华为云用户手册

等保合规能力说明 检查项分类 安全控制点 等保合规检查项 风险等级参考 云防火墙 CFW提供的对应能力说明 相关功能介绍 安全通信网络 网络架构 应避免将重要网络区域部署在边界处，重要网络区域与其它网络区域之间应采取可靠的技术隔离手段。 高 通过云原生VPC能力，将重要网络区域使用VPC隔离，不同重要级别的VPC之间的业务互访，使用云防火墙CFW实现VPC间业务流量的访问控制，并对恶意访问进行识别和拦截。 应用场景 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 中 通过云防火墙自动识别业务在互联网的威胁暴露面，提供云上互联网边界和VPC边界的防护，入侵防御引擎对恶意流量实时检测和拦截。 安全区域边界 边界防护 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 高 云防火墙实现南北向和东西向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 产品功能 应能够对非授权设备私自连到内部网络的行为进行限制或检查。 中 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 中 入侵防范 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 高 云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 高 云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 中 云防火墙提供对业务流量中的攻击行为的检测和记录，并能根据策略设置提供攻击流量阻断功能，记录风险级别、事件名称、源IP、目的IP、方向、判断来源、发生时间和动作。 访问控制 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下受控接口拒绝除允许通信外的所有通信。 高 云防火墙实现统一管理互联网到业务的南北向访问策略和业务，达到协议、端口、应用级访问控制粒度。 访问控制策略概述 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 中 云防火墙提供策略命中计数功能，客户可以根据命中情况，及时调整策略的设置，确保没有冗余的策略。云防火墙访问控制策略可配置优先级，您可以根据业务需求优化访问控制列表。 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许或拒绝数据包进出。 高 云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 中 云防火墙对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 中 云防火墙实现跨VPC流量的应用协议、内容的访问控制。 安全审计 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 高 云防火墙提供日志审计功能，可以记录所有流量日志、事件日志和操作日志。 日志审计功能 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其它与审计相关的信息。 中 云防火墙提供日志记录事件功能，包括：时间、威胁类型、方向、源IP和目的IP、应用类型、严重性等级以及响应动作等信息。 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 中 云防火墙提供 日志分析 功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。

攻击防御 攻击防御提供网络攻击防护、敏感目录扫描、拦截病毒文件等功能。 表6 攻击防御功能介绍 功能名称 功能描述 基础版（新）① 标准版 专业版（包周期） 专业版（按需） 入侵防御（IPS） 结合多年攻防积累的经验规则，针对访问流量进行检测与防护，有效保护您的资产。 根据内置的IPS规则库，提供威胁检测和 漏洞扫描 。支持检测流量中是否含有网络钓鱼、特洛伊木马、蠕虫、黑客工具、间谍软件、密码攻击、漏洞攻击、SQL注入攻击、XSS跨站脚本攻击、Web攻击；以及检测是否存在协议异常、缓冲区溢出、访问控制、可疑DNS活动及其它可疑行为。 基础防御规则库支持手动修改防护动作。 基础防御规则库支持通过“规则ID”、“特征名称”、“风险等级”、“更新年份”、“CVE编号”、“攻击类型”、“规则组”、“当前动作”查询规则信息。 × √ √ √ 虚拟补丁 在网络层级为IPS提供热补丁，实时拦截高危漏洞的远程攻击行为，同时避免修复漏洞时造成业务中断。 × √ √ √ 自定义IPS特征库 当内置的IPS规则库无法满足需求时，CFW支持自定义IPS特征规则，添加后，CFW将基于签名特征检测数据流量是否存在威胁。 自定义IPS特征支持添加HTTP、TCP、UDP、POP3、SMTP、FTP的协议类型。 × × √ √ 敏感目录、反弹Shell 敏感目录扫描防御：防御对用户主机敏感目录的扫描攻击。 反弹Shell检测防御：防御网络上通过反弹shell方式进行的网络攻击。 × √ √ √ 病毒防御（AV） 通过病毒特征检测来识别和处理病毒文件，避免由病毒文件引起的数据破坏、权限更改和系统崩溃等情况发生，有效保护您的业务安全。 病毒防御功能支持检测HTTP、SMTP、POP3、FTP、IMAP4、SMB的协议类型。 × × √ √ 安全看板 快速查看攻击防御功能的防护信息，及时调整IPS防护。 × √ √ √

系统管理 系统管理提供告警通知、DNS配置、安全报告等功能，帮助您管理和维护云上资产的安全，及时发现异常情况。 表9 系统管理功能介绍 功能名称 功能描述 基础版（新）① 标准版 专业版（包周期） 专业版（按需） 告警通知 您可以通过云防火墙服务对攻击信息、流量超额预警等事件进行通知设置。开启告警通知后，CFW可将触发的信息通过您设置的接收通知方式（例如邮件或短信）发送给您。 √（仅支持流量超额预警） √ √ √ 网络抓包 帮助您定位网络故障和攻击。 × × √ √ 多账号管理 一个账号下的云防火墙实例同时防护多个账号的EIP资源。 × √（20个 ） √（50个） √（20个） DNS配置 通过 域名 服务器解析并下发IP地址。 × √ √ √ 安全报告 生成日志报告，及时掌握资产的安全状况数据。 × √ √ √

日志审计 日志审计支持记录攻击事件的详细信息、访问控制策略的命中详情以及经过防火墙的所有流量。 表8 日志审计功能介绍 功能名称 功能描述 基础版（新）① 标准版 专业版（包周期） 专业版（按需） 日志查询 防火墙提供7天的日志记录，助您事件追溯和深入分析。 √（仅支持访问控制日志和流量日志） √ √ √ 日志管理 将日志转储到华为云的 云日志 服务（Log Tank Service，简称LTS）中，支持查看1~365天的日志记录。 × √ √ √

资产管理 云防火墙提供对云上资产的安全防护，有效降低安全风险。 表3 资产管理功能介绍 资源名称 功能描述 基础版（新）① 标准版 专业版（包周期） 专业版（按需） IPv4 支持对IPv4资产的防护 √ √ √ √ IPv6 支持对IPv6资产的防护 × × × × EIP 云防火墙通过对弹性公网IP（EIP）的防护实现互联网边界流量的防护。 √ √ √ √ VPC（私网IP） 云防火墙通过对虚拟私有云（VPC）的防护实现VPC和VPC之间、本地数据中心（IDC）和云上VPC之间流量的防护。 × × √ √ 表4 云上资产的防护规格 功能名称 基础版（新）① 标准版 专业版（包周期） 专业版（按需） 防护的公网IP（EIP）数量 20个（不可扩容） 20个（可扩容，最大扩容至2000个） 50个（可扩容，最大扩容至2000个） 1000个（上限） 防护的VPC数量 × × 2个（可扩容，最大扩容至1000个） 20个（上限） 互联网边界防护带宽 10Mbps（不可扩容） 10Mbps（可扩容，最大扩容至50,000Mbps） 50Mbps（可扩容，最大扩容至50,000Mbps） 共1 Gbps VPC边界防护带宽 × × 200Mbps（随VPC数量扩容）

访问控制 访问控制策略通过指定的IP地址、端口等参数有效地帮助您精细化管控云上资源的流量。 表5 访问控制功能介绍 功能名称 功能描述 基础版（新）① 标准版 专业版（包周期） 专业版（按需） 防护规则 基于IP地址、域名、域名组、地理位置等方式灵活管控访问流量。 √（仅支持通过Host或SNI字段匹配策略） √ √ √ 黑/白名单 基于五元组精确管控特定流量。 √ √ √ √ 流量封堵 基于IP地址快速拦截大量流量。 × √（支持拦截100,000条IP地址数） √（支持拦截500,000条IP地址数） √ 策略助手 快速查看防护规则的命中情况，及时调整防护规则。 √ √ √ √

相关操作 事件管理 查看事件信息：详细操作请参见查看事件信息。 新增或编辑事件：详细操作请参见新增或编辑事件。 导入或导出事件：详细操作请参见导入或导出事件。 关闭或删除事件：详细操作请参见关闭或删除事件。 告警管理 查看告警信息：详细操作请参见查看告警信息。 常见告警处置建议：详细指导请参见常见告警处置建议。 告警转事件或关联事件：详细操作请参见告警转事件或关联事件。 一键阻断或解封：详细操作请参见一键阻断或解封。 关闭或删除告警：详细操作请参见关闭或删除告警。 新增或编辑告警：详细操作请参见新增或编辑告警。 导入或导出告警：详细操作请参见导入或导出告警。

告警 告警是运维中的一种异常信号的通知，通常是由监控系统或安全设备在检测到系统或网络中的异常情况时自动生成的。例如，当服务器的CPU使用率超过90%时，系统可能会发出告警。这些异常情况可能包括系统故障、安全威胁或性能瓶颈等。 告警通常有明确的指示性，能够明确指出异常发生的位置、类型和影响。同时，告警可以按照严重程度来进行分类，如紧急、重要、一般等，以便运维人员根据告警的严重程度来决定哪些需要优先处理。 告警的目的是及时通知相关人员，以便他们能够迅速响应并采取措施解决问题。 当 安全云脑 检测到的云资源中存在的异常情况（例如，某个恶意IP对资产攻击、资产已被入侵等）时，将以告警的形式将威胁信息展示在安全云脑告警管理界面中。

告警和事件关系说明 本部分介绍告警和事件的含义、区别，告警转事件的原因和告警关联事件的原因。 告警和事件的含义与区别 表1 告警和事件的含义与区别 类别 描述 定义 告警： 告警是运维中的一种异常信号的通知，通常是由监控系统或安全设备在检测到系统或网络中的异常情况时自动生成的。例如，当服务器的CPU使用率超过90%时，系统可能会发出告警。这些异常情况可能包括系统故障、安全威胁或性能瓶颈等。 告警通常有明确的指示性，能够明确指出异常发生的位置、类型和影响。同时，告警可以按照严重程度来进行分类，如紧急、重要、一般等，以便运维人员根据告警的严重程度来决定哪些需要优先处理。 告警的目的是及时通知相关人员，以便他们能够迅速响应并采取措施解决问题。 事件： 事件是一个更广泛的概念，可以包括告警，但不限于此。事件可以是系统正常操作的一部分，也可以是异常或错误。在运维和安全领域，事件通常指的是已经发生并需要被关注、调查和处理的问题或故障。事件可能由一条或多条告警触发，也可能由其他因素（如用户操作、系统日志等）引发。 事件的目的更广泛，可以是为了记录、分析、报告或审计，通常用于记录和报告系统的历史行为，以便于分析和审计。 处理流程 告警： 告警的处理流程通常包括接收、确认、分析、响应和关闭等步骤。当监控系统发出告警时，运维人员首先需要确认告警的真实性，然后分析告警的原因和影响范围，最后采取相应的措施来解决问题，并关闭告警。 事件： 事件的处理流程则更加复杂和全面。除了包含告警处理流程中的各个环节外，事件处理还需要进行事件调查、影响评估、风险分析、制定应急计划、执行应急响应、事后总结等步骤。事件处理的目标是彻底解决问题，防止类似事件再次发生，并减少事件对业务的影响。 重要性与紧急程度 告警： 告警一般需要立即评估和响应。 每条告警的紧急程度和重要性各不相同，取决于告警的类型、级别和影响的范围。一些告警可能只是简单的提醒或预警，而另一些告警则可能表示系统已经遭受严重攻击或面临重大故障风险。 事件： 事件可能需要记录、分析或在某些情况下采取行动，但不一定需要立即响应。 事件通常比告警具有更高的重要性和紧急程度。因为事件已经发生并产生了实际的影响，需要立即采取措施来应对和解决问题。如果事件得不到及时处理，可能会给组织带来重大的经济损失或声誉损害。 告警转事件或关联事件的原因 告警通常是在系统或服务出现异常或潜在故障时产生的通知。这些异常可能会直接影响业务的正常运行，因此告警需要被及时处理，以防止业务异常。告警通常需要采取相应的措施来清除故障，否则可能会因为这些异常或故障引起业务的异常。 事件则是在系统或服务在正常运行状态下产生的通知，它可能涉及到一些重要的状态变化，但不一定会引起业务异常。因此，事件一般不需要进行处理，主要用于帮助分析、定位问题。 表2 告警转事件或关联事件的原因 类别 说明 告警转事件原因 当告警的严重性达到一定程度，或者持续出现，或者其影响范围广泛时，它可能不再仅仅是一个需要关注的信号，也可能表明系统或网络中存在一个持续性的问题，此时，它已经演变成了一个需要立即处理的事件，这种情况下，可以将告警转化为事件来处理，以便深入调查问题的根源，并采取相应的措施来彻底解决。通常告警转事件的原因有以下几个方面： 信息聚合与分类 告警通常是对某个特定条件或阈值被违反的即时响应。随着时间的推移，大量的告警可能会被触发，如果直接处理这些独立的告警，可能会变得非常混乱和低效。将这些告警聚合成事件，可以帮助相关人员根据告警的类型、来源、影响等维度进行分类，从而更有效地处理它们。 简化工作流程 告警到事件的转换过程，通常伴随着对告警的过滤、去重、聚合等处理。这些处理使得原本可能触发多个相似告警的情况，被整合为一个更具代表性的事件。这样不仅减少了处理单个告警的工作量，也使得处理过程更加条理清晰，便于跟踪和记录。 提升问题解决效率 将告警转换为事件后，由于事件通常提供了比单个告警更全面的上下文信息，因此相关人员可以更容易地识别出问题的根本原因，有助于更快地定位问题，并采取有效的解决措施。 便于历史回顾与趋势分析 事件记录了问题的发生、发展、解决的全过程，这为后续的问题预防、系统优化等提供了宝贵的历史数据。通过对事件进行趋势分析，可以发现系统中潜在的薄弱环节，提前采取措施进行改进。 增强跨部门协作 在大型组织中，不同的部门可能需要共同参与问题的处理。将告警转换为事件后，可以更容易地在不同部门之间共享相关信息，促进跨部门协作，提高问题解决的效率。 总而言之，将告警转换为事件助于简化工作流程、提升问题解决效率、便于历史回顾与趋势分析。 告警关联事件原因 告警关联事件是监控和故障管理中的一个重要环节，它涉及到将多个独立但可能相互关联的事件或告警组合起来，以便更好地理解问题的根源和范围，从而更有效地进行故障排查和响应。通常告警关联事件的原因有以下几个方面： 依赖关系 在复杂的系统中，各个组件之间往往存在复杂的依赖关系。当一个组件出现故障时，可能会影响依赖它的其他组件的正常工作，进而引发一系列告警。例如，在微服务架构中，一个服务的崩溃可能导致调用该服务的其他服务也出现问题。 资源共享 当多个系统或服务共享同一资源（如服务器、数据库、网络设备等）时，该资源的问题可能导致多个系统或服务同时发出告警。例如，共享数据库服务器的性能下降可能会触发多个依赖该数据库的应用程序的性能告警。 连锁反应 某些情况下，一个初始的故障可能触发一系列连锁反应，导致更多的组件或系统受到影响。这种连锁反应可能由于系统设计不当、错误处理机制不完善或资源限制（如内存泄漏导致的性能下降）等原因引起。 配置错误 配置错误或不一致的配置可能导致系统行为异常，进而触发多个看似不相关的告警。例如，错误的路由配置可能导致流量被错误地路由到不稳定的服务器，从而引发多个与性能相关的告警。 软件缺陷 软件中的缺陷（如bug）可能导致程序在特定条件下表现异常，并触发告警。如果这些缺陷影响了多个组件或系统，则可能引发多个关联告警。 外部因素 外部因素如自然灾害（如地震、洪水）、网络攻击、基础设施故障（如电力中断、网络中断）等也可能导致多个系统或组件同时出现问题，并触发大量告警。

收集范围 安全云脑收集及产生的个人数据如表1所示。 表1 个人数据范围列表 类型 收集方式 是否可以修改 是否必须 邮箱 采用邮箱方式启用通知类剧本时，安全云脑获取对应 消息通知 服务主题订阅的邮箱。 或者开启安全分析报告定时发送功能时，安全云脑获取用户在界面输入的接收邮箱地址（需要经过拥有接收邮箱地址的用户授权同意接收安全分析报告邮件）。 是 是 请求源IP 安全云脑上开启WAF防护场景，有攻击防护域名时，被WAF拦截或者记录的攻击者IP。 否 是 URL 安全云脑上开启WAF防护场景，有攻击的防护域名的URL，被WAF拦截或者记录的防护域名的URL。 否 是 HTTP/HTTPS Header信息（包括Cookie） 安全云脑上开启WAF防护场景，且有攻击命中用户配置的CC攻击、精准访问防护规则时，在攻击告警中可能携带用户在配置界面输入的Cookie值和Header值。 否 否 如果配置的Cookie和Header信息不含有用户的个人信息，则安全云脑也不会收集及产生用户的个人数据。 请求参数（Get、Post） 安全云脑上开启WAF防护场景，在WAF防护日志里，WAF记录的请求详情。 否 否 如果请求参数里不含有用户的个人信息，则WAF记录的相关请求中不会收集及产生用户的个人数据。 登录位置信息 安全云脑上开启HSS主机防护场景，服务器开启防护后，登录云服务器时，HSS记录的用户登录位置信息。 否 是

安全编排 安全编排支持剧本管理、流程管理、数据类管理（安全实体对象）和资产连接管理等。同时，可以自定义剧本和流程等。 通过安全编排可以对安全响应剧本进行拖拽式的灵活编排，动态适配您的业务需求。也可以对安全运营的对象、交互的页面进行灵活扩展和定义。 安全云脑标准版不支持安全编排功能，可以通过购买安全编排增值包使用该功能。 表9 安全编排功能介绍 功能模块 功能描述 基础版 标准版 专业版 运营对象 集中对数据类、数据类类型、分类映射等运营对象进行管理。 × × √ 剧本编排 支持对剧本、流程、资产连接、实例的全生命周期管理。 说明： 需额外购买增值包中的安全编排功能。其中，安全分析、内置剧本、安全编排含有赠送配额，具体说明请参见赠送规格说明。 × × √ 页面布局 提供安全可视化 低代码开发平台 ，基于此平台可自定义安全分析报告、告警管理、事件管理、漏洞管理、基线管理、威胁情报指标库管理等页面布局。 × × √ 插件管理 支持将安全编排流程中使用的插件进行统一管理。 × × √

赠送规格说明 安全云脑增值包中的安全分析、安全编排功能在不同的版本有不同的赠送配额，具体说明如下： 表13 赠送规格说明 功能 标准版 专业版 安全分析 安全数据采集 120 MB/天/配额 120 MB/天/配额 安全数据保留 120 MB/天/配额 120 MB/天/配额 安全数据导出 120 MB/天/配额 120 MB/天/配额 平台安全数据 40 MB/天/配额 40 MB/天/配额 安全建模分析 × 120 MB/天/配额 威胁管理 预制威胁模型 × 计算模型数据120 MB/天/配额；预置模型200个 预制响应剧本 × 预置剧本30个 安全编排 安全编排 × 操作7000次

风险预防 风险预防提供基线检查、漏洞管理、策略管理功能，帮助您的 云安全 配置达到等保、ISO、PCI等各类权威安全标准和华为云安全最佳实践标准；知晓全局的漏洞分布，并一键修复漏洞。 表7 风险预防功能介绍 功能模块 功能描述 基础版 标准版 专业版 基线检查 通过执行云服务基线扫描，检查基线配置风险状态，告警提示存在安全隐患的配置，并提供基线加固建议。 √ √ √ 漏洞管理 通过自动同步华为云主机安全服务（Host Security Service，HSS）的漏洞扫描数据，分类呈现漏洞扫描详情，支持查看漏洞详情，并提供相应漏洞修复建议。 √ √ √ 应急漏洞公告 针对业界披露的热点安全漏洞，支持每5分钟抓取一次安全漏洞讯息，获取最新应急漏洞公告详情。 √ √ √ 策略管理 支持统一管理防线策略和应急策略。 √ √ √

安全态势 支持通过安全态势即时查看大屏、定期订阅安全运营报告，了解安全运营核心关注指标。 表5 安全态势功能介绍 功能模块 功能描述 基础版 标准版 专业版 态势总览 安全评分：根据安全云脑的分析检测能力，评估整体资产安全健康得分，可快速了解未处理风险对资产的整体威胁状况。 评估得分越低，即风险值越大，则整体资产安全隐患越大。 安全监控：集中呈现未处理的威胁告警、漏洞和合规检查的风险数目，支持快速查看威胁告警、漏洞和合规风险详情。 安全趋势：呈现最近7天整体资产安全健康得分的趋势图。 √ √ √ 安全大屏 利用AI技术将海量云安全数据的分析并分类，通过安全大屏将 数据可视化 展示，集中呈现云上实时动态，云上关键风险一目了然，掌握云上安全态势更简单，更直观，更高效。 说明： 安全大屏功能需要在标准版/专业版基础上单独购买。 安全大屏还联动Astro大屏应用（Astro Canvas，简称AstroCanvas），支持指标自定义接入，页面零代码开发，数据分钟级接入。 × √ √ 安全报告 通过创建分析报告，定时以邮件形式向指定的收件人发送安全报告，及时掌握资产的安全状况数据。 说明： 安全云脑基础版和标准版不支持安全报告，但是支持通过专业服务“管理检测与响应 MDR”提供体检报告，更多详细信息请参见管理检测与响应产品介绍 。 × × √ 任务中心 集中呈现当前需要进行处理的任务。 × √ √

威胁管理 威胁管理提供丰富的威胁检测模型，帮助您从海量的安全日志中，发现威胁、生成告警；同时，提供丰富的安全响应剧本，帮助您对告警进行自动研判、处置，并对安全防线和安全配置自动加固。 表8 威胁管理功能介绍 功能模块 功能描述 基础版 标准版 专业版 事件管理 集中呈现事件详情，支持人工转事件、自动化转事件。 × √ √ 告警管理 通过集成云服务告警，包含HSS、WAF、DDoS等，集中呈现并管理告警信息。 基础版安全云脑仅支持各安全服务的原始告警汇聚。 标准版安全云脑仅支持各安全服务的原始告警汇聚。 专业版安全云脑支持各安全服务的原始告警汇聚，还支持威胁检测模型精准告警。 √ √ √ 情报管理 支持基于告警和事件自定义规则提取指标。 × × √ 智能建模 支持利用模型对管道中的日志数据进行扫描，如果检测到有满足模型中设置触发条件的内容时，系统将产生告警提示。 × × √ 安全分析 查询与分析 检索分析：支持数据的快捷检索分析，支持安全调查场景安全数据的快速筛留、筛除等操作，快速定位关键数据。 筛选统计：支持数据字段快速分析统计，并基于分析结果进行数据的快速筛选；时序数据支持默认时间分区统计，快速识别数据量的变化趋势，支持基于时间分区的快速筛选；支持分析、统计、排序等丰富统计分析函数，支撑快速构建安全分析模型。 可视化：支持数据可视化分析，直观反映业务结构性和趋势性特征，并基于此构建自定义分析报告和分析指标。 数据投递：支持将数据实时投递至其他管道或其他 华为云产品 中，便于您存储数据或联合其它系统消费数据。 数据监控：支持数据流量端到端的监控管理。 数据消费：提供数据消费和生产的流式通信接口，提供数据管道集成SDK，支持租户利用SDK进行系统集成，支持客户自定义数据的生产和消费。提供Logstash开源采集软件插件，支持利用开源生态进行数据消费和生产。 说明： 需额外购买增值包中的安全分析功能。其中，安全分析、内置剧本、安全编排含有赠送配额，具体说明请参见赠送规格说明。 × √ √ 安全舆情 安全舆情监测可以持续挖掘和感知互联网安全态势变化，及时发现和挖掘与您有关的安全事件、安全漏洞、社会影响、品牌舆情、热搜分析等，还可以将监测形成分析报告，协助您掌握舆情动态，并对潜在的各类舆情风险点进行监测和综合研判。 说明： 仅部分region支持使用安全舆情监测功能，具体开放region请参见功能总览。其他region如需使用该功能，需先提交工单申请开通使用权限。 √ √ √

安全治理 安全治理为您提供安全治理模板与合规策略扫描服务，将安全遵从包内的法规标准条款转化成检查项。 表3 安全治理功能说明 功能模块 功能描述 基础版 标准版 专业版 安全治理 提供安全遵从包 华为开放的安全治理模板，包含法规标准条款原文、扫描策略、自评估检查项以及华为专家的改进建议，覆盖PCI DSS、ISO27701、ISO27001、隐私等法规标准。用户可以订阅、取消订阅安全遵从包，查看合规评估与治理结果。 合规策略扫描 Policy as Code，将安全遵从包内的法规标准条款代码化，周期性、自动化扫描云上资产的合规情况，可视化看板呈现风险，提供华为专家改进建议。 自评估检查项 将安全遵从包内的法规标准条款转化成检查项，租户可根据检查项完成自身业务的合规评估，查看历史评估结果，进行证据上传和下载，根据华为专家改进建议进行治理。 合规结果可视 可视化呈现合规评估结果与安全治理情况，包括租户订阅的法规、标准条款遵从概况，各安全遵从包状态，各策略扫描概况。 说明： 使用安全治理功能前，需先提交工单申请开通使用权限。 × × √

总览 总览呈现云上整体安全评估状况，并联动其他云安全服务，集中展示云上安全。 表1 总览功能介绍 功能模块 功能描述 基础版 标准版 专业版 总览 安全评分：根据安全云脑的威胁检测能力，评估整体资产安全健康得分，可快速了解未处理风险对资产的整体威胁状况。 评估得分越低，即风险值越大，则整体资产安全隐患越大。 安全监控：集中呈现未处理的威胁告警、漏洞和合规检查的风险数目，支持快速查看威胁告警、漏洞和合规风险详情。 安全趋势：呈现最近7天整体资产安全健康得分的趋势图。 √ √ √

工作空间管理 工作空间属于安全云脑顶层工作台，单个工作空间可绑定普通项目、企业项目和Region，可支撑不同场景下的工作空间运营模式。 表2 工作空间功能说明 功能模块 功能描述 基础版 标准版 专业版 工作空间 空间管理： 安全云脑顶层工作台，单个工作空间可绑定项目和Region，可支撑不同场景下的工作空间运营模式。 空间托管：跨账号安全运营，可实现工作空间委托集中安全运营查看统一资产风险、告警和事件等。 √ √ √

日志审计场景 场景说明 安全监管趋严，合规要求越来越高，各地隐私保护遵从要求、数据安全、网络安全法等法规条例多且解读难。通过安全云脑基线检查、日志审计等功能，确保企业在满足国家行业监管要求的同时，能帮助企业明确安全目标，系统化进行信息系统安全建设，降低安全隐患及被攻击的风险。 解决方案 安全云脑提供的基线检查、日志审计等功能，可以帮助客户有效检查是否满足等级保护合规要求，同时接入安全云脑的数据支持存储180天满足等保审计对保留时长的要求。 推荐版本 标准版

威胁检测与响应场景 场景说明 云上威胁可能通过多种手段进入企业云上资产如网络入侵、主机入侵等，为防御和检测威胁，主机安全、云防火墙、Web 应用防火墙往往是企业上云的必然选择，但也带来诸多问题：如告警众多并且管理分散、处置和封禁入口多样、无法有效进行处置等。以上问题导致系统安全薄弱点多，运维难度大，威胁运营效率低，安全风险高。 解决方案 安全云脑提供威胁运营和安全编排功能可有效帮助用户解决以上问题。威胁运营将以安全云脑为核心平台，采集并整合分析 企业主机安全 HSS、云防火墙 CFW、 Web应用防火墙 WAF各类告警与日志，对告警进行集中分析。同时依靠云原生能力，安全云脑整合了主机安全、云防火墙、Web 应用防火墙、安全组等各类产品的处置与封禁能力，可以为企业客户提供集中处置、一键处置、自动处置，极大的提升威胁响应效率。 百万告警降噪99%，降低合法事件的干扰，同时不漏报。 开箱即用，预置200+模型、30+安全剧本，实时流分析，秒级检测，秒级响应。 支持自定义告警模型、研判/处置剧本，以最佳适配客户的安全需求。 推荐版本 专业版

云上云下统一管理 场景说明 针对多账号、多云的用户，安全数据、处置平台分散，缺乏统一安全运营标准；海量安全日志，事件依赖人工研判，威胁事件以及告警处置效率低；多平台数据难以关联，经验沉淀难。 解决方案 安全云脑的资产管理功能，支持管理云上和云外资产，可以查看资源的安全状态统计信息，帮助您快速定位安全风险问题。 安全云脑支持一键接入WAF、HSS、CFW等多种云产品的日志数据。接入后，可以统一管理日志信息，以及检索并分析所有收集到的日志。 安全云脑空间托管，支持跨账号、跨Region统一安全运营。 安全云脑的基线检查功能，支持检测云服务关键配置项，通过执行扫描任务，检查云服务基线配置风险状态，分类呈现云服务配置检测结果，告警提示存在安全隐患的配置，并提供相应配置加固建议和帮助指导。 安全云脑提供威胁运营、安全编排功能，帮助企业和组织的安全团队快速并高效地响应网络威胁，实现安全事件的高效、自动化响应处置。 推荐版本 专业版

不同服务版本支持的功能特性 表2 不同服务版本支持的功能特性 一级功能 子功能 基础版 标准版 专业版 版本说明 提供安全总览，安全体检及原始告警汇聚，了解基本安全态势信息。 提供安全态势信息、对原始告警汇聚及智能分析等能力，满足日志审计等安全合规要求。 提供安全态势信息，专业运营报告、预制安全模型及剧本，威胁检测模型精准告警，智能分析、安全编排及全量日志审计，满足企业日常安全运营、合规检查要求。 态势感知 总览 支持 支持 支持 态势总览 支持 支持 支持 安全报告 -- 仅支持健康体检 -- 仅支持健康体检 支持 支持健康体检； 支持专业的安全日报、安全周报、安全月报； 支持自定义创建安全报告； 资产管理 支持 支持 支持 已购资源 支持 支持 支持 策略管理 支持 支持 支持 基线检查 支持 支持 支持 漏洞管理 支持 支持 支持 安全大屏 -- 支持 支持 风险预防 应急漏洞公告 支持 支持 支持 威胁管理 事件管理 -- 支持 支持 告警管理 支持 支持各安全服务原始告警汇聚 支持 支持各安全服务原始告警汇聚 支持 支持各安全服务原始告警汇聚； 支持威胁检测模型精准告警； 支持覆盖MITRE矩阵； 情报管理 -- -- 支持 智能建模 -- -- 支持 计算模型数据120 MB/天/配额； 预置模型200个； 预置剧本30个； 安全分析 -- 支持 安全数据采集赠送规格：120 MB/天/配额； 安全数据保留赠送规格：120 MB/天/配额； 安全数据导出赠送规格：120 MB/天/配额； 平台安全数据赠送规格：40 MB/天/配额； 支持 安全数据采集赠送规格：120 MB/天/配额； 安全数据保留赠送规格：120 MB/天/配额； 安全数据导出赠送规格：120 MB/天/配额； 平台安全数据赠送规格：40 MB/天/配额； 安全建模分析赠送规格：120 MB/天/配额； 威胁管理 安全舆情 支持 支持 支持 安全编排 运营对象 -- -- 支持 安全编排 -- -- 支持 赠送规格：操作7000次 页面布局 -- -- 支持 插件管理 -- -- 支持 数据采集 数据采集 -- 支持 支持 数据集成 数据集成 -- 支持 仅支持集成云服务告警 支持

准备环境 获取并安装IntelliJ IDEA 2018.3.5或以上版本，可至IntelliJ IDEA官方网站下载。 获取并安装Python安装包（可使用2.7.9+或3.X，包含2.7.9），可至Python官方下载页面下载。 Python安装完成后，在命令行中使用pip安装“requests”库。 pip install requests 如果pip安装requests遇到证书错误，请下载并使用Python执行此文件，升级pip，然后再执行以上命令安装。 在IDEA中安装Python插件，如下图所示。

请求签名与API调用 在命令行中，使用pip安装“requests”库。 1 pip install requests 在工程中引入apig_sdk。 1 2 from apig_sdk import signer import requests 生成一个新的Signer，填入AK和SK。 本示例以AK和SK保存在环境变量中为例，运行本示例前请先在本地环境中设置环境变量HUAWEICLOUD_SDK_AK和HUAWEICLOUD_SDK_SK。以Linux系统为例在本地将已获取的AK/SK设置为环境变量。 打开终端，输入以下命令打开环境变量配置文件。 vi ~/.bashrc 设置环境变量，保存文件并退出编辑器。 export HUAWEICLOUD_SDK_AK="已获取AK值" export HUAWEICLOUD_SDK_SK="已获取SK值" 输入以下命令使配置文件生效。 source ~/.bashrc 生成一个新的Signer，填入已设置的环境变量。 1 2 3 4 5 6 sig = signer.Signer() # Set the AK/SK to sign and authenticate the request. # Directly writing AK/SK in code is risky. For security, encrypt your AK/SK and store them in the configuration file or environment variables. # In this example, the AK/SK are stored in environment variables for identity authentication. Before running this example, set environment variables HUAWEICLOUD_SDK_AK and HUAWEICLOUD_SDK_SK. sig.Key = os.getenv('HUAWEICLOUD_SDK_AK') sig.Secret = os.getenv('HUAWEICLOUD_SDK_SK') 生成一个新的Request，指定域名、方法名、请求uri和body。 以虚拟私有云服务的查询VPC列表接口为例，HTTP方法为GET，域名（Endpoint）为service.region.example.com，请求URI：/v1/77b6a44cba5143ab91d13ab9a8ff44fd/vpcs?limit=1 1 2 3 # The following example shows how to set the request URL and parameters to query a VPC list. r = signer.HttpRequest("GET", "https://{service}.region.example.com/v1/77b6a44cba5143ab91d13ab9a8ff44fd/vpcs?limit=1") # r.body = "{\"a\":1}" 添加需要签名的请求消息头，或者其他用途的头域，如多项目场景中添加X-Project-Id，或者全局服务场景中添加X-Domain-Id。如果添加多个请求消息头，使用英文逗号分隔。 1 r.headers = {"X-Project-Id": "xxx"} 进行签名，执行此函数会在请求参数中添加用于签名的X-Sdk-Date头和Authorization头。 1 sig.Sign(r) X-Sdk-Date是一个必须参与签名的请求消息头参数。 您无需关注哪些消息头参数参与了签名，由SDK自行完成。 访问API，查看访问结果。 1 2 3 resp = requests.request(r.method, r.scheme + "://" + r.host + r.uri, headers=r.headers, data=r.body) print(resp.status_code, resp.reason) print(resp.content)

高性能弹性文件服务与其他服务的关系 表1 与其他云服务的关系 功能 相关服务 位置 云服务器和文件系统归属于同一项目下，用于挂载共享路径实现数据共享。 弹性云服务器（Elastic Cloud Server，E CS ） 挂载SFS Turbo文件系统到Linux云服务器 挂载SFS Turbo文件系统到Windows云服务器 云容器引擎提供高度可扩展的、高性能的企业级Kubernetes集群，支持运行Docker容器。借助云容器引擎，您可以在云上轻松部署、管理和扩展容器化应用程序。 您可以使用高性能弹性文件服务作为容器的持久化存储，在创建任务负载的时候挂载到容器上。 云容器引擎（Cloud Container Engine，简称CCE） 挂载SFS Turbo文件系统到Linux云服务器 挂载SFS Turbo文件系统到Windows云服务器 VPC为弹性云服务器构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云中资源的安全性，简化用户的网络部署。 云服务器无法访问不在同一VPC下的文件系统，使用高性能弹性文件服务时需将文件系统和云服务器归属于同一VPC下。 虚拟私有云（Virtual Private Cloud，VPC） 创建文件系统 IAM 是支撑企业级自助的云端资源管理系统，具有用户身份管理和访问控制的功能。当企业存在多用户访问高性能弹性文件服务时，可以使用IAM新建用户，以及控制这些用户账号对企业名下资源具有的操作权限。 统一身份认证 服务（Identity and Access Management, IAM） 权限管理 文件系统的加密功能依赖于密钥管理服务。您可以使用密钥管理服务提供的密钥来加密文件系统，从而提升文件系统中数据的安全性。 数据加密 服务（Data Encryption Workshop, DEW）的密钥管理KMS功能 加密 当用户开通了高性能弹性文件服务后，无需额外安装其他插件，即可在 云监控 查看对应服务的性能指标，包括读带宽、写带宽和读写带宽等。 云监控服务 （Cloud Eye Service） 监控 为用户提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。通过 云审计 服务，您可以记录与高性能弹性文件服务相关的操作事件，便于日后的查询、审计和回溯。 云审计服务（Cloud Trace Service， CTS ） 审计 标签用于标识文件系统，以实现对文件系统进行分类。 标签管理服务（Tag Management Service，TMS） 标签

操作类限制 表3 操作类限制 限制类型 限制项 说明 创建SFS Turbo文件系统 支持协议 支持NFS协议（仅支持NFSv3）和SMB协议（仅支持SMB 2.0、SMB 2.1、SMB 3.0版本）。 SMB类型的文件系统不支持使用Linux操作系统的云服务器进行挂载。 同一文件系统不能同时支持NFS协议和SMB协议。 单文件系统最大容量 标准型、性能型：32TB 标准型-增强版（停售）、性能型-增强版（停售）：320TB 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB、HPC缓存型（停售）：1PB 创建SFS Turbo文件系统数量 一个账号在单个区域内可创建最多20个文件系统。 从备份创建SFS Turbo文件系统 标准型、标准型-增强版（停售）、性能型、性能型-增强版（停售）、20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB：支持 HPC缓存型（停售）：不支持 是否支持文件语义锁Flock 不支持 是否支持缓存加速 标准型、标准型-增强版（停售）、性能型、性能型-增强版（停售）：不支持 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB、HPC缓存型（停售）：支持（仅保证最终一致性，如需关闭，请提交工单反馈） 说明： 最终一致性意味着当通过多客户端访问共享文件系统时，因为一个客户端的访问请求可能路由到不同的分布式后端，当命中到分布式后端的本地cache时，可能无法实时获取到其他客户端的更新操作。 如果一定要多客户端并发写同一个文件，为了增强文件的一致性，建议您将多客户端挂载到同一个虚拟IP上。 挂载SFS Turbo文件系统 单文件系统最大挂载客户端数量 标准型、标准型-增强版（停售）、性能型、性能型-增强版（停售）：500个 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB、HPC缓存型（停售）：3000个 访问SFS Turbo文件系统 支持访问方式 VPN/专线/云连接 扩容与缩容SFS Turbo文件系统 是否支持扩容 支持 是否支持缩容 不支持 目标容量取值范围 标准型、标准型-增强版（停售）、性能型、性能型-增强版（停售）：扩容步长至少为100GB起步。标准型和性能型可调整最大容量不超过32TB，增强版可调整最大容量不超过320TB。 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB：扩容步长为1.2TB起步，且必须为1.2TB的整数倍。可调整最大容量不超过1PB。 HPC缓存型（停售）：扩容步长为1TB起步，可调整最大容量不超过1PB。 备份SFS Turbo文件系统 是否支持备份 标准型、标准型-增强版（停售）、性能型、性能型-增强版（停售）、20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB：支持 HPC缓存型（停售）：不支持 计费模式 通过备份创建SFS Turbo新文件系统，只能创建按需计费的文件系统。 卸载SFS Turbo文件系统 卸载SFS Turbo文件系统前提条件 终止进程和停止读写。 删除SFS Turbo文件系统 删除SFS Turbo文件系统前提条件 卸载已挂载的文件系统。 删除按需计费SFS Turbo文件系统 状态为“可用”或者“不可用”才能执行删除操作。 退订包年/包月SFS Turbo文件系统 状态为“可用”或者“不可用”才能执行退订操作。 添加标签 是否支持添加标签 支持 标签数量 一个SFS Turbo文件系统最多添加20个标签。 标签键 添加标签时该项为必选参数，不能为空。 当一个SFS Turbo文件系统添加了多个标签，标签键不允许重复。 创建SFS Turbo文件系统后是否支持编辑 支持

性能类限制 表4 性能类限制 限制项 说明 最大带宽 标准型：150MB/s 标准型-增强版（停售）：1GB/s 性能型：350MB/s 性能型-增强版（停售）：2GB/s 20MB/s/TiB、40MB/s/TiB：8GB/s（如需提高吞吐能力，请提交工单申请，最高可达20 GBps） 125MB/s/TiB、250MB/s/TiB：20GB/s（如需提高吞吐能力，请提交工单申请，最高可达100 GBps） 500MB/s/TiB、1000MB/s/TiB：80GB/s（如需提高吞吐能力，请提交工单申请，最高可达2TBps） HPC缓存型（停售）：48GB/s 说明： 读写速率受挂载客户端的数量影响，详情请参见常见问题如何发挥SFS Turbo文件系统的最大性能？。 最大IOPS 标准型：5K 标准型-增强版（停售）：15K 性能型：20K 性能型-增强版（停售）：100K 20MB/s/TiB、40MB/s/TiB：25万 125MB/s/TiB、250MB/s/TiB：100万 500MB/s/TiB、1000MB/s/TiB：400万（如需提高IOPS，请提交工单申请，最高可达3000万） HPC缓存型（停售）：2000K 最低时延 标准型、标准型-增强版（停售）、性能型、性能型-增强版（停售）、20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB：1-2ms HPC缓存型（停售）：亚毫秒

规格类限制 表2 规格类限制 限制项 说明 单文件大小 标准型、标准型-增强版（停售）、性能型、性能型-增强版（停售）：最大为16TB 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB、HPC缓存型（停售）：最大为320TB 单文件系统最大文件或子目录数 标准型、标准型-增强版（停售）、性能型、性能型-增强版（停售）：10亿 说明： 单文件系统下文件或子目录数=总容量（KB）/16，上限为10亿，即得出数量大于10亿时，数量按10亿算。 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB、HPC缓存型（停售）：20亿 说明： 单文件系统下文件或子目录数=总容量（GB） * 25000，上限为20亿，即得出数量大于20亿时，数量按20亿算。 单目录下最大文件或子目录数 2000万 说明： 如果用户需要对整个目录进行ls、du、cp、chmod、chown等操作，建议单层目录下不要放置超过50万的文件或子目录，否则可能由于NFS协议和SMB协议需要向服务端发送大量遍历请求而产生排队，导致请求耗时非常长。 目录最大深度 100层 最大路径长度 标准型、标准型-增强版（停售）、性能型、性能型-增强版（停售）：1024Byte 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB、HPC缓存型（停售）：4096Byte 最大软链接长度 NFS协议：1024Byte SMB协议：不涉及 最大硬链接长度 NFS协议：255Byte SMB协议：不涉及 文件系统数量配额 默认32个，可提交工单申请扩大配额

命名类限制 表1 命名类限制 限制项 说明 SFS Turbo文件系统名称 创建的文件系统名称只能由英文字母、数字、下划线和中划线组成，输入长度需大于等于4个字符并小于等于64个字符，并以字母开头。 标签的键 标签的“键”最大长度为128个字符，可以包含任意语种的字母、数字和空格，以及_.:=+-@字符，但首尾不能包含空格，且不能以_sys_开头。 标签的值 标签的“值”最大长度为255个字符，可以包含任意语种的字母、数字和空格，以及_.:/=+-@字符，但首尾不能包含空格。

支持文件系统挂载的操作系统 已通过兼容性测试的操作系统如表1所示。 表1 支持文件系统挂载的操作系统列表 类型 版本范围 CentOS CentOS 5,6,7 for x86 Debian Debian GNU/Linux 6,7,8,9 for x86 Oracle Oracle Enterprise Linux 5,6,7 for x86 Red Hat Red Hat Enterprise Linux 5,6,7 for x86 SUSE SUSE Linux Enterprise Server 10,11,12 for x86 Ubuntu Ubuntu 14.04及以上 Euler Euler OS 2 Fedora Fedora 24,25 OpenSUSE OpenSUSE 42 Windows Windows Server 2008,2008 r2,2012,2012 r2,2016 for x64; Windows 7,8,10