漏洞治理旨在帮助客户扫描系统中存在的安全漏洞并提供漏洞信息及修复建议等信息,部分漏洞可开启精准防御、可自动修复。本文档将为您介绍如何进行漏洞治理。
限制说明
解锁漏洞治理功能,须至少存在1台专业版/旗舰版主机。
漏洞治理范围说明如下:(‘✓’表示支持,‘-’表示暂不支持)。
漏洞治理功能 | 漏洞类型 | Linux 系统 | Windows 系统 |
漏洞扫描 专业版、旗舰版主机适用 | Linux 软件漏洞 | ✓ | - |
| Windows 系统补丁 | - | ✓ |
| Web-CMS 漏洞 | ✓ | ✓ |
| 应用漏洞 | ✓ | ✓ |
漏洞防御 旗舰版主机适用 | Linux 软件漏洞 | - | - |
| Windows 系统补丁 | - | - |
| Web-CMS 漏洞 | ✓仅支持部分漏洞 | - |
| 应用漏洞 | ✓仅支持部分漏洞 | - |
漏洞自动修复 专业版、旗舰版主机适用 | Linux 软件漏洞 | ✓ 仅支持部分漏洞 | - |
| Windows 系统补丁 | - | ✓ |
| Web-CMS 漏洞 | ✓ 仅支持部分漏洞 | ✓ 仅支持部分漏洞 |
| 应用漏洞 | - | - |
漏洞扫描和自动修复支持的操作系统,详情如下:
操作系统 | 系统版本 | 系统漏洞 | 应用漏洞/Web-CMS 漏洞 |
CentOS | CentOS 5 | ✓ | ✓ |
| CentOS 6 | ✓ | ✓ |
| CentOS 7 | ✓ | ✓ |
| CentOS 8 | ✓ | ✓ |
Debian 说明: 仅支持漏洞扫描,不支持漏洞自动修复。 | Debian 8 | - | ✓ |
| Debian 9 | - | ✓ |
| Debian 10 | - | ✓ |
| Debian 11 | - | ✓ |
| Debian 12 | - | ✓ |
Windows 说明: 仅支持漏洞扫描,不支持漏洞自动修复。 | Windows Server 2008 | ✓ | ✓ |
| Windows Server 2012 | ✓ | ✓ |
| Windows Server 2016 | ✓ | ✓ |
| Windows Server 2019 | ✓ | ✓ |
| Windows Server 2022 | ✓ | ✓ |
Ubuntu | Ubuntu 16.04 | ✓ | ✓ |
| Ubuntu 18.04 | ✓ | ✓ |
| Ubuntu 20.04 | ✓ | ✓ |
| Ubuntu 21.04 | ✓ | ✓ |
| Ubuntu 22.04 | ✓ | ✓ |
| Ubuntu 24.04 | ✓ | ✓ |
Tlinux/TencentOS | Tlinux | - | ✓ |
RockyLinux | RockyLinux | - | ✓ |
OpenCloudOS | OpenCloudOS | - | ✓ |
为避免修复操作影响用户业务,漏洞修复不会在检出漏洞后立即自动执行,须由用户评估风险后,主动单击修复并完成数据备份,才会启动自动化修复流程。具体操作详情请参见 漏洞自动修复文档。
操作系统生命周期限制。针对已进入停更状态的操作系统(即官方已停止更新的操作系统的版本),云安全中心将不再提供停更时间之后新出现漏洞的扫描和修复支持。停更时间前出现的漏洞仍会得到支持,已支持漏洞的范围也不受影响,停更系统列表如下:
操作系统版本 | 官方停止更新时间 |
Windows Server 2003 | 2015年07月14日 |
Windows Server 2008 | 2020年01月14日 |
Windows Server 2008 R2 | 2020年01月14日 |
Windows Server 2008 SP2 | 2020年01月14日 |
Windows Server 2012 | 2023年10月10日 |
Windows Server 2012 R2 | 2023年10月10日 |
Ubuntu 12.04 LTS | 2017年04月28日 |
Ubuntu 14.04 LTS | 2019年04月 |
Ubuntu 16.04 LTS | 2021年04月 |
Ubuntu 18.04 LTS | 2023年04月 |
CentOS 5 | 2017年03月31日 |
CentOS 6 | 2020年11月30日 |
CentOS 7 | 2024年6月30日 |
CentOS 8 | 2021年12月31日 |
漏洞扫描
1. 登录云安全中心控制台,在左侧导览中,单击漏洞管理。
2. 在漏洞扫描模块中,支持一键扫描、定时扫描设置。
单击一键扫描,将打开一键扫描设置弹窗,您可对本次扫描的漏洞类别、漏洞威胁等级、超时设置、扫描主机范围进行设置。
单击扫描设置,将打开漏洞设置弹窗并锚点至定时扫描,您可对定时扫描开关、扫描漏洞类别、漏洞威胁等级、漏洞扫描方式、定时扫描周期、扫描主机范围进行设置。
单击详情可查看上一次扫描的详情,并支持下载 PDF 扫描报告、Excel 扫描结果。
应用防护
1. 在应用防护模块中,支持查看已开启防护的资产、防御成功次数及防御趋势情况。
说明:
应用防护针对 Linux 系统主机(JDK 版本 ≥ 1.6.0),提供 0day 应用漏洞防御、内存马防御能力,支持精准漏洞与通用漏洞攻击检测防御,监测面更广、规则更精准。无需修改应用程序代码或重新部署,推荐重保场景及热门应用漏洞防御场景使用。
2. 单击前往防护配置将打开应用防护 > 防护开关配置,您可设置应用防护的开关、查看可防御漏洞、选择防御主机范围、查看防御插件详情。
注意:
开启应用防护时,将会有短暂的资源占用升高(平均1~2分钟),建议您避开业务高峰时期,分批开启。
漏洞处置
1. 在漏洞治理页下方,您可查看当前检出漏洞的统计情况及详细漏洞列表。
2. 在漏洞概览模块中,展示了漏洞检出情况、网络攻击事件次数及今日新增情况,并展示了云安全中心漏洞库总数。
字段名称 | 字段说明 |
高优修复漏洞 | 该分类下展示热度攻击漏洞,以及严重/高危漏洞,需要优先修复处理,默认统计待修复漏洞数量。单击自定义规则可对高优修复漏洞进行自定义规则判定。 |
全部漏洞 | 检出 Linux 软件漏洞、Windows 系统漏洞、Web-CMS 漏洞、应用漏洞的数量总和。 |
影响主机 | 检出漏洞的主机数量。 |
网络攻击事件(近1月) | 统计近1个月内网络攻击事件的数量。 |
已支持漏洞 | 可查看云安全中心支持检测的漏洞库,每日最多可检索25次,单次搜索最多可展示100条结果。 |
3. 在漏洞列表模块中,展示当前检出的具体漏洞,已分为应急漏洞、全部漏洞2类,二者功能无太大差异,下面以全部漏洞举例,为您介绍漏洞处置。
说明:
应急漏洞:专为新发现、影响广、危害高的紧急漏洞而设,相当于一份重点漏洞走查清单,用户可对其发起手动扫描或设置定期扫描,以确保及时响应高危风险。
全部漏洞:汇总展示所有检测到的服务器漏洞,涵盖从低危到严重的全部威胁等级,包含已检测到的应急漏洞。
字段名称 | 字段说明 |
漏洞名称/标签 | 漏洞名称指当前检出的漏洞,标签指该漏洞的标签(如:远程利用、服务重启、存在 EXP 等)。 |
检测方式 | 版本对比、POC 验证。 |
漏洞类型 | Linux 软件漏洞、Windows 系统漏洞、Web-CMS 漏洞、应用漏洞。 |
威胁等级 | 严重、高危、中危、低危。 |
全网攻击热度 | 高、中、低、无热度。 |
CVSS | 指通用漏洞评分系统的评分,分数范围从0到10,0代表最不严重,10代表最严重。 |
CVE 编号 | 公共漏洞暴露库中,识别该漏洞的唯一编号。 |
最后扫描时间 | 最近一次扫描到该漏洞的时间。 |
影响主机 | 存在该漏洞的主机数量。 |
处理状态 | 待修复、修复中、扫描中、已修复、已忽略、修复失败。 |
自动修复状态 | 暂不支持修复、可自动修复(无需重启)、可自动修复(需重启)。 |
操作 | 一键修复:部分 Linux 软件漏洞、Web-CMS 漏洞支持自动修复,可单击一键修复打开漏洞详情弹窗,选择需要修复的主机进行修复,详情请参见 漏洞自动修复。 更多:重新扫描(重新对该漏洞进行扫描);忽略漏洞(对该漏洞进行忽略,后续不再对该主机扫描该漏洞)。 |
