一、運維目標

信息化系統的建設是一個長期、復雜、規模大的系統工程，項目維護是整個項目實施的重要組成部分，因其重要地位，秉持嚴格要求的態度，實行科學的管理，強化運維信息安全管理，防范計算機信息技術風險，保障網絡與信息系統安全和穩定運行，提供符合要求的維護工作以及用戶滿意程度實行定期跟蹤，確保達到以下運維服務目標：所有維護工作、系統及數據日常檢測工作合格率達標；本項目運維服務范圍主要是針對本信息化建設項目涉及日常維護、定期巡檢、優化系統、功能維護及項目變更等。特制定本管理規范與標準。

二、基本規定

2.1 適用范圍

本辦法適用于云平臺系統運維管理、安全管理、權限管理、費用管理、變更管理等。

2.2 基本定義

云平臺運維是指對云計算平臺進行管理和維護的過程。云計算平臺是一種基于互聯網的計算服務模式，它將計算資源如服務器、存儲、網絡、應用程序等通過網絡提供給用戶使用。云平臺運維包括對云計算平臺硬件、軟件、網絡和安全等方面的監控、維護、優化和升級，以確保云平臺的高可用性、穩定性和安全性。

隨著互聯網技術的發展，云計算平臺已經成為企業IT架構轉型的重要組成部分。云平臺運維的重要性也日益凸顯。云平臺運維的主要職責包括但不限于以下內容：

基礎設施維護：對云計算平臺的基礎設施進行監控、維護和更新，包括服務器、存儲服務、網絡服務等。

網絡維護：對云計算平臺的網絡進行監控、維護和優化，包括網絡拓撲結構、路由、交換等。網絡故障可能會導致服務不可用，因此網絡維護也是云平臺運維必須關注的方面。

安全維護：對云計算平臺的安全進行監控、維護和加固，包括防火墻、入侵檢測、漏洞掃描等。網絡安全是云平臺運維最重要的方面之一，只有保證云平臺的安全，才能讓用戶放心使用。

備份與恢復：云資源的備份與恢復對于保證業務連續性，提高數據可靠性，簡化備份管理，改善恢復速度，降低備份成本以及數據保護合規都具有重要的作用。

費用管理：制定云費用預算并形成云費用策略，優化云資源的配置，做好費用管理工作，并通過云監控技術，在各個階段合理地實現云資源的費用管理。幫助企業合理規劃費用、提高資源利用率、減少資源浪費，從而實現更有效的業務支持和經濟效益。。

通過對云平臺運維的有效管理，可以保證云計算平臺的高效、穩定和安全運行，提高用戶的滿意度和信任度。而且，云平臺運維還可以幫助企業降低IT成本，提高IT資源利用率，促進企業業務創新和發展。

三、職責

四、云運維管理規范

4.1 運維人員基本準則

4.1.1 必須遵守的運維準則

以下準則，所有運維服務人員必須時刻遵守和謹記

第一、操作線上系統，必須心存敬畏。

第二、業務正式上線前，必須完成監控與告警全覆蓋，必須確保告警有效性檢查。

第三、線上架構調整，必須遵循先評估、再測試、最后再調整的流程。

第四、線上系統配置變更之前，必須先備份，再確認，最后再操作。

第五、線上任何發布操作，必須做好回滾準備。

第六、重要系統，必須做好備份，必須編寫詳細的恢復操作文檔，且定期必須進行一次備份有效性檢查。

第七、主機資源回收/刪除，必須再三確認，必須遵循先關機、保留至少1天、再回收。

第八、權限回收，必須再三確認，原則上只操作停用、非必要不做刪除操作。

第九、update/delete數據表，必須先select確認無誤，再執行update。

第十、對外暴露IP的主機，必須添加端口安全限制，必須遵循最小端口開放原則，且必須進行有效性檢查。

4.1.2 運維鐵律

運維鐵律是運維人員最基本的素質，違者必究

第一、客戶數據絕對保密，不得以任何形式對外泄露、倒賣及利用；

第二、不得收受或向客戶索要好處；

第三、發現客戶存在違法行為及時向公司或領導反饋；

第四、不得做任何違反法律法規的事情；

4.2 云資源使用規范

4.2.1 VPC使用規范

4.2.1.1 VPC概述

私有網絡（Virtual Private Cloud，VPC）是一塊用戶在云平臺上自定義的邏輯隔離網絡空間，用戶可以為云服務器、云數據庫、負載均衡等資源構建邏輯隔離的、用戶自定義配置的網絡空間，以提升用戶云上資源的安全性，并滿足不同的應用場景需求。

私有網絡VPC有三個核心組成部分：私有網絡網段、子網/交換機、路由器。

· 私有網絡網段在創建專有網絡和交換機時，用戶需要以CIDR地址塊的形式指定專有網絡使用的私網網段。

· 交換機/子網，是組成專有網絡的基礎網絡設備，用來連接不同的云資源。創建專有網絡后，用戶可以通過創建交換機為專有網絡劃分一個或多個子網，同一私有網絡下不同子網默認內網互通，不同私有網絡間（無論是否在同一地域）默認內網隔離。用戶可以將應用部署在不同可用區的交換機內，提高應用的可用性。

· 路由器是專有網絡的樞紐。作為專有網絡中重要的功能組件，它可以連接專有網絡內的各個交換機，同時也是連接專有網絡和其他網絡的網關設備。每個專有網絡創建成功后，系統會自動創建一個路由器。每個路由器至少關聯一張路由表。

4.2.1.2 VPC創建規范

云環境的VPC創建需提前和網絡工程師溝通并確認好相關信息，并提交相關流程審批。創建遵循如下的VPC規范：

4.2.1.3 交換機/子網創建規范

云環境的交換機創建需提前和網絡工程師溝通并確認好相關信息，并提交相關流程審批。創建交換機需注意：

· 交換機命名規范：部門-業務種類-Area-可用區

· 業務種類：Application、Portal、Database

· 阿里云推薦E、F可用區，騰訊云推薦四區、五區

· 提前確認是否需要高可用區

需要明確以下信息并提供給網絡工程師：

4.2.2 彈性公網IP使用規范

彈性公網 IP（Elastic IP，EIP）是可以獨立購買和持有，且在某個地域下固定不變的公網 IP 地址，可以云服務器、私網負載均衡、NAT 網關、彈性網卡和高可用虛擬 IP 等云資源綁定，提供訪問公網和被公網訪問能力；還可與云資源的生命周期解耦合，單獨進行操作；同時提供多種計費模式，用戶可以根據業務特點靈活選擇，以降低公網成本。

EIP是一種NAT IP，它實際位于云平臺的公網網關上，通過NAT方式映射到被綁定的云資源上。當EIP和云資源綁定后，云資源可以通過EIP與公網通信。

彈性公網 IP的使用需走公司內部資源申請工單流程，通過后由網絡工程師幫忙創建并配置。

*需特別注意，遵循運維規范，不允許彈性公網IP直接綁定云服務器實例，必須通過NAT網關的DNAT和SNAT功能，來分別實現“將公網NAT網關上的公網IP通過端口映射或IP映射給云服務器實例使用，使云服務器實例能夠對外提供公網訪問服務“與”為VPC中無公網IP的云服務器實例提供訪問互聯網的代理服務“的兩種功能。

4.2.3 NAT網關使用規范

NAT網關（NAT Gateway）是一種網絡地址轉換服務，提供NAT代理（SNAT和DNAT）能力，可為私有網絡（VPC）內的資源提供安全、高性能的 Internet 訪問服務。

其中SNAT功能，是為VPC中無公網IP的云服務器實例提供訪問互聯網的代理服務，實現無公網IP的云服務器實例訪問互聯網。

DNAT功能，是將公網NAT網關上的公網IP通過端口映射或IP映射兩種方式映射給云服務器實例使用，使云服務器實例能夠對外提供公網訪問服務。

NAT網關的使用需走公司內部資源申請工單流程，通過后由網絡工程師幫忙創建并配置。

可以視實際情況，評估NAT網關是否可以多項目共用。

4.2.4 資源組/標簽使用規范

4.2.4.1 資源組功能

資源組（Resource Group）是在阿里云賬號下進行資源分組管理的一種機制，資源組對用戶擁有的云資源從用途、權限、歸屬等維度上進行分組，實現企業內部多用戶、多項目的資源分級管理。一個云資源只能屬于一個資源組，云資源之間的關聯關系不會因加入資源組而發生變化。

應用場景主要為如下兩種：

一是將用途不同的云資源加入不同的資源組中分開管理，例如可以將生產環境的實例和測試環境的實例，分別放入生產環境和測試環境兩個資源組中；產品測試時，建議只對測試環境資源組中的實例進行操作，避免對生產環境的實例發生誤操作。當產品需要上線時，再選擇生產環境資源組中的實例進行操作。

二是為各個資源組設置完全獨立的管理員，實現資源組范圍內的用戶與權限管理，比如可以將公司不同部門使用的實例分別放入多個資源組中，并設置相應的管理員，從而實現分部門管理實例。

4.2.4.2 標簽功能

標簽（Tag）是騰訊云和阿里云提供的云資源管理工具，用戶可以從不同維度對具有相同特征的云資源進行分類、搜索和聚合，從而輕松管理云上資源。

標簽是由標簽鍵和標簽值兩個部分組成，用戶可以為云資源創建和綁定標簽。一個標簽鍵可以對應多個標簽值，一對標簽鍵和標簽值可綁定多個云資源。

標簽的應用場景主要為如下三種：

一是使用標簽管理云資源，可以使用標簽標記在云上的已有資源，實現對這些資源分類管理，也可以通過標簽控制臺或標簽 API 根據資源的地域、類型以及標簽來查詢資源，查看到的資源將會以列表的形式展示。

二是使用標簽控制對資源的訪問，可以將標簽與訪問管理結合使用，能夠通過標簽授權的方式，讓不同的子用戶擁有不同云資源的訪問和操作權限。

三是使用標簽進行分賬，可以基于組織或業務維度為資源規劃標簽（例如：部門、項目組、地區等），然后結合云提供的分賬標簽、賬單詳情功能實現成本的分攤管理。

標簽支持的云資源：

· 阿里云支持標簽的產品：

https://help.aliyun.com/document_detail/171455.html?spm=5176.21213303.J_6704733920.9.737953c9G4p1vf&scm=20140722.S_help@@%E6%96%87%E6%A1%A3@@171455._.ID_help@@%E6%96%87%E6%A1%A3@@171455-RL_%E6%94%AF%E6%8C%81%E6%A0%87%E7%AD%BE%E7%9A%84%E4%BA%A7%E5%93%81-LOC_main-OR_ser-V_2-RK_rerank-P0_1

·  騰訊云支持標簽的產品：

https://cloud.tencent.com/document/product/651/30727

4.3 權限管理

云上的權限往往通過訪問管理或訪問控制進行管理，在阿里云上稱為訪問控制RAM（Resource Access Management），即阿里云提供的管理用戶身份與資源訪問權限的服務。在騰訊云上稱為訪問管理（Cloud Access Management，CAM），即騰訊云提供的 Web 服務，主要用于幫助用戶安全管理騰訊云賬戶下的資源的訪問權限。

在注冊云平臺賬號時，生成的賬號為主賬號，擁有該主賬號下所有云資源的管理權限。如需要其他用戶能協助一起管理賬號下的云資源，可以通過訪問控制（RAM）/訪問管理（CAM）創建、管理和銷毀用戶（組），并使用身份管理和策略管理控制其他用戶使用阿里云/騰訊云資源的權限。

通過訪問控制（RAM）/訪問管理（CAM）的功能，可以實現統一管理訪問身份及權限：

· 集中管理子用戶，管理每個子用戶及其登錄密碼或訪問密鑰，為子用戶用戶綁定多因素認證MFA（Multi Factor Authentication）設備

· 集中控制子用戶的訪問權限，控制每個子用戶訪問資源的權限

· 集中控制子用戶的資源訪問方式，確保子用戶在指定的時間和網絡環境下，通過安全信道訪問特定的云資源

主賬號管理員往往可以根據訪問權限將用戶分為以下三類:特殊用戶(或系統管理員); 一般用戶：系統管理員根據他們的實際需要為他們分配操作權限; 審計用戶：負責系統和網絡的安全控制與資源使用情況的審計。 

4.3.1 用戶崗位職責描述

· 特殊用戶：負責生產環境各個操作系統、網絡系統、硬件設備及應用軟件的管理和維護工作。

· 一般用戶：負責日常值班、監控等相關工作。

· 審計用戶：負責生產系統相關的審計工作。

4.3.2 用戶權限原則

· 遵循最小授權原則

企業需要評估每個角色的任務和職責，然后只授權所需權限，可將用戶賬戶授權的范圍限制在最少必要的范圍內，以減少賬戶被攻擊或非授權訪問的風險，同時提高賬戶管理的精細性和可控性。

· 使用策略限制條件

使用策略限制條件可以進一步加強賬戶的安全性，以確保只有授權訪問資源的用戶才能進行訪問。策略限制條件可以幫助管理員根據需要安全地限制用戶的訪問，例如限制訪問時間、允許的IP地址范圍、允許的操作類型等，并且可以限制哪些用戶可以執行特定的操作（比如只能讀數據，而不能寫）等等。

· 將用戶管理、權限管理與資源管理分離

將用戶、權限和資源分離管理通常被稱為“三權分立”模型，這是一種在安全領域中非常常見的做法，其主要思想是將用戶、權限和資源分別管理，以加強安全控制。

在這個模型中，用戶管理、權限管理和資源管理分別歸屬于不同的角色或組織單元，以便在管理和控制時更加細致和有效。具體來說，可以實現以下措施：

用戶管理：負責創建、修改、刪除用戶帳戶，管理用戶的組和角色等。用戶管理的主要任務是確保每個賬戶有一個唯一標識符，且每個賬戶都專注于其特定的任務或工作負載。這有助于確保賬戶安全和控制賬戶的適當訪問權限。

權限管理：負責定義、授予和撤銷角色和權限，以便管理用戶的訪問權限。權限管理的主要任務是確保每個用戶只能訪問其所需的資源，防止未經授權的訪問或數據泄露。

資源管理：負責創建、修改和刪除資源，并提供必要的維護和保護服務。資源管理的主要任務是確保適當的資源配置和訪問控制，并監控任何資源的異常活動或安全問題。

通過將用戶管理、權限管理和資源管理分離，可以更好地保障賬戶的安全性和數據的保密性。此外，還可以為每個職能領域指定一個特定的管理員，以便更好地監督賬戶訪問和資源使用情況。

· 為主賬戶和高風險權限子用戶啟用多因素認證（MFA）

多因素認證（MFA）是一種增加賬戶訪問安全性的方式，可以在登錄過程中要求用戶輸入兩個或者更多的身份驗證因素，例如用戶密碼和手機短信驗證等。對于主賬戶和高風險權限子用戶，啟用MFA可以進一步提高賬戶的保護級別。

啟用MFA的原因是，在某些情況下，只有密碼是不夠安全的。例如，如果密碼被泄露或者被猜測到，黑客可以使用該密碼登錄用戶的賬戶，并未獲取用戶賬戶的完全控制。啟用MFA可以幫助檢測潛在的惡意登錄嘗試并增加訪問賬戶的安全級別，這些認證因素通常是動態生成的，加密密鑰或其他特殊設備。

為主賬戶和高風險子用戶啟用MFA是非常重要的，因為這兩個賬戶通常具有最高的權限訪問。黑客攻擊者通常滿足于能夠獲得主賬戶和子賬戶的控制，進而獲取對應用程序和數據的完全訪問權限。但是，啟用MFA創造了一個額外的安全層，需要黑客攻擊者同時盜取或猜測到兩個或多個身份驗證因素的信息，才能成功進入賬戶。

· 設置所有用戶的密碼強度及登錄限制

設置控制臺的密碼強度和登錄限制，可以幫助管理員防范可能的惡意攻擊和不當操作，提高賬戶安全性。

要求密碼長度大于等于8個字符，并使用大小寫字母、數字和符號等多種字符類型；并設置密碼的重試錯誤次數和重復限制。

· 使用群組給子用戶分配權限

通過創建群組，可以將多個子用戶集成在一起，并為整個群組授權特定的權限。這使得管理和控制子用戶的權限和訪問更加簡單和高效，同時也能夠靈活地管理各個群組的訪問。

例如，作為管理員，可以創建不同的群組，為不同的群組分配不同的權限范圍。對于每個子用戶，只需要將其分配到合適的群組即可，而無需逐個為每個子用戶單獨分配權限。這可以大大節省管理員的時間和精力，同時也能幫助最大程度地確保賬戶的安全性。

此外，可以將群組繼承來自其他群組的權限，這意味著可以通過將子群組嵌入到其他群組中來分配權限。通過這種方法，可以更輕松地管理和控制賬戶權限，并確保權限的合理和精細分配。

· 將控制臺用戶與 API 用戶分離

控制臺用戶是用于登錄云服務的賬戶，具有管理控制臺的權限；而API用戶是用來訪問云服務的應用程序，具有對云資源的訪問和管理的權限。

將控制臺用戶和API用戶分離的原因是，兩類用戶之間的訪問權限不同，必須進行分類管理?？刂婆_用戶可以進行各種管理操作，包括訪問、創建、修改、刪除云資源等；而API用戶只需要訪問和管理用戶指定的特定資源，因此具有更小的訪問范圍。

通過將兩類用戶分離，可以減少因某一用戶權限泄露而導致的安全風險。同時，也能更好地實現用戶權限的精細化管理和控制。例如，可以根據需要為API用戶批準或撤銷特定的資源訪問權限，而無需擔心控制臺用戶操作誤操作或濫用權限。

· 及時撤銷用戶不再需要的權限

一旦用戶不再需要某些權限，可以將其從賬戶中刪除或者將其權限進行降級。這可以減少賬戶被黑客攻擊或泄漏的風險，同時能夠幫助安全管理員更好的管理賬戶權限。

在進行權限撤銷時，可以制定一套詳細的流程和規范，確保權限的去除和更新操作能夠被安全和順利地執行。例如，在流程中可以設定針對多個權限撤銷設置不同的有效期限；為不同權限的撤銷設定試用期；制定一套詳細的管理和交接的流程，確保新管理員能夠及時掌握賬戶權限情況。

· 禁止主賬號密碼共享

如果多個用戶共享同一個賬號和密碼，那么賬號的安全性將會受到威脅，容易被黑客攻擊或泄漏，甚至會丟失重要的用戶數據和信息。

此外，多人共享同一個賬號密碼還存在其他的問題。例如，不同的用戶應該擁有不同的訪問權限，共享賬號將無法實現個性化的權限設置。同時，共享賬號也會使用戶行為難以追蹤和管理，無法精準地監控用戶的操作和流量使用情況。

因此，禁止主賬號密碼共享不僅有助于保護用戶賬號的安全性，也有助于提高用戶的使用體驗和系統的安全管理性。如果需要多個人訪問同一個平臺或服務，可以使用多個子賬號，并分配不同的權限和訪問范圍，來保障賬號的安全和管理。

· 不要為主賬號創建訪問密鑰

訪問密鑰實際上是一組臨時憑證，用于對云服務進行身份驗證和授權，而不需要使用主賬號和密碼。與主賬號和密碼不同，訪問密鑰可以隨時進行創建和撤銷，使得賬號的安全性更高。但是由于主賬號權限過高，如果不妥善管理訪問密鑰，出現訪問密鑰意外泄露的情況，黑客可以使用這些憑證來訪問用戶的賬戶并竊取敏感信息，危害遠遠大于子賬號的訪問密鑰泄漏。

4.3.3 權限分配流程

1. 鑒別用戶身份

在為用戶授權之前，必須要先確認用戶的身份，確認用戶的真實姓名、職務、所屬部門等信息，確保對正確的人員進行授權。

2. 制定授權策略

對于不同的角色，企業需要制定相應的授權策略，根據用戶的實際需求來為其分配相應的權限，嚴格按照“最小權限原則”和“依據需求授權”原則來執行。

3. 審批授權請求

用戶在申請權限時，需要經過上級的審批，審批人員需要核實用戶的身份和申請權限的合理性，然后根據實際情況來審批申請。

 4. 分配權限

在經過審批之后，根據授權策略為用戶分配相應的權限，確保用戶只擁有所需的最低權限，防止授權過度導致的風險和漏洞。

5. 定期審查權限

定期審查每個角色的權限模板，以確保已包括必要的權限并且沒有包括不必要的權限。審查每個用戶/角色的權限以確保它們的權限是最新的并且合理的。審計安全事件記錄來查看是否存在未經授權的權限請求或使用。

6. 撤銷用戶權限

當用戶不再需要某些權限時，立即撤銷這些權限。離職或調崗的用戶的權限必須立即撤銷。

4.4 安全管理

4.4.1 網絡安全

4.4.1.1 開放訪問外網

如果用戶的服務器需要訪問外網或對外提供服務，不能直接將EIP綁定到ECS，這樣會存在安全風險。相反，用戶需要按照一定的規范進行配置，以確保安全性和可靠性。

第一步，申請EIP和NAT資源

EIP（Elastic IP Address）是一種公網IP地址，可被動態地分配和釋放。在云平臺上，用戶可以將其申請并綁定到云服務器實例上，從而實現實例的公網訪問。但是，為了保障安全，用戶不得直接將EIP綁定到云服務器上，用戶需要申請NAT網關，再通過SNAT將ECS私網IP地址轉換為公網EIP地址，以實現對外通信。

第二步，申請SNAT和DNAT配置，及云防火墻配置

SNAT（Source Network Address Translation）是一種源地址轉換技術，可將內網IP地址轉換為外網IP地址，以實現內網與外網的通信。在云平臺上，用戶可以通過配置SNAT條目來實現該功能。

DNAT（Destination Network Address Translation）是一種目標地址轉換技術，可將外網IP地址轉換為內網IP地址，以實現公網訪問內網資源。在云平臺上，用戶可以通過配置DNAT條目來實現該功能。

此外，用戶還需要為云服務器配置云防火墻規則，以保障網絡安全。通過添加防火墻規則，用戶可以限制流量的進出，避免惡意攻擊和數據泄露。

總之，無論需不需要將服務發布到公共互聯網上，都請不要將EIP直接綁定到云服務器上，而應該按照規范進行相關網絡配置。這樣可以有效地提高網絡安全性和可靠性。

4.4.1.2 防火墻配置

為了保護云資產安全，需要在云上配置防火墻，而且防火墻的管理由安全部門進行統一進行。以獲取外網資源為例，首先需要在用戶內部確認需求，領導溝通確認后再向安全部門提交工單，明確說明哪些機器需要訪問哪些資源。工單中需要詳細描述每臺機器需要訪問的資源名稱、類型以及機器名稱，以便安全部門能夠根據這些信息快速準確地設置防火墻規則。這樣可以保障系統的安全和穩定，防止惡意攻擊和數據泄露，從而確保企業的正常運營和業務發展。

4.4.1.3 網絡劃分

在云環境中，為了實現不同部門之間的網絡隔離與安全，可以使用虛擬專有網絡（VPC）技術。根據實際需求多個部門需要共用同一個VPC，則需要將VPC內部的網絡進行分段，并為每個部門創建對應的交換機。通過這種方式，不同部門之間的網絡可以互通，但是互相之間不會產生干擾。

在VPC中，唯一的限制是通過安全組進行控制。安全組是一種網絡安全服務，可以用來控制進出VPC的流量。通過設置安全組規則，可以限制VPC內部不同部門之間的流量，僅允許必要的流量通過。這樣，就可以保證VPC內部各部門的網絡安全，防止網絡攻擊和數據泄露等風險。

需要注意的是，使用VPC和安全組并不能完全消除網絡安全風險，仍然需要采取其他措施來保護云上的資源。只有通過綜合的安全策略，才能保證云上資源的安全性和可靠性。

4.4.2 運維安全加固

使用安全中間件組件進行安裝，并進行系統與應用的安全加固，含：

· 遵循最小授權原則；

· 禁用或刪除無用賬號；

· 將用戶管理、權限管理與資源管理分離；

· 禁用 root 權限；

· 不要為主賬號創建訪問密鑰；

· 將控制臺用戶與 API 用戶分離；

· 修改 SSH、應用默認端口號；

· 關閉不常用服務及端口；

· 限制外網 IP 登陸；

· 添加用戶登陸警告信息；

· 設置異地登陸服務器短信和郵件告警；

· 根據需要，設置登陸時間限制、定期修改密碼；

· 梳理安全組策略，對業務訪問進行精細化訪問控制；

· RDS、Redis等進行白名單設置。

4.4.3 云服務器安全組訪問策略

云服務器的安全組提供了防火墻功能，是重要的網絡安全隔離手段，通過設定各安全組之間的安全規則，可搭建多層訪問控制體系，實現訪問安全。

建立應用、數據和管理的安全組，分別對應用服務器、數據庫及數據服務器的連接進行訪問管控。下文中的安全組訪問控制規則為簡單舉例，實際中會根據具體的安全要求進行調整。

1) Web服務器組規則示例

2) 數據庫服務器組規則示例

4.4.4 操作審計

云平臺都提供了操作審計功能，可以記錄云平臺賬號下的所有操作日志。阿里云上是操作審計功能，騰訊云上的是云審計功能，通過這個功能，用戶可以清楚地了解賬號下所有操作的情況，包括哪些人員進行了哪些操作，以及何時進行的操作等等。這對于管理阿里云資源、保障賬號安全非常重要。

· 要開啟阿里云的操作審計功能，用戶需要先在阿里云控制臺上創建一個審計日志服務（SLS）項目，并將需要審計的云賬號添加到該項目中。然后，在控制臺上設置審計策略，定義哪些操作需要被記錄下來。

· 在創建騰訊云賬號時，云審計將會被啟用 ，自動接入不同云產品。當騰訊云賬號中發生活動時，該活動將被記錄在云審計事件中。用戶可以轉到事件歷史輕松查看 云審計控制臺中的事件。

一旦開啟了操作審計/云審計功能，用戶就可以在控制臺上查詢審計日志，了解賬號下所有操作的詳細情況。此外，云平臺還提供了實時監控和告警功能，用戶可以及時獲得操作異常的警報，并及時采取措施。

總之，云平臺的操作審計功能對于管理云平臺資源、保障賬號安全非常有幫助，建議用戶合理使用該功能。