关键词：华为云 态势感知 基线检查 全面体检 上云合规摘要：华为云态势感知（Situation Awareness，SA）是华为云安全管理与态势分析平台，能够检测出超过20大类的云上安全风险，利用大数据分析技术，为用户呈现出全局安全攻击态势。随着企业上云进程的加快，由于云服务配置不合理、不合规等引发的安全风险与日俱增。如果没有加以重视并做及时的诊断处置，将会对企业云上业务带来巨大的安全隐患。近期，华为云SA的云服务基线检查功能全面升级。它支持检测云服务（如IAM、OBS、ELB等）的身份认证、访问控制、日志审计等安全配置，可对云服务进行全面“体检”，第一时间了解云服务风险配置的所在范围和风险数目，并提供检测结果，针对存在的风险配置给出加固建议和帮助指导。帮助用户提前排除安全风险，保障云上业务的安全。Tips：云服务基线检查是指对云服务关键配置项进行检测，通过执行扫描任务，检查基线配置的风险状态，对存在安全隐患的配置进行处置。如同人体必要的健康检查一般，云服务基线检查是企业上云的关键环节。那么，如何判断云服务配置是否合规？怎样处理不合理配置？怎么开启云上风险全面“体检”呢？接下来，就跟随小课的脚步，三步教您通过华为云基线检查发现云服务风险配置项，对检查结果做响应处置，轻松满足安全合规~~~温馨提示：使用SA前，您需要购买SA戳这里步骤一：设置检查计划默认检查计划是每隔3天检查一次，每次在00:00~06:00进行检查。如果不使用默认计划，可以根据业务需求进行设置。1. 在基线检查页面，单击页面右上角的“设置检查计划”，进入检查计划设置页面。2. 单击“创建计划”，系统右侧弹出新建检查计划页面。3. 在弹出的新建检查计划页面，配置检查计划并单击“确定”。   SA会在指定的时间执行云服务基线扫描，扫描结果可以在“基线检查”中查看。----结束步骤二：执行检查计划检查计划设置后，系统将根据指定检查时间进行检测。同时，还支持立即执行检查计划。立即检查所有检查规范SA可根据您设置的检查规范，立即执行已配置的检查规范。提醒：“立即检查”任务在10分钟内仅能执行一次。在基线检查页面，单击页面右上角“立即检查”。     2.刷新页面，查看“最近检查时间”，即可确认是否为最新的扫描结果。立即执行某个检查计划SA可立即手动执行您设置的某个检查计划。配置后，系统将立即执行已选择的基线检查计划。提醒：手动立即执行“定期自动检查计划”在10分钟内仅能执行一次。在左侧导航栏选择“设置 > 检测设置”，进入检测设置页面。在待执行立即手动检查的检查计划所在栏的上方单击“立即检查”。系统将立即执行已选择的基线检查计划。步骤三：查看检查结果检查计划执行后，稍等片刻，即可在基线检查页面查看当前区域检测到的基线检查结果汇总数据。表1 检查结果总览参数名称参数说明检查规范数最近一次执行基线检查的检查规范数/检查规范总数。检查项最近一次执行基线检查中所有的检查项数目。检查项合格率最近一次执行基线检查的基线合格率。整体合格率=合格检查项数量/检查项总数。合格率的统计范围为全部规范的全部检查项目。检查项结果分为合格、不合格、检查失败和待检查几种。当检查为不合格和检查失败时，可在•查看“检查规范”详情、•查看“检查资源”详情、或•查看“检查结果”详情中查看具体情况以及处理方法。风险资源分布最近一次执行基线检查的风险资源分布情况以及风险资源的数量。风险等级分为：致命、高危、中危、低危、提示几个级别。可在•查看“检查规范”详情、•查看“检查资源”详情、或•查看“检查结果”详情中查看具体情况以及处理方法。 查看“检查规范”详情在基线检查页面，默认进入“检查规范”列表页面。检查规范页面会展示所有基线检查规范，包括检查项、检查状态、风险资源、描述，以及最近检查时间等信息。单击“查看详情”，可以跳转至对应检查项的详情页面。基线检查提供风险项检查的详情查询能力，对某个的检查项执行了检查动作后，检查状态、时间、风险等级、描述、检查过程一目了然，并且支持查看这一检查项所覆盖的资源名称、类型，检查结果等。云服务基线检查的全貌信息和细节展现都一览无余。查看“检查资源”详情在基线检查页面，选择“检查资源”页签。检查资源以列表形式聚合呈现所有的风险资源结果，并按照风险等级做降级排序，高优展示风险数目多，风险等级高的云上资源，便于您查看详情，根据指导建议做及时的响应处置。单击“查看详情”，可以跳转至对应资源的详情页面。针对某一检查资源，呈现该资源下所有检查项的列表明细，您可以根据聚合后的检查项，全面查看风险检查状态，再做对应的检查或者详情查看操作。查看“检查结果”详情在基线检查页面，选择“检查结果”页签。单击“查看详情”，可以跳转至对应检查项的检查结果详情页面。您可查看该检查项的检查状态、最近检查时间、检查方式、风险等级、检查描述及检查过程，还有相关资料为您提供响应处置的指导建议，还可以查看这一检查项所覆盖的资源名称、资源类型等聚合明细，可针对某一资源再进行对应的检查操作。正视云上配置不合规、不合理导致的“病情”，通过云服务基线检查“安全体检”及时排查隐患，防患于未然，治患于根本，才能轻松满足安全合规，为云上业务保驾护航！更多关于SA的功能，戳这里

关键词：华为云 Web应用防火墙 接入WAF失败 故障排查网站成功接入WAF后，WAF才能检测并过滤网站的恶意攻击流量，确保网站安全、稳定、可用。如果网站接入WAF失败了，即WAF管理控制台上网站“接入状态”为“未接入”，该怎么办呢？不要着急，小课贴心为您奉上WAF接入失败排查宝典，三大步助您快速解决问题，接入WAF不用愁。第一步：刷新网站“接入状态”WAF每隔一小时自动检测防护网站的 “接入状态”。“接入状态”可能刷新不及时，建议您在网站所在行的“接入状态”栏单击，刷新状态。如果“接入状态”为“已接入”，说明网站已成功接入WAF。如果“接入状态”仍为“未接入”，请执行第二步：访问网站，使网站访问次数达到5分钟内20次以上。第二步：访问网站，使网站访问次数达到5分钟内20次以上当WAF统计到网站在5分钟内达到20次访问请求时，才会认定该网站已接入WAF。如果您的网站访问请求次数未达到该统计要求，请执行以下操作步骤：在1分钟内多次访问网站。在网站所在行的“接入状态”栏，单击刷新状态。如果“接入状态”为“已接入”，说明网站已成功接入WAF。如果“接入状态”仍为“未接入”，请执行第三步：检查网站配置是否正确。第三步：检查网站配置是否正确在WAF管理控制台上，查看网站的“部署模式”。根据网站“部署模式”，全面排查网站配置是否正确。云模式图1 云模式排查思路和处理建议可能原因处理建议域名参数配置错误进入“网站设置”界面，单击防护域名名称，在防护域名详情页面，检查域名参数配置是否正确。如果域名配置错误，删除该域名后重新添加。如果服务器配置错误，请单击，修改域名的服务器信息。建议您参照以下步骤，在本地验证域名是否配置正确。进入“网站设置”界面，在目标网站所在行的“接入状态”栏，单击，复制域名的CNAME值。在Windows操作系统中，选择“开始 > 运行”，在弹出框中输入“cmd”，按“Enter”，进入命令提示符窗口。运行ping 步骤1中获取的CNAME值，例如，ping e59e684e2278043ae98a5423aef8ee329.vip.huaweicloudwaf.com，获取WAF的回源IP。用记事本或notepad++等文本编辑器打开hosts文件，hosts文件一般位于“C:\Windows\System32\drivers\etc\”路径下。在hosts文件添加记录：防护域名 域名对应的WAF回源IP。修改hosts文件后保存，在命令提示符窗口中运行ping 防护域名（例如ping www.example.com）。如果回显信息中的IP地址为步骤3中的WAF回源IP地址，说明域名参数配置正确。未配置域名解析或代理回源地址确认接入WAF的网站是否使用DDoS高防、CDN、云加速等代理。是：确保网站的“是否已使用代理”已配置为“是”。将DDoS高防、CDN等代理回源地址修改为WAF的“CNAME”。（可选）在DNS服务商处添加一条WAF的“子域名”和“TXT记录”。否：到该域名的DNS服务商处，配置防护域名的别名解析。域名解析或代理回源地址配置错误请参照以下步骤验证域名的CNAME是否配置成功。在Windows操作系统中，选择“开始 > 运行”，在弹出框中输入“cmd”，按“Enter”，进入命令提示符窗口。执行nslookup命令，查询CNAME。如果回显信息的域名在WAF上的CNAME，则表示配置成功。以域名www.example.com为例。nslookup www.example.com如果CNAME配置失败，请重新修改DNS解析或回源地址。独享模式图1 独享模式排查思路和处理建议可能原因处理建议域名/IP参数配置错误进入“网站设置”界面，单击防护网站名称，在防护网站详情页面，检查域名/IP参数配置是否正确。如果域名/IP配置错误，删除该域名/IP后重新添加。如果服务器配置错误，请单击，修改域名/IP的服务器信息。未配置负载均衡，或负载均衡未配置EIP负载均衡配置错误或负载均衡绑定EIP错误未配置负载均衡，或负载均衡未配置EIP为独享引擎实例配置负载均衡。为弹性负载均衡绑定弹性公网IP。负载均衡配置错误或负载均衡绑定弹性公网IP错误配置负载均衡后，当WAF独享引擎实例的“健康检查结果”为“正常”时，说明弹性负载均衡配置成功。为弹性负载均衡绑定弹性公网IP后，可以查看绑定的弹性公网IP，说明绑定成功。域名/IP未在工信部备案参照备案流程在工信部备案后，再重新添加防护网站。更多关于WAF问题解决方法，戳这里进行了解吧~~安全无小事，时刻需警惕。2021，华为云普惠云安全，为您的网站、主机、数据提供免费云体检，还有一站式过等保贴心指导，赶紧戳这里，了解详情吧！

关键词：华为云 数据安全中心 数据水印 版权保护 追踪溯源数据水印是将特定的信息嵌入到数据载体（数据库、图片、文档等）中，在数据的使用过程中，嵌入的信息会随着数据一并被拷贝，但不影响数据的正常使用，且水印内容不容易被修改。例如，给图片打上特定水印，音频加入隐藏音段，就能确定作品创造者。数据水印有什么作用呢？数据水印广泛适用于政府部门、医疗、金融、科研等单位机构。一般用于版权保护、追踪溯源。数据版权保护：数字作品被下载或者复制使用，数据库业务（数据挖掘分析）需要提供数据给第三方，发生纠纷时可以通过数据水印明确版权所属。使用过程可追踪溯源：数据给内部员工或第三方使用时，打上使用者信息水印，可识别使用者身份，提醒使用者要注意安全规范。当发生数据泄露事件时，可追踪泄露源头，挖掘泄露原因。那么，如何为数据嵌入水印信息，防止数据被盗用呢？华为云DSC服务为您提供了数据水印能力，助您轻松保障数据安全！华为云DSC数据水印具备以下优势特点：支持明暗双重水印：可根据需要对数据打上视觉上看得见的明水印或看不见的暗水印，都不影响使用效果，有效应对图像处理工具或者拍照截图等绕过方式窃取数据。支持嵌入/提取水印的文件类型具体的文件格式文档PDF、PPT、Word、Excel图片*.jpg、 *.jpeg、 *.jpe、*.png、*.bmp、*.dib、 *.rle、*.tiff、*.tif、*.ppm、*.webp、*.tga、*.tpic、*.gif数据库所有的数据库类型都支持。可检测性强，不易被篡改：数据打上水印能够被检测且不会因为数据的改动而导致丢失、伪造或篡改。高鲁棒性：水印在传输或使用过程中不易被磨灭掉，数据载体即使经过被改动或受到攻击损坏后，依然有很大概率提取出水印。DSC控制台仅支持对PDF、PPT、Word、Excel格式的文档嵌入和提取水印，图片和数据库水印仅能使用API调用方式，具体的请参考嵌入图片水印和嵌入数据库水印。跟随小课的脚步，一起学习如何通过华为云DSC嵌入和提取文档水印吧~~嵌入水印购买数据安全中心服务后，进入DSC管理控制台。在左侧导航树中选择“数据水印”，进入“水印注入”页面。选择文件，即上传需要嵌入水印的文件。若需要嵌入的文件保存在华为云OBS桶，请单击“云上文件”，选择桶名称和需要嵌入水印的文件名称，单击“确定”。图1 选择云上文件若需要嵌入的文件保存在本地，请单击“本地文件”，将本地需要嵌入水印的文件上传到DSC平台。文件上传成功后，配置水印类型和水印内容，明水印效果预览如下图所示。参数配置完后，单击“确定”，嵌入水印的文件会自动下载到您指定的路径下。如果您嵌入的是明水印，可在本地打开水印文件查看效果。如果您嵌入的是暗水印，水印内容不可见，可参考以下步骤提取暗水印内容。提取水印在“数据水印”页面，选择“水印提取”页签。选择文件，即上传需要提取水印的文件。若需要提取水印的文件保存在华为云OBS桶，请单击“云上文件”，选择桶名称和需要提取水印的文件名称，单击“确定”。若需要提取水印的文件保存在本地，请单击“本地文件”，将本地需要提取水印的文件上传到DSC平台。文件上传后，单击“确定”，水印内容将展示在弹框中。更多关于DSC的功能，戳这里进行了解吧~~

关键词：华为云 数据安全中心 敏感数据 识别 数据脱敏敏感数据是指泄漏后可能会给社会或个人带来严重危害的数据。对个人而言，身份证号码、家庭住址、工作单位、银行卡号等隐私信息都是敏感数据；对企业或组织而言，客户资料、财务信息、技术资料、重大决策等公司核心信息都是敏感数据。静态脱敏：您可以按照脱敏规则一次性完成大批量数据的变形转换处理，静态脱敏通常用在将生产环境中的敏感数据交付至开发、测试或者外发环境的情况使用，适用于开发测试、数据分享、数据研究等场景。您可以通过DSC控制台创建脱敏任务，快速实现对数据库和大数据的脱敏。动态脱敏：DSC提供动态脱敏API，支持用户对外部申请访问的数据实时脱敏。动态脱敏通常会在数据对外提供查询服务的场景中使用，适用于生产应用、数据交换、运维应用、精准营销等场景。具体操作方法请参考数据动态脱敏。那么，如何为敏感数据穿上"防护衣"，有效保护敏感数据呢？DSC助您轻松实现数据的动静脱敏，全方位确保敏感信息不被泄露。跟随小课的脚步，两步教您通过华为云DSC实现敏感数据识别与脱敏~~DSC预置了100+条敏感数据识别和脱敏规则，可对个人敏感信息（身份证、银行卡、姓名、手机号、邮箱等）、企业敏感信息（营业执照号码、税务登录证号码等）、密钥敏感信息（PEM证书、HEY私钥等）、设备敏感信息（IP地址、MAC地址、IPV6地址等）、位置敏感信息（省份、城市、GPS位置、地址等）和通用敏感信息（日期）等敏感信息进行识别和脱敏，具体的脱敏算法及使用场景请参考脱敏算法。示例：假设“rsd-dsc-test”数据库中“dsc_yunxiaoke”表中存储了如下银行员工的信息表：现需对该表进行敏感数据识别并完成脱敏，可选择预置的“银行金融领域模板”的识别规则组，识别出敏感数据并生成识别结果数据报告，再对识别出的敏感数据采用“Hash脱敏”中的SHA256算法进行脱敏处理。第一步：识别敏感数据步骤 1 购买数据安全中心服务后，进入DSC管理控制台。步骤 2 在左侧导航树中，选择“敏感数据识别 > 识别任务”，进入“识别任务”页面。步骤 3 单击“新建任务”，在弹出的“新建任务”对话框中，配置任务基本信息。步骤 4 单击“确定”，返回敏感数据任务列表。步骤 5 任务状态为“识别完成”后，在该任务的操作列，单击“识别结果”，查看数据识别结果。由上图可见，Birthday和Email列被识别为敏感数据风险。步骤 6 单击风险字段，查看风险详情。参考“第二步：数据脱敏”对数据库“rds-dsc-test”中的表“dsc_yunxiaoke”的Birthday和Email列进行脱敏。----结束第二步：数据脱敏DSC支持创建数据库脱敏任务和ES脱敏任务，脱敏方法类似，本节以创建数据库静态脱敏任务为例进行演示，如需了解ES脱敏的相关方法，请参见创建ES脱敏任务。步骤 1 在左侧导航树中，选择“数据脱敏”，进入“数据脱敏 > 数据库脱敏”页面。步骤 2 将“数据库脱敏”设置为，开启数据库脱敏。步骤 3 单击“新建任务”，进行“数据源配置”。如果您想脱敏后生成一张完整的表，此处勾选所有数据类型。 步骤 4 单击“下一步”，进行“脱敏算法配置”。步骤 5 单击“下一步”，进入“脱敏周期”页面，配置脱敏周期。 步骤 6 单击“下一步”，进行“数据目标配置”，配置脱敏后生成的表的存放位置。  步骤 7 单击“完成”，返回到数据库脱敏任务列表，单击，启用脱敏任务，并在任务所在行的“操作”列，单击“立即运行”，执行脱敏任务。当“状态”为“已完成”时，表示脱敏成功。----结束效果验证： 更多关于DSC的功能，戳这里进行了解吧~~。安全无小事，时刻需警惕。2021，华为云普惠云安全，为您的网站、主机、数据提供免费云体检，还有一站式过等保贴心指导，赶紧戳这里，了解详情吧!

关键词：华为云 数据安全中心 数据 全生命周期 可视化管理随着信息技术日新月异，科学技术磅礴发展，数据已经具有和水、电等日常所需物资同等重要的战略地位，是企业的核心资产和赖以生存的命脉。2020年3月，国标GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》明确指出数据安全的管理需要基于以数据为中心的管理思路，从组织机构业务范围内的数据生命周期的角度出发，结合组织机构各类数据业务发展后所体现出来的安全需求，开展数据安全保障。随着国家大数据战略的不断推动和深化，做好数据安全治理势在必行，同时也存在一些挑战。挑战一：我们很难在繁多的数据安全能力中去构建适合自己的安全体系，业界也缺乏具有建设指导意义的数据安全产品。挑战二：云上的数据安全能力一直是分散在各个服务之中，例如VPN、安全组、SSL证书以及诸如ECS、RDS、OBS等集成的加密能力，导致数据安全能力不集中。因此，数据安全中心致力于汇总分散的数据安全能力，从租户角度出发提供统一视角，构建数据安全全生命周期，实现数据的统一管理。跟随小课的脚步，一起学习如何通过DSC服务实现数据的全方位管理吧~~添加资产到DSC，实现数据全生命周期管理使用DSC前，您需要购买DSC，戳这里~~步骤 1 购买数据安全中心后，进入DSC管理控制台。步骤 2 完成云资产委托授权。在左侧导航树中选择“资产列表”，单击页面右上角的“云资产委托授权”。授权访问“OBS”、“数据库”、“大数据”、“数据安全总览”。步骤 3 添加资产。在OBS资产列表右上角，单击“批量添加”，添加OBS、数据库和大数据资产。步骤 4 在左侧导航树中选择“数据安全总览”，进入数据安全总览页面，监控数据全生命周期各个阶段的实时状态。   ----结束更多关于DSC的功能，戳这里，进行了解吧~~。安全无小事，时刻需警惕。2021，华为云普惠云安全，为您的网站、主机、数据提供免费云体检，还有一站式过等保贴心指导，赶紧戳这里，了解详情吧!

关键词：华为云 SSL证书 推送证书为了数据传输的安全，WAF/CDN/ELB服务在以下场景需要使用证书：当您接入防护域名至WAF时，若客户端与WAF之间的通信采用HTTPS协议，则需要配置证书，实现客户端与服务器之间的加密传输。当您需要实现网站数据HTTPS安全加速，则需要通过配置加速域名的HTTPS证书，并将其部署在全网CDN节点，实现HTTPS安全加速。当您需要支持HTTPS数据传输加密认证，通过ELB服务创建HTTPS协议监听的时候需绑定证书， 用于SSL握手协商。问题来了，如何在华为云WAF/CDN/ELB服务中轻松配置证书呢？别着急，华为云SSL证书管理来帮您忙，戳这里，申购SSL证书吧~~申请证书时，“证书请求文件”选择“系统生成CSR”，否则将导致不能推送。自有证书上传至SCM平台进行管理后，也支持一键推送到华为云ELB、WAF、CDN服务哟。获得已签发的SSL证书后，不妨跟随小课的脚步，一起学习如何将证书一键推送到华为云ELB、WAF、CDN服务吧。以推送证书到WAF为例推送证书到云产品步骤 1    开启SSL证书管理服务后，进入SCM管理控制台。步骤 2    在需要推送的证书所在行的“操作”列，单击“推送”。步骤 3    选择证书需要推送至云产品的产品名称及推送的区域，并在页面右下角单击"推送"。步骤 4    确认是否需要立即前往目标服务进行证书配置操作。是，单击“立即前往配置”。系统将进入目标服务管理页面，进行证书配置操作。否，单击“继续推送”。系统将回到证书推送页面或SSL证书管理界面。推送成功后，证书会显示在WAF/CDN/ELB证书的下拉框中，需要时可直接选择。----结束验证证书是否推送成功步骤 1    进入WAF管理控制台。步骤 2    在左侧导航栏中，选择“证书管理”，查看已推送的证书。步骤 3    在推送证书所在行的“操作”列，单击“查看”，查看证书的详细信息。----结束您也可以将已签发的证书部署到服务器上使用，戳这里，进行了解吧~~更多关于SCM的功能，请前往华为云SSL证书管理服务进行了解。

勒索病毒，是伴随数字货币兴起的一种新型病毒木马，通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。一旦遭受勒索病毒攻击，将会使绝大多数的关键文件被加密。被加密的关键文件均无法通过技术手段解密，用户将无法读取原本正常的文件，仅能通过向黑客缴纳高昂的赎金，换取对应的解密私钥才能将被加密的文件无损的还原。黑客通常要求通过数字货币支付赎金，一般无法溯源。如果企业的关键文件被加密，业务将受到严重影响；黑客索要高额赎金，也会带来直接的经济损失，因此，遭遇勒索病毒入侵危害巨大。面对勒索病毒的威胁，怎么才能克敌制胜？——选择华为云HSS无论黑客发起多么复杂的勒索病毒攻击，在网络中经历多少环节，采用多少高级技术，都是通过攻击某一个或多个主机完成的。因此，应对勒索病毒离不开对主机的安全防护。华为云HSS作为主机防护领域的领跑者，深耕主机安全管理，全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，全面保障您的主机不被勒索病毒侵害。云小课为您指引，如何使用HSS防勒索病毒？防勒索病毒是一个长期而持久的过程，华为云HSS事前（安全加固）、事中（主动防御）、事后（备份恢复）三部曲，为您抵挡勒索病毒入侵，营造主机资产安全运行环境。使用HSS前，您需要购买HSS防护配额，并开启主机防护；如果需要使用云服务器备份服务恢复数据，请在事前对服务器进行定时备份。事前：安全加固——强基固本，拦截入侵配置安全基线HSS每日凌晨自动检测系统中关键软件的配置风险并给出详细的加固方法。您可以根据给出的加固建议，正确处理主机内的各种风险配置信息。风险等级分为“高危”、“中危”和“低危”；建议您优先修复“威胁等级”为“高危”的关键配置，根据业务实际情况修复威胁等级为“中危”或“低危”的关键配置，忽略可信任的配置项；HSS支持检测的软件类型：Tomcat、SSH、Nginx、Redis、Apache 2、MySQL 5。步骤 1      进入“基线检查”页面，选择“配置检测”页签，查看配置检测详情，例如：SSH采用了不安全的加密算法。 步骤 2      进入配置风险详情页面，单击“检测详情”，您可以根据“审计描述”验证检测结果，根据“修改建议”处理主机中的异常信息，从而加固配置基线。步骤 3      完成配置项的修复后，建议您立即执行手动检测，查看配置项修复结果。如果您未进行手动验证，HSS会在次日凌晨执行自动验证。自动验证完成后，您可查看配置项修复结果。----结束加固弱密码HSS每日凌晨自动检测主机中使用的经典弱口令和您添加的自定义弱口令。您可以根据检测出的弱口令对应的弹性云服务器名称、账号名、账号类型和弱口令使用时长，加固弱密码。HSS支持检测MySQL、FTP及系统账号的弱口令。步骤 1      选择“安全 > 企业主机安全”，进入“基线检查”页面，加固弱密码。 步骤 2      进入“策略管理”页面，配置指定策略组的“弱口令检测”，添加自定义弱口令。步骤 3      完成弱密码加固后，建议您立即执行手动检测，查看弱密码加固结果。如果您未进行手动验证，HSS会在次日凌晨执行自动验证。自动验证完成后，您可查看弱密码加固结果。步骤 4      进入“告警通知”页面，勾选“弱口令”，一旦检测出弱口令，您将会收到告警通知。----结束修复漏洞HSS每日凌晨自动进行一次全面的检测，“漏洞管理”通过订阅官方更新，判断服务器上的补丁是否已经更新，并推送官方补丁，将结果上报至管理控制台，并为您提供漏洞告警。帮助您及时发现漏洞，并在不影响业务的情况下修复漏洞、更新补丁。漏洞修复紧急程度分为“需尽快修复”、“可延后修复”和“暂可不修复”；建议您优先修复“需尽快修复”的漏洞，根据业务实际情况修复“可延后修复”或“暂可不修复”的漏洞，忽略无需修复的漏洞。步骤 1      选择“安全 > 企业主机安全”，进入“漏洞管理”页面。步骤 2      选择“Linux软件漏洞管理”、“Windows系统漏洞管理”或者“Web-CMS漏洞管理”，一键漏洞修复或者根据“修复建议”进行手动修复漏洞。步骤 3      修复漏洞后，您可以单击“验证”，一键验证该漏洞是否已修复成功。若您未进行手动验证，主机防护每日凌晨进行全量检测，您修复后需要等到次日凌晨检测后才能查看修复结果。步骤 4      进入“安装与配置 > 告警通知”页面，勾选“紧急漏洞”，HSS一旦检测出紧急漏洞（需尽快修复），您将会收到告警通知。----结束事中：主动防御——全面防御，无惧勒索手段一：病毒云查杀+使用智能学习策略防御勒索病毒（旗舰版）病毒云查杀HSS提供隔离查杀功能，将已感染主机迅速采取隔离措施防止病毒扩散蔓延。步骤 1      选择“安全 > 企业主机安全”，进入“事件管理”页面，查看并处理“恶意程序（云查杀）”告警事件。步骤 2      选择“隔离查杀”，一键查杀勒索病毒。选择隔离查杀后，该程序无法执行“读/写”操作，同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱，被隔离的文件不会对主机造成威胁。步骤 3      选择“安装与配置 > 告警通知”页面，勾选“恶意程序”实时告警通知，一旦检测出恶意程序，您将会收到告警通知。----结束使用智能学习策略防御勒索病毒HSS可有效监控您云主机上的勒索软件及进程的加密行为，并进行及时的阻断和查杀，对资产进行全面防护，有效保护您的文档和内容的安全，保障您的主机不被勒索病毒侵害。仅支持防御Windows系统勒索病毒。创建智能学习策略步骤 1      选择“安全 > 企业主机安全”，进入“勒索病毒防护”页面，选择“策略管理”，创建智能学习策略。步骤 2      配置智能学习策略“基本信息”。步骤 3      单击“添加服务器”，在弹出的“添加关联服务器”的窗口中，选择关联服务器。步骤 4      完成关联服务器添加后，单击“创建并学习”，自动对关联服务器进行智能学习，收集该策略下的所有服务器的正常进程行为数据，完成可信程序的判定。智能学习策略学习完成后，HSS将监控设置的“监控文件路径”，若发现非策略中的进程行为或者非可信程序的修改行为，及时触发告警。----结束处理告警事件 步骤 1      进入“勒索病毒防护”页面，在“事件管理”列表中，您可查看并处理告警事件。步骤 2      在弹出的处理事件窗口中，标记“可信”或者“不可信”。步骤 3      您可以对非策略中的进程行为，或者“不可信”的进程行为进行手动阻断，并隔离查杀。防止非策略中的进程行为，或者不可信的进程对文件的加密操作。----结束手段二：锁定文件防篡改（网页防篡改版）HSS可锁定驱动级文件目录、Web文件目录下的文件，禁止攻击者修改锁定的文件目录下的文件。若HSS检测到锁定目录下的文件被篡改，将立即使用本地主机备份文件自动恢复被非法篡改的文件。若本地主机上的文件目录和备份目录失效，可通过远端备份服务恢复被篡改的文件。若需要使用HSS锁定文件目录及备份，请开启网页防篡改防护。步骤 1      选择“安全 > 企业主机安全”，进入“网页防篡改 > 防护列表”页面，单击“防护设置”，进入防护设置页面。步骤 2      在“防护设置”页面，添加防护目录，并将文件进行本地备份。步骤 3      启动远端备份。HSS默认会将防护目录下的文件备份在“添加防护目录”时添加的本地备份路径下，为防止备份在本地的文件被攻击者破坏，请您启用远端备份功能。1.         进入“网页防篡改 > 安装与配置”页面，在“远端备份服务器”页面，添加远端备份服务器。2.         进入“网页防篡改 > 防护列表”，单击“防护设置”，进入防护设置页面，为防护目录启动远端备份。----结束事后：备份恢复——文件恢复，万无一失结合云服务器备份服务，当云服务器被勒索病毒侵害，存储在云服务器中的文件、数据丢失或者无法正常打开时，您可以通过重装服务器系统，并通过云服务器备份的数据恢复云服务器。步骤 1      选择“计算 > 弹性云服务器”，在待重装操作系统的弹性云服务器的操作列下，单击“更多 > 镜像/磁盘 > 重装操作系统”。 步骤 2      选择“存储 > 云服务器备份”，找到服务器所对应的备份，单击服务器所在行的“恢复”。恢复成功后，被勒索病毒攻击的文件可正常打开。----结束HSS除了勒索病毒防护，还有账户防暴力破解、网页防篡改、APT攻击检测等功能，赶紧戳这里，了解详情吧~~安全无小事，时刻需警惕。2020，华为云普惠云安全，为您的网站、主机、数据提供免费云体检，还有一站式过等保贴心指导，赶紧戳这里，了解详情吧!

什么是“暴力破解”？暴力破解也可称为穷举法、枚举法，是一种比较流行的密码破译方法，攻击者通过系统地组合密码的所有可能性，尝试所有的可能性破解用户的密码信息，直到找出正确的密码为止。攻击者一旦成功登录主机，便可获得主机的控制权限，进而窃取用户数据、勒索加密、植入挖矿程序，DDoS木马攻击等恶意操作，严重危害主机的安全。如何防“暴力破解”？对于企业来说，暴力破解的防护措施只采用中规中矩且被动的安全防卫规则，通过规则判断是否属于暴力破解行为，无法从根本上解决账户暴力破解难题。对此，万众瞩目的华为云带着企业主机安全来了，为您主动出击，加固安全堡垒，防止账户暴力破解！HSS主动检测出主机中使用经典弱口令，提醒用户及时修改使用弱口令的账号，并加强口令复杂度，做到对账户破解的事前预防。同时，采用先进的快慢速暴力破解检测算法和全网情报，通过源IP＋持续登录行为＋连续尝试登录次数，判断源IP登录是否属于暴力破解行为，有效阻止账户暴力破解的攻击。此外，HSS还结合独家的双因子认证功能，对服务器登录进行二次身份认证，进一步加强账户安全；黑白名单控制IP登录，只允许白名单内的IP通过SSH登录到主机，拒绝白名单以外的IP登录主机。防爆破力度从弱到强，主动检测账户弱口令、主动拦截账户暴力破解行为、登录服务器二次身份认证、黑白名单控制IP登录，四管齐下，从此，面对账户暴力破解，不怕不怕啦！！跟着小课get华为云HSS如何防暴力破解吧~~使用HSS前，您需要购买HSS防护配额，并开启主机防护。第一重防护：主动检测账户弱口令弱口令/密码不归属于某一类漏洞，但其带来的安全隐患却不亚于任何一类漏洞。数据、程序都存储在系统中，若密码被破解，系统中的数据和程序将毫无安全可言。步骤 1      开启主机防护后，HSS每日凌晨自动检测主机中使用的经典弱口令。步骤 2      进入“策略管理”页面，配置指定策略组的“弱口令检测”，添加自定义弱口令。步骤 3      进入“告警通知”页面，勾选“弱口令”，一旦检测出弱口令，您将会收到告警通知。----结束第二重防护：主动拦截暴力破解行为HSS检测SSH、RDP、FTP、SQL Server、MySQL等账户遭受的口令破解攻击。如果30秒内，账户暴力破解次数达到5次及以上，HSS就会拦截该源IP 24小时，禁止其再次登录，防止主机因账户破解被入侵。根据账户暴力破解告警详情，例如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。步骤 1      进入“账户暴力破解”页面，可查看已防护的服务器上的暴力破解拦截记录。步骤 2      进入“告警通知”页面，勾选“账户破解防护”，一旦检测出账户暴力破解，您将会收到告警通知。----结束第三重防护：登录服务器二次身份认证双因子认证功能是一种双因素身份验证机制，结合短信/邮箱验证码，对云服务器登录行为进行二次身份认证。Linux主机需要使用“密码”登录方式；开启双因子认证需要关闭Selinux防火墙；在Windows主机上，双因子认证功能可能会和“网防G01”软件、服务器版360安全卫士存在冲突，建议停止“网防G01”软件和服务器版360安全卫士；在Linux主机上，开启双因子认证后，不能通过云堡垒机登录主机。在“双因子认证”页面，勾选需要开启双因子的主机，单击“开启双因子认证”，开启双因子认证。第四重防护：黑白名单控制IP登录开启SSH登录IP白名单功能，只允许白名单内的IP通过SSH登录到主机，拒绝白名单以外的IP。该功能仅针对Linux主机，Windows主机不能开启SSH登录IP白名单功能。在“SSH登录IP白名单”页面，单击“添加白名单IP”。HSS除了账户防暴力破解，还有勒索病毒防御、网页防篡改、APT攻击检测等功能，赶紧戳这里，了解详情吧~~安全无小事，时刻需警惕。2020，华为云普惠云安全，为您的网站、主机、数据提供免费云体检，还有一站式过等保贴心指导，赶紧戳这里，了解详情吧！

华为云SSL证书管理（SSL Certificate Manager，SCM）是华为联合全球知名数字证书服务机构，为您提供一站式证书的全生命周期管理，实现网站的可信身份认证与安全数据传输。进入选购SSL证书界面：1.登录管理控制台。2.单击页面上方的“服务列表”，选择“安全 > SSL证书管理”，进入SSL证书管理界面。3.在SSL证书管理界面右上角，单击“购买证书”。4. 在“购买证书”页面，选购证书。购买证书的过程中，您是否有这样的困惑：应该选择哪种证书类型，哪种类型才适合？哪家品牌的证书更靠谱呢？选择1张多域名证书好呢，还是选多张单域名证书好呢？......遇到这些情况，不妨跟随小课的脚步，一起学习如何选择适合的SSL证书。戳这里，了解更多如何选择SSL证书详细内容。证书类型华为云SSL证书管理服务提供有OV、OV Pro、EV、EV Pro、DV类型的证书。不同类型的SSL证书在浏览器显示效果、安全等级、信任等级等方面的区别如下：表1-1 证书类型 如果您的网站主体是个人（即没有企业营业执照），只能申请DV型数字证书。对于一般企业，建议购买OV及以上（OV Pro、EV、EV Pro）类型的数字证书。对于金融、支付类企业，建议购买EV型证书。 移动端网站或接口调用，建议您使用OV及以上（OV Pro、EV、EV Pro）类型的证书。证书品牌当前支持的品牌包括“DigiCert”、“GlobalSign”、“GeoTrust”。DigiCert：全球著名的数字证书提供商，服务范围超过150多个国家，拥有超过10万客户。GlobalSign：一家声誉卓著，备受信赖的CA中心和SSL数字证书提供商，并在全球拥有众多合作伙伴。GeoTrust：全球著名的数字证书提供商，服务范围超过150多个国家，拥有超过10万客户。公司服务于各大中小型企业，一直致力于用最低的价格来为客户提供最好的服务。不同证书品牌资质都很值得信赖，均可放心选购。另外，不同品牌提供的证书类型不同，例如GlobalSign目前提供企业型OV、增强型EV类型的证书。域名类型了解SCM提供的域名类型购买证书时，SCM中提供的“域名类型”有“单域名”、“多域名”和“泛域名”3种类型。它们的具体区别如下：表1-2 SCM提供的域名类型购买泛域名证书，需要注意泛域名证书匹配域名的规则。只能匹配同级别的子域名，不能跨级匹配，匹配示例如下：示例1：示例2：选择合适的域名类型根据您需要绑定证书的域名个数及域名是同级或跨级进行选择。场景一：如果仅一个域名需要绑定在1张SSL证书中，则选择单域名。示例：只有一个域名需要绑定在1张SSL证书中，则选择“单域名”。场景二：如果有多个域名需要绑定在SSL证书中，请根据以下情况进行选择：1.多个域名，各域名均不在同一级别中，且需要绑定在1张SSL证书中，选择多域名。示例：有3个域名，不在同一级别中，且需要绑定在1张SSL证书中，则选择“多域名”。2.多个域名，各域名均在同一级别中，且需要绑定在1张SSL证书中，则选择泛域名。“域名数量”根据需要绑定的域名数量而定，域名数量的多少会直接影响到证书费用。示例：有4个域名，在同一级别中，且需要绑定在1张SSL证书中，则选择“泛域名”。3.N个域名，有些域名在同一级别中，有些域名不在同一级别中方式一：购买N张单域名证书。方式二：同一级别的，购买1张泛域名证书，其他不同级别的，购买1张多域名证书。方式三：购买1张多域名证书，“域名数量”为N。示例：有5个域名（a.domain.com、b.domain.com、c.domain.com、d.huawei.com、e.huaweicloud.com），需要绑定在SSL证书中在证书品牌、证书类型、有效期相同的情况下，有如下购买方式，请结合优劣势以及价格进行综合考虑，选择合适的类型： 表1-3 购买方式有效期和购买量有效期：证书的有效期，最多支持购买2年。证书有效期从签发日开始计算。证书购买后，无法延长有效期，且证书到期后需要重新购买并部署，请根据使用情况合理规划。有效期长短不同，优惠力度可能会有差异，请关注哦~~购买量：购买的证书个数。请结合域名类型，综合考虑购买的证书张数。 证书购买完了以后，如果需要使用证书去绑定域名，达到HTTPS的效果，还需要进行“申请证书”、“域名验证”、“组织验证”等操作，赶紧戳这里了解详情吧~~安全无小事，时刻需警惕。2020，华为云普惠云安全，为您的网站、主机、数据提供免费云体检，还有一站式过等保贴心指导，赶紧戳这里，了解详情吧！

【摘要】 WAF可以从识别User-Agent、检查浏览器合法性和限制访问频率三个方面进行网站爬虫防护，帮您精准识别爬虫行为，有效阻止爬虫攻击。关键词：网络蜘蛛 华为云 应用防火墙 网站反爬虫 CC攻击防护网络爬虫（Web Crawler），又称网络蜘蛛（Web Spider）或网络机器人（Web Robot），是一种按照一定的规则，自动获取网页内容并可以按照指定规则提取相应内容的程序或脚本，已被广泛应用于互联网搜索领域。网络爬虫为网络信息收集与查询提供了极大的便利，但同时也对网络安全产生以下负面影响：网络爬虫会根据特定策略尽可能多的“爬过”网站中的高价值信息，占用服务器带宽，增加服务器的负载。恶意用户利用网络爬虫对Web服务发动DoS攻击，可能使Web服务资源耗尽而不能提供正常服务。恶意用户利用网络爬虫抓取各种敏感信息，造成网站的核心数据被窃取，损害企业经济利益。如果您的网站正在遭受爬虫侵扰，千万不要忍耐，是时候和爬虫来一场大战了。华为云Web应用防火墙（Web Application Firewall，WAF）通过对HTTP(S)请求进行检测，可以识别并阻断恶意爬虫扫描，让您的Web服务免受爬虫攻击，保护您的Web服务安全。只要您有域名，不管您的业务部署在云上还是云下，WAF都可以为您的业务保驾护航。温馨提示：使用WAF前，您需要购买WAF戳这里，并将您的防护域名接入WAF戳这里。反爬虫是一个复杂的过程，针对爬虫常见的行为特征，WAF反爬虫三板斧——Robot检测（识别User-Agent）、网站反爬虫（检查浏览器合法性）和CC攻击防护（限制访问频率）可以全方位帮您解决业务网站遭受的爬虫问题，协助您打赢与爬虫的持久战！还等什么，还不赶快把WAF反爬虫三板斧耍起！WAF反爬虫三板斧神器来了一板斧：开启Robot检测检测和拦截恶意爬虫、扫描器、网马等威胁。步骤 1： 进入“网站配置”界面，在目标域名所在行的“防护策略”栏中，单击“配置防护策略”，进入防护配置页面。步骤 2： 在“Web基础防护”配置框，开启Web基础防护后，单击“高级设置”。 步骤 3： 在“Web基础防护”页面，开启“常规检测”和“Webshell”检测开关。步骤 4 ：在“网站反爬虫”配置框，开启网站反爬虫后，单击“BOT设置”。步骤 5 ：在“特征反爬虫”页面，开启Robot检测开关。当WAF检测到恶意爬虫、扫描器等对网站进行爬取时，将立即拦截并记录该事件，您可以在“防护事件”页面查看爬虫防护日志。----结束二板斧：开启JS脚本反爬虫动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别爬虫行为。该功能依赖浏览器对javascript代码的解析，因此如果业务接口存在API调用的情况，建议不要开启该防护功能。由于CDN服务会缓存图片、静态资源等文件，如果您的业务接入了CDN服务，该特性将无法达到预期效果，并且有可能造成页面访问异常，建议不要开启该防护功能。步骤 1 ：进入“网站配置”界面，在目标域名所在行的“防护策略”栏中，单击“配置防护策略”，进入防护配置页面。步骤 2 ：在“网站反爬虫”配置框，开启网站反爬虫后，单击“BOT设置”。 步骤 3： 选择“JS脚本反爬虫”，开启JS脚本反爬虫，并自定义防护模式。开启该防护后，非浏览器的访问将不能获取业务页面。----结束三板斧：开启CC攻击防护限制单个IP/Cookie/Referer访问者对您的网站上特定路径（URL）的访问频率，缓解CC攻击对业务的影响。步骤 1： 进入“网站配置”界面，在目标域名所在行的“防护策略”栏中，单击“配置防护策略”，进入防护配置页面。步骤 2 ：在“CC攻击防护”配置框，开启防护后，单击“自定义CC攻击防护规则”。步骤 3 ：在“CC防护”规则配置页面左上角，单击“添加规则”。以IP限速为例，添加IP限速规则。设置成功后，当用户访问超过限制后需要输入验证码才能继续访问。----结束WAF除了反爬虫，还提供了网页防篡改、防敏感信息泄露、精准访问防护等防护功能，让您轻松应对各种Web安全风险~~更多关于WAF的功能，戳这里安全无小事，时刻需警惕。2020，华为云普惠云安全，为您的网站、主机、数据提供免费云体检，还有一站式过等保贴心指导，赶紧戳这里，了解详情吧！

【摘要】 CGS可扫描SWR中的私有镜像，自动检测镜像的安全问题并提供漏洞报告和解决方案，助您在容器构建开发阶段就得到安全可信的镜像文件。镜像是容器运行的基础，在容器的构建开发阶段，镜像一旦存在漏洞，就有可能导致在后续运行环境里面所有运行这个镜像的容器都存在安全问题。例如，镜像中的软件存在漏洞、镜像存在病毒后门，就可能导致容器被不法分子控制利用，从而导致容器中的敏感信息被泄露、整个系统沦陷等风险。那么，如何在构建开发阶段排查镜像的安全性呢？华为云容器安全服务（Container Guard Servic，CGS）的私有镜像漏洞扫描功能帮助您解决这个困扰，让您在容器构建开发阶段就能发现镜像的安全问题，得到一个安全可靠的镜像文件，避免使用危险镜像进行开发。目前，私有镜像扫描功能支持对基于Linux操作系统制作的容器镜像进行检测，且是免费的哦~~还没有开通CGS的用户来体验本节课程的操作？戳这里，了解开通CGS。玩转CGS私有镜像安全扫描CGS支持对容器镜像服务（Software Repository for Container，SWR）中的自有镜像进行检测。将自有镜像上传至SWR，然后更新到CGS后，CGS即可在每日凌晨自动检测更新的镜像。检测完成后，您就可以查看漏洞报告和根据提供的解决方案对镜像进行修复和调整。现在教大家一个口诀，“一更二查三修复”，完成这三个步骤，您就能得到一个安全可靠的镜像文件啦~~【一更】从SWR更新镜像若SWR镜像已更新到CGS，您可以跳过此步骤，直接查看镜像版本的漏洞报告。步骤1：登录管理控制台。步骤2：在页面上方选择区域后，单击，选择“安全 > 容器安全服务”。步骤3： 在左侧导航树中，选择“镜像列表”，进入“镜像列表”界面。步骤4：选择“私有镜像仓库”页签。步骤5： 单击“从SWR更新镜像”，更新镜像到CGS私有镜像仓库。CGS对镜像进行检测需要一段时间，百兆级的镜像，大概需要10分钟左右，扫描耗时随镜像的规模增大而延长。请您过一段时间在进行刷新查看哦~~ 【二查】查看镜像版本的漏洞报告步骤1：自动检测完成后，在需要查看漏洞报告的镜像左侧，单击展开该镜像的版本列表，然后单击“漏洞报告”，查看该镜像各个版本的漏洞报告。步骤2：漏洞报告按照“需尽快修复”、“可延后修复”、“暂可不修复”三个漏洞等级汇总漏洞信息，并且展示了漏洞的具体信息以及相应的漏洞解决方案。小窍门对于漏洞的修复或调整，您可以根据自身业务情况进行选择性修复，对系统影响较小的镜像，可不进行修复【三修复】对镜像进行修复或调整单击解决方案列的链接，根据解决方案对该镜像版本进行修复和调整。修复和调整后，您就可以得到一个安全可信的镜像啦~~对于私有镜像，CGS还提供了恶意文件、基线配置、软件信息和文件信息的检测，有没有很心动，赶紧戳它了解详情吧~~更多关于CGS的功能，戳这里安全无小事，时刻需警惕。2020，华为云普惠云安全，为您的网站、主机、数据提供免费云体检，还有一站式过等保贴心指导，赶紧戳这里，了解详情吧！

类别服务名云小课链接安全容器安全服务 CGS【云小课】安全第1课 CGS私有镜像漏洞扫描：让漏洞无处遁形Web应用防火墙 WAF【云小课】安全第2课 WAF反爬虫“三板斧”：轻松应对网站恶意爬虫证书管理服务 SCM【云小课】| 安全第3课 SSL证书选购宝典，助您轻松选定合适的证书主机安全服务 HSS【云小课】| 安全第4课 暴力破解一切？华为云HSS防爆破“四重奏”！主机安全服务 HSS【云小课】| 安全第5课 不容错过！勒索病毒终结者——华为云HSS！证书管理服务 SCM【云小课】| 安全第6课 SCM助您一键推送证书至华为云服务数据安全中心 DSC【云小课】| 安全第7课 DSC帮您管数据，保障您的云上数据安全数据安全中心 DSC云小课 | 安全第8课 DSC：快速识别敏感数据并脱敏数据安全中心 DSC云小课 | 安全第9课：DSC之数据水印，防止数据被盗用Web应用防火墙 WAF云小课 | 安全第10课 网站接入WAF失败怎么办？看这里就够了态势感知 SA【云小课】安全第11课 SA基线检查---给云服务的一次全面“体检”数据安全中心 DSC【云小课】安全第12课 DSC：数据资产地图，俯瞰您的云上数据资产云堡垒机 CBH【云小课】安全第13课 CBH：通过云堡垒机管理资产时出现异常，怎么办？主机安全服务 HSS【云小课】| 安全第14课 HSS教您如何应对近期发生的LockBit勒索事件主机安全服务 HSS【云小课】| 安全第15课 HSS对近期Cactus勒索病毒的分析主机安全服务 HSS【云小课】| 安全第16课 Runc容器逃逸漏洞（CVE-2024-21626）安全风险通告

1. 场景介绍由于安全原因，数据库的IP地址有时不能暴露在公网上，但是选择专线网络进行数据库迁移，成本又高。这种情况下，您可以选用数据复制服务提供的备份迁移。DRS除了支持将本地Microsoft SQL Server数据库的备份文件迁移到华为云RDS for SQL Server实例，也支持通过Microsoft SQL Server数据库实例的全量备份，对已有的RDS for SQL Server实例进行备份数据迁移。更多DRS备份迁移内容可参见 “迁移方案概览”章节。2. 备份文件准备1. 登录管理控制台。2. 单击管理控制台左上角的，选择区域和项目。3. 在页面左上角单击，选择“数据库 > 云数据库 RDS”。进入云数据库 RDS信息页面。4. 在“实例管理”页面，选择指定的实例，单击实例名称。5. 在左侧导航栏中选择“备份恢复”，单击“创建备份”，命名该备份，并添加描述，单击“确定”，提交备份创建，单击“取消”，取消创建。备份名称的长度在4~64个字符之间，必须以字母开头，区分大小写，可以包含字母、数字、中划线或者下划线，不能包含其他特殊字符。备份描述不能超过256个字符，且不能包含回车和>!<"&'=特殊字符。手动备份创建所需时间由数据量大小决定。6.手动备份创建成功后，用户可在“备份管理”页面，对其进行查看并管理。也可在“实例管理”页面，单击实例名称，在左侧导航栏中选择“备份恢复”，对其进行查看并管理3. 创建备份迁移任务1. 登录管理控制台。2. 单击管理控制台左上角的，选择区域和项目。3. 在页面左上角单击，选择“数据库 > 数据复制服务 DRS”。4. 在“备份迁移管理”页面，单击“创建迁移任务”。5. 在“选定备份”页面输入任务名称和描述，填选备份文件信息，单击“下一步”。参数描述数据库类型选择Microsoft SQL Server数据库引擎。备份文件来源选择RDS全量备份。6. 在“选定目标”页面，填选数据库信息，单击“下一步”。参数描述目标RDS实例名称选择目标RDS实例。若没有合适的目标数据库实例，请先创建目标数据库实例，具体操作及注意事项参见《关系型数据库快速入门》中“SQL Server快速入门”下的“购买实例”章节。覆盖还原覆盖还原是指目标端数据库实例已经存在同名的数据库，备份还原中是否要覆盖已存在的数据库。您可以根据业务需求进行选择是否覆盖还原。若选择此项，目标RDS实例中与待还原数据库同名的数据库将会被覆盖，请谨慎操作。待还原数据库名称选中目标RDS实例后，自动展示该实例的所有待还原数据库，可根据需要选择待还原的数据库，并且支持重命名。待还原数据库名称：待还原数据库的原名称。数据库新名称：区分大小写，长度在1~64个字符之间，必须以字母开头，可以包含字母，数字、中划线和下划线，不能包含其他特殊字符。不设置，则使用原数据库名称备份恢复，设置后，使用新名称备份恢复。待还原数据库支持重命名，最大配额为100个。数据库新名称不能与源库中除本库以外的其它库同名。7. 在“信息确认”页面核对配置详情后，勾选协议，单击“下一步”。8. 在“备份迁移管理”页面任务列表中，观察对应的恢复任务的状态为“恢复中”，恢复成功后，任务状态显示“成功”。4. 手动配置信息SQL Server自身的工作原理是备份文件恢复到新的数据库后，非聚集索引表的索引信息将会失效需要立即重建。如果源数据库里存在大量非聚集索引表，备份迁移后请在目标库进行索引重建，以避免数据库未来使用中性能出现重大下降。同时备份文件里仅保存数据库级信息，在SQL Server实例中还有一些配置需要主动识别并手工完成迁移，如login，权限，DBlink，job等，如果源数据库包含这部分配置，请参考《最佳实践》进行迁移补充工作。

接上篇。5. 创建全量+增量备份迁移任务首次进行全量迁移步骤一：导出全量备份文件，具体操作请参见导出数据库备份文件。步骤二：将导出的全量备份文件上传至OBS桶内，请参见上传备份文件。步骤三：登录数据复制服务控制台。步骤四：单击管理控制台左上角的，选择区域和项目。步骤五：在“所有服务”或“服务列表”中，选择“数据库>数据复制服务 DRS”，进入数据复制服务信息页面。步骤六：在页面左侧导航栏，选择“备份迁移管理”，单击“创建迁移任务”，进入“选定备份”页面。步骤七：填写迁移任务信息和备份文件信息，单击“下一步”。参数描述任务名称任务名称在4-64位之间，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。描述描述不能超过256位，且不能包含!=<>&'"特殊字符。数据库类型选择Microsoft SQL Server数据库引擎。备份文件来源选择自建OBS桶。桶名选择备份文件所在的桶名，以及该桶目录下上传好的全量备份文件。步骤八：在“选定目标”页面，填选数据库信息后，单击“下一步”。参数描述目标RDS实例名称选择目标RDS实例。若没有合适的目标RDS数据库实例，请先创建所需的目标数据库实例，可参见《关系型数据库快速入门》中“SQL Server快速入门”下的“购买实例”章节。待恢复备份类型选择全量备份。全量备份指备份文件是完整备份类型的备份。最后一个备份当前进行的是全量+增量备份迁移，全量备份恢复后，需要继续进行增量备份恢复，该参数选择“否”。此时目标数据库将会处于恢复中的状态，不可读写。覆盖还原覆盖还原是指目标端数据库实例已经存在同名的数据库，备份还原中是否要覆盖已存在的数据库。您可以根据业务需求，选择是否进行覆盖还原。说明若选择此项，目标数据库实例中与待还原数据库同名的数据库将会被覆盖，请谨慎操作。执行预校验备份迁移任务是否执行预校验，默认为是。是：为保证迁移成功，提前识别潜在问题，在恢复前对备份文件的合法性、完整性、连续性、版本兼容性等进行校验。否：不执行预校验，迁移速度更快，但需要用户判断备份文件的合法性、完整性、连续性、版本兼容性等问题。指定需要恢复的数据库您可以选择将全部数据库或部分数据库进行恢复。全部数据库：恢复备份文件中所有的数据库，不需要输入待还原数据库名称，默认还原备份文件里的所有数据库。部分数据库：恢复备份文件中的部分数据库，需要输入待还原数据库名称。全量备份需要保证指定恢复的数据库始终一致。重置数据库名当选择的指定恢复数据库类型为“全部数据库”时，您可以选择重置数据库名。该功能将忽略备份文件中原有的数据库名，通过DRS将其恢复为指定的新数据库名。使用条件：备份文件中只有一个数据库。备份文件是全量备份类型（待恢复备份类型选择：全量备份），且是一次性恢复（最后一个备份选择：是）。说明：仅支持“待恢复备份类型”为“全量备份”，且“指定需要恢复的数据库类型”为“全部数据库”时重置数据库名。待还原数据库名称当选择的指定恢复数据库类型为“部分数据库”时，需要输入待还原数据库名称。待还原数据库名称必须与备份文件中的数据库名称一致，区分大小写，待还原库名最大支持256字节，新库名最大支持128字节，可以包含字母、数字、中划线和下划线（待还原库名还支持中文），不能包含其他特殊字符。此处，数据复制服务还提供待还原数据库别名设置的功能。步骤九：在“确认信息”页面核对配置详情后，勾选协议，单击“下一步”。步骤十：在“备份迁移管理”页面任务列表中，观察对应的恢复任务的状态为“恢复中”，恢复成功后，任务状态显示“成功”。进行第一次增量迁移步骤一：导出第一次增量备份文件，具体操作请参见导出数据库备份文件。步骤二：将导出的备份文件上传至OBS桶内，请参见上传备份文件。步骤三：返回数据复制服务控制台。步骤四：在页面左侧导航栏，选择“备份迁移管理”，单击“创建迁移任务”，进入“选定备份”页面，继续创建增量备份迁移任务。步骤五：填写迁移任务信息和备份文件信息，备份文件为步骤2中上传的文件，单击“下一步”。步骤六：在“选定目标”页面，填选数据库信息后，单击“下一步”。参数描述目标RDS实例名称选择目标RDS实例。该目标RDS实例应该与进行全量备份恢复时选择的目标实例一致。待恢复备份类型选择增量备份。增量备份指备份文件是日志类型的备份。最后一个备份当前进行的是第一次增量备份迁移，该参数选择“否”。此时目标数据库将会处于恢复中的状态，不可读写。执行预校验备份迁移任务是否执行预校验，默认为是。是：为保证迁移成功，提前识别潜在问题，在恢复前对备份文件的合法性、完整性、连续性、版本兼容性等进行校验。否：不执行预校验，迁移速度更快，但需要用户判断备份文件的合法性、完整性、连续性、版本兼容性等问题。指定需要恢复的数据库您可以选择将全部数据库或部分数据库进行恢复。全部数据库：恢复备份文件中所有的数据库，不需要输入待还原数据库名称，默认还原备份文件里的所有数据库。部分数据库：恢复备份文件中的部分数据库，需要输入待还原数据库名称。 步骤七：在“确认信息”页面核对配置详情后，勾选协议，单击“下一步”。步骤八：在“备份迁移管理”页面任务列表中，观察对应的恢复任务的状态为“恢复中”，恢复成功后，任务状态显示“成功”。进行第二次增量迁移为了实现迁移导致的业务中断时间最小化，需要在业务割接前，进行一次事务日志备份上传与恢复，该操作会将割接前所有的历史数据恢复至目标数据库，很大程度上减少了割接时最后一个事务日志备份的上传与恢复的时间。步骤一：在业务割接前，导出新的增量备份文件，请参见导出数据库备份文件。步骤二：继续执行步骤2到步骤4。步骤三：填写迁移任务信息和备份文件信息，单击“下一步”。步骤四：在选定目标页面，填选数据库信息后，单击“下一步”。参数描述目标RDS实例名称选择目标RDS实例。该目标RDS实例应该与进行全量备份恢复时选择的目标实例一致。待恢复备份类型选择增量备份。增量备份指备份文件是日志类型的备份。最后一个备份当前进行的是割接业务前的增量备份迁移，该参数选择“否”。此时目标数据库将会处于恢复中的状态，不可读写。执行预校验备份迁移任务是否执行预校验，默认为是。是：为保证迁移成功，提前识别潜在问题，在恢复前对备份文件的合法性、完整性、连续性、版本兼容性等进行校验。否：不执行预校验，迁移速度更快，但需要用户判断备份文件的合法性、完整性、连续性、版本兼容性等问题。指定需要恢复的数据库您可以选择将全部数据库或部分数据库进行恢复。全部数据库：恢复备份文件中所有的数据库，不需要输入待还原数据库名称，默认还原备份文件里的所有数据库。部分数据库：恢复备份文件中的部分数据库，需要输入待还原数据库名称。 步骤五：在“确认信息”页面核对配置详情后，勾选协议，单击“下一步”。步骤六：在“备份迁移管理”页面任务列表中，观察对应的恢复任务的状态为“恢复中”，恢复成功后，任务状态显示“成功”。检查数据库事务在进行业务割接之前，需要停止业务，然后确认数据库内无未完成的事务，避免因数据库中存在未完成的事务导致数据丢失问题。步骤一：执行如下语句，判断业务系统IP是否已经断开连接。select * from sys.dm_exec_connections;是，表示所有业务系统ip都已经断开连接，可以进行最后一个增量备份迁移。否，执行步骤2。步骤二：如果查询到存在未断开的业务系统ip，继续通过如下语句查询未关闭的会话 。select * from sys.dm_exec_sessions;同时，根据如下语句查看正在执行的事务。select * from sys.dm_tran_session_transactions;若上述查询结果中存在未关闭的会话和正在执行的事务，请继续执行步骤3。步骤三：需要等到事务执行完成，关闭会话，断开业务系统连接后，才可以进行最后一个增量备份迁移。进行最后一次增量迁移经过上面多次增量备份的迁移与恢复，数据库数据已经接近一致了，同时在上一阶段检查数据库事务的过程中已经将源业务停止，不会再产生新数据，此时为了确保迁移与恢复数据的完整性和一致性，需要进行最后一次增量备份的迁移与恢复。步骤一：导出新的增量备份文件，具体操作请参见导出数据库备份文件。步骤二：继续执行步骤2到步骤4。步骤三：填写迁移任务信息和备份文件信息，单击“下一步”。步骤四：在选定目标页面，填选数据库信息后，单击“下一步”。参数描述目标RDS实例名称选择目标RDS实例。该目标RDS实例应该与进行全量备份恢复时选择的目标实例一致。待恢复备份类型选择增量备份。增量备份指备份文件是日志类型的备份。最后一个备份该阶段为停止业务后进行的最后一次增量迁移，该参数选择“是”。执行预校验备份迁移任务是否执行预校验，默认为是。是：为保证迁移成功，提前识别潜在问题，在恢复前对备份文件的合法性、完整性、连续性、版本兼容性等进行校验。否：不执行预校验，迁移速度更快，但需要用户判断备份文件的合法性、完整性、连续性、版本兼容性等问题。指定需要恢复的数据库您可以选择将全部数据库或部分数据库进行恢复。全部数据库：恢复备份文件中所有的数据库，不需要输入待还原数据库名称，默认还原备份文件里的所有数据库。部分数据库：恢复备份文件中的部分数据库，需要输入待还原数据库名称。 步骤五：在“确认信息”页面核对配置详情后，勾选协议，单击“下一步”。步骤六：在“备份迁移管理”页面任务列表中，观察对应的恢复任务的状态为“恢复中”，恢复成功后，任务状态显示“成功”。6. 手动配置信息目前从本地或虚拟机通过DRS备份迁移功能直接迁移到本云RDS for SQL Server实例上，在迁移完成后还需要针对Login账号，DBLink，AgentJOB，关键配置进行识别，并手动完成相关同步工作，详细操作参考手动配置信息。

1. 场景介绍由于安全原因，数据库的IP地址有时不能暴露在公网上，但是选择专线网络进行数据库迁移，成本又高。这种情况下，您可以选用数据复制服务提供的备份迁移，通过将本地Microsoft SQL Server数据库的备份文件上传至对象存储服务，然后恢复到目标数据库。备份迁移可以帮助您在云服务不触碰源数据库的情况下，实现数据迁移。数据复制服务的备份迁移功能支持全量和全量+增量场景的数据库迁移，本示例以全量+增量场景为例，介绍如何进行备份迁移。全量+增量备份迁移该场景为数据持续性迁移，需要在完成全量备份恢复的基础上，通过多次增量备份文件恢复，实现迁移过程中业务中断的最小化。一次典型的增量恢复过程，会涉及多次恢复增量备份。每个增量备份恢复均会使目标数据库保持还原中状态，此时数据库不可读写，直至最后一个增量备份恢复完成后，数据库才能变成可用状态。2. 迁移准备本小节介绍通过数据复制服务进行备份迁移前的准备工作。在正式使用数据复制服务之前，请先阅读以确保您已完成创建备份迁移任务所需的各项准备工作。更多使用须知可参见 “使用须知”章节。目标数据库准备已有RDS for SQL Server数据库实例，如果没有，请参考《关系型数据库用户指南》中的“购买实例”章节，创建RDS实例。目标数据库的可用磁盘空间至少为待还原数据库总数据量大小的1.5倍。源数据库恢复模式设置仅进行全量备份迁移时，对数据库的恢复模式没有要求。进行全量+增量备份迁移时，数据库备份文件的恢复模式需要设置为“完整”。具体操作方法如下：方法一：通过Microsoft SQL Server Management Studio 数据库管理软件登录到本地数据库中心，选择需要迁移的数据库，单击鼠标右键，选择“属性”，选择“选项 > 恢复模式”，将恢复模式设置为“完整”即可。方法二：使用如下SQL命令的方式进行设置。USE master; ALTER DATABASE database_name SET RECOVERY FULL;迁移时间的评估参考一次完整的备份迁移主要经历以下4个阶段。阶段名称描述①导出数据库备份文件该阶段主要耗时为生成数据库备份文件所需的时间，通常取决于源数据库的配置，需要您根据源数据库的配置进行预估。②上传备份文件至OBS桶OBS对象存储不限速，如果您是通过公网访问OBS对象存储时，上传下载速度受公网带宽限制。例如：公网带宽为10MB/s时，在没有其他因素影响网络的情况下，则上传的速度为10MB/s。③通过DRS下载备份文件至目标端RDS for SQL Server一般情况下，下载速度约为：100MB/s或者300GB/h。④将源数据库的备份文件恢复至目标数据库从经验值来讲，一般的恢复速度约为5GB/min或者300GB/h。合计总耗时总耗时=阶段①耗时+阶段②耗时+阶段③耗时+阶段④耗时业务中断时长= 业务停机->进行最后一次增量备份->上传OBS->创建DRS任务恢复 3. 导出数据库备份文件本小节介绍了数据库全量备份文件和事务日志（增量）备份文件的导出方法。步骤一：检查本地数据库参数配置。步骤二：由于数据库存在日志截断和收缩配置，在导出全量备份文件前，需要将数据库恢复模式配置成“完整”模式，且一直保持到整个数据库完全迁移到本云数据库实例和业务切割后，才能修改。该操作为全量+增量迁移的必操作项，仅进行全量迁移时，可以跳过该步骤。通过Microsoft SQL Server Management Studio 数据库管理软件登录到本地数据库中心。选择需要迁移的数据库，单击鼠标右键，选择“属性”，在属性弹出框左边列表选择“选项”。在“恢复模式”下拉菜单中选择“完整”，单击“确定”。步骤三：配置备份文件压缩参数，该操作为可选操作。如果客户本地数据中心带宽不高，OBS Browser上传时间比较久，建议配置备份文件压缩参数。使用数据库管理员帐号，通过Microsoft SQL Server Management Studio 数据库管理软件登录到数据库中心。在对象资源管理器中，右键单击服务器并选择 “属性”。单击 “数据库设置” 。在“备份和还原” 下，勾选“压缩备份” 。          该设置确定压缩备份的服务器级默认设置，具体如下：如果未勾选 “压缩备份” ，在默认情况下将不会压缩新备份。如果 已勾选“压缩备份” ，则默认情况下将压缩新备份。步骤四：导出全量备份文件。通过Microsoft SQL Server Management Studio 数据库管理软件登录到本地数据库中心。选择需要迁移的数据库，单击鼠标右键，选择“任务>备份”。备份类型选择“完整”，单击“添加”，填写备份文件输出路径，注意后缀名为.bak。建议备份文件名称和数据库名称保持一致（区分大小写），同时加上“.bak”后缀。建议将所有的数据库备份在一个bak文件里或者少量的bak文件里，这样可以减少频繁的上传与恢复，实现打包上传和打包恢复的效果。步骤五：导出增量备份文件。通过Microsoft SQL Server Management Studio 数据库管理软件登录到本地数据库中心。选择需要迁移的数据库，单击鼠标右键，选择“任务>备份”。备份类型选择“完整”，单击“添加”，填写备份文件输出路径，注意后缀名为.bak。建议备份文件名称和数据库名称保持一致（区分大小写），同时加上时间戳和“.bak”后缀，例如：[数据库名]_Incr_[时间戳].bak。建议将所有的数据库备份在一个bak文件里或者少量的bak文件里，这样可以减少频繁的上传与恢复，实现打包上传和打包恢复的效果。例如：可以将A、B、C三个数据库备份到一个bak文件中，整体进行打包上传和恢复，这样有助于提高数据恢复的成功率。4. 上传备份文件本小节介绍了上传备份文件的方法。步骤一：创建OBS桶，并将备份文件上传OBS桶。如果单次上传文件不大于5GB时，可以登录OBS控制台创建OBS自建桶，存储类别选择“标准存储”，桶策略选择“公共读”。如果批量上传多个文件（单次最多支持100个文件同时上传，总大小不超过5GB），或单次上传文件大于5GB时，需要下载并安装OBS Browser+客户端，支持大文件断点续传功能。相关操作请参见《对象存储服务客户端指南》。          此时建议备份文件放置于同区域且独立的公共桶，混用其他公共桶可能会因为其他文件过多，而无法展示迁移备份文件。          上传备份文件之前，创建用户的Access Key ID和Secret Access Key，参考创建访问密钥（AK 和SK）。          上传备份文件时，OBS文档模式需要选择“标准存储”。目前Microsoft SQL Server只支持后缀为.bak的文件，且不支持高版本恢复到低版本。建议备份文件放置于同区域且独立的公共桶，混用其他公共桶可能会因为其他文件过多，而无法展示迁移备份文件。登录OBS管理控制台，相关操作请参见登录OBS管理控制台。创建OBS自建桶，相关操作请参见添加桶。将导出的数据库备份文件上传至OBS桶内，相关操作请参见上传文件。如何创建全量+增量备份迁移任务并手动配置信息，请参见【第50课】本地Microsoft SQL Server备份迁移至华为云RDS for SQL Server实例—下篇