民（包括法人、自然人）有关联。 您是否期望对您在澳门的个人资料处理方面的风险进行识别，并获知如何采取措施降低风险？ 如果以上任一回答为是，建议您订阅该遵从包。 中国-大陆隐私保护遵从包 该遵从包依据《中国个人信息安全规范》2020年的法规要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，为企业提供开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的安全要求，并给出了隐私保护方面的改进建议，帮助您的企业提升个人信息保护水平。 中国大陆 法律法规 隐私保护 您是否涉及在中国大陆境内进行个人数据的收集、使用或披露等个人信息处理活动？ 您是否期望对您在中国个人信息安全规范下的个人信息安全风险进行识别，并获取如何采取措施降低风险？ 如果以上任一回答为是，建议您订阅该遵从包。 中国-香港隐私保护遵从包 该遵从包依据《香港个人资料（私隐）条例》1995年（Personal Data （Privacy ）Ordinance，1995，简称PDPO）的法规要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，指导您的企业如何收集、存储、传输、处理和使用收集到的个人数据，并给出了隐私保护方面的改进建议，帮助您的企业提升隐私保护及信息安全水平。 中国香港 法律法规 隐私保护 您是否涉及对一名在世人士有关及可确定个人身份的资料，以可供查阅及处理的方式记录下来？ 说明： 中国香港PDPO没有对适用的“地域范围”进行规定，是否适用中国香港PDPO，建议结合以下条件考虑：您是否涉及作为中国香港境内的资料使用者（在本遵从包中也称作“数据控制者”）收集、使用、或处理个人资料（在本遵从包中也称作“个人数据”）？ 您是否期望对您在中国香港PDPO下的个人资料处理相关风险进行识别，并获取如何采取措施降低风险？ 如果以上任一回答为是，建议您订阅该遵从包。 新加坡隐私保护遵从包 该遵从包依据《新加坡个人数据保护法》2012年（Personal Data Protection Act，2012，简称PDPA）的法规要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并给出了隐私保护方面的改进建议，帮助您的企业规范个人数据的收集、使用或披露，以及提升个人保护其个人信息数据各项权利的意识。 新加坡 法律法规 隐私保护 您是否涉及在新加坡境内进行个人数据的收集、使用或披露等个人信息处理活动？ 您是否期望对您在新加坡个人数据保护法下的个人数据保护相关风险进行识别，并获取如何采取措施降低风险？ 如果以上任一回答为是，建议您订阅该遵从包。 泰国隐私保护遵从包 该遵从包依据《泰国个人数据保护法 B.E.2562》 2019年（Personal Data Protection Act B.E.2562 2019, 简称PDPA）的法规要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并给出了隐私保护方面的改进建议，帮助企业全面管理数据保护以及个人数据的收集、保护、使用、存储、披露、传输。 泰国 法律法规 隐私保护 您是否涉及在泰国境内收集、保护、使用、披露、传输和其他处理个人数据的情形？ 您是否涉及对位于泰国境内的个人数据主体从事以下活动： 您向泰国境内的数据主体提供服务，无论是否由该数据主体支付费用 监控数据主体的行为，且该监控发生在泰国境内 您是否期望对您在泰国个人数据保护法下的个人数据保护风险进行识别，并获取如何采取措施降低风险？ 如果以上任一回答为是，建议您订阅该遵从包。

安全标准遵从包 当前可选择的安全标准遵从包如表1所示，用户依据判定指引选择并订阅安全遵从包。 表1 安全标准遵从包一览 遵从包名称 描述 适用区域 分类 领域 判定指引 PCI DSS安全遵从包 该遵从包依据广受国际认可的数据安全标准-支付卡行业数据安全标准 (PCI DSS 3.2.1版，2018 年 5 月)，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）自评数据安全管理情况，并结合PCI DSS给出了数据安全方面的改进建议，帮助企业提升数据安全水平。 全球 行业标准 数据安全 您是否作为参与支付卡处理的实体，包括商户、处理商、收单机构、发卡机构和服务提供商？ 您是否存储、处理或传输持卡人数据（主账户信息（PAN，一般为银行卡号）、持卡人姓名、银行卡有效期、业务码）或敏感验证数据（全磁道数据、信用卡安全码、PIN）？ 您是否期望对您在数据安全方面的风险进行识别，并获知如何采取措施降低风险？ 如果以上任一回答为是，建议您订阅该遵从包。 ISO 27001安全遵从包 该遵从包依据国际上公认的ISO 27001信息安全管理体系要求（2013版），提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）自评信息安全管理情况，并给出了信息安全方面的改进建议，帮助企业提升信息安全水平。 全球 国际标准 信息安全 ISO 27001为组织建立、实施、运行、保持和持续改进信息安全管理体系规定了要求，是一项具有普适性的信息安全标准。 如您期望对您在信息安全方面的风险进行识别，并获知如何采取措施降低风险，建议您订阅该遵从包。 ISO 27701安全遵从包 该遵从包依据国际上公认的ISO 27701隐私信息管理要求和指南（2019版），提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）自评隐私信息管理情况，并给出了隐私保护方面的改进建议，帮助企业贯彻隐私保护的责任，提升隐私保护及信息安全水平。 全球 国际标准 隐私保护 您是否涉及处理（包括收集、使用、传输、存储、删除等）个人可识别信息（简称“PII”，如姓名、电话号码、电子邮箱、身份证件信息等，在本遵从包中也称作“个人数据”）？ 您是否作为PII控制者（决定PII处理目的和方法的隐私利益相关方，在本遵从包中也称作“数据控制者”）和/或PII处理者（代表PII控制者，并按照PII控制者的指示对PII进行处理的隐私利益相关方，在本遵从包中也称作“数据处理者”）的角色？ 您是否期望对您在隐私保护方面的风险进行识别，并获知如何采取措施降低风险？ 如果以上任一回答为是，建议您订阅该遵从包。 等保2.0标准四级安全遵从包 该遵从包依据国家标准GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》中四级的安全要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）自评网络安全管理情况，并给出了网络安全等级保护的改进建议，帮助企业建设网络安全体系，提升网络安全水平。 中国 国家标准 网络安全 您是否涉及网络安全等级保护工作的作用对象，主要包括基础信息网络（为信息流通、信息系统运行等起基础支撑作用的信息网络，包括电信网、广播电视传输网、互联网、业务专网等网络设备设施）、信息系统（例如工业控制系统、 云计算平台 、物联网、使用移动互联技术的信息系统以及其他信息系统）和大数据等？ 您是否期望对网络实施分级保护措施，在网络安全保护方面的风险进行识别，并获知如何采取措施降低风险？ 如果以上任一回答为是，建议您订阅该遵从包。 等保2.0标准三级安全遵从包 该遵从包依据国家标准GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》中三级的安全要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）自评网络安全管理情况，并给出了网络安全等级保护的改进建议，帮助企业建设网络安全体系，提升网络安全水平。 中国 国家标准 网络安全 您是否涉及网络安全等级保护工作的作用对象，主要包括基础信息网络（为信息流通、信息系统运行等起基础支撑作用的信息网络，包括电信网、广播电视传输网、互联网、业务专网等网络设备设施）、信息系统（例如工业控制系统、云计算平台、物联网、使用移动互联技术的信息系统以及其他信息系统）和大数据等？ 您是否期望对网络实施分级保护措施，在网络安全保护方面的风险进行识别，并获知如何采取措施降低风险？ 如果以上任一回答为是，建议您订阅该遵从包。

消息&短信MSG SMS 服务权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 消息&短信部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京四）对应的项目（cn-north-4）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问消息&短信时，需要先切换至授权区域。 权限根据角色进行授权。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 如表1 消息&短信服务系统角色所示，包括了消息&短信的所有系统策略。 表1 消息&短信服务系统角色 策略名称 描述 策略类别 依赖关系 RTC Administrator 语音通话、消息&短信、 隐私保护通话 的所有执行权限。 角色 无 MSGSMS FullAccess 消息&短信服务普通用户权限，拥有该权限的用户可以拥有消息&短信支持的全部权限，包括创建、删除、查询、变更规格等操作。 系统策略 无 MSGSMS ReadOnlyAccess 消息&短信服务只读权限，拥有该权限的用户仅能查看消息&短信服务数据。 系统策略 无 如表2所示，列出了短信服务操作与系统权限的授权关系，供您选择选择合适的系统权限。 表2 消息&短信MSGSMS操作与系统策略关系 操作 MSGSMS FullAccess MSGSMS ReadOnlyAccess 查询短信应用数量 √ √ 查询短信应用 √ √ 查询权限 √ √ 查询短信应用密钥 √ √ 查询租户受限原因 √ √ 查询签名信息 √ √ 查询短信类型 √ √ 查询签名名称 √ √ 查询短信模板 √ √ 查询催审配置 √ √ 查询校验租户订单状态 √ √ 查询开发者信息 √ √ 查询短信模板名称 √ √ 查询短信模板变量 √ √ 查看群发助手任务名称 √ √ 查询群发助手短信发送任务 √ √ 查看群发助手任务结果详情 √ √ 查询短信限额策略 √ √ 查询短信业务统计数据 √ √ 查询联系人 √ √ 查询历史请求信息 √ √ 查询短信总览统计数据 √ √ 查询消息提醒 √ √ 查询单条短信价格 √ √ 查询企业项目 √ √ 查询公共配置 √ √ 查询租户企业名称 √ √ 查询短信发送国家 √ √ 查看短信详情 √ √ 查询企业营业执照文件 √ √ 删除签名 √ x 删除短信模板 √ x 删除联系人 √ x 导出群发助手任务发送号码 √ x 导出短信业务统计数据 √ x 创建短信应用 √ x 发送验证码 √ x 添加签名 √ x 修改签名 √ x 签名申请催审 √ x 创建短信模板 √ x 导入群发助手短信发送任务 √ x 创建群发助手短信发送任务 √ x 添加联系人 √ x 新增解除黑名单请求 √ x 更新短信应用密钥 √ x 修改短信应用 √ x 申请激活签名 √ x 修改短信模板 √ x 更新群发助手定时任务 √ x 设置短信限额策略 √ x 修改联系人 √ x 批量导入短信模板 √ x 上传企业营业执照文件 √ x

产品规格 分类 功能特性 国内短信 短信功能 短信回复 支持 彩信 不支持 短信细则 一条短信最多能发多少个字 文本短信模板字数上限：500个字 短信内容长度计算规则 用户接收短信看到的号码 106开头的随机号码 可接收短信的号码 手机号（不包含物联网卡） 有短信功能的固话 短信支持的语言 首选简体中文 平台机制 统计短信发送数据 支持 短信发送管控机制 支持 短信发送频率 同一个号码：验证码：2次/分钟，50次/24小时；通知短信：10次/分钟，50次/24小时；推广短信：4次/1小时，10次/24小时 同一个号码同一条短信（验证码/通知/推广短信）：2次/59秒，5次/59分钟 短信发送频率限制 签名类型和模板类型是否需匹配 支持 短信发送失败后自动重发 不支持 API支持哪些协议接入 HTTPS 短信到达率 99% 父主题： 产品概述

产品功能 华为 云消息 &短信服务的功能如下： 服务种类 特点 支持上行短信 国内短信支持接收用户回复短信。 支持单发和群发短信 支持单发短信，也支持使用群发助手发送短信。可参考使用群发助手。 支持防盗刷和发送频率限制功能 支持短信使用情况监控，有效预防验证码短信被盗刷和用户退订风险。可参考发送频率限制和防盗刷限制。 支持短信格式自定义功能 可按模板或自定义格式发送。可参考使用须知。 支持可视化业务查询功能 随时查询使用情况和业务发送详情反馈。可参考业务统计。 如有任何疑问，请联系华为云智能客服，将有专人为您解答。 父主题： 产品概述

变量示例 变量格式 填写示例 说明 按序号标识 ${1}、${2}、...、${20} 长度限制：1-20个字符。 中间数字应代表变量在模板内容中的位置顺序。即${1}表示模板内容中的第一个变量，${2}表示模板内容中的第二个变量，以此类推。 说明： 特殊内容（如网址、手机号等）不允许设置局部变量，如www.${1}.cn、186${2}1234等。 按类型标识 ${PHONE}、${CHARDIGIT}、${DATETIME}、${MONEY}、${TEXT} 中间字符表示变量类型，各变量有默认长度限制，不支持自定义设置。 如有任何疑问，请联系华为云智能客服，将有专人为您解答。

短信封禁规则 消息&短信服务会针对用户发送的短信内容进行审核，防范在短信中出现违反国家法律法规内容。 序号 违规行为定义 违规性质 处理方式 1 下发短信中不含有签名，或与报备签名不符合 一般 以正式邮件的方式进行提醒并要求整改，连续三次提醒未按要求整改，直接关停账号业务 2 营销短信业务未提前报备通过，在每天22:00至次日8:00时间段内发送 一般 以正式邮件的方式进行提醒并要求整改，连续三次提醒未按要求整改，直接关停账号业务。 3 营销短信业务未提供明确退订方式 一般 以正式邮件的方式进行提醒并要求整改，连续三次提醒未按要求整改，直接关停账号业务。 4 向最终用户提供短信服务前未经最终用户同意 严重 暂停账号业务，以正式邮件的方式进行警告要求整改，确认整改好再恢复账号业务，再次出现直接关停。 5 下发短信内容和报备内容不符 严重 暂停账号业务，以正式邮件的方式进行警告要求整改，确认整改好再恢复账号业务，再次出现直接关停。 6 用行业通道发送营销短信内容（含前面是行业短信或验证码，后面附带营销推广内容的，算营销短信） 严重 暂停账号业务，以正式邮件的方式进行警告要求整改，确认整改好再恢复账号业务，再次出现直接关停。 7 发送内容产生投诉且为有效投诉，月投诉率达到百万分之0.25 严重 暂停账号业务，以正式邮件的方式进行警告要求整改，确认整改好再恢复账号业务，再次出现直接关停。 8 经查证发送内容为官网明确禁止发送类短信 重大 关停账号业务。 9 发送内容产生投诉且为有效投诉，月投诉率达到百万分之0.4 重大 关停账号业务。

防盗刷限制 功能定义 功能指引 短信盗刷是指通过恶意程序或工具，在短时间内，给单个或多个手机号码发送大量无效短信，造成短信轰炸和用户骚扰。 您可使用消息&短信服务提供的流量阈值管理功能，当短信发送总量超过设定限额数值，平台会自动帮您暂停发送短信，降低因客户自身业务被盗刷短信等引起的损失。 系统设置了默认预警值与限额值，初次使用请根据业务需要，参考通用设置修改预警值与限额值。 验证码短信盗刷是指利用短信资源中验证码获取功能，通过恶意程序或工具批量对单个或者多个号码进行验证码重复请求提交。 您也可加上图形验证码，当用户进行短信发送操作前，要求用户输入图形验证码，可防范短信盗刷攻击问题。

发送频率限制 为防止用户通过登录APP、网站或通过短信等方式找回密码时，在短时间内向同一号码，发起大量短信发送请求，影响用户体验。华为云针对国内短信进行如下流量控制，具体限制数量以运营商的实现为准。 限制项 短信类型 限制频率 说明 号码频次 验证码 2次/分钟 任意1分钟内，对同一个手机号码发送短信最多2次，超出次数会被限制。 50次/24小时 任意24小时内，对同一个手机号码发送短信最多50次，超出次数会被限制。 通知 10次/分钟 任意1分钟内，对同一个手机号码发送短信最多10次，超出次数会被限制。 50次/24小时 任意24小时内，对同一个手机号码发送短信最多50次，超出次数会被限制。 推广 4次/1小时 任意1小时内，对同一个手机号码发送短信最多4次，超出次数会被限制。 推广短信发送时间为每日8:00 - 22:00，夜间无法发送。 10次/24小时 任意24小时内，对同一个手机号码发送短信最多10次，超出次数会被限制。 推广短信发送时间为每日8:00 - 22:00，夜间无法发送。 同号同内容管控 验证码/通知/推广 2次/59秒 任意59秒内，对同一个手机号码发送同一短信（内容完全相同）最多2次，超出次数会被限制。 5次/59分钟 任意59分钟内，对同一个手机号码发送同一短信（内容完全相同）最多5次，超出次数会被限制。

图表类型与说明 每种图表都有其适用场景和数据要素（即构成图表的字段）。下面为您介绍各种类型图表的使用场景、数据要素和样例展示。 表1 图表适用场景 类型 类型 说明 数据要素 图片 图片 图片组件主要用于添加图片到报表页面进行组合展示，常用于添加页面补充说明配图或者添加LOGO图片等进行页面美观度整体提升。 类别轴/维度 轴值/度量 颜色图例 视频 视频 视频是媒体组件的一种，支持自定义视频的URL地址、视频播放属性、播放器的外观属性等，支持mp4格式的视频，能够在可视化应用中添加视频播放器来播放您的视频。 链接 FLV视频流 功能同视频组件，支持播放FLV视频格式。 链接

发布大屏步骤 登录智能数据洞察控制台。 单击管理控制台左上角的，选择区域。 单击左下角的企业项目选择企业项目。 在控制台的右侧“我的项目列”选择或搜索对应的项目，单击进入项目。 在项目页面，单击数据分析下“大屏”进入大屏管理页面。 单击未发布的大屏，进入编辑页面。 单击页面右上角的“保存并发布”按钮，页面提示“大屏发布成功”。 如果编辑大屏内容，单击大屏页面右上角“重新发布”按钮，页面提示“大屏发布成功”。