常见问题



帐号和套餐

非常简单,您可以直接免费注册,并完成邮件激活即可。

当然可以的,云安全运营中心的套餐计划中也包括免费版,您可以永久使用。 在免费版中,您只可以创建监控少量的服务器,对他们进行设备状态监控和安全事件监控: 如需详细了解免费版的特性介绍,请参考套餐计划。

更多的服务器监控数目,这意味着您可以监控更多的服务器。 更丰富的安全运维功能,漏洞扫描和安全基线检查。 更快的采集机,这意味着可以更高效、稳定的进行各项安全运维功能。 如需详细了解付费套餐的特性介绍,请参考套餐计划。

是的,当前套餐到期之前,如果需要升级套餐,我们会根据当前套餐到期时间,计算出应付的差价。 计算差价时,对现有套餐距离到期时间的剩余费用,我们会精确到以“天”为单位来计算。

当然可以,我们有标准的服务合同,企业用户可以选择签署合同后付费,或者付费后补签合同。 付费后可以获得发票。 如果您需要签署合同,请联系我们的客服。

是不可以的,您的套餐到期后会自动降为免费版。如果您想降级, 您可以等套餐过期后再购买其它套餐,详情请参考套餐价格。



设备状态监控

云安全运营中心支持Linux/Unix服务器以及Windows服务器的多项性能指标,包括: 系统运行时间 、 CPU使用率 、 内存使用率 、 磁盘空间使用率 、 网络流量。

云安全运营中心对于SNMP的身份验证支持v1和v2c,我们提供了多项安全配置建议,您完全可以放心的使用SNMP。

云安全运营中心对于服务器的设备状态每五分钟监控一次。

云安全运营中心如何监控我的服务器设备状态?

云安全运营中心通过标准的网络管理协议SNMP来进行服务器设备状态监控,这一切只需要您在服务器上配置SNMP监控服务。

服务器设备状态监控支持Windows服务器吗?

服务器设备状态监控支持的操作系统有: Linux、Unix、Windows。

服务器设备状态监控支持交换机或路由器吗?

目前不支持。

如何在服务器上配置SNMP?

请您参考SNMP配置手册。

告警消息中提示无法获取SNMP数据,我应该怎么办?

云安全运营中心每隔5分钟会通过SNMP采集一次服务器的设备状体数据,如果连续一段时间无法采集数据,您将会看该设备不能连通。

知识库管理

知识库管理为系统运行和维护提供了知识来源以及安全问题的处理依据、方法或参考,包括如下几类:

1. 日志配置类(各种操作系统、网络设备、应用系统及数据库等接入安全运营中心日志的配置收集方法)

2. 日志类(各种操作系统、网络设备、服务器及数据库的日志信息)、安全事件类(反映系统运行/状态、安全问题、用户行为等的计算机记录或日志)

3. 漏洞类(通过扫描器发现的在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷的描述及解决方案)

4. 安全基线类(各种操作系统、网络设备、应用系统及数据库等可被威胁所利用而导致安全性问题的标准描述及解决方案)

5. 安全经验类(基于系统安全事件、漏洞、配置问题等信息综合生成的安全警示信息的描述、告警触发建议及解决方案等)

漏洞扫描

漏洞就是软件编码时的疏忽或错误,如Windows操作系统的漏洞。我们经常要打补丁, 打补丁实际就是修复这些漏洞;黑客就是利用漏洞入侵的 。 漏洞分为:1. 技术漏洞如缓存区溢出漏洞、SQL注入漏洞 ;2. 管理漏洞如职责不分、过度授权等。 云安全运营中心负责监控的漏洞仅指利用扫描器发现的漏洞,主要指技术上的漏洞。

与普通的漏洞扫描器相比,使用云安全运营中心进行漏洞监控有如下优势:

1. 普通扫描器的主要作用是发现漏洞,管理能力较弱。

2. 普通扫描器不能看到漏洞的变化情况,新增哪些漏洞,修复了哪些漏洞等。

3. 普通扫描器中漏洞无法关联到资产,从而无法进一步分析风险。

4. 您可能使用不同的扫描器产品,扫描结果很可能不统一。

您可以在“监控设置”导航页选择“漏洞扫描任务”页面进行配置,然后你就可以对服务器进行漏洞扫描了。详细配置方法请参考漏洞扫描任务。

当然可以。您在设置漏洞扫描任务的时候,可以通过右侧的选择框,选择多个安全对象,这样您就可以在一个任务中同时对多个服务器进行漏洞扫描了。

当然可以。您在设置漏洞扫描任务的时候,可以通过右侧的选择框,选择需要扫描的地址段,这样您就可以在一个任务中对一个网段进行漏洞扫描了。

漏洞扫描结束后,您可以在已经完成的任务中查看任务报告,该报告会告诉您这一次扫描发现的漏洞。

安全事件

能表达或反映某种安全问题的日志或数据,包括攻击类、恶意代码类、异常行为、敏感行为类等。

从各类设备或系统中产生、能代表其运行状态、配置状态及报警等数据,如用户登入/登出、系统启动/停止等。 一般日志均有不同的等级,例如Syslog就包含有8个等级,分别从0到7, 级别越高数值越小,另外,Syslog中还包含有可以表示其日志产生模块或类型的facility属性, 这在分析日志时也经常会被用到;而对于Windows的EventLog则是另外一种形式,其级别包括错误、警告、信息、 成功审核或失败审核,其日志的类别包括系统、安全和应用类型。

云安全运营中心对各类日志的采集一般是通过如下三种方式:

1. Syslog:这是一种最为常见的形式,一般Linux/Unix主机、各类网络设备、安全设备等均支持将自身日志通过Syslog形式发送出来。

2. SNMP Trap:这也是一种较为常见的形式,一般网络设备和部分安全类设备可以发送此类日志。

3. 数据库:不是特别常见,有些防毒类产品、VPN设备仅支持这种类型,它需要设置若干参数方可获取, 如数据库的类型、IP地址、服务监听端口、实例名称、日志表名、序列字段等;云安全运营中心是主动获取此类日志的。

鉴于各类设备或系统产生的日志、安全事件格式五花八门、形式不一而足,故在进行分析之前需要进行标准化,如下列不同设备的日志: SUN Solaris Aug 27 13:04:09 sshd[3228]: [ID 70112 auth.info] Failed password for root from 79.16.133.71 port 4489 ssh2 Cisco路由器 4066: Aug 17 20:04:31.388: %SEC-6-IPACCESSLOGP: list ZJ_MPLSLINK_IN permitted tcp 129.9.11.247(9801) -> 10.34.14.200(1067), 203 packets 标准化的目的实际上就是将类似上述不同的日志进行规格化,然后存储为内部格式。例如,我们会将第一条日志的名称转换为“root用户登录失败”,将源地址转换为“79.16.133.71”;而第二条的名称则会转换为“连接”,源地址、源端口、目的地址和目的端口分别转换为“129.9.11.247”、“9801”、“10.34.14.200”和“1067”。

资产管理

资产是云安全运营中心的核心管理对象,是特指具有IP地址的IT类设备及其之上运行的、可管理的服务或应用。 根据用户套餐类型不同,可以接受监控的资产数目也是不同的。

有两种方法可以将您的设备纳入到资产监控范围  自动发现 通过云安全运营中心自带的资产发现功能,可以自动的发现您所在的网络内的IP设备。 然后,在发现的IP列表中,您可以通过“转资产”操作,将您选定的设备纳入资产监控范围。  手动创建 如果在发现列表中,没有找到您所需要的IP设备,您还可以手动创建。 按照页面的要求,填入资产属性即可。

安全基线检查

严格来说,云安全运营中心所说的安全基线应称作“安全配置基线”,它们是各类系统、数据库、安全设备、中间件的安全配置基准,如果违反则称作“安全基线违规”; 例如,操作系统的口令长度过短、口令更改时间过长、未配置记录日志功能等等。

这是因为如下几点原因:

1) 企业内有众多的、不同类型的主机、网络设备、安全设备、数据库、中间件。

2) 这些系统都存在配置安全问题。

3) 安全配置问题,特别是口令强度不够是黑客攻击的主要手段。

而以往我们都是人工对这些配置的安全情况进行检查,这存在如下不足:

1) 工作量很大。

2) 不同的系统类型使用的检查方法存在较大差异。

3) 一般只在系统加固前进行评估,无法适应系统的变化情况,无法方便地对检查结果进行统一的分析和比较。

由于安全基线检查是通过远程方式进行,故用户需要在对服务器进行安全基线检查之前设置服务器的登录帐号口令。

您可以在“监控设置”导航页选择“基线检查任务”页面进行配置, 然后你就可以对服务器进行安全基线检查了。详细配置方法请参考安全基线检查任务。

当然可以。您在设置基线检查任务的时候,可以通过右侧的选择框,选择多个安全对象, 这样您就可以在一个任务中同时对多个服务器进行安全基线检查了。

当然可以。您在设置基线检查任务的时候,可以通过右侧的选择框, 选择需要扫描的地址段,这样您就可以在一个任务中对一个网段进行基线检查了。

安全基线检查结束后,您可以在已经完成的任务中查看任务报告,该报告会告诉您这一次扫描发现的违规基线。

您也可以在数据中心中,查看目前监控下的服务器都存在哪些违规基线。

安全告警和安全报表

与普通的安全事件不同,告警是特别需要关注的安全问题,这些问题可能来源于安全事件、安全基线违规、高危漏洞、高危端口开放等方面, 也可能是若干不同安全问题的综合体;总之,在用户需要关注的主要问题就是告警。

您可以在数据中心的安全告警页面查看所有的安全告警。对于这些安全告警, 您可以根据相关知识库的指导,自行在相关资产上消除安全隐患,然后删除安全告警; 您也可以联系我们安全运维人员进行咨询,寻找处理的方法。 当然,对于严重级别较高的安全告警,我们也会主动与您取得联系,协助您解决安全隐患。

安全报表包含的主要内容如下:系统概况数据,资产风险分布图,资产风险排行(TOP10),漏洞分布图, 安全基线违规分布图,漏洞列表,安全基线违规列表,未处理安全告警列表以及安全运维专家给出的安全建议。

安全报表分为周报和月报两种,这两种报表内容相同,只是生成周期不同。 您可以在数据中心的安全报表页面查看已经发布的安全报表,也可以通过设置邮箱,定期在邮箱中收取安全报表。

是的。您可以在用户中心的参数设置页面进行设置,选择合适您的收取时间。