安全-华为云

云堡垒机 CBH-审计与日志:审计

审计云堡垒机系统用户个人数据的所有操作，包括增加、修改、查询和删除，云堡垒机系统都会记录审计日志，并可备份到远程服务器或本地电脑。拥有审计权限用户可以查看并管理下级管理部门用户账号的日志，系统管理员Admin拥有系统最高权限，可查看并管理登录系统全部用户账号操作记录。基于用户身份系统唯一标识，从用户登录系统开始，全程记录用户在系统的操作行为，监控和审计用户对目标资源的所有操作，实现对安全事件的实时发现与预警：表1 云堡垒机审计功能特性功能特性功能详情系统行为审计系统操作行为全纪录，针对操作失误、恶意操作、越权操作等行为告警通知。系统登录日志详细记录登录系统的方式、登录用户、用户来源IP、登录时间等信息。支持一键导出全部系统登录日志。系统操作日志系统操作行为全程记录，覆盖所有系统操作事件。支持一键导出全部系统操作日志。系统报表集中可视化呈现用户在系统的操作统计信息，包括用户启用状态、用户与资源创建、用户登录方式、异常登录、会话控制等信息。支持一键导出系统报表，并可定周期以邮件方式自动推送系统报表。告警通知通过配置系统告警，针对系统操作和系统环境制定不同告警方式和告警级别，以邮件方式和系统消息方式推送告警通知，以便及时发现系统异常和用户异常操作。资源运维审计全程记录用户的运维操作，支持多种运维审计技术和审计形式，可随时审计用户操作行为，识别运维风险，为安全事件追溯和分析提供依据。运维审计技术 Linux命令审计基于字符协议（SSH、TELNET）的命令操作审计，记录命令运维全程，支持解析字符操作命令，还原操作指令，根据输入、输出结果关键字搜索快速定位回放。 Windows操作审计基于图形协议（RDP、VNC）终端和应用发布的行为操作审计，远程桌面的操作全纪录，包括键盘操作、功能键操作、鼠标操作、窗口指令、窗口切换、剪切板复制等。数据库命令审计基于数据库协议（DB2、MySQL、Oracle、SQL Server）的命令操作审计，记录从SSO单点登录数据库到数据库命令操作全程，支持解析数据库操作指令，100%还原操作指令。文件传输审计基于远程桌面的文件传输操作审计，以及基于文件传输协议（FTP、SFTP、SCP）的传输操作审计，对Web浏览器或客户端文件传输全程审计，记录传输的文件名称和目标路径。运维审计形式实时监控实时查看正在进行的运维会话，支持监控和中断实时会话。历史日志运维操作全程记录，详细记录历史运维会话信息，支持一键导出历史会话日志。会话视频支持对Linux命令审计、Windows操作审计全程录像记录，回放录像视频。支持生成视频文件，一键下载会话视频。运维报表集中可视化呈现运维统计信息，包括运维时间分布、资源访问次数、会话时长、双人授权、命令拦截、字符数命令、传输文件数等信息。支持一键导出运维报表，并可定周期以邮件方式自动推送系统报表。日志备份通过配置日志备份，可将历史会话日志远程备份至Syslog服务器、FTP/SFTP服务器、OBS桶，实现系统日志容灾备份。

云堡垒机 CBH 安全

数据治理中心 DATAARTS STUDIO-查看表权限的拥有者（表权限视图）:查看表权限的拥有者

查看表权限的拥有者在 DataArts Studio 控制台首页，选择对应工作空间的“数据安全”模块，进入数据安全页面。单击左侧导航树中的“表权限视图”，进入表权限视图页面。图1 表权限视图在表权限视图页面，您可以通过切换页签，查看表权限的不同拥有对象： “表-用户”页签：默认展示当前实例下，通过授权对象为用户的权限申请和审批流程所获取的表权限。支持筛选不同的数据源类型，并通过用户名、集群名称、数据库或表名检索。权限申请和审批流程详见申请与审批权限。图2 表-用户 “表-角色”页签：默认展示当前实例下，在角色（包含空间权限集、权限集和角色）中所授予的表权限。支持筛选不同的数据源类型，并通过角色、集群名称、数据库或表名检索。通过空间权限集、权限集或角色授权的流程详见配置空间权限集、配置权限集或配置角色。图3 表-角色 “表-用户组”页签：默认展示当前实例下，通过授权对象为用户组的权限申请和审批流程所获取的表权限。支持筛选不同的数据源类型，并通过用户组、集群名称、数据库或表名检索。权限申请和审批流程详见申请与审批权限。图4 表-用户组

数据治理中心 DATAARTS STUDIO 数据安全运营

数据治理中心 DATAARTS STUDIO-数据安全总览页面:数据分析报表

数据分析报表敏感表密级分布图展示敏感发现任务识别出的表的密级分布，密级和用户定义的一致。右侧显示用户定义的密级及其关联的敏感表数目。敏感数据识别任务的创建和运行，参考创建敏感数据发现任务。图3 敏感表密级分布图敏感字段密级分布图展示敏感发现任务识别出的表敏感字段，密级和用户定义的一致。右侧显示用户定义的密级及其关联的敏感字段数目。敏感数据识别任务的创建和运行，参考创建敏感数据发现任务。图4 敏感字段密级分布图脱敏任务趋势图敏感任务趋势图展示七天内运行的脱敏任务数来反映任务趋势变化。数据脱敏任务创建和运行，参考创建静态脱敏任务。图5 脱敏任务趋势图水印嵌入趋势图水印嵌入任务趋势图展示七天内运行的水印嵌入任务数来反映趋势变化。水印嵌入任务创建和运行，参考创建数据水印嵌入任务。图6 水印嵌入任务趋势图

数据治理中心 DATAARTS STUDIO 数据安全

数据治理中心 DATAARTS STUDIO-数据安全总览页面:配置安全管理员

配置安全管理员安全管理员由具有DAYU Administrator系统角色权限的账号指定，在DataArts Studio实例内所有工作空间的数据安全组件内，拥有最高权限。数据安全组件中，仅安全管理员和DAYU Administrator系统角色有权限进行如下操作：配置空间权限集配置行级权限访问控制同步用户配置空间资源权限配置细粒度认证配置队列权限如需配置安全管理员，则需要以具有DAYU Administrator系统角色权限的账号登录数据安全总览页面，选择某个 IAM 子用户或者用户组（选择用户组时，则该用户组中的所有用户均为安全管理员）作为安全管理员。配置安全管理员，必须由DAYU Administrator操作，安全管理员本身不可操作。安全管理员的权限当且仅当在数据安全组件生效，对于周边组件和其他服务，此身份无效。图1 配置安全管理员

数据治理中心 DATAARTS STUDIO 数据安全

CODEARTS盘古助手-责任共担

责任共担华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。安全性是华为云与您的共同责任，如图1所示。华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。图1 华为云安全责任共担模型父主题：安全

CODEARTS盘古助手安全

华为乾坤-查看安全防护大屏:背景信息

背景信息安全防护大屏展示了安全识别与检测、安全响应与恢复和最近事件三块内容，包括失陷类型TOP5、威胁检测类型TOP5、威胁事件、系统健康状态、威胁判定平均时长、威胁综合阻断率、抵御攻击类型数、威胁IP封禁趋势、最近事件等基础功能模块。安全防护大屏根据用户开通的边界防护与响应服务套餐类别，提供差异化的功能模块选择。基础功能模块适用于开通任一套餐的用户；标注了“专业版”标签的功能模块，仅适用于开通专业版套餐的用户。功能模块套餐匹配及数据呈现，请参见表1。图1 安全防护大屏

华为乾坤查看网络安全状态

文档数据库服务 DDS-设置SSL数据加密:使用须知

使用须知开启或关闭SSL会导致实例重启，请谨慎操作。在开启或关闭SSL时，文档数据库服务会进行一次重启，重启过程中每个节点会有一次约30秒的闪断，建议您安排好业务并确保应用有重连机制。开启SSL，可以通过SSL方式连接数据库，具有更高的安全性。目前已禁用不安全的加密算法，支持的安全加密算法对应的加密套件参考如下。版本支持的TLS版本支持的加密算法套件 3.4 TLS 1.2 AES256-GCM-SHA384 AES128-GCM-SHA256 4.0 TLS 1.2 DHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES128-GCM-SHA256 用户的客户端所在服务器需要支持对应的TLS版本以及对应的加密算法套件，否则会连接失败。关闭SSL，可以采用非SSL方式连接数据库。

文档数据库服务 DDS 数据安全性

云数据库 GAUSSDB-如何防止任意源连接GaussDB数据库

如何防止任意源连接 GaussDB数据库数据库开放EIP后，如果公网上的恶意人员获取到您的EIP DNS和数据库端口，那么便可尝试破解您的数据库并进行进一步破坏。因此，强烈建议您保护好EIP DNS、数据库端口、数据库账号和密码等信息，并通过云数据库 GaussDB 实例的安全组限定源IP，保障只允许可信源连接数据库。为避免恶意人员轻易破解您的数据库密码，请按照云数据库GaussDB实例的密码策略设置足够复杂度密码，并定期修改。父主题：网络安全

云数据库 GAUSSDB 网络安全

云数据库 GAUSSDB-责任共担

责任共担华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。安全性是华为云与您的共同责任，如图1所示。华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。图1 华为云安全责任共担模型父主题：安全

云数据库 GAUSSDB 安全

专业服务-产品介绍:责任矩阵

责任矩阵共同责任双方商定并确认具体的业务需求及目标。双方商定并确认项目管理计划。双方商定并确认方案内容并评审。完成合同签订。华为责任接收客户的需求申请，协调专家远程或者现场进行相关服务的实施与护航。服务前，根据客户所选服务项，制定服务计划和报价清单供客户审核确认。服务期间，依确认后的服务计划进行实施，编写交付件。服务结束后，根据所选服务项，出具交付件清单。华为云需明确此次项目的负责人，因特殊情况导致华为人员变更，需要提前3个工作日知会客户，至项目最终验收完成。华为云得到客户授权后，授权数据仅限用于本次服务中涉及的服务内容，不得超出限定范围。客户责任客户指派一位项目负责人协助华为云实施服务。此负责人应负责双方之间的协调及管理，负责审核、验收华为云提供的服务。客户必须配合进行需求调研，提供准确的业务需求、提供业务系统相关的信息（包括但不限于应用架构、部署架构、资源数量和性能）。客户应提供必要的授权，授权华为云对客户的业务数据进行读取分析以展开服务。责任分工矩阵表以下为职责描述案例，可酌情修改。 R=责任方/Responsibility S=协助方/Support 表1 存储安全诊断服务序号服务流程工作内容华为客户 1 需求调研明确服务目标、所需数据授权 R R 2 制定服务方案 R S 3 诊断评估静态数据资产评估 R S 4 动态访问行为评估 R S 5 云存储业务系统安全性评估 R S 6 安全风险等级评估 R S 7 报告输出及评审 R R 8 服务验收方案验收 S R 9 向客户传递数据安全诊断报告，提供报告解读 R S 表2 存储安全优化设计服务序号服务流程工作内容华为客户 1 需求调研明确服务目标 R R 2 制定服务方案 R S 3 方案设计评估客户云上云下业务环境 R S 4 制定安全规划设计方案 R S 5 沟通和确认 R R 6 服务验收方案验收，移交相关交付文档 S R 7 指导客户团队进行安全方案落地 R S

专业服务存储安全优化与提升服务

专业服务-产品介绍:服务范围

服务范围服务覆盖范围在整个过程中，华为云负责以下内容：存储安全诊断：对客户的云存储业务内容展开评估，从静态数据资产和动态访问行为两个维度对客户的云存储业务进行调研及总结，以报告的形式传递给客户；对客户的云存储业务系统展开评估，围绕客户的业务数据调研，结合数据安全能力成熟度模型（Data Security Capability Maturity Mode，简称DSMM），对客户存储业务系统的访问控制策略、传输安全、存储安全、合规处理等维度开展评估，分析和评估客户的云上业务数据安全能力，识别客户的潜在数据安全风险，并以报告的形式传递给客户。存储安全规划设计：针对客户的复杂业务场景，给出存储安全方案，包括账号划分、权限策略配置、数据加密、数据合规处理、数据留存、数据删除、备份、容灾、防勒索等；针对已诊断识别的数据安全风险，设计优化提升方案。存储安全技术支持：基于存储安全规划设计服务给出的存储安全优化提升方案，指导客户团队落地。服务不覆盖范围客户侧的方案实施工作，包括但不限于：不同系统的集成实施工作。服务区域全球。

专业服务存储安全优化与提升服务

专业服务-产品介绍:服务流程

服务流程存储安全诊断服务服务阶段里程碑说明需求调研明确服务目标：调研当前客户的存储服务使用现状与基本诉求，对齐客户数据安全建设目标及范围、相关数据查看范围授权，访谈客户并与客户在服务目标上达成一致。制定服务方案：与客户对齐详细的服务方案，包括服务内容、流程、时间表、费用等方面的细节，确保服务方案能够满足客户的需求并具有可行性。诊断评估评估静态数据资产：对客户的云存储中的数据资产进行分析和评估，包括存储的数据类型、存量分布、加密存储占比等。评估动态访问行为：分析客户在云存储中的数据访问模式和行为，包括访问频率、访问IP归属地、访问高峰低谷等。评估云存储业务系统安全性：调研客户的云存储相关特性开启情况，结合DSMM及上文总结的客户业务动静态模型，对客户存储业务系统的访问控制策略、传输安全、存储安全、合规处理等维度开展评估，识别潜在安全风险。评估安全风险等级：对已识别的风险源，从风险危害程度和风险发生可能性两个角度进行评估，给出数据安全风险等级及粗略应对措施。输出报告：将以上三项内容以报告的形式展示。服务验收方案验收，移交相关交付文档。向客户传递数据安全诊断报告，并提供报告解读。存储安全优化设计服务服务阶段里程碑说明需求调研明确服务目标：对齐客户数据安全建设目标、项目预算及设计应用范围，访谈客户并与客户达成一致。制定服务方案：与客户对齐详细的服务方案，包括服务内容、流程、时间表、费用等方面的细节，确保服务方案能够满足客户的需求并具有可行性。方案设计评估客户云上云下业务环境：在安全诊断报告的基础上，对客户的云下基础设施建设程度、人员组织规模进行调研，为提供合适的安全设计提供支撑。制定安全规划设计方案：根据客户的需求和现有环境资源，结合行业标准及华为云的最佳实践，制定详细的安全规划设计方案。包括安全目标、策略和措施，安全相关特性的选择及具体配置指南。确保规划设计符合客户的业务需求，并能够有效地提升其云存储业务的安全能力。沟通和确认：与客户沟通设计方案，解释方案的重点和关键内容。确保客户理解并认可规划设计方案，如果有必要，进行适当的调整和修改，直至达成共识。服务验收方案验收，移交相关交付文档。指导客户团队进行安全方案落地。

专业服务存储安全优化与提升服务

专业服务-产品介绍:验收标准

验收标准存储安全诊断服务华为按各服务子项提交标准交付件，客户在华为云官网Console确认验收，或线下签字且盖章《xx项目存储安全优化与提升服务验收报告》作为服务验收通过依据。存储安全优化设计服务存储安全规划设计包：华为按各服务子项提交标准交付件，客户在华为云官网Console确认验收，或线下签字且盖章《xx项目存储安全优化与提升服务验收报告》作为服务验收通过依据。存储安全技术支持包：客户在华为云官网Console确认验收，或线下签字且盖章《xx项目存储安全优化与提升服务验收报告》作为服务验收通过依据。

专业服务存储安全优化与提升服务

专业服务-产品介绍:服务内容

服务内容存储安全诊断服务服务规格服务内容适用场景存储安全诊断基础包对客户的云存储业务内容展开评估，从静态数据资产和动态访问行为两个维度对客户的云存储业务进行调研及总结，并以报告的形式传递给客户。对客户的云存储业务系统展开评估，围绕客户的业务数据调研，结合数据安全能力成熟度模型（Data Security Capability Maturity Mode，简称DSMM），对客户存储业务系统的访问控制策略、传输安全、存储安全、合规处理等维度开展评估，分析和评估客户的云上业务数据安全能力，识别客户的潜在数据安全风险，并以报告的形式传递给客户。面向具有复杂的业务数据使用场景的中大型企业，帮助客户评估安全能力成熟度，识别潜在风险，应对相关安全审查。存储安全诊断增量包存储安全优化设计服务服务规格服务内容适用场景存储安全规划设计基础包针对客户的复杂业务场景，给出存储安全方案，包括账号划分、权限策略配置、数据加密、数据合规处理、数据留存、数据删除、备份、容灾、防勒索等。针对安全诊断服务中已识别出的数据安全风险，设计优化提升方案。面向具有复杂的业务数据使用场景，且已购买存储安全诊断包的客户，帮助客户针对已识别风险进行设计优化、配置推荐。存储安全规划设计增量包存储安全技术支持包根据存储安全规划设计提供的方案，指导客户完成复杂的策略配置，落地存储数据传输/存储/删除等最佳安全实践。面向具有复杂的业务数据使用场景，且已购买存储安全诊断包、存储安全规划设计包的客户，协助客户团队实现方案落地。

专业服务存储安全优化与提升服务

安全云脑 SECMASTER-产品功能:威胁运营

威胁运营威胁运营提供丰富的威胁检测模型，帮助您从海量的安全日志中，发现威胁、生成告警；同时，提供丰富的安全响应剧本，帮助您对告警进行自动研判、处置，并对安全防线和安全配置自动加固。表8 威胁运营功能介绍功能模块功能描述基础版标准版专业版事件管理集中呈现事件详情，支持人工转事件、自动化转事件。 × √ √ 告警管理通过集成云服务告警，包含HSS、WAF、DDoS等，集中呈现并管理告警信息。 × √ √ 情报管理支持基于告警和事件自定义规则提取指标。 × × √ 智能建模支持利用模型对管道中的日志数据进行扫描，如果检测到有满足模型中设置触发条件的内容时，系统将产生告警提示。 × √ √ 安全分析查询与分析检索分析：支持数据的快捷检索分析，支持安全调查场景安全数据的快速筛留、筛除等操作，快速定位关键数据。筛选统计：支持数据字段快速分析统计，并基于分析结果进行数据的快速筛选；时序数据支持默认时间分区统计，快速识别数据量的变化趋势，支持基于时间分区的快速筛选；支持分析、统计、排序等丰富统计分析函数，支撑快速构建安全分析模型。可视化：支持数据可视化分析，直观反映业务结构性和趋势性特征，并基于此构建自定义分析报告和分析指标。数据投递：支持将数据实时投递至其他管道或其他华为云产品中，便于您存储数据或联合其它系统消费数据。数据监控：支持数据流量端到端的监控管理。数据消费：提供数据消费和生产的流式通信接口，提供数据管道集成SDK，支持租户利用SDK进行系统集成，支持客户自定义数据的生产和消费。提供Logstash开源采集软件插件，支持利用开源生态进行数据消费和生产。说明：需额外购买增值包中的安全分析功能。其中，安全分析、内置剧本、安全编排含有赠送配额，具体说明请参见赠送规格说明。 × √ √ 安全舆情安全舆情监测可以持续挖掘和感知互联网安全态势变化，及时发现和挖掘与您有关的安全事件、安全漏洞、社会影响、品牌舆情、热搜分析等，还可以将监测形成分析报告，协助您掌握舆情动态，并对潜在的各类舆情风险点进行监测和综合研判。说明：仅部分region支持使用安全舆情监测功能，具体开放region请参见功能总览。其他region如需使用该功能，需先提交工单申请开通使用权限。 √ √ √

安全云脑 SECMASTER

云服务器内容精选

安全

7*24

备案

专业服务

退订

建议反馈

售前咨询热线