漏洞管理概覽

HSS提供漏洞管理功能，檢測Linux漏洞、Windows漏洞、Web-CMS漏洞、應用漏洞，提供漏洞概覽，包括主機漏洞檢測詳情、漏洞統計、漏洞類型分布、漏洞TOP5和風險服務器TOP5，幫助您實時了解主機漏洞情況。

漏洞檢測分為自動檢測和手動檢測，自動檢測按照系統預設時間在每日凌晨自動執行，若需要查看目標服務器的漏洞情況或查看服務器當前漏洞情況可選擇手動檢測。

檢測原理

漏洞檢測原理

漏洞分類	原理說明	檢測周期
Linux漏洞	通過與漏洞庫進行比對，檢測出系統和軟件（例如：SSH、OpenSSL、Apache、MySQL等）是否存在的漏洞，將存在風險的結果上報至管理控制臺，并為您提供漏洞告警。	每日凌晨自動檢測 手動檢測
Windows漏洞	通過訂閱微軟官方更新，判斷服務器上的補丁是否已經更新，并推送微軟官方補丁，將存在風險的結果上報至管理控制臺，并為您提供漏洞告警。	-
Web-CMS漏洞	通過對Web目錄和文件進行檢測，識別出Web-CMS漏洞，將存在風險的結果上報至管理控制臺，并為您提供漏洞告警。	-
應用漏洞	通過檢測服務器上運行的軟件及依賴包發現是否存在漏洞，將存在風險的漏洞上報至控制臺，并為您提供漏洞告警。	1次/周（每周一凌晨05：00左右） 手動檢測

                    
注意
                    
漏洞管理顯示24小時內檢測到的結果。若檢測到主機存在漏洞后，您修改了主機的名稱，檢測結果會顯示原主機名稱。

                    
                  
                  

約束限制

• 未開啟防護不支持漏洞相關操作。
• 目標服務器“Agent狀態”為“在線”，“服務器狀態”為“運行中”，“防護狀態”為“防護中”。
• 基礎版僅支持自動檢測，不支持漏洞處理相關操作。
• HCE 2.0當前暫不支持漏洞檢測和配置檢測功能，將會根據后續版本迭代上線。
• 漏洞檢測支持的Linux系統及版本如表所示。

Linux操作系統支持的版本

操作系統	支持的OS版本
EulerOS	2.2，2.3，2.5，2.8 and 2.9 64bit
CentOS	6.5，6.8，6.9，6.10，7.1，7.2，7.3，7.4，7.5，7.6，7.7，7.8 and 7.9 (64 bit)
RedHat	Enterprise Linux 6.10 and 7.5 64bit
Ubuntu	16.04, 18.04 and 20.04 server 64bit
OpenSUSE	13.2 and 42.2 64bit
Debian	8.2.0，8.8.0，9.0.0 and 10.0.0 64bit
Kylin OS	V10 SP1 64bit

支持的Windows系統版本

序號	支持的OS類型	使用限制說明
1	Windows Server 2019數據中心版64位英文(40GB)	若服務器安裝了McAfee軟件、360安全衛士、騰訊管家等第三方安全防護軟件，請先停止第三方安全防護軟件的防護功能，待Agent安裝完成后再開啟。
2	Windows Server 2019數據中心版64位簡體中文(40GB)	-
3	Windows Server 2016標準版64位英文(40GB)	-
4	Windows Server 2016標準版64位簡體中文(40GB)	-
5	Windows Server 2016數據中心版64位英文(40GB)	-
6	Windows Server 2016數據中心版64位簡體中文(40GB)	-
7	Windows Server 2012 R2標準版64位英文(40GB)	-
8	Windows Server 2012 R2標準版64位簡體中文(40GB)	-
9	Windows Server 2012 R2數據中心版64位英文(40GB)	-
10	Windows Server 2012 R2數據中心版64位簡體中文(40GB)	-

檢測周期

主機安全服務每日凌晨將自動進行一次全面的檢測，檢測后會生成漏洞掃描結果，可自行導出漏洞報告。

操作步驟

1、登錄管理控制臺。

2、在頁面左上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、在彈窗界面單擊“體驗新版”，切換至主機安全服務頁面。

                    
說明
                    
切換至新版后，在總覽頁左上角單擊“返回舊版”，可切換至主機安全（舊版）。

                    
                  
                  

4、在左側導航樹選擇“風險預防 > 漏洞管理”，進入漏洞管理頁查看漏洞概覽。

主機漏洞檢測詳情

顯示主機總數、已檢測主機、未檢測主機以及受漏洞影響的主機數量。

主機漏洞檢測詳情

漏洞統計

顯示未修復漏洞、高危、中危、低危漏洞數量。

漏洞統計

漏洞類型分布

顯示Linux漏洞、Windows漏洞、Web-CMS漏洞和應用漏洞總體數量。

單擊Linux漏洞/Windows漏洞/Web-CMS漏洞/應用漏洞，可查看對應漏洞總數。

漏洞類型分布

漏洞TOP5

顯示TOP5的漏洞。

漏洞TOP5

風險服務器TOP5

顯示TOP5風險的服務器

漏洞檢測（手動）

通過手動執行漏洞檢測可滿足批量服務器的漏洞檢測掃描。

約束限制

• 未開啟防護不支持漏洞相關操作。
• 目標服務器“Agent狀態”為“在線”，“服務器狀態”為“運行中”，“防護狀態”為“防護中”。
• 基礎版不支持。
• HCE 2.0當前暫不支持漏洞檢測和配置檢測功能，將會根據后續版本迭代上線。

操作步驟

1、登錄管理控制臺。

2、在頁面左上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、在彈窗界面單擊“體驗新版”，切換至主機安全服務頁面。

                    
說明
                    
切換至新版后，在總覽頁左上角單擊“返回舊版”，可切換至主機安全（舊版）。
                    
                  
                  

4、在左側導航樹選擇“風險預防 > 漏洞管理”，進入漏洞管理頁查看漏洞概覽。

進入漏洞管理頁面

5、單擊右上角“漏洞檢測”，在彈窗中勾選需要檢測的漏洞類型和目標服務器。

勾選漏洞檢測的參數

6、確認無誤，單擊“確認”，自動執行目標服務器的漏洞檢測任務，漏洞檢測按鈕變更為“檢測中”的狀態。

漏洞檢測中

7、檢測結束后，右上角“漏洞檢測”按鈕狀態釋放，可再次執行手動檢測，同時按鈕下方“最近檢測時間”更新為當前檢測的時間后，表示檢測完成。

                    
說明
                    
檢測完成后，漏洞管理頁面所顯示的內容均為最近一次的檢測數據。
                    
                  
                  

檢測完成

8、在漏洞列表右側，單擊 ，可導出漏洞檢測結果進行查看。

導出漏洞報告

                    
說明
                    
應用漏洞單次導出最大數量為5000條。
主機安全服務每日凌晨會自動進行一次全面的掃描檢測，掃描結束后可下載漏洞報告，若有特殊需求，也可通過手動掃描漏洞導出實時報告
                    
                  
                  

查看漏洞詳情

約束限制

• 未開啟防護不支持漏洞相關操作。
• 目標服務器“Agent狀態”為“在線”，“服務器狀態”為“運行中”，“防護狀態”為“防護中”。
• HCE 2.0當前暫不支持漏洞檢測和配置檢測功能，將會根據后續版本迭代上線。

Linux漏洞/Windows漏洞/Web-CMS漏洞/應用漏洞

1、登錄管理控制臺。

2、在頁面左上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、在彈窗界面單擊“體驗新版”，切換至主機安全服務頁面。

                    
說明
                    
切換至新版后，在總覽頁左上角單擊“返回舊版”，可切換至主機安全（舊版）。

                    
                  
                  

4、在左側導航樹中，選擇“風險預防 > 漏洞管理”，進入漏洞管理界面。

5、在漏洞管理界面，選擇“Linux漏洞”、“Windows漏洞”、“Web-CMS漏洞”、“應用漏洞”任意一個頁簽，進入對應漏洞管理頁面。

查看漏洞檢測結果

6、在漏洞頁面，單擊“漏洞名稱”，查看漏洞信息，包括漏洞基本信息、解決方案、漏洞CVE描述。

漏洞信息

7、選擇“受影響服務”頁簽，查看漏洞影響的服務器，在該頁面，您可以對漏洞進行處理。

影響服務器

• 單擊目標漏洞“操作”列的“修復”，您可修復目標漏洞。
• 單擊“忽略”，您可忽略該漏洞，HSS將不再上報并告警此服務器上的這個漏洞。
• 修復漏洞后，您可以單擊“驗證”，一鍵驗證該漏洞是否已修復成功。
  若您未進行手動驗證，主機防護每日凌晨進行全量檢測，您修復后需要等到次日凌晨檢測后才能查看修復結果。
  若提示修復失敗，可以單擊“查看原因”了解具體原因并處理。
• 漏洞批量操作，可勾選多個漏洞。
  單擊列表上方“忽略”，可以批量忽略漏洞。
  單擊列表上方“取消忽略”，可以批量取消已忽略的漏洞。
  單擊列表上方“一鍵修復”，可以批量修復漏洞。
  單擊列表上方“驗證”，可以批量驗證漏洞。

導出漏洞報告

進入目標漏洞頁簽頁面，在漏洞列表的右上角，單擊導出漏洞報告。

導出漏洞報告

說明
應用漏洞單次導出最大數量為5000條。
主機安全服務每日凌晨會自動進行一次全面的掃描檢測，掃描結束后可下載漏洞報告，若有特殊需求，也可通過手動掃描漏洞導出實時報告，操作詳情請參見漏洞檢測（手動）。

漏洞修復與驗證

• Linux軟件漏洞和Windows系統漏洞：
  您可以使用“一鍵修復”功能進行修復，也可以根據界面提供的修復建議進行手動修復。
  修復完成后，可通過“驗證”功能，快速驗證漏洞是否修復成功。

                    
說明
                    
Windows漏洞修復需要公網訪問權限。
Web-CMS漏洞：
? 請根據界面提供的修復建議進行手動修復。
應用漏洞：
? 請根據界面提供的修復建議進行手動修復。
                    
                  
                  

約束限制

• 未開啟防護不支持漏洞相關操作。
• 目標服務器“Agent狀態”為“在線”，“服務器狀態”為“運行中”，“防護狀態”為“防護中”。
• 基礎版不支持。
• HCE 2.0當前暫不支持漏洞檢測和配置檢測功能，將會根據后續版本迭代上線。

操作風險

• 執行主機漏洞修復可能存在漏洞修復失敗導致業務中斷，或者中間件及上層應用出現不兼容等風險，并且無法進行回滾。為了防止出現不可預料的嚴重后果，建議您通過云服務器備份（CSBS）為ECS創建備份。然后，使用空閑主機搭建環境充分測試，確認不影響業務正常運行后，再對主機執行漏洞修復。
• 在線修復主機漏洞時，需要連接Internet，通過外部鏡像源提供漏洞修復服務。但是，如果主機無法訪問Internet，或者外部鏡像源提供的服務不穩定時，可以使用提供的鏡像源進行漏洞修復。
  為了保證漏洞修復成功，請在執行在線升級漏洞前，確認主機中已配置對應操作系統的鏡像源。

修復緊急度

• 高危：您必須立即修復的漏洞，攻擊者利用該類型的漏洞會對主機造成較大的破壞。
• 中危：您需要修復的漏洞，為提高您主機的安全能力，建議您修復該類型的漏洞。
• 低危：該類型的漏洞對主機安全的威脅較小，您可以選擇修復或忽略。

漏洞顯示時長

• 漏洞狀態為“修復失敗”或者“未處理”的漏洞會一直顯示在漏洞列表中。
• 漏洞狀態為“修復成功”的漏洞，修復成功后，30天后才不會在漏洞列表中顯示。

控制臺一鍵修復漏洞

僅Linux軟件漏洞和Windows系統漏洞支持控制臺一鍵漏洞修復。

1、登錄管理控制臺。

2、在頁面左上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、在彈窗界面單擊“體驗新版”，切換至主機安全服務頁面。

                    
說明
                    
切換至新版后，在總覽頁左上角單擊“返回舊版”，可切換至主機安全（舊版）。
                    
                  
                  

4、在左側導航樹中，選擇“風險預防 > 漏洞管理”，進入“漏洞管理”頁面，單擊“處理”，進入影響服務器頁面。

修復漏洞

5、在“受影響服務器”頁面，勾選受影響的服務器，單擊“一鍵修復”，修復漏洞。

一鍵修復漏洞

6、在彈出的修復漏洞窗口中，勾選“我確定知曉如未進行創建備份，可能存在修復失敗導致業務中斷的風險，同時無法進行回滾”。

7、單擊“確認”，進行一鍵修復漏洞，修復狀態處于“修復中”。

漏洞修復完成后，若修復成功，修復狀態將變更為“修復成功”。若修復失敗，修復狀態將變更為“修復失敗”。

                    
說明
                    
“Linux系統Kernel類的漏洞”修復完成后需要手動重啟，否則HSS仍可能為您推送漏洞消息。
                    
                  
                  

手動修復系統軟件漏洞

進入到漏洞的基本信息頁，可根據修復建議修復主機中已經被識別出的漏洞，漏洞修復命令可參見表。

• 不同的漏洞請根據修復建議依次進行修復。
• 若同一主機上的多個軟件包存在同一漏洞，您只需修復一次即可。

                    
說明
                    
“Windows系統漏洞”和“Linux系統Kernel類的漏洞”修復完成后需要手動重啟，否則HSS仍可能為您推送漏洞消息。
                    
                  
                  

漏洞修復命令

操作系統	修復命令
CentOS/Fedora /Euler/Redhat/Oracle	yum update軟件名稱
Debian/Ubuntu	apt-get update && apt-get install軟件名稱--only-upgrade
Gentoo	請參見漏洞修復建議。

漏洞修復有可能影響業務的穩定性，為了防止在修復漏洞過程影響當前業務，建議參考以下兩種方案，選擇其中一種執行漏洞修復：

方案一：創建新的虛擬機執行漏洞修復

1、為需要修復漏洞的ECS主機創建鏡像。

2、使用該鏡像創建新的ECS主機。

3、在新啟動的主機上執行漏洞修復并驗證修復結果。

4、確認修復完成之后將業務切換到新主機。

5、確定切換完成并且業務運行穩定無故障后，可以釋放舊的主機。如果業務切換后出現問題且無法修復，可以將業務立即切換回原來的主機以恢復功能。

方案二：在當前主機執行修復

1、為需要修復漏洞的ECS主機創建備份。

2、在當前主機上直接進行漏洞修復。

3、如果漏洞修復后出現業務功能問題且無法及時修復，立即使用備份恢復功能將主機恢復到修復前的狀態。

說明
方案一適用于第一次對主機漏洞執行修復，且不確定漏洞修復的影響。新創建的ECS主機建議采用按需計費的方式創建，待業務切換完成后可以根據需要轉換計費模式。如果漏洞修復不成功可以隨時釋放以節省開銷。
方案二適用于已經有同類主機執行過修復，漏洞修復方案已經比較成熟可靠的場景。

漏洞忽略

某些漏洞只在特定條件下存在風險，比如某漏洞必須通過開放端口進行入侵，如果主機系統并未開放該端口，則該漏洞不存在危害。如果評估后確認某些漏洞無害，可以忽略該漏洞，無需修復。

忽略后，主機安全服務將不會對該漏洞告警。

修復驗證

漏洞修復后，建議您立即進行驗證。

手動驗證

• 通過漏洞詳情頁面的“驗證”，進行一鍵驗證。
• 執行以下命令查看軟件升級結果，確保軟件已升級為最新版本。

驗證修復命令

操作系統	修復命令
CentOS/Fedora /Euler/Redhat/Oracle	rpm -qa
Debian/Ubuntu	dpkg -l
Gentoo	emerge --search軟件名稱

自動驗證

若您未進行手動驗證，主機防護每日凌晨進行全量檢測，您修復后需要等到次日凌晨檢測后才能查看修復效果。