【摘要】 如果把云安全比作“冰山”，不仅要关注冰山上的“安全服务和特性”，还要关注冰山下各种基础安全建设。近年来，随着全球网络空间快速发展，高危漏洞、大流量DDoS攻击、数据泄露事件频发。在高速变化的网络威胁态势中，仅仅依靠对漏洞的补救，或针对已知远远不够了，新的威胁还在不断涌现。企业客户在数字化转型和上云过程中，需要系统化构建安全体系以应对新的安全挑战。如果把云安全比作“冰山”，那云安全服务及云服务的安全特性属于“冰山”上的可见部分。而“冰山”下90%部分的安全能力，往往不为人所知，但正是这“冰山”下的部分，承载着整个公有云的安全性。华为云构筑的原生冰山安全体系，通过四大能力：自主研发的安全服务，覆盖全球的安全认证、覆盖全球的安全保障能力和全生命周期的数据安全治理，帮助企业抵御网络攻击，从复杂专业的安全工作中解放出来，快速、便捷地获取到普惠、合规、高效的安全服务。（详见《厚积薄发，华为云构筑原生冰山安全体系，守护云上安全》）。华为云安全服务全解析华为云基于20多年安全积累，自主研发的20+款云安全服务是华为云冰山安全体系中，最重要的能力之一，通过安全服务将华为安全能力共享给用户，帮助用户高效稳定地发展业务。华为云安全服务覆盖“保护云工作负载、保护应用服务、保护数据和密钥、管理安全态势、业务合规上云”五大领域，从计算层、网络层、数据层再到安全管理层，积累了不同维度的云安全经验，形成了协同联动的云安全服务体系，为用户提供优秀实践，构筑全栈安全。为了更具象的理解，我们以典型的电商场景为例，来详细了解这五大安全服务是如何为企业保驾护航的。保护云工作负载计算机和网络运转的核心是数据，而数据的归属则是主机，这其中包括个人电脑、服务器以及一些大型的磁盘阵列。对企业而言，主机既是承载公司业务及内部运转的底层平台，也是承载企业数据和服务的核心，其稳定、安全地运行是公司正常运转的前提保障。例如电商在大促期间，会有数以万计的用户下单信息存储在服务器中。如果没有主机安全防护体系，黑客就可以利用密码破解、社工攻击或漏洞攻击等手段入侵服务器数据库，获取大量数据资产。电商在被攻击的过程中，业务会被中断，大量恶意文件占用系统资源，也会导致服务器不能正常运行，影响用户的购买下单。新时代的主机安全素养：防得住暴力破解、查得出挖矿木马、守得住后门漏洞，不可或缺、一样都不能少。在弹性云主机的安全利器——HSS企业主机安全中，华为云企业主机安全（HSS）以服务器贴身安全管家的身份，实现病毒木马查杀、漏洞一键修复、入侵检测、防勒索等安全防护保障。其旗舰版及网页防篡改版，还增加反弹Shell、高危命令执行、自启动检测等能力，防止网页被篡改，有效应对APT攻击等高级威胁，全方位为云上企业保驾护航。很多企业会在多个云平台部署业务，一来享受不同云厂商的产品和服务优势；二来分散和减少业务系统风险。但多云部署也会带来主机安全管理难度陡增的难题。蘑菇街让你更美丽，华为云让蘑菇街更安全，蘑菇街通过华为云HSS实现了对多云平台主机的统一安全防护和管理，安全管理效率提升了3倍。同时，蘑菇街安全团队丰富的安全实战经验结合华为云HSS强大的入侵检测能力，提升了蘑菇街的安全防护等级。除了要防护外部的安全问题，对于企业内部的身份、权限和资产等IT运维安全问题，同样也要时刻关注。有调查显示，有超过半数的企业网络安全事件并非是因为外部攻击所导致，而是由于企业内部的不安全、不合规运维操作所造成的。堡垒机在企业安全运维内需和法律合规的双要求下，成为每个企业都需要的安全产品。初识华为云云堡垒机：层次分明细管理，过目不忘易审计，无须安装部署，一站式运维和安全管理，降低企业运维成本；实时记录所有操作和日志，并提供实时监控、录屏和回放等功能，便于事后审计和取证；同时产品安全合规，三大特点让云堡垒机成为企业必备的安全运维爆品。保护应用服务许多企业的关键业务依赖于Web应用，而互联网75%的攻击都集中在应用层。以电商来说，在618、双11期间经常会发布秒杀活动应用页面，一些不法攻击者会借助代理服务器生成指向受害主机的合法请求，对Web服务器进行大量访问请求，导致正常用户无法正常访问。最终就会出现秒杀活动一开始，页面就 404无法访问的现象。网页被篡改，访问被钓鱼、一做活动就宕机…其实，这些背后都是因为Web应用的防护没有做到位。针对Web应用防护，Web应用防火墙可用于常见攻击的检测和阻断，支持识别并阻拦常见的Web攻击。帮助用户应对网站入侵、漏洞利用、网页篡改、后门植入、CC攻击等安全问题，为企业Web业务安全运营保驾护航。以华为云的Web应用防火墙为例，它首先分析Web攻击行为，对具体业务场景设置动态防护，智能防御CC功能在第一时间开启。在不断对抗的过程中，基于灵活的自定义策略配置，摸清黑产的攻击策略，从而进行抵御。同时帮助客户梳理清楚业务逻辑，为业务调整优化提供依据。小心！网站遭遇Web攻击！谨防数据泄露，网页篡改！ 中通过漫画的方式，形象的展示了华为云Web应用防火墙是如何帮助用户应对网站入侵、漏洞利用、网页篡改、后门植入、CC攻击等安全问题，为企业Web业务安全运营保驾护航。不仅如此，电商平台往往还会遭受恶意竞争者或黑客利用大量“受控主机”发出恶意攻击，导致平台网站无法访问导致业务中断，带来的经济损失以及客户流失。大规模网络攻击随时到来，中枪了咋整？华为云DDoS高防服务帮您轻松解决！除了这些能够防护外部攻击的安全保障，企业还需要漏洞扫描，自动发现网站或服务器在网络中的安全风险，为云上业务提供多维度的安全检测服务，让安全弱点无所遁形保护数据资产。我们都知道，数据是企业的核心信息，数据存储的关键位置仍然在数据库中。而现状则是，大量互联互通的企业环境中，数据库普遍缺乏有效安全防护。一些不法分子会利用拖库洗库撞库的方式攻击数据库盗取信息。我们知道电商企业的数据不仅包含商品信息，还有大量的注册用户、用户行为等相关隐私数据。数据隐私需要存储和流通，但是不能“裸奔”。数据金矿如何守？云上数据可以通过密钥技术、新算法和加密算法等身份验证手段来保护数据隐私，同时对数据本身增强了保护。数据传输、存储及处理的各个阶段对数据进行加密，利用云技术对信息进行处理，实现信息隐蔽，保护用户数据安全。为保障云上数据库的安全，我们可以基于反向代理及机器学习机制，进行敏感数据监测、数据脱敏、数据库审计和防注入攻击，详细可以了解数据库安全服务（Database Security Service，DBSS）。如果担忧数据泄露，数据加密服务（Data Encryption Workshop, DEW）可以为你快速解决这个难题，提供专属加密、密钥管理、密钥对管理功能，让你免除数据泄露忧愁。不仅如此，在钓鱼网站泛滥的今天，企业还需要防止网站被仿冒、被篡改，而引发用户的信息数据被盗窃，对用户造成经济上的损失。管理安全态势在企业的日常安全运维工作中，各种安全产品每日会产生海量的威胁告警，需要花费大量人力去人工排查真实威胁和误报，时间久了会产生“狼来了”的效果。如何能够真正知道什么人在攻击你、攻击的全局态势是什么样的，甚至要能根据现有信息预测出来攻击者可能的行动方向，成为企业安全防护的重点工作。态势感知就是对能够引起用户云上系统的安全态势发生变化的所有安全要素进行获取、理解以及预测未来的发展趋势，并通过可视化技术呈现出来，为安全防护行动提供决策。它拥有感知、理解、预测、呈现、决策等四大核心点。担心未知风险，决策错误？态势感知让安全运维不再摸黑！态势感知基于大数据安全分析能力，汇总和关联分析了云中资产、日志、告警等多维度的信息，改变过去运维人员淹没在海量数据中的窘境，最终降低主动发现安全威胁的时间。并且，可视化的态势感知的大屏，就像一个作战指挥中心，能够呈现全局视角的网络安全的防护水平和短板，对于管理层衡量安全投资价值及决策具有重要指导意义。基于态势感知，电商企业就可以清楚的了解到云上攻击从哪儿来，如何防，资产安全态势如何？让企业轻松感知现在，预知未来！除了态势感知，堪称云上风险“听诊器”的华为云威胁检测服务（MTD）可以持续监控恶意活动和未经授权的行为，补足其他服务检测能力，第一时间识别风险，规避由潜在威胁造成的安全事件，帮助企业提升安全运营效率，保障业务的连续性。业务合规上云当然，除了网络安全和业务安全需要得到保障，对于电商企业而言，最好的安全保护是制度保护。早在2017年6月，《中华人民共和国网络安全法》就正式实施，等级保护制度也成为国家网络安全的基本制度。2019年，等保2.0提出新的技术要求和管理要求，强调“一个中心，三重防护”，企业在安全防护体系建设、风险评估和管理上需要更加全面。为此，华为云为客户提供了等保安全（DJC）解决方案，帮助企业提升安全防护能力，满足等保合规要求。过等保其实不难，找对帮手很重要！在服务客户之前，华为云所有大区都通过等保3级，部分安全性要求高的大区、节点过等保4级，为用户顺利、高分过等保打下基础。为了让用户更省心省事，华为云更是以100%满足等保条款要求部署的各类安全防护产品。并且，结合华为30年的安全经验，华为云推出管理检测与响应服务（MDR），以云服务的形式，为客户建立由管理、技术与运维构成的安全风险管控体系，结合企业与机构业务的安全需求反馈和防控效果对用户安全防护进行持续改进，帮助企业与机构实现对安全风险与安全事件的有效监控，并及时采取有效措施持续降低安全风险并消除安全事件带来的损失。为了更好地帮助企业做好安全防护工作，开启云端安全模式。在华为云TechWave全球技术峰会安全专题日，华为云聚焦应用安全防护，发布四大安全新品：安全智能分析平台ISAP、威胁检测 MTD、应用信任中心ATC和安全运营中心 SOC，为企业的云上安全防护再添新的武器。云原生时代下，无处不在的云原生安全随着云原生技术的成熟和市场需求的升级，云计算的发展已步入新的阶段——云原生2.0时代。越来越多的企业及个人选择使用云原生技术来构建业务。企业在享受云原生红利的同时，也对安全防护有了更高的需求，因为需更契合云原生业务发展的安全服务。作为云原生代表技术之一的容器，每个企业都应该对容器安全有所了解。云原生2.0时代，企业都应该了解的容器安全，从容器与虚拟机的对比，为我们介绍了容器更便携和高效特点。华为云容器安全服务CGS构建了容器安全威胁纵深防御体系，提供包括镜像扫描、威胁检测与威胁防护的一整套容器安全能力，提供针对容器的Build、Ship、Run全生命周期保护能力，渗透到整个容器DevOps流程，保证容器虚拟环境从开发到生产整个流程的安全。在2020可信云大会上，经信通院严格检测，49项安全能力全部过检，华为云容器安全服务获可信云最高级的先进级认证。不仅如此，在云原生安全方面，华为云推出了CFW云防火墙、数据安全中心服务DSC和ATC应用信任中心三款产品。在华为云TechWave云原生2.0专题日上，为给企业业务提供多场景全流量防护，筑牢网络安全的第一道防线，华为云CFW云防火墙正式发布！华为云CFW云防火墙作为新一代云原生防火墙，提供云上互联网边界和VPC边界的防护，兼具“极简、智能、可视、开放”四大特点。传统的安全防护基于网络边界构建，但随着云计算和移动互联网的兴起，传统网络边界逐渐模糊，基于网络边界的防御理念难以适应云环境下的需求。零信任“从不信任、永远验证”的理念应势而起，即基于身份而非网络位置来构建访问控制体系。华为云基于零信任理念，依托云原生安全能力，对网络隐身、自适应风险控制等关键技术进行创新，在安全运维、远程接入等众多场景进行大量实践，让应用更安全，华为云应用信任中心ATC正式公测。ATC服务是围绕用户应用打造的安全服务，通过构建应用安全威胁全景拓扑，实现细粒度访问控制，满足客户对零信任访问控制能力的需求。 在2021年6月，十三届全国人大常委会第二十九次会议通过了《中华人民共和国数据安全法》（以下简称数据安全法），并将于9月1日起施行。数据是当今时代的金矿，保护数据安全更是企业的核心诉求。企业用云数字化转型的同时，如何保障企业数据资产的全生命周期安全？今天云上的数据安全能力其实一直是分散在各个服务之中，例如VPN、安全组、SSL证书以及诸如ECS、RDS、OBS等集成的加密能力。数据安全是一个管道，整体的安全能力是由每个阶段的安全能力共同组成的，换言之，如果某一个阶段做的很强，而另一个阶段没有任何保护措施，那么对于整体数据安全状态来说也是于事无补。企业缺少一个对整体安全能力审视统一视角，这个时候企业就需要一名数据资产“贴身守卫”——数据安全中心。作为19年9月份开始内测，2020年年底正式推出云原生华为云数据安全中心服务。该服务能够提供数据分级分类、数据安全风险识别、数据水印溯源和数据脱敏等基础数据安全能力，通过构建数据安全统一入口，围绕数据全生命周期，帮助用户实现云上数据安全可视化管理服务。而且还能够为企业提供数据资产的全生命周期全景图，让客户清楚知道自己的数据从哪里来、到哪里去、有无安全问题。保障云上数据在产生、采集、传输、存储、使用、交换、销毁各阶段的安全。真正的帮助企业做到：数据安全中心在手，保护数据方案都有。最后安全是个需要持续投入、持续演进、持续提升的系统性工程，不积跬步无以至千里。新兴技术高速发展的同时也带了未知安全威胁的频发，华为云安全继承华为20多年的安全能力积累，逐步打造完善云安全服务矩阵，构筑全栈安全防线，在云原生时代帮助客户高效安全地上云。《大厂内参》根据开发者普遍关注的热门技术领域，汇编实践精华内容。从业务场景选型，应用案例分析，到前瞻趋势预测。以专题的形式，深度解读华为云核心技术，分享一线工程师的实战经验。【第一期】敏捷&Devops：80+篇实践干货分享，深度解读敏捷&DevOps如何革新软件开发【第二期】数据库：从数据库科普到核心技术解读、上云案例分享，全方位剖析云数据库【第三期】云服务器：选型解读+案例分享：云服务器“软硬技术”全公开【第四期】人工智能：海量实战经验教你零门槛进场AI开发，无成本负担玩转AI应用【第五期】云原生：读懂云原生2.0，看它如何重塑业务开发架构【第六期】云安全：Get防范云安全的必杀技，学会构建云上完整安全体系【第七期】物联网：“端边云”IoT全栈技术大揭秘，开发实战指南带你轻松上手IoT【第八期】数据库：8大场景系列玩转数仓运维，做个不秃头的DBA【第九期】数据库：握IoT开发，从操作系统LiteOS内核源码学习开始

诉求场景企业主机安全服务（Host Security Service，HSS）是提升主机整体安全性的服务，通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能，全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。在使用企业主机安全服务时，部分安全策略可能会导致ECS操作系统内部异常或者用户登录、使用ECS异常，此时添加对应策略即可。本文档列举企业主机安全服务导致ECS异常的常见场景及解决办法。 常见场景及解决办法【场景1】企业主机安全->入侵检测->事件管理->账户防暴力破解账户防暴力破解功能可能会误拦截远程登录端口或应用端口（比如mysql 3306端口），导致用户无法远程登录，应用端口无法访问。策略生效后会修改LINUX云服务器iptables规则，在操作系统内部手动清除规则后会自动添加。正确的处理方法为登录企业主机安全控制台，在企业主机安全->入侵检测->事件管理->账户防暴力破解路径找到被误拦截的主机对应的告警事件，将误拦截的事件加入登录白名单。以下操作系统内部用户MYSQLD服务端口（31000）被企业主机安全服务账户防暴力破解功能拦截，将拦截规则加入LINUX操作系统的IPTABLES规则。在企业主机安全->入侵检测->事件管理->账户防暴力破解路径找到被误拦截的主机对应的告警事件，将误拦截的事件加入登录白名单即可。【场景2】企业主机安全->入侵检测->事件管理->账户异常登录账户异常登录防护功能可能会误拦截用户正常的远程登录，导致用户无法远程登录，策略生效后会修改LINUX云服务器/etc/sshd.deny.hostguard配置文件，在操作系统内部手动清除规则后会自动添加。正确的处理方法为登录企业主机安全控制台，在企业主机安全->入侵检测->事件管理->账户异常登录路径找到被误拦截的主机对应的告警事件，手动处理异地登录事件，同时将登录IP加入白名单。手动处理事件：添加登录白名单：更多详细的安全配置参考安全配置指导文档：https://support.huaweicloud.com/usermanual-hss/hss_01_0051.html 【场景3】企业主机安全->网页防篡改->防护列表如果用户操作系统内部目录或文件使用root用户无法删除（排除文件扩展属性的原因外），需要考虑是否用户当前云服务器开启了网页防篡改功能。【场景4】企业主机安全->安装与配置->双因子认证用户在进行ssh远程登录LINUX云服务器时，如果输入密码是正确的，但登录失败，可以在当前云服务器VNC窗口使用“ssh localhost”或“ssh 本机内网IP”登录本机。如果界面上有提示输入密码以外的其他信息时，说明用户开启了双因子认证功能。如果需要使用双因子认证功能，请参考以下文档：如何使用双因子认证： https://support.huaweicloud.com/hss_faq/hss_01_0077.html开启双因子认证：https://support.huaweicloud.com/usermanual-hss/hss_01_0051.html#section4

【功能模块】【操作步骤&问题现象】1、在标准页面中的表格定义字段，编辑字段名称规格型号，保存2、页面显示的是另一个名称（资产原值），与开发的不一致，无论如何修改都不一致【截图信息】【日志信息】（可选，上传日志内容或者附件）顾庆耀/18068848554/guqingyao@chinasoftinc.com

（图片素材来自雷允上官网）雷允上集团，以近300年历史的“雷允上”为统一品牌，以“聚百草•泽万民”为使命，秉承“300年雷允上，传承健康智慧”的品牌主张，恪守“精选道地药材允执其信，虔修丸散膏丹上品为宗”的祖训，传承发扬温病学说精髓。集团以传统中医药为根基，积极向科技与品牌双驱动的创新型中药制造企业转型，充分汲取现代科技成果，已成为在多个治疗领域具有独特优势的大型中药集团。雷允上为了打通各业务环节的数据，消除信息孤岛，提高日常办公、业务运营的效率，选择泛微搭建了一体化、数字化办公平台。对于产品类型多、规模大的制造业企业来说，固定资产的有序管理关乎着企业的日常运营发展和安全防控。许多企业选择借助数字化手段，更智能、高效、方便地进行管理。移动端+PC一体化 雷允上固定资产管理系统应用特色如何科学有效地利用资产、避免资产运转过程中的风险，此次，雷允上借力泛微，通过高效的电子流程和低代码构建平台，打造了固定资产数字化管理系统，实现固定资产的新增、验收、盘点、借用、归还、维修、报废、标签打印等操作。系统通过集成企业微信，使用泛微OA原有的系统组织架构和流程化管理；为了强化固定资产的管理，系统为每个固定资产设置了管理部门和使用部门属性，用于区分固定资产的所有权、使用权和管理义务人。同时，系统为每个固定资产设置了物理位置属性，方便对固定资产的跟踪管理。一、资产管理资产管理包含资产查询、资产新增、资产转移、报废、盘点、资产分类、存放地点管理、资产借用、资产归还功能，通过扫描二维码，能够查询资产的详细信息。（资产信息）1、资产查询资产查询模块清晰地展现了员工所在部门正在使用或者管理的资产数量，以及在各个分类中所占有的比例。能够查看本人使用的资产和当前部门所拥有的所有资产，点击每个资产可以看到资产的详细信息，点击二维码即可显示资产标签。（扫码查询）2、资产新增在手机端，可以通过OA流程，通过填写资产相关信息后，流程提交给管理部后，资产编号和卡片编号由系统自动生成，在PC端打印资产标签，资产标签打印完成后提交流程即可将流程数据自动转为固定资产卡片。在PC端，可以直接打开OA流程新建流程填写流程中的资产信息，也可以完成资产新增操作。（PC+移动端：资产新增）3、资产转移通过发起固定资产转移流程，选择要进行转移的资产名称，在转移内容下面填写需要转移的对象，可以是管理部门、使用部门、使用人、存放地点的转移，流程经过各个管理部门以及财务部门审批过后自动转移内容更新到资产卡片中，也可以在PC端OA系统中发起流程。（PC+移动端：资产转移）4、资产报废通过固定资产报废申请流程，选择需要报废的资产，自动带出该资产的规格、型号、管理部门、使用部门、使用人、使用日期，流程发起后会经过申请人部门，以及财务部门审批后，该资产自动归为报废状态，系统里无法查询该资产的相关信息。（PC+移动端：资产报废）5、资产盘点盘点计划：由财务部门相关人员新建和编辑，盘点计划完成后才能对资产进行盘点。盘点计划需要填写盘点主题、开始日期、开始时间、结束日期、结束时间。盘点方式：雷允上资产盘点方式分为扫码盘点和直接点击资产盘点。扫码盘点：扫码资产二维码之后，显示资产相关信息，以及资产的相关功能操作。进入盘点页面后，需要填写实际使用人，如果有其他情况，可以添加备注。（扫码盘点）直接选择资产盘点：选择当前登录者所在部门未盘点查询，选择相应资产也可进行盘点操作。（直接盘点）6、存放地点在雷允上固定资产管理系统中，可以查询每个资产所存放的物理地点，每个存放地点下可查看相应的资产，并且可以根据实际情况，对资产存放地点进行编辑。（存放地点管理）7、资产借用部门间相互借用资产情况下，可以通过扫码和直接添加的方式进行有序管理。（资产借用）8、资产归还系统中的待归还列表中展现了员工所在部门被借出的资产、待归还资产列表。填写流程时，自动带出操作人和借用数量。（资产归还）二、养护管理1、养护计划需要对设备进行定期养护和检修，由设备使用部门负责人发起养护计划，然后交由相应的养护人员进行检修新增：直接新增方式和扫码新增方式。（养护计划）2、养护记录养护人员可在系统中填写养护记录，已完成的养护计划不可在进行修改。（养护记录）3、设备维修设备出现故障，设备使用人员发起的资产报修流程，会由资产管理部门分配工单给相应的设备维修人员。雷允上固定资产管理系统应用价值总结泛微协助雷允上搭建了全生命周期的资产管理系统，助力雷允上全盘掌控组织现有资产构成情况和使用情况，加强对实物资产的日常管理，确保企业资产、生产设备安全；移动化的资产管理方式，提高了企业资产使用、盘点效能，进一步提升了资产设备的精细化管理水平。

【功能模块】【操作步骤&问题现象】自动流程注册成API后在资产管理页面的API目录中根据流程名称搜索不到【截图信息】【日志信息】（可选，上传日志内容或者附件）

                                                                                       猛戳链接观看小视频：WAF+HSS双剑合璧，防止网页被篡改什么是网页篡改    网页篡改是一种通过网页应用中的漏洞获取权限，通过非法篡改Web应用中的内容、植入暗链等，传播恶意信息，危害社会安全并牟取暴利的网络攻击行为。网页篡改的后果网页可能被植入色情、诈骗等非法信息的链接；发表反动言论，从而造成不良社会影响，损害企业品牌形象；对政府、高校、企事业单位等有影响力的单位来说，页面被恶意篡改将无意间成为传播危害社会安全等信息的帮凶。尤其在重要节庆时期，网页被篡改的负面影响更甚。传送门： 主机安全（防篡改）   Web应用防火墙    云安全特惠专场

随着企业数字化转型升级加速，数据在其中发挥着越来越大的作用。数据资产被认为是数字时代最重要的资产之一，那么什么是数据资产？企业数据及数据产生的信息，被公认为是企业资产。而数字资产的管理，能够使企业在发展中依赖高质量数据资产做出明智的决策，实现更高效的运营，增强竞争力。针对于行业数据使用痛点，华为云云市场联合中软国际科技致力于打造覆盖数据全生命周期、可适配各种业务和管理流程、兼具约束力和灵活性、实用易用、用户体验卓著的工具，为客户建设企业级数据中台和挖掘数据价值提供有力保障。数据资产管理平台助力企业实现从数据产生端到数据数据资产管理平台当前版本的主要功能主要分为三大部分：元数据管理、数据质量管理和数据标准管理。1、元数据管理，旨在为企业提供端到端，跨技术平台的元数据采集、管理、展示的功能，帮助企业在数据管理过程中完整了解数据的分布、定义和加工依赖关系。元数据结合数据标准、数据质量帮助企业实现数据的可管、可用，是数据使用、产生价值的基础保障。2、数据标准管理，旨在为企业提供一整套标准的维护、查询、落地功能，方便企业以最小的成本管理数据标准。 3、数据质量管理，旨在通过梳理对应的质量规则并进行检核进而帮助企业及时发现问题、定位问题以及后续问题的下发和整改一连串的辅助持续改进的管理功能，通过开展数据质量的管理工作，进一步帮助企业获取干净、结构清晰的数据，确保最大化发挥数据的价值。 中软国际数据治理服务帮助企业实现从数据到数据应用端的、完整的、跨系统的数据资产管理体系。系统以元数据管理为核心，集成数据标准、数据质量这些对数据内容的控制领域，实现数据资产全貌管理；相较于每个业务系统都会单独提供的元数据管理而言，数据资产管理平台能够获取、展现、管理企业的全部数据资产，从而为业务分析师、数据科学家、机器学习应用提供完整统一的数据资产结构。文中提到的商品链接：中软国际数据治理服务【华为云云市场，助您上云无忧】

【功能模块】数字冰雹三维地图适配器：封装好的AppCube 的组件，可以拖到 DMAX 页面上。。。。已与现场对比了zip包的MD5，是一致的。这种适配器，是在页面资产管理下，提交新组件吗？为什么无效呢？提交位置不对？【操作步骤&问题现象】1、获取适配器zip包2、在页面资产管理下，上传新组件，报错。【截图信息】【日志信息】（可选，上传日志内容或者附件）

一、概要近日，微软发布2021年5月份安全补丁更新，共披露了55个安全漏洞，其中4个漏洞标记为严重漏洞。攻击者利用漏洞可实现远程代码执行、权限提升、敏感信息泄露等。受影响的应用包括：Microsoft Windows、Exchange Server、Hyper-V等组件。微软官方说明：https://msrc.microsoft.com/update-guide/releaseNote/2021-May本月用户需关注HTTP 协议堆栈远程执行代码漏洞（CVE-2021-31166），该漏洞官方说明可造成蠕虫级危害，未经过身份验证的攻击者可以使用 HTTP 协议栈 (http.sys) 将特制的数据包发送到目标服务器，实现远程代码执行。请受影响的用户及时自检并安排补丁升级，避免遭受攻击。 二、漏洞级别漏洞级别：【严重】（说明：漏洞级别共四级：一般、重要、严重、紧急）  三、影响范围Microsoft Windows、Exchange Server、Hyper-V等产品。 四、重要漏洞说明详情CVE编号漏洞名称严重程度影响产品CVE-2021-31166HTTP 协议堆栈远程执行代码漏洞严重Windows Server, version 20H2 (Server Core Installation)Windows Server, version 2004 (Server Core installation)Windows 10 Version 20H2 for x64-based SystemsWindows 10 Version 20H2 for ARM64-based SystemsWindows 10 Version 20H2 for 32-bit SystemsWindows 10 Version 2004 for x64-based SystemsWindows 10 Version 2004 for ARM64-based SystemsWindows 10 Version 2004 for 32-bit SystemsCVE-2021-28476Hyper-V 远程执行代码漏洞严重Windows 10、Windows 8.1、Windows 7、Windows Server 2008/2008   R2/2012/2012 R2/2016/2019CVE-2021-31194OLE 自动化远程执行代码漏洞严重Windows 10、Windows 8.1/RT 8.1、Windows 7、Windows Server 2008/2008   R2/2012/2012 R2/2016/2019CVE-2021-26419脚本引擎内存损坏漏洞严重Internet Explorer 9、Internet   Explorer 11（注：以上为严重漏洞，其他漏洞及详情请参见微软官方说明） 五、安全建议1、可通过Windows Update自动更新微软补丁修复漏洞，也可以手动下载补丁，补丁下载地址：https://msrc.microsoft.com/update-guide/2、为确保数据安全，建议重要业务数据进行异地备份。3、华为云企业主机安全HSS已具备此次漏洞检测与修复能力。华为云HSS企业版及以上用户在控制台通过“风险预防->漏洞管理->windows系统漏洞管理”界面即可检测与修复漏洞。注意：修复漏洞前请将资料备份，并进行充分测试。

一个低代码开发环境如虎添翼的技术用户，如企业用户和开发人员的公民，建立自己完整的业务应用，而无需IT的帮助。通过高度可视化，易于使用的界面，低代码减轻了IT积压工作，以创建或更新业务应用程序。它是一种快速、可靠地设计企业级业务应用程序的方法，几乎不需要或不需要编码知识。使用低代码，任何人都可以创建软件应用程序和服务。低代码应用程序开发的演变当您有一个需要数字化的流程时，特别是涉及人员，流程和技术的流程，低码是一种有用的方法，因为它可以通过自动化轻松地将所有流程整合在一起，使用逐步的交互式向导来采访业务用户以捕获应用程序的意图，然后使用指南来帮助他们从头到尾使用拖放来构建应用程序。由于正在建立业务期望，因此应用程序开发的积压工作正在削弱IT团队。他们正在打破生产力壁垒，这浪费了业务时间，金钱和机会。低代码平台使公司能够快速构建和部署应用程序以解决实际的业务问题。可以在几天甚至几小时内创建业务应用程序，可以快速评估结果，并快速且迭代地执行更新。在允许标准IT治理的同时实现所有这些目标既灵活又具有成本效益。针对公民开发人员的低代码开发旨在使任何业务用户都可以在短短几分钟内将其想法转变为功能全面的应用程序。使用低代码，公司可以更快地解决业务问题，并且风险更低。他们可以更轻松，快速地创建有效的应用程序，以帮助改善客户体验，降低运营成本，提高生产力并增加收入。通过低代码应用程序开发，您可以自动化操作流程，将新功能添加到您喜欢的平台，并将多个企业系统统一为一个。当今的IT部门正在寻求可以大大加快应用程序交付速度的新方法，而低代码正是他们所寻找的答案。尽管低代码平台可以满足那些没有很多技术知识的平台的需求，但是最好的平台也可以使熟练的开发人员更快地构建原型应用程序，增强整体系统或解决技能差距，例如移动支持或后端数据连接。因此，一个好的低码平台既要具有一个非常简单的UI，并带有可以指导用户的逐步说明，也要具有针对熟练IT资源的更高级的自定义功能。低代码应用程序开发的好处比传统编码更便宜，更快速地构建应用使用低代码，公司不必依赖IT来构建或增强业务应用程序。因此，他们可以在数周或数天而不是数月或数年的时间内构建应用程序，从而节省了大量时间和金钱。此外，使用低代码，可以通过利用希望解决日常业务挑战的业务用户的专业知识和善意来解决雇用熟练的IT资源的难题。大规模释放广泛的数字化转型的一种方式现在，由于业务用户有权创建自己的应用程序，因此他们不再需要等待IT人员，而是可以继续他们的想法，从而加快了创新和数字化转型的速度。使用低代码，您可以创新和释放业务组织的创造力，并解决IT部门的开发积压。通过提供理想的环境来轻松实现将思想转变为功能完备的应用程序，从而创造价值。系统的集成和扩展组织在数字化转型中面临的最大挑战之一是，他们感到被自己花费了数年时间和大量资金开发的过时的旧系统所困。低代码是一种轻松实现企业系统现代化并挖掘数字转换所提供的全部潜力的方法。更快的应用开发和更新传统的软件开发通常需要数月才能完成新服务或对应用程序的更改。这使员工以及可能的客户感到沮丧。现在，通过低代码应用程序开发，可以更新旧版应用程序和服务，并可以构建新应用程序，从而加快创新速度。现在，您已经拥有了一个可靠的自助服务工具，可以帮助业务用户将其想法转化为应用程序，他们将不再需要寻找那些不易于定制且经常落入IT手中的现成解决方案。它们是如此难以使用。低代码平台使业务用户可以构思和创建他们的应用程序，同时还具有对IT的正确防护和控制措施，以确保对应用程序进行整体管理。基本的低码功能用户体验用户体验应使公民开发人员能够在几分钟内通过Web浏览器构建功能齐全的业务应用程序，同时又能保持正确的护栏。用户应该有能力直接进入并开始用简单的语言描述业务问题的解决方案。初次使用的用户应该能够轻松，自然地进行实时学习。直观直观的建模易于使用的拖放界面，允许业务用户以他们对业务的看法来设计应用程序。他们应该能够组装构造块，绘制简单的图片以创建活动流程，并只需单击几下即可定义要执行的动作。与您所有其他系统的集成低代码解决方案的最大特点之一是，它应与任何地方的任何数据，服务，应用程序或系统集成。此功能使低代码成为扩展和/或统一现有系统的绝佳解决方案。企业准备该平台应提供用户进行企业级部署所需的所有必要功能。安全认证，基于角色的访问和经过身份验证的应用程序部署只是所需的内置安全功能的一些示例，重点关注可伸缩性和性能，以允许用户将试点部门的应用程序立即扩展到企业范围内的可用性，且无风险。一些低代码用例？数字化运营流程使用低码构建的销售开发考勤批准应用程序，很好地说明了如何使用低码应用开发解决方案来简化流程。我们快速构建了该应用程序，以确保为销售启动活动清除合适的人员。通常，这是一个漫长而漫长的过程，其中包含大量电子邮件，过时的电子表格，以及来回过多的时间和浪费的时间。使用低代码创建的应用程序改善了审批流程的可见性，并自动验证了通知了正确的人员。无需等待电子邮件继续进行。在这种情况下，低代码极大地改善了团队之间的协作。扩展并增强具有新功能的现有系统一家保险公司希望扩展其移动应用程序，以便使各种车身修理厂能够快速，轻松地重新报价并重置汽车维修成本。低代码使该公司避免了可能已经使用很长时间的系统的很长的更新周期。通过低代码，该公司在旧系统中添加了移动用户界面，批准和正确的流程实施，从而改善了客户体验并降低了运营成本。连接并统一现有应用程序公司可以使用低代码来统一应用程序，从而显着改善业务。一位低代码客户使用了40多个SaaS应用程序来开展业务。挑战之一是他们的某些业务流程跨许多系统，并且它们之间没有连接，导致流程缓慢且费力。例如，他们的客户入职流程（包括欢迎电子邮件培训流）跨越了CRM，营销自动化系统和设置供应供应的后端系统。这是一个耗时，痛苦的过程，有时他们会因此而失去客户。低代码提供了管理某些流程的粘合剂，并提供了更顺畅的入职体验，更高的客户满意度，运营改进和改进的数据质量。按部门分类的其他低码用例工程/ IT资产管理与监控服务台过程控制与质量管理野外及杂项行动客户投诉管理现场服务预约安排库存管理与追踪金融交易台新产品设置供应商入职人力资源面试管理和招聘时间表管理故障排除和服务台管理营销学数字营销活动的设置和批准审批管理（提醒，升级）盈利数据捕获，管理和分析其他按行业分类的低代码用例银行业帐户服务客户服务服务台纠纷解决能源与公用事业资产管理与监控许可证管理技术员派遣政府福利处理法院案件管理补助金和许可证的资格卫生保健欺诈与滥用的预防与管理现场服务管理和调度库存管理与追踪零售需求驱动的库存定位器商品日历计划贸易促进管理电讯客户服务服务台现场服务管理和调度预防性的维护旅行和运输资产管理与监控日常经营管理维护清单的位置和管理低码的影响如今，企业面临着对数字化转型计划的更高需求，但他们也缺少合格的开发人员。低代码应用程序开发提供了完美的解决方案。几乎没有技术知识，任何组织中的任何人都可以使用低代码，仅需单击几下即可将其思想转变为功能全面的企业级应用程序，从而加快了数字化转型计划的步伐。低代码提供了一种独特，简单，无缝的方法来管理应用程序数据。底层的业务逻辑使业务用户可以快速，独立地解决实际的业务问题。使用低代码，企业可以填补流程空白，管理差异，扩展核心系统或发明新的工作方式。本文来源于搜狐号白码原文链接：https://www.sohu.com/a/428971615_120182048

1.  CVE漏洞CVE全称为Common Vulnerabilities and Exposures，公共漏洞和暴露，又称通用漏洞披露、常见漏洞与披露，是一个与信息安全有关的数据库，收集各种信息安全弱点及漏洞并给予编号以便于公众查阅。此数据库现由美国非营利组织MITRE所属的National Cybersecurity FFRDC所营运维护。CVE对每一个漏洞都赋予一个专属的编号，格式为CVE-YYYY-NNNN。其中YYYY为年份，NNNN为CVE的编号，例如CVE-2020-11945。openEuler的CVE信息来源为NVD，NVD是一个美国政府基于安全内容自动化协议（SCAP）标准的漏洞管理数据的存储库，可实现漏洞管理、安全性度量和合规性的自动化。NVD的官方网址为https://nvd.nist.gov/ 。漏洞严重程度通常通过CVSS来衡量，CVSS是一个开放框架，用于传达软件漏洞的特征和严重性。CVSS由三个度量标准组组成：基础，时间和环境。基本指标产生的分数介于0到10之间，然后可以通过对时间和环境指标进行评分来进行修改。openEuler根据CVSS评分将漏洞严重程度分为四个等级：严重——9分以上，主要——7.0 – 8.9分，次要——4.0 – 6.9，不重要——0.1 – 3.9。openEuler安全委员会（Security Committee, SC）过接收和响应openEuler产品安全问题报告、提供社区安全指导，开展安全治理等活动提升社区产品的安全性。SC在openEuler社区官网发布了漏洞管理策略，包括如何上报安全问题、获取SA和安全补丁等信息，详见 https://openeuler.org/zh/security/vulnerability-reporting/ 下图为处理CVE漏洞的流程：本文以squid的漏洞CVE-2020-11945（issue链接：https://gitee.com/angela7/squid/issues/I3HY8O）举例说明处理CVE漏洞的流程。分析影响2.解决CVE漏洞小技巧：CVE信息可通过网络搜索CVE号获取更多信息，包括官网链接以及相关文档分析，例如相关组件上游社区、nvd等网站给出的信息。当然，查找的资料越多，越有助于我们理解漏洞的攻击原理和主要影响。在漏洞描述中我们可以找到漏洞影响组件版本，再对比openEuler上相关组件判断是否受影响。如受影响则需要提交PR合入修复补丁；不受影响在评论里说明即可，不需要合入PR。   1. 通过网络搜索CVE号，获取更多信息。  2. 分析影响通过查找相关资料，nvd(https://nvd.nist.gov/vuln/detail/CVE-2020-11945)对该漏洞的描述为：An issue was discovered in Squid before 5.0.2. A remote attacker can replay a sniffed Digest Authentication nonce to gain access to resources that are otherwise forbidden. This occurs because the attacker can overflow the nonce reference counter (a short integer). Remote code execution may occur if the pooled token credentials are freed (instead of replayed as valid credentials). 理解分析一下，该漏洞影响为：远程攻击者可以重播嗅探到的摘要身份验证随机数，以获取对原本禁止的资源的访问。这种情况是由于攻击者可能使随机数引用计数器溢出，如果释放了合并的令牌凭据，就会导致远程执行代码。nvd清楚地写明了该漏洞影响squid版本为5.0.2之前的版本。而openEuler社区版本为4.9，则该漏洞为受影响漏洞，需要提交PR修复。且该漏洞的评分为9.8分，为严重漏洞。   3. 提交PR如果CVE影响版本，则需要提交修复补丁。提交修复补丁需要从上游社区获取补丁，可能需要进行代码适配。提交补丁时需要注意PR描述信息中关联对应issue编号，修改spec文件中的release号和changelog信息。小技巧：一般情况下，修复补丁链接会在相关分析文档中体现。例如：squid的漏洞CVE-2020-11945，nvd在附加链接里已经附上了上游社区的补丁链接。上游社区补丁的下载链接 http://www.squid-cache.org/Versions/v4/changesets/squid-4-eeebf0f37a72a2de08348e85ae34b02c34e9a811.patchPR提交指导文档参考https://gitee.com/openeuler/community/blob/master/zh/contributors/pull-request.md按照文档中的步骤将该补丁提交PR，可参考PR提交：https://gitee.com/src-openeuler/squid/pulls/16spec的修改参考截图：ps：由于该包的spec的%prep阶段使用了%autosetup，因为无需在%prep阶段执行打补丁的操作，补丁就会自动被读取并打上。关联PR，在PR描述中添加issue号，issue号位置参考截图PR中关联issue号例子：  4. 合入PR等待审核代码提交，合入PR或提出检视意见，如果有检视意见，需要修改后再次提交。在此期间，可以通过评论的方式与社区人员进行沟通。例如：   5. 关闭issue如果你已经完成了上述步骤，就可以关闭issue了，感谢你为我们操作系统修复了一个安全漏洞，降低了攻击者入侵系统的概率。关闭方法为评论/hdc-completed，随后会有专人审核你处理得是否正确。 

随着全球制造业和供应链的日益复杂和互联，世界各地的公司正在利用无线物联网技术的力量，来简化工厂自动化、物流跟踪和资产跟踪。所有行业和不同地区的公司，都在利用物联网的力量，从物流和供应链运营中获得更高的价值和效率。例如，支持物联网的资产跟踪，让企业能够在整个运输过程中，随时随地准确定位资产的位置和状况。根据数据桥市场研究公司（Data Bridge Market Research）的一份报告称，未来几年，全球资产跟踪和库存管理解决方案市场，将继续稳步增长，到2027年将达到412.4亿美元，在预测期内，即2020年至2027年，将实现13.7%的市场增长率。基于物联网平台的端到端资产管理系统，可提供原材料、在制品（WIP）、成品库存和实时跟踪的全面布局，从执行过程的管理，扩展到终端交付的管理。这些资产管理系统，还可以评估用于生产和运输这些货物的资本设备的健康状况，从而将维修、停机和停工的成本降至最低。通过无线传感器提供高价值货物位置的数据，企业可以对物流链有一个全局的了解。无论一家公司是否拥有完整的物流链或与其他公司共享资源，决策者都需要对每一点的实时信息有一个透明的视角。综合的供应链管理系统，最终实现了可预测的规划、最低限度的库存损失、保证了法规遵从性和客户满意度。虽然企业认识到物联网给资产管理带来的巨大价值，但面临的挑战是跨多个地点、跨室内外不同的地方，将远程传感器与互联网无缝连接。理想的无线连接技术，应该是基于标准的、经济高效的、低功耗的，以维持较长的电池寿命，并能够跨越较远的距离。例如，资产跟踪和供应链管理系统，需要安全、双向信息流的无线连接技术，那么Wi-Fi HaLow就是完美之选。作为一种低于1GHz的协议，Wi-Fi HaLow使用比2.4GHz、5GHz和新增的6GHz版本的Wi-Fi更窄的信道。Wi-Fi-HaLow还是一种低功耗、远距离的解决方案，其吞吐量远远高于任何其他专有无线技术，而这些专有无线技术，在覆盖范围、数据容量和电池寿命方面都有不足。设备供应商可以使用经过优化的Wi-Fi HaLow芯片和协议栈，来创建无线资产标签、跟踪器、扫描仪和监视器，以在较远的距离和一定的数据速率范围内运行。这些无线物联网设备，可以通过标准的HaLow接入点（AP）访问互联网，跨越所有物流和仓储领域。以下是四个工厂自动化和资产管理的用例，说明了在供应链中，是如何集成Wi-Fi HaLow技术的。智能标签和跟踪器水果和蔬菜等易腐烂的货物，必须储存在最佳的环境条件下，并且在整个运输过程中，使用智能无线跟踪器进行密切监控。这些跟踪器可以是测量温度和湿度的传感器、测量成熟度的乙烯气体传感器，以及测量重力冲击的加速度传感器。通过卡车、轮船、火车或飞机上的Wi-Fi HaLow接入点，来自HaLow传感器的实时数据，可以连续地传送给供应链上的所有各方。跟踪器的sub-GHz信号，可以穿透大块材料，甚至是在密集包装的货物集装箱中，也能实现连接。了解易腐货物每个集装箱的准确位置和当前状况，可以帮助货主确定下一步的行动，例如选择适合的杂货店，以最佳成熟度接收货物。无线传感器标签可以使用成本低廉的电池，而且可以持续运行数年。这些标签还可以重新编程和重新部署，可在未来的货物中重复利用。 拣选机和扫描仪在仓库和其他大型存储环境中，信号强度并不是无线网络面临的唯一挑战。电力供应也是一个问题。普遍使用的手持式红外扫描仪、打印机和拣货辅助设备，必须每天充电或使用墙插，以保持不间断的无线连接。Wi-Fi HaLow通信链路所需的电量，只是专有无线解决方案耗电量的一小部分。这种能源效率大大延长了电池寿命和移动设备在仓库区域移动的时间，所以设备无须一直使用墙插。由于RFID扫描仪需要移动到仓库或装货区的不同位置，Wi-Fi-HaLow还可以用作RFID扫描仪的远距离网桥。大型、高密度的工厂和仓库工厂自动化的传统有线网络基于专有协议，其基础设施正在迅速老化，在覆盖范围、容量和安全性方面，已不能满足现代设备的新需求。采用2.4 GHz或5 GHz频段的传统Wi-Fi为10万平方英尺的工厂或仓库提供无线服务覆盖，需要几十个接入点。每个接入点都需要一根以太网供电（PoE）的电缆连接至配线柜交换机。此外，可能还需要基于服务器的控制器来管理安全性和**。传统Wi-Fi以这种方式提供服务的最大密度相当低，每个接入点的客户端数量仅为数百个左右。相比之下，Wi-Fi HaLow 接入点的信号可以达到传统2.4GHz Wi-Fi的10倍远，覆盖100倍的区域和高达1,000倍的容量。sub-GHz信号在生产车间和多个库存货架上的穿透力，优于传统Wi-Fi使用的2.4GHz信号。每个HaLow 接入点可支持多达8,191个客户端设备，这比传统Wi-Fi要多得多。Wi-Fi HaLow的连接性还可以添加到现有的工厂和仓库基础设施中，而不会影响高带宽网络或配线柜的无线连接性能。安保与安全监控摄像头和运动探测器与智能接入技术相结合，是监控生产线和运输或储存中货物的有效工具。例如，连接门锁和智能照明设备的组合，可以解决建筑安全的关键问题，并有助于保护原材料、成品，甚至是保护涉及制造、仓储和运输过程的人员。Wi-Fi HaLow有充足的带宽，以支持在难以到达、无法提供有线电源的地方，部署无线摄像头和传感器。利用Wi-Fi-HaLow的远程功能，可以使用无线标签和跟踪设备，将信号覆盖范围扩展到仓库之外。因此，托运人可以随时跟踪和定位丢失的托盘和高价值资产。连接工厂自动化和供应链物流的未来随着全球制造业和供应链的日益复杂和互联，世界各地的公司正在利用无线物联网技术的力量，来简化工厂自动化、物流跟踪和资产跟踪。Wi-Fi HaLow为工厂自动化和端到端的实时资产管理，提供了最佳协议。HaLow克服了传统Wi-Fi和其他专有协议的距离限制、网络拥堵和较高的功耗，以及连接到单个接入点的无线设备数量有限的问题。这些限制，阻碍了跨行业出现的以物联网为中心的供应链新模式。通过解决这些挑战，Wi-Fi-HaLow作为一种基于标准的无线解决方案，在物流和资产管理市场上获得了良好的发展势头，在远程、大容量、低功耗、高数据速率和低部署成本之间，实现了最佳平衡。

论文《Robustness of ML-Enhanced IDS to Stealthy Adversaries》阐述如下：通过机器学习(ML)增强的入侵检测系统(IDS)已经展示了高效构建“正常”网络行为原型的能力，比传统的基于规则的IDS更准确地检测网络威胁的活动。因为这些基本上都是黑盒，所以接受它们需要有足够的健壮性来对付隐形对手。由于不可能从完全清除恶意网络参与者(受控实验之外)的活动中建立基线，部署模型的训练数据会受到分析师希望得到警告的活动示例所污染。我们训练了一个基于自动编码器的异常检测系统来检测混合了不同比例恶意活动的网络活动，并证明了该系统对这种类型的污染具有鲁棒性。地址：https://arxiv.org/pdf/2104.10742

    企业主机安全（HSS）基础版提供基线检查、防账户暴力破解、账号异地登录的功能，适用于测试、个人用户防护主机账号安全，安装Agent后，可免费增加配额。        但HSS基础版不具备防病毒、木马查杀、漏洞修复、网页防篡改的功能；对需要病毒木马查杀、漏洞一键修复、入侵检测等功能的用户，推荐使用HSS企业版；对需要满足等保合规要求的主机，推荐使用HSS旗舰版；对主机有高安全要求的用户（例如：应对护网行动、业务重要），推荐使用旗舰版或者网页防篡改版。以下为开启防护步骤、各版本之前功能差异，和版本升级的操作指导。1      总体原则Agent分为Linux版本和Windows版本，您需要根据主机的OS版本，选择对应版本进行安装。HSS基础版、企业版、旗舰版、网页防篡改版共同用一个Agent，同一主机只需安装一次。在新购买华为云ECS时，勾选“开通主机安全基础版”，HSS会自动为该ECS安装Agent。如未勾选，后续客户需手动安装Agent，才能开启HSS防护。Linux系统主机支持批量安装，windows系统主机不支持批量安装，建议购买时勾选“开通主机安全基础版”（免费）。本操作指导将详细介绍安装Agent和开启HSS防护的操作方法，供大家参考。2      安装agent2.1  前提条件1）待安装Agent所在的线下主机必须绑定弹性IP2）待安装Agent所在的线上主机需要与网段相通，要求您的服务器安全组出方向的设置允许访问100.125.0.0/16网段的442、443端口3）华为云主机与HSS配额需在同一区域。4）非华为云主机需要能通过公网IP访问华为云，当前仅在“华北-北京一”、“华东-上海二”、“华南-广州”、“华北-北京四”可接入非华为云的主机，请在以上区域内购买防护配额。5）已在本地安装远程管理工具（如：“Xftp”、“SecureFX”、“WinSCP”）。6）请关闭Selinux防火墙，防止Agent安装失败，安装成功后再打开。2.2  Linux版本步骤一：登录管理控制台，在页面左上角选择“区域”，单击，选择“安全 > 企业主机安全”，进入企业主机安全页面。在左侧导航栏中，选择“安装与配置”，进入“安装Agent”界面，复制安装Agent的命令。步骤二：远程登录待安装Agent的主机。·       华为云主机：登录弹性云服务器控制台，在“弹性云服务器”列表中，单击“远程登录”登录主机·       非华为云主机：请使用远程管理工具（例如：“Xftp”、“SecureFX”、“WinSCP”）登录主机，并使用root帐号在主机中安装Agent。 步骤三：粘贴复制的安装命令，并按“Enter”，在主机中安装Agent。             若界面回显信息与如下信息类似，则表示Agent安装成功。2.3  Windows版本步骤一：登录管理控制台，在页面左上角选择“区域”，单击，选择“安全 > 企业主机安全”，进入企业主机安全页面。在左侧导航栏中，选择“安装与配置”，进入“安装Agent”界面，下载Agent安装包。步骤二：远程登录待安装Agent的主机。您可以使用Windows系统的“远程桌面连接”工具，或第三方远程管理工具（例如：“pcAnywhere”、“UltraVNC”）登录主机，并使用管理员帐号在主机中安装Agent。     步骤三：在云服务器中，双击进入本地磁盘，将agent安装包复制到Windows云服务器。使用管理员权限运行Agent安装程序。华为云主机：请选择“华为云主机”。非华为云主机：请选择“其他云主机”。请从安装Agent界面复制组织ID3      服务版本差异3.1      版本差异说明                                                3.2      版本推荐说明用于测试、个人用户防护主机账户安全，推荐使用基础版。对需要满足等保合规基本要求（例如：病毒木马查杀、漏洞一键修复、入侵检测）的主机，推荐使用企业版。对主机有高安全要求的用户（例如：应对护网行动、业务重要），推荐使用旗舰版或者网页防篡改版。若预算有限，您可以将“旗舰版”或者“网页防篡改版”部署在关键或者高风险主机上，例如：对外暴露EIP的主机、保存关键资产的应用主机、以及数据库主机等。有网站或者关键系统防篡改需求，以及有应用安全防护需求的主机，在主要部署网站或者应用的主机上，推荐使用网页防篡改版注：企业主机安全四个版本，支持版本间升级：若已购买包周期“基础版”，可以升级为“企业版”、“旗舰版”或者“网页防篡改版”； 若已购买包周期“企业版”，可以升级为“旗舰版”或者“网页防篡改版。 3.3      版本升级步骤一：登录管理控制台，在页面左上角选择“区域”，单击，选择“安全 > 企业主机安全”，进入企业主机安全页面。在左侧导航栏中，选择“主机管理 > 防护配额”，勾选待升级的配额，单击“升级规格”。步骤二：选择升级后的规格，确认需要升级规格的防护配额的“当前区域”、“当前计费模式”、“当前规格”和“升级后规格”无误，在页面右下角，单击“立即购买”， 确认订单无误后，勾选“我已阅读并同意《企业主机安全免责声明》”，单击“去支付”，进入“付款”页面，付款后，完成主机安全配额的升级规格操作。 为全面的保护您的主机，请根据业务需求选择主机安全版本，基础版用户可登陆管理控制台进行版本升级，或选择需要的版本购买，购买链接：https://console.huaweicloud.com/hss/?region=cn-north-4&version=premium#/hss/purchase

          主机不配置主机安全，一旦遭到攻击，将会面临数据被窃取、业务被中断、加密勒索、服务不稳定等风险，及时安装企业主机安全Agent并开启防护，迫在眉睫！          Agent是企业主机安全服务（Host Security Service, HSS）提供的Agent，用于执行检测任务，全量扫描主机；实时监测主机的安全状态，并将收集的主机信息上报给云端防护中心。主机上安装Agent，并开启HSS防护后，即可获得HSS提供的主机防护功能。1      总体原则·         Agent分为Linux版本和Windows版本，您需要根据主机的OS版本，选择对应版本进行安装。·         HSS基础版、企业版、旗舰版、网页防篡改版共同用一个Agent，同一主机只需安装一次。·         在新购买华为云ECS时，勾选“开通主机安全基础版”，HSS会自动为该ECS安装Agent。如未勾选，后续客户需手动安装Agent，才能开启HSS防护。·         Linux系统主机支持批量安装，Windows系统主机不支持批量安装，建议购买时勾选“开通主机安全基础版”（免费）。·         本操作指导将详细介绍安装Agent和开启HSS防护的操作方法，供大家参考。2      安装agent2.1  前提条件1）待安装Agent所在的线下主机必须绑定弹性IP2）待安装Agent所在的线上主机需要与网段相通，要求您的服务器安全组出方向的设置允许访问100.125.0.0/16网段的442、443端口3）华为云主机与HSS配额需在同一区域。4）非华为云主机需要能通过公网IP访问华为云，当前仅在“华北-北京一”、“华东-上海二”、“华南-广州”、“华北-北京四”可接入非华为云的主机，请在以上区域内购买防护配额。5）已在本地安装远程管理工具（如：“Xftp”、“SecureFX”、“WinSCP”）。6）请关闭Selinux防火墙，防止Agent安装失败，安装成功后再打开。2.2  Linux版本步骤一：登录管理控制台，在页面左上角选择“区域”，单击，选择“安全 > 企业主机安全”，进入企业主机安全页面。在左侧导航栏中，选择“安装与配置”，进入“安装Agent”界面，复制安装Agent的命令。步骤二：远程登录待安装Agent的主机。·       华为云主机：登录弹性云服务器控制台，在“弹性云服务器”列表中，单击“远程登录”登录主机·       非华为云主机：请使用远程管理工具（例如：“Xftp”、“SecureFX”、“WinSCP”）登录主机，并使用root帐号在主机中安装Agent。 步骤三：粘贴复制的安装命令，并按“Enter”，在主机中安装Agent。     若界面回显信息与如下信息类似，则表示Agent安装成功。2.3  Windows版本步骤一：登录管理控制台，在页面左上角选择“区域”，单击，选择“安全 > 企业主机安全”，进入企业主机安全页面。在左侧导航栏中，选择“安装与配置”，进入“安装Agent”界面，下载Agent安装包。步骤二：远程登录待安装Agent的主机。您可以使用Windows系统的“远程桌面连接”工具，或第三方远程管理工具（例如：“pcAnywhere”、“UltraVNC”）登录主机，并使用管理员帐号在主机中安装Agent。     步骤三：在云服务器中，双击进入本地磁盘，将agent安装包复制到Windows云服务器。使用管理员权限运行Agent安装程序。华为云主机：请选择“华为云主机”。非华为云主机：请选择“其他云主机”。请从安装Agent界面复制组织ID3      开启防护3.1      基础版、企业版、旗舰版步骤一：登录管理控制台，在页面左上角选择“区域”，单击 ，选择“安全 > 企业主机安全”，进入企业主机安全页面。步骤二：进入“主机管理”，找到对应的主机，点击“开启防护”步骤三：选择已购买的防护配额，或选择“按需计费”-“基础版”开通免费基础版。3.2   网页防篡改版步骤一：登录管理控制台，在页面左上角选择“区域”，单击 ，选择“安全 > 企业主机安全”，进入企业主机安全页面。  步骤二：进入“网页防篡改”界面，单击“开启防护”。步骤三：在“开启防护”对话框中，为指定的主机分配“防护配额”，单击“确定”，开启防护。