本文描述了客户对所购买华为云云服务执行渗透测试的规则，这些规则使客户能够有效评估所购买华为云云服务的安全性，同时避免对华为云其他客户或基础设施造成伤害。

任何未遵循本规则的渗透测试，都属于恶意未经授权行为，我们依法保留追究其一切法律责任的权利。

本规则仅适用于购买了华为云云服务（不包含华为云商店的服务和产品）的客户。

1.执行任何类型的DoS、DDoS测试；

2.对产生大流量的服务执行自动化测试；

3.执行ARP欺骗，DNS劫持，投毒等类型的攻击；

4.扫描或测试华为云其他客户的资产和数据；

5.对华为员工执行网络钓鱼或其他社会工程攻击；

6.对华为云基础设施及公共服务（包括官网、IAM、NTP、DNS等）执行任何渗透测试。

客户可以随时对其部署在华为云上的业务系统以及所购买的华为云云服务实例进行安全评估与渗透测试。

1.推荐客户使用华为云管理检测与响应 MDR服务执行安全评估与渗透测试；

2.推荐客户使用华为云商店中的安全服务执行安全评估与渗透测试。

华为云非常关注产品的安全性，对每一个报告的可疑漏洞或安全事件都会进行充分的调查和分析。

当客户发现华为云服务网站及产品服务的任何安全漏洞，或者怀疑华为云服务资源正被用于可疑活动，请发送电子邮件至hwssecurity@huaweicloud.com报告事件。为了更高效的回复客户的报告，请在邮件中提供必要的支持资料（漏洞复现条件、验证代码、从事可疑活动的资源IP、可疑行为日志等），在整个漏洞处理的过程中，华为云会严格控制漏洞信息的范围，仅在处理漏洞的相关人员之间传递；同时也请求上报者在我们的客户获得完整的解决方案前，对此漏洞信息进行保密，这些资料对于帮助我们了解漏洞和可疑活动的严重性非常有帮助。华为云服务将跟踪回复每一个反馈报告。在客户初次反馈后的 1个工作日内，将收到一封我们的确认邮件。