华为云用户手册

基础组件 文字 应用示例：使用文字组件设置页面标题。 图1 文字-1 添加组件：在左侧组件列表中，找到“文字”组件，将该组件拖到画布中。 图2 文字-2 配置样式：可在右侧配置栏中设置文字样式：文本内容、颜色、字号。 矩形 应用示例：作为数字或文字的背景。 图3 矩形-1 添加组件：在左侧组件列表中，找到“矩形”组件，将该组件拖到画布中。 图4 矩形-2 配置样式：可在右侧配置栏中，设置矩形的圆角、填充颜色和边框样式。 圆形 应用示例：作为数字或文字的背景。 图5 圆形-1 添加组件：在左侧组件列表中，找到“圆形”组件，将该组件拖到画布中。 图6 圆形-2 配置样式：可在右侧配置栏中，设置圆形的填充颜色和边框样式。 三角形 应用示例：作为数字或文字的背景。 图7 三角形-1 添加组件：在左侧组件列表中，找到“三角形”组件，将该组件拖到画布中。 图8 三角形-2 配置样式：可在右侧配置栏中，设置三角形的背景颜色和边框样式。 箭头 应用示例：作为表达各组件或区块之间传递关系的标记。 图9 箭头-1 添加组件：在左侧组件列表中，找到“箭头”组件，将该组件拖到画布中。 图10 箭头-2 配置样式：可在右侧配置栏中，设置箭头的填充颜色和边框样式。 图片 应用示例：图片组件主要用于在页面中展示图片资源，例如某些元素的背景，整厂布局图等。 图11 图片-1 添加组件：在左侧组件列表中，找到“图片”组件，将该组件拖到画布中。 图12 图片-2 上传图片：在右侧配置栏，单击上传图片，上传本地图片。 标题背景 应用示例：用于装饰页面标题。 图13 标题背景-1 添加组件：在左侧组件列表中，找到“标题背景”组件，将该组件拖到画布中。 图14 标题背景-2 背景 应用示例：用于装饰页面。 图15 背景-1 添加组件：在左侧组件列表中，找到“背景”组件，将该组件拖到画布中。 图16 背景-2

监测与控制 监测参数 应用示例：用于设备数据的实时展示，可关联设备组属性参数和设备参数。 图17 监测参数-1 添加组件：在左侧组件列表中，找到“监测参数”组件，将该组件拖到画布中。 图18 监测参数-2 配置数据源：在右侧配置栏中，单击配置数据源后，选择数据源类型，选择设备组属性参数或者设备参数，单击保存，完成数据配置。 图19 监测参数-3 配置样式：在右侧配置栏，可对监测参数的样式进行配置。选中整个组件，可对整个组件的字体大小和颜色进行设置。分别选中参数名称、单位或参数值，可分别对参数名称、单位或参数值进行字体大小和颜色设置。 状态监测 应用示例：状态监测类的参数，可为不同的参数值设置不同的颜色。例如：设备的运行状态设置为当运行时显示绿色，当停机时显示蓝色等。 图20 状态监测-1 添加组件：在左侧组件列表中，找到“状态监测”组件，将该组件拖到画布中。 图21 状态监测-2 配置数据源：在右侧配置栏中，单击配置数据源后，选择数据源类型，选择设备参数，单击保存，完成数据配置。 图22 状态监测-3 配置样式：配置完数据源之后，右侧配置栏中会自动带出状态值的配置选项，可对不同状态值设置不同的字号和颜色。 图23 状态监测-4 参数块 应用示例：把同一个设备的多个参数放到参数块中，方便查看和对比设备的实时数据。当该设备运行时，参数块会显示绿色，当设备停机时参数块会显示蓝色，当设备保养到期时参数块会显示黄色，当设备有异常预警时参数块会显示黄色，当设备发生故障时参数块会显示红色，方便设备管理人员快速感知到设备当前的状态。 图24 参数块-1 添加组件：在左侧组件列表中，找到“参数块”组件，将该组件拖到画布中。 图25 参数块-2 配置数据源：可在右侧配置栏中，选择设备组-设备，对参数块进行数据源配置。 配置样式：可在右侧配置栏中，对参数块头部和底部的高度，以及文本内容进行字体大小和颜色进行设置。 图26 参数块-3

开通云资源授权后，获得了授权资产服务的哪些权限？ 开通云资源授权后，可以访问OBS桶、数据库、大数据以及资产地图，获得了授权资产服务的权限如表1所示。 表1 对应授权项服务创建的委托 资产模块 服务策略 作用范围 备注 OBS OBS Administrator 全局 用于配置OBS日志，获取OBS对象列表，下载OBS对象等 EVS ReadOnlyAccess 区域 用于获取云硬盘列表 OBS Administrator 全局 用于获取OBS服务投递日志 数据库 ECS ReadOnlyAccess 区域 用于获取自建数据库ECS列表 RDS ReadOnlyAccess 区域 用于获取RDS数据库列表及数据库列表相关信息 DWS ReadOnlyAccess 区域 用于获取DWS列表 VPC FullAccess 区域 用于打通网络，VPC的端口创建，安全组规则创建等 KMS CMKFullAccess 区域 用于使用KMS加密脱敏的场景 GaussDB ReadOnlyAccess 区域 用于获取GaussDB列表 大数据 ECS ReadOnlyAccess 区域 用于获取自建大数据ECS列表 CSS ReadOnlyAccess 区域 用于获取CSS数据集群列表及数据索引等相关信息 DLI Service User 区域 用于获取DLI队列及数据库 VPC FullAccess 区域 用于打通网络，VPC的端口创建，安全组规则创建等 KMS CMKFullAccess 区域 用于使用KMS加密脱敏的场景 MRS MRS CommonOperations 区域 用于集群查询、任务创建等 资产地图 Tenant Guest 区域 用于获取用户涉及数据存储处理等相关云服务的列表等 OBS Administrator 全局 用于配置OBS日志，获取OBS对象列表，下载OBS对象等 EVS ReadOnlyAccess 区域 用于云硬盘列表获取 OBS Administrator 全局 用于OBS服务投递日志 父主题： 资产授权类

什么是区域、可用区？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前，华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。

如何选择区域？ 选择区域时，您需要考虑以下几个因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 在除中国大陆以外的亚太地区有业务的用户，可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。 在非洲地区有业务的用户，可以选择“非洲-约翰内斯堡”区域。 在拉丁美洲地区有业务的用户，可以选择“拉美-圣地亚哥”区域。 资源的价格 不同区域的资源价格可能有差异，请参见华为云服务价格详情。

与云审计服务的关系 云审计服务（Cloud Trace Service，CTS）记录了数据安全中心相关的操作事件，方便用户日后的查询、审计和回溯。 表1 云审计服务支持的DSC操作列表 操作名称 资源类型 事件名称 授权或者取消对DSC的授权 dscGrant grantOrRevokeTodsc 添加OBS桶资产 dscObsAsset addBuckets 删除OBS桶资产 dscObsAsset deleteBucket 添加数据库资产 dscDatabaseAsset addDatabase 修改数据库资产 dscDatabaseAsset updateDatabase 删除数据库资产 dscDatabaseAsset deleteDatabase 添加大数据资产 dscBigdataAsset addBigdata 修改大数据资产 dscBigdataAsset updateBigdata 删除大数据资产 dscBigdataAsset deleteBigdata 更新对象名称 dscAsset updateAssetName 下载批量添加模板 dscBatchImportTemplate downloadBatchImportTemplate 批量添加数据库 dscAsset batchAddDatabase 批量添加资产 dscAsset batchAddAssets 展示异常事件 dscExceptionEvent listExceptionEventInfo 获取异常事件详细信息 dscExceptionEvent getExceptionEventDetail 添加告警配置 dscAlarmConfig addAlarmConfig 修改告警配置 dscAlarmConfig updateAlarmConfig 下载报表 dscReport downloadReport 删除报表 dscReport deleteReport 添加扫描规则 dscRule addRule 修改扫描规则 dscRule editRule 删除扫描规则 dscRule deleteRule 添加扫描规则组 dscRuleGroup addRuleGroup 修改扫描规则组 dscRuleGroup editRuleGroup 删除扫描规则组 dscRuleGroup deleteRuleGroup 添加扫描任务 dscScanTask addScanJob 修改扫描任务 dscScanTask updateScanJob 删除扫描子任务 dscScanTask deleteScanTask 删除扫描任务 dscScanTask deleteScanJob 启动扫描任务 dscScanTask startJob 停止扫描任务 dscScanTask stopJob 启动扫描子任务 dscScanTask startTask 停止扫描子任务 dscScanTask stopTask 启用/停用ES脱敏 dscBigDataMaskSwitch switchBigDataMaskStatus 获取ElasticSearch field信息 dscBigDataMetaData getESField 添加ES脱敏模板 dscBigDataMaskTemplate addBigDataTemplate 编辑ES脱敏模板 dscBigDataMaskTemplate editBigDataTemplate 删除ES脱敏模板 dscBigDataMaskTemplate deleteBigDataTemplate 查询ES脱敏模板列表 dscBigDataMaskTemplate showBigDataTemplates 启动/停止ES脱敏模板 dscBigDataMaskTemplate operateBigDataTemplate 切换ES脱敏模板状态 dscBigDataMaskTemplate switchBigDataTemplate 启用/停用数据库脱敏 dscDBMaskSwitch switchDBMaskStatus 获取数据库字段信息 dscDBMetaData getColumn 添加数据库脱敏模板 dscDBMaskTemplate addDBTemplate 修改数据库脱敏模板 dscDBMaskTemplate editDBTemplate 删除数据库脱敏模板 dscDBMaskTemplate deleteDBTemplate 查询数据库脱敏模板列表 dscDBMaskTemplate showDBTemplates 启动/停止数据库脱敏模板 dscDBMaskTemplate operateDBTemplate 切换数据库脱敏模板状态 dscDBMaskTemplate switchDBTemplate 添加脱敏算法 dscMaskAlgorithm addMaskAlgorithm 编辑脱敏算法 dscMaskAlgorithm editMaskAlgorithm 删除脱敏算法 dscMaskAlgorithm deleteMaskAlgorithm 测试脱敏算法 dscMaskAlgorithm testMaskAlgorithm 获取字段与脱敏算法的映射关系 dscMaskAlgorithm getFieldAlgorithms 添加加密算法配置 dscEncryptMaskConfig addEncryptConfig 修改加密算法配置 dscEncryptMaskConfig editEncryptConfig 删除加密算法配置 dscEncryptMaskConfig deleteEncryptConfig

资产识别与管理 DSC是新一代的云化数据安全平台，支持管理用户的OBS、数据库、大数据和MRS数字资产，帮助用户的云上资产进行风险识别，呈现云上数据安全态势。 表1 DSC的资产管理 资产管理方式 简要说明 详细介绍 资产地图 数据资产地图可以通过可视化的手段，从资产概况、分类分级、权限配置、数据存储、敏感数据以及数据出口分析等多种维度查看资产的安全状况。可协助您快速发现风险资产并进行快速风险处理操作。 资产地图 资产管理 DSC提供资产管理的功能，对云上资产进行数据探索、分组管理等。 资产管理 敏感数据识别 敏感数据自动识别分类，从海量数据中自动发现并分析敏感数据使用情况，基于数据识别引擎，对其储存结构化数据（RDS）和非结构化数据（OBS）进行扫描、分类、分级，解决数据“盲点”，以此做进一步安全防护。 新建敏感数据识别任务 数据脱敏 DSC的数据脱敏支持静态脱敏和动态脱敏。您可以对指定数据配置脱敏规则实现敏感数据静态脱敏，同时，您也可以使用数据动态脱敏的API接口实现数据的动态脱敏，全方位确保敏感信息不被泄露。 数据脱敏 父主题： 安全

配置流程 配置流程图如图1所示。 图1 DSC配置流程图 使用数据安全中心前，须先开通并使用OBS或RDS云产品中任意一种，确保有可供数据安全中心扫描的数据。 开通数据安全中心后，数据安全中心服务将自动检测用户的云上授权资产，并应用敏感规则对其进行风险等级的评价。您可以在数据安全中心控制台资产地图页面查看文件风险概况和文件详情。 （可选）如需保护OBS自有桶数据，则需要开通华为云对象存储服务（OBS）/关系型数据库（RDS）服务。 若已开通，请跳过该步骤，直接执行2。 若未开通，请先开通后再执行2。 开通对象存储服务请参见OBS帮助文档，开通关系型数据库服务请参见RDS帮助文档。 （可选）开通后，还需要在对象存储服务中创建一个桶并上传需要存储的文件或在关系型数据库中创建实例数据库。 若已创建，请跳过该步骤，直接执行6。 若未创建，请先创建后再执行6。 OBS：创建桶详细操作请参见创建桶，上传文件详细操作请参见上传对象。 RDS：创建数据库详细操作请参见创建数据库。 （可选）如需保护OBS其他桶，则需要将OBS其他桶的“桶权限”设置为“公共”。 （可选）如需保护自建数据库资产，则需要获取自建数据库的引擎、版本、主机等相关信息。 （可选）如需保护自建数据库资产，则需要获取其他自建数据源的引擎、版本、主机等相关信息。 完成资产委托授权并授权资产。 授权的具体操作请参见云资源委托授权/停止授权。 添加OBS资产的具体操作请参见添加OBS资产。 授权数据库资产的具体操作请参见添加数据库资产。 授权大数据资产的具体操作请参见添加大数据资产。 配置敏感数据识别规则。 配置敏感规则详细操作请参见敏感数据识别。 查看检测到的敏感数据或文件及其统计数据。 检测结果具体查看方法请参见识别结果。 针对检测出的结果，对异常事件处理或对敏感数据进行脱敏。 异常事件处理详细操作请参见处理异常事件。 敏感数据脱敏详细操作请参见数据脱敏。 针对异常事件设置告警通知。 配置告警通知的详细操作请参见告警通知。

入门实践 当您接入DSC服务后，可以根据业务场景使用DSC提供的一系列常用实践。 表1 常用实践 实践 描述 如何防止个人敏感数据在开发测试中被泄露？ 华为云数据安全中心（Data Security Center，简称DSC）提供的静态数据脱敏功能，可以按照脱敏规则一次性完成大批量数据的变形转换。例如将生产环境中的敏感数据交付至开发、测试或者外发环境使用时，可以使用静态数据脱敏功能。 静态数据脱敏的应用场景： 开发测试 数据分享 数据研究 OBS数据安全防护最佳实践 介绍如何使用数据安全中心（DSC），对OBS中存储的敏感数据进行识别、分类分级和保护。 快速对云上RDS数据库进行安全体检 如果您的数据存储在华为云RDS中，参考本章节对RDS数据进行一键体检，助您快速识别风险数据，并对异常数据提供一份详细的体检报告。 等保合规安全解决方案 华为云依托自身安全能力与安全合规生态，为客户提供一站式的安全解决方案，帮助客户快速、低成本完成安全整改，轻松满足等保合规要求。

操作步骤 登陆华为云账号，进入华为云云商店首页，搜索您需要的商品。 图1 云商店首页 找到需要购买的工业软件云联营License商品，单击进入商品详情页面，查看商品信息、设置服务选型后，单击“立即购买”。 图2 商品购买页 进入订单详情面，勾选相关确认协议后，单击“去支付”。 图3 订单确认 核对订单无误后，选择支付方式，单击“确认付款”。 图4 付款确认 订单支付成功后，单击“返回我的云市场”回到“我的云商店”页面。 图5 返回我的云市场

操作场景 隔离的安全程度分为物理隔离和逻辑隔离。其中，逻辑隔离更多面向企业内部的多租需求，在该形态下默认不存在恶意租户，隔离是为了内部团队间的业务保护和对可能的安全攻击进行防护。 您可以使用工业数字模型驱动引擎-数据建模引擎（xDM Foundation，简称xDM-F）在XDM应用中预置的“Tenant”数据实体来实现逻辑多租，在租户之间实现逻辑分离。 唯一编码为“-1”的“basicTenant”数据实例是xDM-F的默认租户，应用运行态默认在“basicTenant”租户下调用API和管理应用的模型数据。 本文指导您在应用运行态管理“Tenant”数据实体的实例数据。

修订记录 发布日期 修改说明 2023-11-27 第十一次正式发布。 新增 初始化异常 创建关系实体 作废关系实体 修改 数据实体 关系实体 属性库 全量数据服务 2023-10-29 第十次正式发布。 新增 配置模型实例管理 导出团队角色 导入团队角色 导出群组 导入群组 导出全局角色 导入全局角色 失效授权 生效授权 修改 我的工作空间 创建属性 修改数据实体 管理数据实例授权 权限管理 2023-09-16 第九次正式发布。 新增 语言实例管理 多语言&工程符号 2023-07-22 第八次正式发布。 修改 概述 同步搜索服务的数据 搜索实例 添加分组 添加标签 2023-06-17 第七次正式发布。 新增文件类型白名单 修改 查看数据实体 修改数据实体 2023-05-20 第六次正式发布。 新增 下载离线文件 搜索实例 修改服务编排概述 2023-04-15 第五次正式发布。 新增 另存团队 另存群组 修改 服务编排概述 创建Java服务编排 创建JavaScript服务编排 创建搜索服务 索引管理 服务配置管理 搜索日志 下线搜索配置 2023-03-18 第四次正式发布。 新增修订服务编排 修改 数据看板 创建合法值类型 创建生命周期模板 创建Java服务编排 创建JavaScript服务编排 2023-02-18 第三次正式发布。 新增导出API 修改 修改数据实体 删除单位类型 编辑单位类型 失效单位类型 2023-01-15 第二次正式发布。 新增 搜索服务管理 应用中心 2022-11-30 第一次正式发布。

步骤5：实例界面布局设置 创建数据实体时，如果“基本信息”中的“实例界面显示”为“是”，可通过如下操作对属性进行布局。 选择“实例界面布局设置”页签，进入实例界面布局设置页面。 图9 实例界面布局设置 根据实际业务需求进行如下设置，单击“保存”。 支持对数据实体的属性和关联的关系实体进行布局。 布局属性：您可以根据页面提示，复制其他数据实体的布局，也可以自定义设置界面布局。 布局关系：布局方式支持无、自定义和复制其他数据实体。

注入符号限制 Java类型：无限制。 JavaScript类型： 不可转义：`、'、;和"。 不可转义，但可在SQL中转换：{。 例如，有一条如下所示的SQL语句： select 1 from tablename where name='{}' 可在SQL中进行如下转换： select 1 from tablename where name=chr(123)||'}' 可转义：(、)和|。 例如，(转义成\\(，)转义成\\)，|转义成\\|。

用户平时需要关注云搜索服务的哪些监控指标 用户需要关注的监控指标为磁盘使用率和集群健康状态。用户可以登录到云监控服务，根据实际应用场景配置告警提示，当收到告警，可采取相应措施消除告警。告警配置方法，请参见配置告警规则。 配置示例： 如果在某段时间内（如5min），磁盘使用率出现多次（如5次）不低于某特定值（如85%）的情况，则发出相应告警。 如果在某段时间内（如5min），集群健康状态出现多次（如5次）大于0的情况，则发出相应告警。 采取措施： 收到与磁盘使用率有关的告警时，可以调查磁盘空间消耗，查看是否可以从集群节点中删除数据或是将数据存档到其他系统以释放空间，或者扩容磁盘。 收到与集群健康状态有关的告警时，可以查看集群的分片分配是否正常以及Shard是否已丢失，在Cerebro上查看进程是否发生重启。 父主题： 集群监控与运维

自建Kibana如何对接云搜索服务的Elasticsearch？ 自建Kibana对接云搜索服务的ES，需满足如下条件： 本地环境需要支持外网访问。 通过同vpc下ECS服务搭建Kibana，本地公网访问Kibana即可。 只支持OSS版本的Kibana镜像连接到云搜索服务的Elasticsearch。 Kibana配置文件参考： 安全模式： elasticsearch.username: "***" elasticsearch.password: "***" elasticsearch.ssl.verificationMode: none server.ssl.enabled: false server.rewriteBasePath: false server.port: 5601 logging.dest: /home/Ruby/log/kibana.log pid.file: /home/Ruby/run/kibana.pid server.host: 192.168.xxx.xxx elasticsearch.hosts: https://10.0.0.xxx:9200 elasticsearch.requestHeadersWhitelist: ["securitytenant","Authorization"] opendistro_security.multitenancy.enabled: true opendistro_security.multitenancy.tenants.enable_global: true opendistro_security.multitenancy.tenants.enable_private: true opendistro_security.multitenancy.tenants.preferred: ["Private", "Global"] opendistro_security.multitenancy.enable_filter: false 安全模式需要安装插件opendistro_security_kibana，详细请参考https://github.com/opendistro-for-elasticsearch/security-kibana-plugin/tags?after=v1.3.0.0。 安装的插件版本需要和集群版本保持一致，可通过GET _cat/plugins获取到集群安全插件的版本号。 非安全模式： server.port: 5601 logging.dest: /home/Ruby/log/kibana.log pid.file: /home/Ruby/run/kibana.pid server.host: 192.168.xxx.xxx elasticsearch.hosts: http://10.0.0.xxx:9200 父主题： Kibana使用

自行搭建的Kibana和Cerebro可以访问CSS集群吗？ 支持自建Kibana和Cerebro接入CSS集群。 自建Kibana对接CSS集群：请参见自建Kibana如何对接云搜索服务的Elasticsearch？。 自建Cerebro对接CSS集群：直接启动自建Cerebro，启动后填写集群的内网IP即可。 安全模式的集群填写：https://内网IP:9200 非安全模式的集群填写：http://内网IP:9200 父主题： 集群访问/集群连接

告警策略 如果黑客暴力破解密码成功，且成功登录您的服务器，会立即发送实时告警通知用户。 如果检测到暴力破解攻击并且评估认为账户存在被破解的风险，会立即发送实时告警通知用户。 如果该次暴力破解没有成功，主机上也没有已知风险项（不存在弱口令），评估认为账户没有被破解的风险时，不会发送实时告警。主机安全服务会在每天发送一次的每日告警信息中通告当日攻击事件数量。您也可以登录主机安全服务控制台入侵检测页面实时查看拦截信息。

容器安全 容器镜像安全 即使在Docker Hub下载的官方镜像中也常常包含了漏洞，而研发人员在使用大量开源框架时更加剧了镜像漏洞问题的出现。 容器镜像安全对镜像进行安全扫描，将镜像中存在的各种风险（镜像漏洞、账号、恶意文件等）进行展示，提示用户及时修改，消除安全隐患。 容器运行时安全 通常容器的行为是固定不变的，容器安全服务帮助企业制定容器行为的白名单，确保容器以最小权限运行，有效阻止容器安全风险事件的发生。 满足等保合规 安全计算环境是等保合规的关键项，容器安全服务的核心功能够满足入侵防范与恶意代码防范等保条款，能够协助用户保护容器安全、系统安全。

主机安全 等保合规 主机安全是等保合规的关键项，主机安全服务提供的入侵检测功能，能协助各企业保护企业云服务器账户、系统的安全。 申请等保认证，您需购买企业版及以上（包含企业版、旗舰版、网页防篡改版）版本。 统一安全管理 主机安全服务提供统一的主机安全管理能力，帮助用户更方便地管理云服务器的安全配置和安全事件，降低安全风险和管理成本。 安全风险评估 对主机系统进行安全评估，将系统存在的各种风险（账户、端口、软件漏洞、弱口令等）进行展示，提示用户及时加固，消除安全隐患。 账户安全保护 提供覆盖事前、事中和事后的账户安全保护功能。支持双因子认证登录，防止用户云服务器上的账户遭受暴力破解攻击，提高云服务器的安全性。 主动安全防御 通过清点主机安全资产，管理主机漏洞与不安全配置，预防安全风险；通过网络、应用、文件主动防护引擎主动防御安全风险。 黑客入侵检测 提供主机全攻击路径检测能力，能够实时、准确地感知黑客入侵事件，并提供入侵事件的响应手段，对业务系统“零”影响，有效应对APT攻击等高级威胁。

勒索病毒 勒索病毒，是伴随数字货币兴起的一种新型病毒木马，通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。 一旦遭受勒索病毒攻击，将会使绝大多数的关键文件被加密。被加密的关键文件均无法通过技术手段解密，用户将无法读取原本正常的文件，仅能通过向黑客缴纳高昂的赎金，换取对应的解密私钥才能将被加密的文件无损的还原。黑客通常要求通过数字货币支付赎金，一般无法溯源。 如果关键文件被加密，企业业务将受到严重影响；黑客索要高额赎金，也会带来直接的经济损失，因此，勒索病毒的入侵危害巨大。

监控安全风险 云监控服务（Cloud Eye，CES）为用户的云上资源提供了立体化监控平台。通过云监控您可以全面了解云上的资源使用情况、业务的运行状况，并及时收到异常告警做出反应，保证业务顺畅运行。 HSS提供基于云监控服务的资源监控能力，帮助用户监控账号下的服务器防护情况，执行自动实时监控、告警和通知操作。用户可以实时监控未开启防护服务器数量、有风险服务器数量和未安装/已离线Agent数量等信息。 关于HSS支持的监控指标，以及如何创建监控告警规则等内容，请参见监控。 父主题： 安全

检测项 确保系统中不存在账号名或UID相同的账号 UID为0的非root账号检查 代码中的口令检查 确保系统中不存在相同密码哈希值的账号 禁止使用弱密码哈希算法 确保账户密码不为空 确保系统中不存在相同组名或GID 确保没有非特权账号加入特权组 确保/etc/passwd中不存在旧的"+"条目 确保/etc/shadow中不存在旧的"+"条目 确保/etc/group中不存在旧的"+"条目 确保/etc/passwd中的所有组都存在于/etc/group中 确保配置了密码有效期 确保所有用户的密码更改日期都是过去日期 禁用建立host信任 禁止建立预置的root级别的信任关系 确保root账户的默认组为GID 0 确保shadow组为空

相关操作 删除策略组 若被删除的策略组已经部署给了主机，在策略组被删除后，这些主机的策略组信息将被设置为“无”。 进入“策略管理”列表界面，可对策略进行单项删除或批量删除。 图3 删除策略组列表 单项删除策略：在需要删除的策略组所在行的“操作”列中，单击“删除”，删除单个策略组。 批量删除策略：勾选多个策略名称前的选框，单击上方的“删除”，删除多个策略组。 在弹出对话框中，单击“确定”，完成策略组的删除。

前提条件 使用容器集群防护功能须满足以下条件： 容器集群为云容器引擎（Cloud Container Engine，简称CCE）服务中购买的集群，且集群版本为1.20及以上版本。 容器节点服务器已开启HSS容器版防护，购买HSS的操作，请参见购买主机安全防护配额。 服务器已安装Agent的版本为以下版本，升级Agent的操作，请参见Agent升级。 Linux：3.2.7及以上版本。 Windows：4.0.19及以上版本。

检查项列表 表1 检查项列表 检查项 说明 配置检查 目前支持的检测标准及类型如下： Linux系统： 云安全实践：Apache2、Docker、MongoDB、Redis、MySQL5、Nginx、Tomcat、SSH、vsftp、CentOS7、EulerOS、EulerOS_ext、Kubernetes-Node、Kubernetes-Master。 等保合规：Apache2、MongoDB、MySQL5、Nginx、Tomcat、CentOS6、CentOS7、CentOS8、Debian9、Debian10、Debian11、Redhat6、Redhat7、Redhat8、Ubuntu12、Ubuntu14、Ubuntu16、Ubuntu18、Alma、SUSE 12、SUSE 15。 Windows系统： 云安全实践：MongoDB、Apache2、MySQL、Nginx、Redis、Tomcat、Windows_2008、Windows_2012、Windows_2016、Windows_2019。 口令复杂度策略检测 检测系统账号的口令复杂度策略。 经典弱口令检测 通过与弱口令库对比，检测账号口令是否属于常用的弱口令。 Linux支持MySQL、FTP及系统账号的弱口令检测，Windows支持系统账号的弱口令检测。

检测说明 Linux系统的MySQL基线检测基于MySQL5安全配置规范指导，若您主机上装有版本号为8的MySQL软件，以下检查项因已废弃不会出现在检测结果中，只在MySQL版本为5的服务器中呈现检测结果。 规则：old_passwords不能设置为 1 规则：secure_auth设置为1或ON 规则：禁止设置skip_secure_auth 规则：设置log_warnings为2 规则：配置MySQL binlog日志清理策略 规则：sql_mode参数包含NO_AUTO_CREATE_USER 规则：使用MySQL审计插件

Agent离线卸载 Linux主机 远程登录待卸载Agent的Linux服务器。 执行以下命令，卸载Agent。 不可以在/usr/local/hostguard/目录下执行卸载命令，可以在其他任意目录下执行卸载命令。 EulerOS、CentOS、RedHat等支持rpm安装方式的OS的卸载命令：rpm -e hostguard; Ubuntu、Debian等支持deb安装方式的OS的卸载命令：dpkg -P hostguard; 查看Linux服务器的/usr/local/hostguard/目录不存在，表示Agent卸载完成。 Windows主机 远程登录待卸载Agent的Windows服务器。 进入Windows服务器的C:\Program File\HostGuard目录下。 双击“unins000.exe”文件，卸载Agent。 在“HostGuard卸载向导”弹窗中，单击“是”，完全删除HostGuard及其所有组件。 （可选）重启主机。 如果您开启了网页防篡改，卸载Agent需要重启主机。在“HostGuard卸载向导”弹窗中，单击“是”，重启主机。 如果您未开启网页防篡改，无需重启主机。在“HostGuard卸载向导”弹窗中，单击“否”，不重启主机。 查看Windows服务器的C:\Program Files\HostGuard目录不存在，表示卸载Agent完成。

使用约束 使用应用进程控制功能须满足以下条件： 服务器已开启HSS专业版、企业版、旗舰版、网页防篡改版或容器版防护，购买和升级HSS的操作，请参见购买主机安全防护配额和配额版本升级。 专业版：支持快速查杀。 企业版及其他版本：支持快速查杀、全盘查杀、自定义查杀。 服务器已安装Agent的版本为以下版本，升级Agent的操作，请参见Agent升级。 Linux：3.2.9及以上版本。 Windows：4.0.20及以上版本。 服务器已开启AV检测策略，详细操作请参见查看策略组。

Linux操作系统卸载驱动 对于使用run安装包安装的NVIDIA Tesla驱动，建议您按照以下步骤卸载NVIDIA Tesla驱动。 如果您使用run安装包安装NVIDIA Grid驱动，则卸载NVIDIA驱动即可，只需执行下面的步骤1。 以Ubuntu20.04 server 64bit为例，介绍Tesla 460.73.01、CUDA 11.2卸载的操作步骤。 卸载NVIDIA驱动。 执行以下命令，查询“nvidia-uninstall”所在路径。 whereis nvidia-uninstall “nvidia-uninstall”一般在“/usr/bin/”目录下。 图6 查询卸载路径 执行以下命令，基于查询的“nvidia-uninstall”路径，卸载驱动。 /usr/bin/nvidia-uninstall 选择”Yes”，单击回车键。 图7 卸载驱动选择界面 选择”OK”，单击回车键。 图8 卸载过程选择界面 驱动卸载成功，单击回车键。 图9 卸载成功界面 卸载CUDA库和cuDNN库 当需要升级CUDA驱动版本时，需要卸载对应的CUDA库后，再安装对应的CUDA版本。 执行以下命令，卸载CUDA库。 /usr/local/cuda/bin/cuda-uninstaller “cuda-uninstaller”一般在“/usr/local/cuda/bin”目录下。 不同CUDA版本的卸载命令可能存在差异，如果未找到“cuda-uninstaller”文件，可在“/usr/local/cuda/bin/”目录下查看是否存在“uninstall_cuda”开头的文件。 如果有，则将命令中的“cuda-uninstaller”替换为“uninstall_cuda”开头的文件名。 在卸载界面，勾选全部选项后，移动光标至“Done”，单击回车键。 图10 卸载CUDA驱动 CUDA库卸载成功，会返回”Successfully uninstalled”。 移除CUDA库和cuDNN库： rm –rf /usr/local/cuda-11.2