检测能力 移动应用安全 对用户提供的安卓、鸿蒙应用进行安全漏洞、隐私合规检测，基于静态分析技术，结合数据流静态污点跟踪，检测权限、组件、网络、等APP基础安全漏洞，并提供详细的漏洞信息及修复建议。 代码检查 由外部代码检查服务提供，代码检查（CodeCheck）是基于云端实现代码质量管理的服务，软件开发者可在编码完成后执行多语言的代码静态检查和安全检查，获取全面的质量报告，并提供缺陷的分组查看与改进建议，有效管控代码质量。 漏洞扫描 由外部漏洞扫描服务提供，漏洞扫描服务（Vulnerability Scan Service，简称VSS）是针对网站、主机、移动应用、软件包/固件进行漏洞扫描的一种安全检测服务，目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。扫描成功后，提供扫描报告详情，用于查看漏洞明细、修复建议等信息。 漏洞扫描服务具有Web网站扫描和两种扫描能力。 Web网站扫描：采用网页爬虫的方式全面深入地爬取网站url，基于多种不同能力的漏洞扫描插件，模拟用户真实浏览场景，逐个深度分析网站细节，帮助用户发现网站潜在的安全隐患。同时内置了丰富的无害化扫描规则，以及扫描速率动态调整能力，可有效避免用户网站业务受到影响。 主机扫描：经过用户授权（支持帐密授权）访问用户主机，漏洞扫描服务能够自动发现并检测主机操作系统、中间件等版本漏洞信息和基线配置，实时同步官网更新的漏洞库匹配漏洞特征，帮助用户及时发现主机安全隐患。

背景介绍 态势感知通过集成华为云安全公告、漏洞扫描数据，以及实施扫描任务，集中呈现云上资产漏洞风险，以及实时通报突发安全漏洞预警，帮助用户及时发现资产安全短板，修复危险漏洞。 态势感知支持以下类型的漏洞： 应急漏洞公告 接入华为云安全公告数据信息，呈现业界近期广泛披露的热点安全漏洞。 主机漏洞 包括Linux软件漏洞、Windows系统漏洞、Web-CMS漏洞。 网站漏洞 包括Web常规漏洞、端口漏洞、弱密码、CVE漏洞、网页内容合规（图片、文字）、网站挂马、链接健康等共8大类漏洞的检测。

背景介绍 态势感知通过集成华为云安全公告、漏洞扫描数据，以及实施扫描任务，集中呈现云上资产漏洞风险，以及实时通报突发安全漏洞预警，帮助用户及时发现资产安全短板，修复危险漏洞。 态势感知支持以下类型的漏洞： 应急漏洞公告 接入华为云安全公告数据信息，呈现业界近期广泛披露的热点安全漏洞。 主机漏洞 包括Linux软件漏洞、Windows系统漏洞、Web-CMS漏洞。 网站漏洞 包括Web常规漏洞、端口漏洞、弱密码、CVE漏洞、网页内容合规（图片、文字）、网站挂马、链接健康等共8大类漏洞的检测。

功能特性 漏洞扫描服务可以帮助您快速检测出您的网站、主机、移动应用和软件包/固件存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 网站漏洞扫描 具有OWASP TOP10和WASC的漏洞检测能力，支持扫描22种类型以上的漏洞。 扫描规则云端自动更新，全网生效，及时涵盖最新爆发的漏洞。 支持HTTPS扫描。 一站式漏洞管理 支持任务完成后短信通知用户。如果您希望在扫描任务执行完成后收到短信通知，请购买专业版、高级版或者企业版。 提供漏洞修复建议。如果您需要查看修复建议，请购买专业版、高级版或者企业版。 支持下载扫描报告，用户可以离线查看漏洞信息，报告格式为PDF。如果您需要下载扫描报告，请购买专业版、高级版或者企业版。 支持重新扫描。 支持弱密码扫描 多场景可用 支持操作系统(RDP协议、SSH协议)、数据库（如Mysql、Redis）等常见中间件弱口令检测。 丰富的弱密码库 丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 支持端口扫描 扫描服务器端口的开放状态，检测出容易被黑客发现的“入侵通道”。 自定义扫描 支持任务定时扫描。 支持基于用户名密码登录、基于自定义Cookie登录。 支持Web 2.0高级爬虫扫描。 支持自定义Header扫描。 支持手动导入探索文件来进行被动扫描。 主机漏洞扫描 支持深入扫描 通过配置验证信息，可连接到服务器进行OS检测，进行多维度的漏洞、配置检测。 支持内网扫描 可以通过跳板机方式访问业务所在的服务器，适配不同企业网络管理场景。 支持中间件扫描 丰富的扫描场景 支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。 多扫描方式可选 支持通过标准包或者自定义安装等多种方式识别服务器的中间件及其版本，全方位发现服务器的漏洞风险。 二进制成分分析 全方位风险检测 对软件包/固件进行全面分析，基于各类检测规则，获得相关被测对象的开源软件、信息泄露、安全配置等存在的潜在风险。 支持各类应用 支持对桌面应用（Windows和Linux）、移动应用程序（APK、IPA、Hap等）、嵌入式系统固件等的检测。 专业分析指导 提供全面、直观的风险汇总信息，并针对不同的扫描告警提供专业的解决方案和修复建议。 移动应用安全 移动应用安全服务能快速扫描您的应用，并提供详细的检测报告，协助你快速定位修复问题。 全自动化测试 您只需上传Android、HarmonyOS应用文件提交扫描任务，即可输出详尽专业的测试报告 详细的测试报告 详尽的在线测试报告，一键即可下载，报告提供包括问题代码行、修复建议、调用栈信息、违规问题场景截图、关联隐私策略片段等信息。 支持第三方SDK隐私声明解析 针对第三方SDK隐私声明存在“表格”与“外链”两种展示方式。通过插桩方式获取应用隐私声明的url，继而提取并深度分析隐私声明内容。 支撑鸿蒙应用扫描 率先支持鸿蒙应用安全漏洞、隐私合规问题扫描。

应用场景 漏洞扫描服务主要用于以下场景。 Web漏洞扫描应用场景 网站的漏洞与弱点易于被黑客利用，形成攻击，带来不良影响，造成经济损失。 常规漏洞扫描 丰富的漏洞规则库，可针对各种类型的网站进行全面深入的漏洞扫描，提供专业全面的扫描报告。 最新紧急漏洞扫描 针对最新紧急爆发的CVE漏洞，安全专家第一时间分析漏洞、更新规则，提供快速专业的CVE漏洞扫描。 主机漏洞扫描应用场景 运行重要业务的主机可能存在漏洞、配置不合规等安全风险。 支持深入扫描 通过配置验证信息，可连接到服务器进行OS检测，进行多维度的漏洞、配置检测。 支持内网扫描 可以通过跳板机方式访问业务所在的服务器，适配不同企业网络管理场景。 弱密码扫描应用场景 主机或中间件等资产一般使用密码进行远程登录，攻击者通常使用扫描技术来探测其用户名和弱口令。 多场景可用 支持操作系统(RDP协议、SSH协议)、数据库（如Mysql、Redis）等常见中间件服务的弱口令检测。 丰富的弱密码库 丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 中间件扫描应用场景 中间件可帮助用户灵活、高效地开发和集成复杂的应用软件，一旦被黑客发现漏洞并利用，将影响上下层安全。 丰富的扫描场景 支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。 多扫描方式可选 支持通过标准包或者自定义安装等多种方式识别服务器的中间件及其版本，全方位发现服务器的漏洞风险。 内容合规检测应用场景 当网站被发现有不合规言论时，会给企业造成品牌和经济上的多重损失。 精准识别 同步更新时政热点和舆情事件的样本数据，准确定位各种涉黄、涉暴涉恐、涉政等敏感内容。 智能高效 对文本、图片内容进行上下文语义分析，智能识别复杂变种文本。 二进制成分分析应用场景 产品包或固件中因不当使用开源软件、配置不合规等会产生漏洞或合规性风险，及时的发现和修复相关问题可以减少被攻击者利用的风险。 全方位风险检测 对产品包/固件进行全面分析，基于各类检测规则，获得相关被测对象的开源软件、信息泄露、安全配置等存在的潜在风险。 支持各类应用 支持对桌面应用（Windows和Linux）、移动应用程序（APK、IPA、Hap等）、嵌入式系统固件等的检测。 专业分析指导 提供全面、直观的风险汇总信息，并针对不同的扫描告警提供专业的解决方案和修复建议。 移动应用安全 企业自检或通报后自查 适用于各类APP发版自检，及通报整改后自查，服务提供详细精确的报告协助企业快速定位修复问题，达到监管合规要求。 审核机构APP合规审查 紧贴各类监管规范，提供高效的自动化检测服务，能快速识别存在违规行为的APP。

漏洞管理 态势感知通过集成华为云安全公告、漏洞扫描数据，以及实施扫描任务，集中呈现云上资产漏洞风险，以及实时通报突发安全漏洞预警，帮助用户及时发现资产安全短板，修复危险漏洞。 态势感知支持以下类型的漏洞： 应急漏洞公告 态势感知通过采集华为云安全公告讯息，及时呈现业界近期广泛披露的安全漏洞，并支持一键获取安全漏洞详情、影响范围和处置建议等信息，提供对资产风险的消减建议。应急漏洞功能支持以下特性： 支持追溯已披露的安全漏洞至2014年4月。 支持每5分钟抓取一次安全公告讯息，更新应急漏洞公告。 支持按披露时间排序应急漏洞公告列表。 支持按关键字查找应急漏洞公告。 支持导出应急漏洞公告列表。 主机漏洞 态势感知通过授权主机，并一键扫描主机漏洞，呈现主机漏洞扫描检测信息，支持查看漏洞详情，并提供相应漏洞修复建议。 网站漏洞 态势感知通过接入VSS漏洞扫描结果数据，集中呈现网站存在的漏洞，提供详细的漏洞分析结果，并针对不同类型的漏洞提供专业可靠的修复建议。包括Web常规漏洞、端口漏洞、弱密码、CVE漏洞、网页内容合规（图片、文字）、网站挂马、链接健康等共8大类漏洞的检测。

操作步骤 登录华为乾坤云服务控制台，选择“ > 我的服务 > 漏洞扫描服务”。 在右上角菜单栏选择“漏洞扫描”。 支持选择以下几种扫描场景。 全量扫描：对服务器、终端设备等多种资产类型进行漏洞扫描，包括系统漏洞扫描、应用漏洞扫描、数据库漏洞扫描。 专项扫描：用户自主选择专项扫描场景和扫描端口，对服务器、终端设备、安全设备、网络设备、中间件和数据库等多种资产类型进行全量漏洞扫描。 表1 专项扫描 场景 说明 高危漏洞扫描 对服务器、终端设备等多种资产类型进行高危漏洞扫描。 Log4j扫描 对服务器和终端设备进行最新Apache Log4j2远程代码执行漏洞的扫描。 数据库扫描 对数据库进行安全漏洞扫描、未授权扫描，并支持版本风险提示。 WEB扫描 对SQL注入、跨站脚本攻击、跨站请求伪造、安全配置错误、敏感信息泄露等多种Web常规漏洞进行扫描。 弱密码扫描 对服务器和终端设备进行基于弱密码字典库、弱密码规则和穷举等多种模式的弱密码扫描。 创建扫描任务并执行。 此处以创建全量扫描任务为例。 图1 创建扫描任务 表2 扫描任务配置参数 区域 参数 参数说明 扫描资产 扫描目标 勾选预备扫描的资产，加入到扫描目标列表中。 资产需要满足如下条件才能扫描，否则无法加入扫描目标列表： 资产类型属于：网站、服务器、终端设备、网络设备、安全设备、数据库或中间件。 如果是网站资产，“URL”必须是“http(s)://IP地址:端口号”的二级域名网站。 如果是服务器/终端设备/网络设备/安全设备/数据库资产，需要满足： IP地址的格式为IPv4。 IP地址需为A类/B类/C类私有IP地址网段，不能为公网网段。 如果您需要扫描公网网段的资产，请填写“工单”求助处理。 IP地址需为非云上保留IP。 云上保留IP：10.252.0.128/25，10.252.0.0/26。 扫描端口（仅专项扫描中呈现） 高危端口 易于被攻击者探测并利用攻击的开放服务端口，涉及常见的web服务端口、安全协议端口、数据库端口等。具体端口号请参见页面提示信息。 常用端口 IANA（Internet Assigned Numbers Authority，互联网数字分配机构）注册的常用端口。 执行方式 立即执行 即时执行扫描任务。 定时执行 选定未来某个时间点自动执行扫描任务。 因VPN的存在，当同一资产经不同天关同时执行扫描任务时，必有一个任务进入“正在等待”状态。 因天关性能限制，执行中的任务数量超过200时，后续添加的任务进入“正在等待”状态。 单资产不支持在多个任务中同时扫描。 查看扫描结果并处理扫描问题。 单击“点击查看”。 图2 查看扫描任务 单击任务名称，查看任务详情。或在高级搜索中设置搜索条件，如任务名称、资产名称等，对历史扫描任务进行模糊查询。 请重点关注“扫描结果”中的漏洞等级和漏洞数量。 图3 任务详情 您可以单击操作栏的“查看详情”，查看资产扫描详情。 图4 资产扫描详情 请根据修复建议，手动修复漏洞。 未处理的漏洞默认标识为“待分析”状态，处理完成的漏洞可根据实际情况标识为“非问题”、“已处理”。 资产在进行漏洞扫描时，以IP作为标识，扫描结果仅代表执行扫描任务时该IP关联资产存在的漏洞。当对应资产的IP发生变化时，请重新对资产进行漏洞扫描，以便获取最新的资产漏洞。

漏洞管理 通过实时获取业界热点安全漏洞讯息，同步主机漏洞扫描和网站漏洞扫描结果，全面掌握云上资产漏洞风险状况，并提供相应漏洞修复建议。 表6 漏洞管理功能说明 功能模块 功能详情 主机漏洞 通过授权主机，并一键扫描主机漏洞，呈现主机漏洞扫描检测信息，支持查看漏洞详情，并提供相应漏洞修复建议。 Linux软件漏洞扫描 通过比对国际通用漏洞库，检测系统和官方软件（非绿色版、非自行编译安装版，例如：SSH、OpenSSL、Apache、MySQL等）存在的漏洞，识别Linux系统存在的漏洞风险。 Windows软件漏洞扫描 通过同步国际通用补丁源，识别并告警提醒Windows系统潜在漏洞风险。 Web-CMS漏洞扫描 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，提升Web服务安全性。 网站漏洞 通过自动同步VSS漏洞扫描结果，分类呈现网站漏洞扫描详情，支持查看漏洞详情列表、不同类型漏洞分布和不同漏洞等级分布，并提供相应漏洞修复建议。 Web常规漏洞扫描 提供OWASP TOP10和WASC的漏洞检测能力，支持扫描30多种常见漏洞。包括XSS、SQL注入等。 网站弱密码扫描 全方位的OS连接，涵盖90%的中间件，支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测；比对丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 网站端口扫描 扫描服务器端口的开放状态，检测出容易被黑客发现的端口。 CVE网站漏洞扫描 同步国际通用漏洞库，扫描网站安全状况。 网页内容合规检测 对网站文字和图片规范性进行检测。 网站挂马检测 检测网站是否被上传木马，避免网站运行时自动执行木马程序，而被黑客控制。 网站链接健康检测 检测网站的链接地址健康性状态，避免网站出现死链、暗链、恶意链接。 应急漏洞公告 针对业界披露的热点安全漏洞，支持每5分钟抓取一次安全漏洞讯息，获取最新应急漏洞公告详情。

漏洞扫描 漏洞扫描支持系统扫描、应用扫描等多种扫描类型，并为扫描出的漏洞提供修复建议。同时支持漏洞扫描报告下载。 表1 漏洞扫描能力 类型 功能描述 全量扫描 对服务器、终端设备等多种资产类型进行全量漏洞扫描，包括系统漏洞扫描、Web应用漏洞扫描、数据库漏洞扫描。 专项扫描 高危漏洞扫描 对服务器、终端设备等多种资产类型进行高危漏洞扫描。 Log4j扫描 对服务器和终端设备进行最新Apache Log4j2远程代码执行漏洞的扫描。 数据库扫描 对数据库进行安全漏洞扫描、未授权扫描，并支持版本风险提示。 WEB扫描 对SQL注入、跨站脚本攻击、跨站请求伪造、安全配置错误、敏感信息泄露等多种Web常规漏洞进行扫描。 弱密码扫描 对服务器和终端设备进行基于弱密码字典库、弱密码规则和穷举等多种模式的弱密码扫描。

漏洞管理 通过实时获取业界热点安全漏洞讯息，同步主机漏洞扫描和网站漏洞扫描结果，全面掌握云上资产漏洞风险状况，并提供相应漏洞修复建议。 表7 漏洞管理功能说明 功能模块 功能详情 主机漏洞 通过授权主机，并一键扫描主机漏洞，呈现主机漏洞扫描检测信息，支持查看漏洞详情，并提供相应漏洞修复建议。 Linux软件漏洞扫描 通过比对国际通用漏洞库，检测系统和官方软件（非绿色版、非自行编译安装版，例如：SSH、OpenSSL、Apache、MySQL等）存在的漏洞，识别Linux系统存在的漏洞风险。 Windows软件漏洞扫描 通过同步国际通用补丁源，识别并告警提醒Windows系统潜在漏洞风险。 Web-CMS漏洞扫描 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，提升Web服务安全性。 网站漏洞 通过自动同步VSS漏洞扫描结果，分类呈现网站漏洞扫描详情，支持查看漏洞详情列表、不同类型漏洞分布和不同漏洞等级分布，并提供相应漏洞修复建议。 Web常规漏洞扫描 提供OWASP TOP10和WASC的漏洞检测能力，支持扫描30多种常见漏洞。包括XSS、SQL注入等。 网站弱密码扫描 全方位的OS连接，涵盖90%的中间件，支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测；比对丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 网站端口扫描 扫描服务器端口的开放状态，检测出容易被黑客发现的端口。 CVE网站漏洞扫描 同步国际通用漏洞库，扫描网站安全状况。 网页内容合规检测 对网站文字和图片规范性进行检测。 网站挂马检测 检测网站是否被上传木马，避免网站运行时自动执行木马程序，而被黑客控制。 网站链接健康检测 检测网站的链接地址健康性状态，避免网站出现死链、暗链、恶意链接。 应急漏洞公告 针对业界披露的热点安全漏洞，支持每5分钟抓取一次安全漏洞讯息，获取最新应急漏洞公告详情。

操作步骤 登录管理控制台。 选择“服务列表 >安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务管理控制台。 在左侧导航栏，单击二进制成分分析。 在“二进制成分分析”页面，可看到全部添加过的任务。 单击对应任务操作列的“报告”，如图1所示。 单击“任务名称”也可以进入扫描报告页面。 图1 进入成分分析扫描报告入口 进入扫描报告查看页面，各栏目说明如表1所示。 当扫描任务成功完成后，单击右上角的“生成PDF报告”或“生成Excel报告”，生成扫描报告后，单击右上角的“导出PDF”，可以下载报告。 表1 详情总览说明 栏目 说明 任务概况 显示目标任务的基本信息，包括： 查看文件名、文件大小、平台版本、特征库版本等基本信息。 显示目标任务的组件检测、安全漏洞、安全配置、许可协议、信息泄露等检测概况，包括： 组件检测：被扫描的软件包所有的组件数量，有漏洞、未知版本和无漏洞组件数量占比。 安全漏洞：超危、高危、中危、低危各个级别漏洞数量占比。 安全配置：展示通过、失败、不涉及的检测结果数量占比。 许可协议：展示数量排名前六的漏洞使用许可。 信息泄露：展示各检测结果数量分布。 开源漏洞分析 显示扫描任务中的每个组件的组件名、组件版本、许可协议、包含文件数以及存在漏洞数。 组件名称和漏洞数可按升降序查看。 可按组件类别、组件名称对组件列表进行筛选查看。 安全配置检查 显示凭据管理、认证问题和会话管理的检测项目、级别、检测结果。 密钥和信息泄露 显示IP、硬编码密码、弱口令、Git地址、SVN地址和硬编码密钥的检测结果。 在“开源漏洞分析”页签查看软件包的每个组件的漏洞。 如果检测结果存在漏洞或者风险，可单击“组件名称”列，查看详细信息。 单击“对象路径”，可以查看文件对象路径详细信息。 单击“CVE”漏洞名称可以查看相应漏洞的“漏洞详情”、“漏洞简介”、“解决方案”、“漏洞修复参考”、“参考链接”。 在“安全配置”页签查看凭据管理、认证问题和会话管理对应检测项目的检测结果。 图2 安全配置检查结果 在“密钥和信息泄露”页签查看对应检测项目的检测结果。 图3 密钥和信息泄露检测结果

事前：安全加固 配置安全基线 HSS每日凌晨自动检测系统中关键软件的配置风险并给出详细的加固方法。您可以根据给出的加固建议，正确处理主机内的各种风险配置信息。 风险等级分为“高危”、“中危”和“低危”。 建议您优先修复“威胁等级”为“高危”的关键配置，根据业务实际情况修复威胁等级为“中危”或“低危”的关键配置，忽略可信任的配置项。 HSS支持检测的软件类型：Tomcat、SSH、Nginx、Redis、Apache 2、MySQL 5。 在页面左上角选择“区域”，单击，选择“安全与合规 > 主机安全（新版）”，进入主机安全（新版）平台界面。 选择“风险预防 > 基线检查 > 配置检查”页签，查看配置检查详情。 图1 进入配置检查页面 单击基线名称，进入基线检查详情页面，单击目标检查项“操作”列的“检测详情”，您可以根据“审计描述”验证检测结果，根据“修改建议”处理主机中的异常信息，从而加固配置基线。 图2 查看检查详情 完成配置项的修复后，建议您立即执行手动检测，查看配置项修复结果。 如果您未进行手动验证，HSS会在次日凌晨执行自动验证。自动验证完成后，您可查看配置项修复结果。 加固弱密码 HSS每日凌晨自动检测主机中使用的经典弱口令和您添加的自定义弱口令。您可以根据检测出的弱口令对应的弹性云服务器名称、账号名、账号类型和弱口令使用时长，加固弱密码。 HSS支持检测MySQL、FTP及系统账号的弱口令。 在页面左上角选择“区域”，单击，选择“安全与合规 > 主机安全（新版）”，进入主机安全（新版）平台界面。 选择“风险预防 > 基线检查 > 配置检查”页签，查看经典弱口令检测。 图3 进入经典弱口令检测页 自定义弱口令。进入“策略管理”页面，配置指定策略组的“弱口令检测”，添加自定义弱口令。 图4 自定义弱口令 完成弱密码加固后，建议您立即执行手动检测，查看弱密码加固结果。 如果您未进行手动验证，HSS会在次日凌晨执行自动验证。自动验证完成后，您可查看弱密码加固结果。 进入“告警通知”页面，勾选“告警等级”的所有选项，一旦检测出弱口令，您将会收到告警通知。 图5 设置告警 修复漏洞 HSS每日凌晨自动进行一次全面的检测，“漏洞管理”通过订阅官方更新，判断服务器上的补丁是否已经更新，并推送官方补丁，将结果上报至管理控制台，并为您提供漏洞告警。帮助您及时发现漏洞，并在不影响业务的情况下修复漏洞、更新补丁。 漏洞修复紧急程度分为“需尽快修复”、“可延后修复”和“暂可不修复”。 建议您优先修复“需尽快修复”的漏洞，根据业务实际情况修复“可延后修复”或“暂可不修复”的漏洞，忽略无需修复的漏洞。 在页面左上角选择“区域”，单击，选择“安全与合规 > 主机安全（新版）”，进入主机安全（新版）平台界面。 选择“风险预防 > 漏洞管理”，进入“漏洞管理”页面，选择“Linux软件漏洞管理”、“Windows系统漏洞管理”或者“Web-CMS漏洞管理”不同页签查看漏洞详情。 图6 查看漏洞详情 漏洞修复。 单击目标漏洞操作列的处理，进入漏洞处理页面，可对目标漏洞进行修复或忽略。 勾选多个目标，单击忽略，可进行忽略处理。 修复漏洞后，您可以单击“验证”，一键验证该漏洞是否已修复成功。 若您未进行手动验证，主机防护每日凌晨进行全量检测，您修复后需要等到次日凌晨检测后才能查看修复结果。 进入“告警通知”页面，勾选“告警等级”的所有选项，一旦检测出紧急漏洞（需尽快修复），您将会收到告警通知。 图7 设置告警

2021-05-21 镜像版本 镜像说明 更新内容 CentOS 镜像名称： CentOS 7.2 64bit CentOS 7.3 64bit CentOS 7.4 64bit CentOS 7.5 64bit CentOS 7.6 64bit CentOS 8.0 64bit CentOS 8.1 64bit CentOS 8.2 64bit 升级系统内核版本，修复安全漏洞 安装/更新hss插件 更新一键密码重置插件 优化repo源配置 修复sudo漏洞 内核版本： CentOS 7：3.10.0-1160.15.2.el7.x86_64 CentOS 8：4.18.0-240.10.1.el8_3.x86_64 发布区域：所有 Ubuntu 镜像名称： Ubuntu 16.04 server 64bit Ubuntu 18.04 server 64bit 升级系统内核版本，修复安全漏洞 安装/更新hss插件 更新一键密码重置插件 优化repo源配置 修复sudo漏洞 内核版本： Ubuntu 16.04：4.4.0-201-generic Ubuntu 18.04：4.15.0-136-generic 发布区域：所有 Debian 镜像名称： Debian 9.0.0 64bit Debian 10.0.0 64bit 升级系统内核版本，修复安全漏洞 安装/更新hss插件 更新一键密码重置插件 优化repo源配置 修复sudo漏洞 内核版本： Debian 9： 4.9.0-14-amd64 Debian 10：4.19.0-14-amd64 发布区域：所有 EulerOS 镜像名称： EulerOS 2.5 64bit EulerOS 2.2 64bit 升级系统内核版本，修复安全漏洞 安装/更新hss插件 更新一键密码重置插件 优化repo源配置 修复sudo漏洞 内核版本： EulerOS 2.5：3.10.0-862.14.1.5.h520 EulerOS 2.2：3.10.0-327.62.59.83.h255 发布区域：所有

如何创建SSH授权？ Linux主机支持“SSH授权登录”授权方式。 添加Linux主机后，请参照以下操作步骤创建SSH授权。 登录管理控制台。 选择“服务列表 >安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务管理控制台。 在左侧导航栏，选择“资产列表 > 主机”。 批量选择需要配置的主机，单击“批量操作 > 编辑”，进入批量授权入口，如图1所示。 图1 进入批量授权入口 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“编辑”。 在主机授权页面，批量选择需要授权的主机，单击“批量配置授权信息”，如图2所示。 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“配置授权信息”。 如果需要修改主机名称，单击，在弹出的对话框中，进行修改。 图2 批量授权 选择已有SSH授权，或者单击“创建SSH授权”创建SSH授权，如图3所示，参数说明如表1所示。 图3 创建SSH授权 表1 参数说明 参数名称 参数说明 SSH授权别称 自定义SSH授权名称。 登录端口 SSH授权登录的端口号。 请确保安全组已添加该端口，以便主机可通过该端口访问VSS。 选择登录方式 “密码登录” “密钥登录” 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 须知： 您也可以在数据加密服务的以下区域创建密钥： 华北-北京一 华北-北京四 华南-广州 华东-上海一 华东-上海二 西南-贵阳一 华南-深圳 有关创建密钥的详细操作，请参见创建密钥。 使用数据加密服务需要单独计费，详细的服务资费和费率标准，请参见价格详情。 Root权限是否加固 打开该权限后，不可以用root账号直接登录，而只能通过普通用户登录，然后才能切换到root用户。 sudo用户名 默认为root。 sudo密码 设置sudo用户对应的密码，单击“加密保存”，对密码进行加密保存。 阅读《华为云漏洞扫描服务声明》后，勾选“我已阅读并同意《华为云漏洞扫描服务声明》”，单击“确定”，完成Linux主机授权。

手工录入 登录华为乾坤云服务控制台，选择“资源 > 资产管理”。 在“资产管理”区域的右上角，单击“录入”。 填写资产信息，单击“确定”。 图1 手工录入资产界面 表1 手工录入资产界面参数说明 类别 参数 参数说明 基本信息 资产名称 必须唯一，且容易分辨。 资产类型 根据实际情况选择，其中“服务器”、“数据库”资产支持二级子类型。 URL 当资产类型为网站时填写。 请输入http或https网址，本服务只支持对格式为“http(s)://IP地址:端口号”的二级域名进行扫描。 IPv4地址 当资产类型为非网站时填写。 请输入IPv4、IPv6或MAC地址，其中IPv4地址为必填项，IPv6地址、MAC地址为选填项。 IPv6地址 MAC地址 重要性等级 根据实际情况选择。 站点 资产所属站点。 资产组 用于将同类型资产或满足特定需要的资产归类到同一个组，方便管理。 初始状态下，系统默认有一个资产组，名称为“默认资产组”。 如果在创建资产时，没有您合适的资产组，请在创建资产后，参考《租户操作指南-资产组创建》，创建资产组，将该资产加入新建的资产组。 天关 资产所属天关。 说明： 资产通用信息中，“天关”为选填项。若此项为空，用户将无法正常使用华为乾坤网络安全漏洞扫描服务或云日志审计。 高级配置 -- 记录资产的详细信息，根据实际情况填写。 认证信息 开启认证 只对“服务器”类型的资产有效，建议开启。 Root权限：是否加固 根据实际情况填写。 管理员密码 仅未勾选“是否加固”选项时需要配置。填写为root用户的密码。 普通用户名/普通用户密码 当已勾选“是否加固”时填写。填写为非root用户的密码，该用户可以登录服务器。 登录端口 SSH（Secure Shell Protocol，安全外壳协议）的端口号。 查看录入后的资产。 资产列表参数列支持自定义编辑，用户可以单击选择某个参数列是否在页面呈现。 图2 资产列表 表2 资产列表参数说明 参数 说明 资产名称 自定义资产名称。 风险评分 基于算法，结合资产的漏洞扫描结果、资产面临的威胁事件、威胁情报等信息，整体评估出资产的风险值，帮助用户全面了解资产存在的风险。 资产风险值是量化数据，由边界防护威胁分、漏洞扫描得分、终端防护威胁分加权计算所得。 边界防护威胁分：从边界防护与响应服务实时获取。 漏洞扫描得分：根据扫描出的漏洞数量、漏洞级别而确定。 终端防护威胁分：从终端防护与响应服务实时获取。 说明： 如果用户只开通了边界防护与响应服务、漏洞扫描服务和终端防护与响应服务中的部分服务，未开通服务的资产评估得分将被算法剔除，不计入资产风险值的加权计算。 重要性等级 用户在录入时根据实际填写。 核心：其安全属性破坏后可能对组织造成非常严重的损失。 重要：其安全属性破坏后可能对组织造成比较严重的损失。 普通：其安全属性破坏后可能对组织造成较低的损失。 站点名称 该资产关联的天关所归属的站点名称。 服务使用情况 该资产关联的相关服务，您可以将光标置于图标上查看具体的服务名称。 操作 对资产进行编辑、删除操作。 说明： 对终端防护与响应服务Agent主动上报的资产进行删除操作时，需要保证Agent在线，否则“删除”按钮置灰。确认删除时，资产上已安装的Agent也会被远程卸载。 Agent状态 Agent状态分为“在线”、“离线”、“未安装”。 最近上线时间 Agent最近一次上线时间。

工作原理 漏洞扫描服务具有Web网站扫描和主机扫描两种扫描能力。 Web网站扫描 采用网页爬虫的方式全面深入的爬取网站url，基于多种不同能力的漏洞扫描插件，模拟用户真实浏览场景，逐个深度分析网站细节，帮助用户发现网站潜在的安全隐患。同时内置了丰富的无害化扫描规则，以及扫描速率动态调整能力，可有效避免用户网站业务受到影响。 主机扫描 经过用户授权（支持账密授权）访问用户主机，漏洞扫描服务能够自动发现并检测主机操作系统、中间件等版本漏洞信息和基线配置，实时同步官网更新的漏洞库匹配漏洞特征，帮助用户及时发现主机安全隐患。 移动应用安全 对用户提供的安卓、鸿蒙应用进行安全漏洞、隐私合规检测，基于静态分析技术，结合数据流静态污点跟踪，检测权限、组件、网络、等APP基础安全漏洞，并提供详细的漏洞信息及修复建议。 二进制成分分析 对用户提供的二进制软件包/固件进行全面分析，通过解压获取包中所有待分析文件，基于组件特征识别技术、静态检测技术以及各种风险检测规则，获得相关被测对象的组件BOM清单和潜在风险清单，并输出一份专业的分析报告。

事前：安全加固 配置安全基线 HSS每日凌晨自动检测系统中关键软件的配置风险并给出详细的加固方法。您可以根据给出的加固建议，正确处理主机内的各种风险配置信息。 风险等级分为“高危”、“中危”和“低危”。 建议您优先修复“威胁等级”为“高危”的关键配置，根据业务实际情况修复威胁等级为“中危”或“低危”的关键配置，忽略可信任的配置项。 HSS支持检测的软件类型：Tomcat、SSH、Nginx、Redis、Apache 2、MySQL 5。 在页面左上角选择“区域”，单击，选择“安全与合规 > 企业主机安全”，进入企业主机安全平台界面。 在界面左上角单击“体验新版”，进入云工作负载保护平台（主机安全+容器安全）页面。 选择“风险预防 > 基线检查 > 配置检查”页签，查看配置检查详情。 图1 进入配置检查页面 单击基线名称，进入基线检查详情页面，单击目标检查项“操作”列的“检测详情”，您可以根据“审计描述”验证检测结果，根据“修改建议”处理主机中的异常信息，从而加固配置基线。 图2 查看检查详情 完成配置项的修复后，建议您立即执行手动检测，查看配置项修复结果。 如果您未进行手动验证，HSS会在次日凌晨执行自动验证。自动验证完成后，您可查看配置项修复结果。 加固弱密码 HSS每日凌晨自动检测主机中使用的经典弱口令和您添加的自定义弱口令。您可以根据检测出的弱口令对应的弹性云服务器名称、账号名、账号类型和弱口令使用时长，加固弱密码。 HSS支持检测MySQL、FTP及系统账号的弱口令。 在页面左上角选择“区域”，单击，选择“安全与合规 > 企业主机安全”，进入企业主机安全平台界面。 在界面左上角单击“体验新版”，进入云工作负载保护平台（主机安全+容器安全）页面。 选择“风险预防 > 基线检查 > 配置检查”页签，查看经典弱口令检测。 图3 进入经典弱口令检测页 自定义弱口令。进入“策略管理”页面，配置指定策略组的“弱口令检测”，添加自定义弱口令。 图4 自定义弱口令 完成弱密码加固后，建议您立即执行手动检测，查看弱密码加固结果。 如果您未进行手动验证，HSS会在次日凌晨执行自动验证。自动验证完成后，您可查看弱密码加固结果。 进入“告警通知”页面，勾选“告警等级”的所有选项，一旦检测出弱口令，您将会收到告警通知。 图5 设置告警 修复漏洞 HSS每日凌晨自动进行一次全面的检测，“漏洞管理”通过订阅官方更新，判断服务器上的补丁是否已经更新，并推送官方补丁，将结果上报至管理控制台，并为您提供漏洞告警。帮助您及时发现漏洞，并在不影响业务的情况下修复漏洞、更新补丁。 漏洞修复紧急程度分为“需尽快修复”、“可延后修复”和“暂可不修复”。 建议您优先修复“需尽快修复”的漏洞，根据业务实际情况修复“可延后修复”或“暂可不修复”的漏洞，忽略无需修复的漏洞。 在页面左上角选择“区域”，单击，选择“安全与合规 > 企业主机安全”，进入企业主机安全平台界面。 在界面左上角单击“体验新版”，进入云工作负载保护平台（主机安全+容器安全）页面。 选择“风险预防 > 漏洞管理”，进入“漏洞管理”页面，选择“Linux软件漏洞管理”、“Windows系统漏洞管理”或者“Web-CMS漏洞管理”不同页签查看漏洞详情。 图6 查看漏洞详情 漏洞修复。 单击目标漏洞操作列的处理，进入漏洞处理页面，可对目标漏洞进行修复或忽略。 勾选多个目标，单击忽略，可进行忽略处理。 修复漏洞后，您可以单击“验证”，一键验证该漏洞是否已修复成功。 若您未进行手动验证，主机防护每日凌晨进行全量检测，您修复后需要等到次日凌晨检测后才能查看修复结果。 进入“告警通知”页面，勾选“告警等级”的所有选项，一旦检测出紧急漏洞（需尽快修复），您将会收到告警通知。 图7 设置告警

操作步骤 登录管理控制台。 在左侧导航树中，单击，选择“安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务页面。 在“资产列表 > 网站”页签，单击对应的网站信息“操作”列的“编辑”。 进入网站登录设置入口，如图1所示。 图1 进入网站登录设置入口 在域名编辑页面，根据需要修改“网站信息”和“网站登录设置”，如图2所示，参数说明如表1所示。 图2 编辑页面 表1 参数说明 参数名称 参数说明 网站信息修改 域名/IP地址 未认证的域名可修改。 说明： VSS不支持修改已认证域名的“域名/IP地址”，如需修改，请删除域名后，重新创建新的域名。 域名别称 自定义的域名名称，可修改。 网站登录设置 如果您的网站页面需要登录才能访问，请您进行登录设置，以便VSS能为您发现更多安全问题。 如果您的网站仅需要账号密码就可以登录访问，设置方式一即可。 如果您的网站除了需要账号密码登录，还有其他的访问限制，如需要输入动态验证码，必须设置方式二。 “登录方式一：账号密码登录” 登录页面 网站登录页面的地址。 用户名 登录网站的用户名。 密码 用户名的密码。 确认密码 再次输入用户名的密码。 “登录方式二：cookie登录” cookie值 输入登录网站的cookie值。 有关获取登录网站的cookie值的详细操作，请参见如何获取网站cookie值？ 说明： 若使用cookie登录时，没有获取到cookie值，您可以在“高级配置”中通过添加自定义Header的方式进行登录。 添加自定义Header时，请获取会话相关的HTTP请求头。常见的如：带有Token或Session字样的HTTP请求头。 “网站登录验证” 验证登录网址 登录成功后才能访问的网址，便于VSS快速判断您的登录信息是否有效。 “高级配置” 自定义Header 配置HTTP请求头部。最多可添加5个自定义HTTP请求头。 当待扫描的网站需要请求中附带特殊的HTTP请求头时，可以通过自定义Header进行设置。 阅读《华为云漏洞扫描服务声明》后，勾选“我已阅读并同意《华为云漏洞扫描服务声明》”，单击“确定”。

2020-04-24 镜像版本 镜像说明 更新内容 Debian 镜像名称： Debian 9.0.0 64bit Debian 10.0.0 64bit 升级系统内核版本，修复安全漏洞 更新一键式重置密码插件 更新HSS插件 优化串口相关的内核参数 禁用ntp服务，启用chrony服务 内核版本： Debian 10：4.19.0-8-amd64 Debian 9：4.9.0-12-amd64 发布区域：所有 Ubuntu 镜像名称： Ubuntu 18.04 64bit Ubuntu 16.04 64bit 升级系统内核版本，修复安全漏洞 更新一键式重置密码插件 更新HSS插件 优化串口相关的内核参数 禁用ntp服务，启用chrony服务 内核版本： Ubuntu 18：4.15.0-91-generic Ubuntu 16：4.4.0-176-generic 发布区域：所有 EulerOS 镜像名称： EulerOS 2.5 64bit EulerOS 2.3 64bit EulerOS 2.2 64bit 升级系统内核版本，修复安全漏洞 更新一键式重置密码插件 更新HSS插件 优化串口相关的内核参数 禁用ntp服务，启用chrony服务 内核版本： EulerOS 2.2：3.10.0-327.62.59.83.h195.x86_64 EulerOS 2.3：3.10.0-514.44.5.10.h234.x86_64 EulerOS 2.5：3.10.0-862.14.1.5.h428.eulerosv2r7.x86_64 发布区域：所有 openSUSE 镜像名称：openSUSE 15.0 64bit 升级系统内核版本，修复安全漏洞 更新一键式重置密码插件 更新HSS插件 优化串口相关的内核参数 禁用ntp服务，启用chrony服务 内核版本：4.12.14-lp150.12.82-default 发布区域：所有 Fedora 镜像名称：Fedora 30 64bit 升级系统内核版本，修复安全漏洞 更新一键式重置密码插件 更新HSS插件 优化串口相关的内核参数 禁用ntp服务，启用chrony服务 内核版本：5.5.10-100.fc30.x86_64 发布区域：所有

漏洞扫描服务-成长地图 | 华为云 漏洞扫描服务 漏洞扫描服务（Vulnerability Scan Service）是针对网站进行漏洞扫描的一种安全检测服务，目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。用户新建任务后，即可人工触发扫描任务，检测出网站的漏洞并给出漏洞修复建议。 产品介绍 图说VSS 立即使用 成长地图 由浅入深，带您玩转VSS 01 了解 了解华为云漏洞扫描服务的功能特性和应用场景，有助于您更准确地匹配实际业务，更快速地使用VSS。 产品介绍 什么是VSS 功能特性 产品优势 应用场景 03 入门 您可以参照VSS操作指引，快速使用VSS。 快速上手 操作指引 如何使用漏洞扫描服务 05 实践 如果您的网站除了需要账号密码登录，还有其他的访问机制（例如，需要输入动态验证码），请您设置“cookie登录”方式进行网站漏洞扫描，以便VSS能为您发现更多安全问题。 网站漏洞扫描 扫描具有复杂访问机制的网站漏洞 02 购买 漏洞扫描服务提供了基础版、专业版、高级版和企业版四种服务版本。其中，基础版配额内的服务免费，部分功能按需计费；专业版、高级版和企业版需要收费。 服务规格 服务版本 计费方式 价格详情 快速购买 购买漏洞扫描服务 域名配额扩容 04 使用 根据业务发展需要，您可以随时添加域名、创建扫描任务。除此之外，您还可以根据VSS的漏洞修复意见修复漏洞，更好的保护您的网站和服务器安全。 常用操作 添加域名 域名认证 新增监测任务 下载扫描报告 网站扫描 网站登录设置 创建扫描任务 查看网站扫描详情 安全监测 查看安全监测列表 查看安全监测任务详情 通知设置 常见问题 了解更多常见问题、案例和解决方案 热门案例 漏洞扫描服务能修复扫描出来的漏洞吗？ 创建网站扫描任务或重启任务不成功时如何处理？ 漏洞扫描服务和传统的漏洞扫描器有什么区别？ 漏洞扫描服务如何收费？ 漏洞扫描服务支持扫描哪些漏洞？ 主机扫描支持哪些区域？ 对扫描出的漏洞执行“忽略”操作有什么影响？ 漏洞扫描报告模板包括哪些内容？ 使用“一键认证”有什么要求？ 物理服务器可以使用漏洞扫描服务吗？ 更多 网站扫描 使用“一键认证”有什么要求？ 创建任务时为什么总是提示域名格式错误？ 为什么域名认证失败？ 为什么执行下载认证文件操作后没有看到下载的认证文件？ 为什么任务扫描中途就自动取消了？ 如何将认证文件上传到网站根目录？ 更多 扫描任务 扫描任务有哪些状态？ 扫描任务的得分是如何计算的？ 为什么扫描任务自动登录失败了？ 更多 故障案例 创建网站扫描任务或重启任务不成功时如何处理？ 如何解决网站扫描失败报连接超时的问题？ 更多 技术专题 技术、观点、课程专题呈现 云享专家知识推荐 分享技术书籍、常用工具等，帮助您了解技术，提升能力 漏洞扫描服务课程学习 通过本课程的学习，了解企业版漏洞扫描的特性、解决方案等，并掌握其使用方法 跟唐老师学习云网络 唐老师将自己对网络的理解分享给大家 智能客服 您好！我是有问必答知识渊博的的智能问答机器人，有问题欢迎随时求助哦！ 社区求助 华为云社区是华为云用户的聚集地。这里有来自容器服务的技术牛人，为您解决技术难题。

操作步骤 登录管理控制台。 在左侧导航树中，单击，选择“安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务页面。 在“安全监测”页面，单击“新增监测任务”。 进入新增监测任务入口，如图1所示。 图1 进入新增监测任务 在“新增监测任务”界面，请根据表1进行扫描设置，设置后如图2所示。 图2 监测任务的扫描设置 表1 扫描设置参数说明 参数 参数说明 任务名称 用户自定义。 目标网址 待扫描的网站地址或IP地址。 通过下拉框选择已认证通过的域名。 扫描周期 单击下拉框选择任务扫描周期。 每天 每三天 每周 每月 开始时间 设置监测任务开始的时间。 扫描模式 三种扫描模式： 快速扫描：扫描耗时最少，能检测到的漏洞相对较少。 标准扫描：扫描耗时适中，能检测到的漏洞相对较多。 深度扫描：扫描耗时最长，能检测到最深处的漏洞。 是否将每次扫描升级为专业版规格 基础版用户开启此功能后，扫描过程中会按需扣费： 鼠标移动至了解升级后影响。 打开此功能时，扫描时会自动升级为专业版按需扣费，关闭该功能时，扫描时不会升级。 扫描项设置 VSS支持的扫描项参照表2。 ：开启 ：关闭 表2 扫描项设置 扫描项名称 说明 Web常规漏洞扫描（包括XSS、SQL注入等30多种常见漏洞） 提供了常规的30多种常见漏洞的扫描，如XSS、SQL等漏洞的扫描。默认为开启状态，不支持关闭。 端口扫描 检测主机打开的所有端口。 弱密码扫描 对网站的弱密码进行扫描检测。 CVE漏洞扫描 CVE，即公共暴露漏洞库。VSS可以快速更新漏洞规则，扫描最新漏洞。 网页内容合规检测（文字） 对网站文字的合规性进行检测。 网页内容合规检测（图片） 对网站图片的合规性进行检测。 网站挂马检测 挂马：上传木马到网站上，使得网站在运行的时候执行木马程序，被黑客控制，遭受损失。VSS可以检测网站是否存在挂马。 链接健康检测（死链、暗链、恶意外链） 对网站的链接地址进行健康性检测，避免您的网站出现死链、暗链、恶意链接。 设置完成后，单击“确认”。 如果没有设置开始扫描时间，且此时服务器没有被占用，则创建的任务可立即开始扫描，任务状态为“进行中”；否则进入等待队列中等待，任务状态为“等待中”。

版本功能差异说明 基础版只支持部分功能的检测能力，不支持防护能力，不支持等保认证。 若需对云服务器进行防护或做等保认证，您需购买企业版及以上（包含企业版、旗舰版、网页防篡改版）版本。 表2 版本功能说明 服务功能 功能项 功能概述 基础版 （按需） 基础版 （包年/包月） 企业版 旗舰版 网页防篡改版 资产管理 账号信息管理 检测当前系统的账号信息，帮助用户进行账户安全性管理。 × × √ √ √ 开放端口检测 检测当前系统开放的端口，帮助用户识别出其中的危险端口和未知端口。 × × √ √ √ 进程信息管理 监测运行中的进程并进行收集及呈现，便于用户自主清点合法进程，发现异常进程。 × × √ √ √ Web目录管理 统计当前系统中Web服务使用的目录，帮助用户进行Web资源管理。 × × √ √ √ 软件信息管理 监测并记录当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 × × √ √ √ 自启动 对系统中的自启动项进行检测，及时统计自启动项的变更情况。 × × × √ √ 漏洞管理 Windows漏洞管理 通过与漏洞库进行比对，检测并管理Windows系统和软件存在的漏洞，对当前系统中存在的紧急漏洞进行提醒。 × × √ √ √ Linux漏洞管理 通过与漏洞库进行比对，检测并管理Linux系统和软件存在的漏洞，对当前系统中存在的紧急漏洞进行提醒。 × × √ √ √ Web-CMS漏洞管理 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，提升Web服务安全性。 × × √ √ √ 基线检查 口令复杂度策略检测 检测系统中的口令复杂度策略，给出修改建议，帮助用户提升口令安全性。 √ √ √ √ √ 经典弱口令检测 检测系统账户口令是否属于常用的弱口令，针对弱口令提示用户修改。 √ √ √ √ √ 配置检测 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 × × √ √ √ 入侵检测 账户暴力破解 检测账户遭受的口令破解攻击，封锁攻击源，防止云主机因账户破解被入侵。 √ √ √ √ √ 账户异常登录 检测“异地登录”和“账户暴力破解成功”等异常登录。 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 异地登录检测信息包括“登录源IP”、“登录时间”，攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。 若在非常用登录地登录，则触发安全事件告警。 若账户暴力破解成功，登录到云主机，则触发安全事件告警。 √ √ √ √ √ 恶意程序（云查杀） 对运行中的程序进行检测，识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 × × √ √ √ 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 × × √ √ √ 关键文件变更 对于系统关键文件进行监控，文件被修改时告警，提醒用户关键文件存在被篡改的可能。 × × √ √ √ 网站后门（Webshell） 检测云服务器上Web目录中的文件，判断是否为WebShell木马文件，支持检测常见的PHP、JSP等后门文件类型。 网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。您可以根据网站后门信息忽略可信文件。 您可以使用手动检测功能检测主机中的网站后门。 × × √ √ √ 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 × × × √ √ 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。 × × × √ √ 高危命令执行 实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 × × × √ √ 自启动检测 检测并列举当前系统中的自启动服务、定时任务、预加载动态库、Run注册表键和开机启动文件夹，帮助用户及时发现非法自启动。 × × × √ √ 风险账户 检测主机系统中的账号，列出当前系统中的可疑账号信息，帮助用户及时发现非法账号。 × × √ √ √ 提权操作 检测当前系统的“进程提权”和“文件提权”操作。 检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 × × × √ √ Rootkit程序 检测Rootkit安装的文件和目录，帮助用户及时发现可疑的Rootkit安装。 支持使用文件特征码检测rootkit。 支持对隐藏文件、端口、进程的检测。 × × × √ √ 高级防御 程序运行认证 支持将重点防御的主机加入到白名单策略中，通过检测白名单中指定的应用程序区分“可信”、“不可信”和“未知”，防止未经白名单授权的程序运行。可避免您的主机受到不可信或恶意程序的侵害，还能防止不必要的资源浪费、保证您的资源被合理利用。 × × × √ √ 文件完整性管理 检查Linux系统、应用程序软件和其他组件的文件，帮助用户及时发现发生了可能遭受攻击的更改。 × × × √ √ 勒索病毒防护 通过对主机运行状态的自动学习和管理端智能分析，完成可信程序的判定，在防护阶段对非可信程序的操作进行告警。 × × × √ √ 安全运营 策略管理 支持自定义检测策略配置与下发，能够为每组或每台主机灵活配置检测规则，便于精细化安全运营。 查看策略组列表 依据默认策略组和已创建的策略组添加策略组 自定义策略 修改和删除策略组 针对策略组包含的策略，进行修改和关闭策略 在“主机管理”页面可以对主机进行批量部署策略 × × √（仅支持默认企业版策略组） √ √ 安全报告 呈现每周或每月的主机安全趋势以及关键安全事件与风险。 × × √ √ √ 安全配置 双因子认证 通过密码+短信/邮件认证的方式，彻底防范账号暴力破解行为。 × √ √ √ √ 网页防篡改 静态网页防篡改 防止网站服务器中的静态网页文件被篡改。 × × × × √ 动态网页防篡改 防止网站数据库中动态网页内容被篡改。 × × × × √

操作步骤 登录华为云管理控制台。 选择“服务列表 >安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务管理控制台。 在左侧导航栏，选择“资产列表 > 主机”。 进入添加主机入口，如图1所示。 图1 进入添加主机入口 在“添加主机”页面，执行以下操作。 单个添加主机 单击“添加主机”，如图2所示，参数说明如表1所示。 图2 添加主机 表1 添加主机配置参数说明 参数名称 参数说明 主机名称 用户需要添加的主机名称。 IP地址 添加主机的公网IP地址。 操作系统类型 仅支持Linux操作系统。 是否使用跳板机 如果用户的主机需要通过代理IP才能访问，需要使用跳板机。 跳板机 可在下拉框中选择已有跳板机，或者单击“新增跳板机”，添加跳板机。 操作 可单击“克隆”复制主机信息。 可单击“删除”删除主机信息。 批量添加主机 单击“批量添加主机”，如图3所示，在“批量添加主机”对话框中，配置IP地址。多个IP地址，使用换行分开。 图3 批量添加主机 单击“添加主机”。 如果需要添加新的跳板机，请执行以下操作步骤。 单击“新增跳板机”。 在“添加跳板机”对话框中，设置配置参数，如图4所示，配置说明如表2所示。 图4 添加跳板机 表2 跳板机配置参数说明 参数名称 参数说明 主机名称 添加的跳板机的主机名称。 公网IP 添加的跳板机的公网IP。 登录端口 添加的跳板机的登录端口。 选择登录方式 “密码登录”和“密钥登录”。 选择密码登录时，需要添加跳板机的用户名和密码。 选择密钥登录时，需要添加跳板机的用户名、私钥和私钥密码。 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 须知： 您也可以在数据加密服务的以下区域创建密钥： 华北-北京一 华北-北京四 华南-广州 华东-上海一 华东-上海二 西南-贵阳一 华南-深圳 有关创建密钥的详细操作，请参见创建密钥。 使用数据加密服务需要单独计费，详细的服务资费和费率标准，请参见价格详情。 阅读《华为云漏洞扫描服务声明》后，勾选“我已阅读并同意《华为云漏洞扫描服务声明》”，单击“确定”。 单击“下一步”，添加主机完成，请参见配置Linux主机授权执行主机授权的操作。

操作步骤 登录华为云管理控制台。 选择“服务列表 >安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务管理控制台。 在左侧导航栏，选择“资产列表 > 主机”。 批量选择需要配置的主机，单击“批量操作 > 编辑”，进入批量授权入口，如图1所示。 图1 进入批量授权入口 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“编辑”。 在主机授权页面，批量选择需要添加跳板机的主机，单击“批量配置跳板机”，如图2所示。 用户也可以单台主机添加跳板机，在目标主机所在行的“操作”列，单击“配置跳板机”。 如果需要修改主机名称，单击，在弹出的对话框中，进行修改。 图2 批量配置跳板机 在“配置跳板机”对话框中，选择已有跳板机，或者单击“添加新的跳板机”，添加跳板机，如图3所示。 图3 配置跳板机 如果需要修改已有跳板机，单击“编辑”，进行修改。 如果需要删除已有跳板机，单击“删除”，删除跳板机。 如果需要添加新的跳板机，请执行以下操作步骤。 单击“新增跳板机”。 在“添加跳板机”对话框中，设置配置参数，如图4所示，配置说明如表1所示。 图4 添加跳板机 表1 跳板机配置参数说明 参数名称 参数说明 主机名称 添加的跳板机的主机名称。 公网IP 添加的跳板机的公网IP。 登录端口 添加的跳板机的登录端口。 选择登录方式 “密码登录”和“密钥登录”。 选择密码登录时，需要添加跳板机的用户名和密码。 选择密钥登录时，需要添加跳板机的用户名、私钥和私钥密码。 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 须知： 您也可以在数据加密服务的以下区域创建密钥： 华北-北京一 华北-北京四 华南-广州 华东-上海一 华东-上海二 西南-贵阳一 华南-深圳 有关创建密钥的详细操作，请参见创建密钥。 使用数据加密服务需要单独计费，详细的服务资费和费率标准，请参见价格详情。 阅读《华为云漏洞扫描服务声明》后，勾选“我已阅读并同意《华为云漏洞扫描服务声明》”，单击“确定”。 单击“确定”，跳板机配置成功。 如果需要解除绑定主机的跳板机，在目标主机的“操作”列，单击“更多 > 解除跳板机”，解除跳板机。

背景信息 Kubernetes社区发现Kubernetes Dashboard安全漏洞CVE-2018-18264：使用Kubernetes Dashboard v1.10及以前的版本有跳过用户身份认证，及使用Dashboard登录帐号读取集群密钥信息的风险 。 华为云CCE提供的Dashboard插件已将对应镜像升级到v1.10.1版本，不受Kubernetes Dashboard漏洞CVE-2018-18264影响。 表1 漏洞信息 漏洞类型 CVE-ID 披露/发现时间 华为云修复时间 Access Validation Error CVE-2018-18264 2019-01-03 2019-01-05 安全漏洞CVE-2018-18264的详细信息，请参考： https://github.com/kubernetes/dashboard/pull/3289 https://github.com/kubernetes/dashboard/pull/3400 https://github.com/kubernetes/dashboard/releases/tag/v1.10.1

操作步骤 登录管理控制台。 选择“服务列表 >安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务管理控制台。 在左侧导航栏，选择“资产列表 > 主机”。 进入添加主机入口，如图1所示。 图1 进入添加主机入口 在“添加主机”页面，单击“添加主机”，参数说明如表1所示。 图2 添加主机 表1 参数说明 参数名称 参数说明 配置示例 主机名称 用户需要添加的主机名称。 vss-test IP地址 添加主机的公网IP地址。 192.168.2.3 是否使用跳板机 选择“是”。 是 跳板机 可在下拉框中选择已有跳板机，或者单击“新增跳板机”，添加跳板机。 - 新增跳板机。 单击“新增跳板机”。 在弹出的对话框中，设置跳板机参数，如图3所示，相关参数说明如表2所示。 图3 添加跳板机 表2 跳板机配置参数说明 参数名称 参数说明 主机名称 添加的跳板机的主机名称。 公网IP 添加的跳板机的公网IP。 登录端口 添加的跳板机的登录端口。 选择登录方式 “密码登录”和“密钥登录”。 选择密码登录时，需要添加跳板机的用户名和密码。 选择密钥登录时，需要添加跳板机的用户名、私钥和私钥密码。 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 须知： 您也可以在数据加密服务的以下区域创建密钥： 华北-北京一 华北-北京四 华南-广州 华东-上海一 华东-上海二 西南-贵阳一 华南-深圳 有关创建密钥的详细操作，请参见创建密钥。 使用数据加密服务需要单独计费，详细的服务资费和费率标准，请参见价格详情。 阅读《华为云漏洞扫描服务声明》后，勾选“我已阅读并同意《华为云漏洞扫描服务声明》”，单击“确定”。 单击“下一步”，添加主机完成。 在添加的主机所在行的“操作”列，单击“配置授权信息”。 选择SSH授权方式进行主机授权。 图4 SSH授权登录 如果需要修改已有SSH授权，单击“编辑”，进行修改。 如果需要删除已有SSH授权，单击“删除”，进行删除。 选择已有SSH授权，或者单击“创建SSH授权”创建SSH授权，如图5所示，参数说明如表3所示。 图5 创建SSH授权 表3 参数说明 参数名称 参数说明 SSH授权别称 自定义SSH授权名称。 登录端口 SSH授权登录的端口号。 请确保安全组已添加该端口，以便主机可通过该端口访问VSS。 选择登录方式 “密码登录” “密钥登录” 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 须知： 您也可以在数据加密服务的以下区域创建密钥： 华北-北京一 华北-北京四 华南-广州 华东-上海一 华东-上海二 西南-贵阳一 华南-深圳 有关创建密钥的详细操作，请参见创建密钥。 使用数据加密服务需要单独计费，详细的服务资费和费率标准，请参见价格详情。 Root权限是否加固 打开该权限后，不可以用root账号直接登录，而只能通过普通用户登录，然后才能切换到root用户。 sudo用户名 默认为root。 sudo密码 设置sudo用户对应的密码，单击“加密保存”，对密码进行加密保存。 单击“确定”，完成主机授权。

表2 版本功能说明 服务功能 功能项 功能概述 基础版 （按需、包年/包月） 企业版 旗舰版 网页防篡改版 资产管理 账号信息管理 检测当前系统的账号信息，帮助用户进行账户安全性管理。 × √ √ √ 开放端口检测 检测当前系统开放的端口，帮助用户识别出其中的危险端口和未知端口。 × √ √ √ 进程信息管理 监测运行中的进程并进行收集及呈现，便于用户自主清点合法进程，发现异常进程。 × √ √ √ Web目录管理 统计当前系统中Web服务使用的目录，帮助用户进行Web资源管理。 × √ √ √ 软件信息管理 监测并记录当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 × √ √ √ 自启动 对系统中的自启动项进行检测，及时统计自启动项的变更情况。 × × √ √ 漏洞管理 Windows漏洞管理 通过与漏洞库进行比对，检测并管理Windows系统和软件存在的漏洞，对当前系统中存在的紧急漏洞进行提醒。 × √ √ √ Linux漏洞管理 通过与漏洞库进行比对，检测并管理Linux系统和软件存在的漏洞，对当前系统中存在的紧急漏洞进行提醒。 × √ √ √ Web-CMS漏洞管理 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，提升Web服务安全性。 × √ √ √ 基线检查 口令复杂度策略检测 检测系统中的口令复杂度策略，给出修改建议，帮助用户提升口令安全性。 √ √ √ √ 经典弱口令检测 检测系统账户口令是否属于常用的弱口令，针对弱口令提示用户修改。 √ √ √ √ 配置检测 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 × √ √ √ 入侵检测 账户暴力破解 检测账户遭受的口令破解攻击，封锁攻击源，防止云主机因账户破解被入侵。 √ √ √ √ 账户异常登录 检测“异地登录”和“账户暴力破解成功”等异常登录。 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 异地登录检测信息包括“登录源IP”、“登录时间”，攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。 若在非常用登录地登录，则触发安全事件告警。 若账户暴力破解成功，登录到云主机，则触发安全事件告警。 √ √ √ √ 恶意程序（云查杀） 对运行中的程序进行检测，识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 × √ √ √ 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 × √ √ √ 关键文件变更 对于系统关键文件进行监控，文件被修改时告警，提醒用户关键文件存在被篡改的可能。 × √ √ √ 网站后门（Webshell） 检测云服务器上Web目录中的文件，判断是否为WebShell木马文件，支持检测常见的PHP、JSP等后门文件类型。 网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。您可以根据网站后门信息忽略可信文件。 您可以使用手动检测功能检测主机中的网站后门。 × √ √ √ 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 × × √ √ 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。 × × √ √ 高危命令执行 实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 × × √ √ 自启动检测 检测并列举当前系统中的自启动服务、定时任务、预加载动态库、Run注册表键和开机启动文件夹，帮助用户及时发现非法自启动。 × × √ √ 风险账户 检测主机系统中的账号，列出当前系统中的可疑账号信息，帮助用户及时发现非法账号。 × √ √ √ 提权操作 检测当前系统的“进程提权”和“文件提权”操作。 检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 × × √ √ Rootkit程序 检测Rootkit安装的文件和目录，帮助用户及时发现可疑的Rootkit安装。 支持使用文件特征码检测rootkit。 支持对隐藏文件、端口、进程的检测。 Rootkit程序分为“用户空间rootkit检测”和“内核空间rootkit检测”。 用户空间rootkit检测主要针对rootkit安装的文件和目录进行检测。 内核空间rootkit检测主要针对rootkit加载的内核模块进行检测。 Rootkit程序支持以下功能： 支持使用文件特征码检测rootkit。 支持对内核rootkit加载行为的监控。 支持对系统调用表篡改类rootkit的检测。 支持对隐藏文件、端口、进程、内核模块的检测。 × × √ √ 高级防御 程序运行认证 支持将重点防御的主机加入到白名单策略中，通过检测白名单中指定的应用程序区分“可信”、“不可信”和“未知”，防止未经白名单授权的程序运行。可避免您的主机受到不可信或恶意程序的侵害，还能防止不必要的资源浪费、保证您的资源被合理利用。 × × √ √ 文件完整性管理 检查Linux系统、应用程序软件和其他组件的文件，帮助用户及时发现发生了可能遭受攻击的更改。 × × √ √ 勒索病毒防护 通过对主机运行状态的自动学习和管理端智能分析，完成可信程序的判定，在防护阶段对非可信程序的操作进行告警或阻断。 × × √ √ 安全运营 策略管理 支持自定义检测策略配置与下发，能够为每组或每台主机灵活配置检测规则，便于精细化安全运营。 查看策略组列表 依据默认策略组和已创建的策略组添加策略组 自定义策略 修改和删除策略组 针对策略组包含的策略，进行修改和关闭策略 在“主机管理”页面可以对主机进行批量部署策略 × √（仅支持默认企业版策略组） √ √ 安全报告 呈现每周或每月的主机安全趋势以及关键安全事件与风险。 × √ √ √ 安全配置 双因子认证 通过密码+短信/邮件认证的方式，彻底防范账号暴力破解行为。 按需：× 包年/包月：√ √ √ √ 网页防篡改 静态网页防篡改 防止网站服务器中的静态网页文件被篡改。 × × × √ 网盘文件防篡改 防止共享文件网盘中的网页文件被篡改。 × × × √ 动态网页防篡改 防止网站数据库中动态网页内容被篡改。 × × × √

2022-03-22 镜像版本 镜像说明 更新内容 CentOS 镜像名称： CentOS 6.10 64bit CentOS 7.2 64bit CentOS 7.3 64bit CentOS 7.4 64bit CentOS 7.5 64bit CentOS 7.6 64bit CentOS 7.7 64bit CentOS 7.8 64bit CentOS 7.9 64bit CentOS 8.0 64bit CentOS 8.1 64bit CentOS 8.2 64bit 升级系统内核版本，修复安全漏洞 更新一键密码重置插件 内核版本： CentOS 6：2.6.32-754.35.1.el6.x86_64 CentOS 7：3.10.0-1160.53.1.el7.x86_64 CentOS 8：4.18.0-348.7.1.el8_5.x86_64 发布区域：所有 Ubuntu 镜像名称： Ubuntu 16.04 server 64bit Ubuntu 18.04 server 64bit Ubuntu 20.04 server 64bit 升级系统内核版本，修复安全漏洞 更新一键密码重置插件 内核版本： Ubuntu 16.04：4.4.0-210-generic Ubuntu 18.04：4.15.0-167-generic Ubuntu 20.04：5.4.0-99-generic 发布区域：所有 Debian 镜像名称： Debian 9.0.0 64bit Debian 10.0.0 64bit 升级系统内核版本，修复安全漏洞 更新一键密码重置插件 内核版本： Debian 9： 4.9.0-17-amd64 Debian 10：4.19.0-18-amd64 发布区域：所有 EulerOS 镜像名称： EulerOS 2.5 64bit 升级系统内核版本，修复安全漏洞 更新一键密码重置插件 内核版本： EulerOS 2.5：3.10.0-862.14.1.5.h654.eulerosv2r7.x86_64 发布区域：所有

功能特性 研发安全服务提供端到端的专项安全检测能力，各服务功能特性如下： 移动应用安全 移动应用安全服务能快速扫描您的应用，并提供详细的检测报告，协助你快速定位修复问题。 全自动化测试 您只需上传Android、HarmonyOS应用文件提交扫描任务，即可输出详尽专业的测试报告。 详细的测试报告 详尽的在线测试报告，一键即可下载，报告提供包括问题代码行、修复建议、调用栈信息、违规问题场景截图、关联隐私策略片段等信息。 支持第三方SDK隐私声明解析 针对第三方SDK隐私声明存在“表格”与“外链”两种展示方式。通过插桩方式获取应用隐私声明的url，继而提取并深度分析隐私声明内容。 支撑鸿蒙应用扫描 率先支持鸿蒙应用安全漏洞、隐私合规问题扫描。 代码检查 提供可协作的一站式代码检查服务。了解更多。 一站式：覆盖主流编程语言、主流编码标准、SDLC集成等。 灵活易用的检查方式：支持代码提交检查、定时执行检查，支持多分支检查。 可协作：提供问题责任人自动归属、提供问题修改建议、可聚焦处理新问题等。 漏洞扫描 漏洞扫描服务可以帮助您快速检测出您的网站、主机、移动应用和软件包/固件存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。了解更多。 网站漏洞扫描 一站式漏洞管理 支持弱密码扫描 支持端口扫描 自定义扫描 主机漏洞扫描 二进制成分分析 移动应用安全

操作步骤 登录管理控制台。 在左侧导航树中，单击，选择“安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务页面。 在“资产列表 > 网站”页签，单击对应的网站信息“操作”列的“扫描”。 进入创建扫描任务入口，如图1所示。 图1 进入创建扫描任务入口 在“创建任务”界面，请根据表1进行扫描设置，设置后如图2所示。 图2 创建扫描任务 表1 扫描设置参数说明 参数 参数说明 任务名称 用户自定义。 目标网址 待扫描的网站地址或IP地址。 通过下拉框选择已认证通过的域名。 须知： VSS是通过公网访问域名/IP地址进行扫描的，请确保该目标域名/IP地址能通过公网正常访问。 开始时间 可选参数，设置开始扫描的时间，不设置默认立即扫描。 扫描模式 三种扫描模式： 快速扫描：扫描耗时最少，能检测到的漏洞相对较少。 标准扫描：扫描耗时适中，能检测到的漏洞相对较多。 深度扫描：扫描耗时最长，能检测到最深处的漏洞。 有些接口只能在登录后才能访问，建议用户配置对应接口的用户名和密码，VSS才能进行深度扫描。 说明： “快速扫描”：扫描的网站URL数量有限且VSS会开启耗时较短的扫描插件进行扫描。 “深度扫描”：扫描的网站URL数量不限且VSS会开启所有的扫描插件进行耗时较长的遍历扫描。 “标准扫描”：扫描的网站URL数量和耗时都介于“快速扫描”和“深度扫描”两者之间。 手动探索文件 不启用自动探索，仅扫描探索文件中指定的URL。 是否扫描登录URL 默认不扫描登录URL，以防触发网站登录的防御机制而影响正常业务（如登录失败次数过多后禁止登录），注意开启扫描登录URL前评估业务影响。 是否将本次扫描升级为专业版规格 基础版用户开启此功能后，扫描过程中会按需扣费： 鼠标移动至了解升级后影响。 打开此功能时，扫描时会自动升级为专业版按需扣费，关闭该功能时，扫描时不会升级。 扫描项设置 VSS支持的扫描功能参照表2。 ：开启。 ：关闭。 表2 扫描项设置 扫描项名称 说明 Web常规漏洞扫描（包括XSS、SQL注入等30多种常见漏洞） 提供了常规的30多种常见漏洞的扫描，如XSS、SQL等漏洞的扫描。默认为开启状态，不支持关闭。 端口扫描 检测主机打开的所有端口。 弱密码扫描 对网站的弱密码进行扫描检测。 CVE漏洞扫描 CVE，即公共暴露漏洞库。VSS可以快速更新漏洞规则，扫描最新漏洞。 网页内容合规检测（文字） 对网站文字的合规性进行检测。 网页内容合规检测（图片） 对网站图片的合规性进行检测。 网站挂马检测 挂马：上传木马到网站上，使得网站在运行的时候执行木马程序，被黑客控制，遭受损失。VSS可以检测网站是否存在挂马。 链接健康检测（死链、暗链、恶意外链） 对网站的链接地址进行健康性检测，避免您的网站出现死链、暗链、恶意链接。 如果您当前的服务版本已经为专业版，不会提示升级。 基础版支持常见漏洞检测、端口扫描，每日扫描任务上限5个，单个扫描任务时长限制2小时。 专业版支持常见漏洞检测、端口扫描、弱密码扫描、短信通知，每日扫描任务上限多达60次。 高级版支持常见漏洞检测、端口扫描、弱密码扫描、短信通知，每日扫描任务上限多达60次。 企业版支持常见网站漏洞扫描、基线合规检测、弱密码、端口检测、紧急漏洞扫描、周期性检测，每日扫描任务上限多达60次。 设置完成后，单击“开始扫描”。 如果没有设置开始扫描时间，且此时服务器没有被占用，则创建的任务可立即开始扫描，任务状态为“进行中”；否则进入等待队列中等待，任务状态为“等待中”。

微软5月份月度安全漏洞更新，HSS已具备检测能力 尊敬的华为云客户，您好： 近日，微软发布2021年5月份安全补丁更新，共披露了55个安全漏洞，其中4个漏洞标记为严重漏洞。攻击者利用漏洞可实现远程代码执行、权限提升、敏感信息泄露等。受影响的应用包括：Microsoft Windows、Exchange Server、Hyper-V等组件。微软官方说明，请参见：https://msrc.microsoft.com/update-guide/releaseNote/2021-May%20。 您需关注HTTP 协议堆栈远程执行代码漏洞（CVE-2021-31166），该漏洞官方说明可造成蠕虫级危害，未经过身份验证的攻击者可以使用 HTTP 协议栈 (http.sys) 将特制的数据包发送到目标服务器，实现远程代码执行。请受影响的用户及时自检并安排补丁升级，避免遭受攻击。 漏洞级别：严重 影响范围：Microsoft Windows、Exchange Server、Hyper-V等产品。 重要漏洞说明详情，如表1所示。表格中漏洞为严重漏洞，其他漏洞及详情请参见微软官方说明。 表1 重要漏洞说明 CVE编号 漏洞名称 严重程度 影响产品 CVE-2021-31166 HTTP 协议堆栈远程执行代码漏洞 严重 Windows Server version 20H2 (Server Core Installation) Windows Server version 2004 (Server Core installation) Windows 10 Version 20H2 for x64-based Systems Windows 10 Version 20H2 for ARM64-based Systems Windows 10 Version 20H2 for 32-bit Systems Windows 10 Version 2004 for x64-based Systems Windows 10 Version 2004 for ARM64-based Systems Windows 10 Version 2004 for 32-bit Systems CVE-2021-28476 Hyper-V 远程执行代码漏洞 严重 Windows 10 Windows 8.1 Windows 7 Windows Server 2008/2008(R2/2012/2012 R2/2016/2019) CVE-2021-31194 OLE 自动化远程执行代码漏洞 严重 Windows 10 Windows 8.1/RT 8.1 Windows 7 Windows Server 2008/2008(R2/2012/2012 R2/2016/2019) CVE-2021-26419 脚本引擎内存损坏漏洞 严重 Internet Explorer 9 Internet Explorer 11 安全建议 可通过Windows Update自动更新微软补丁修复漏洞，也可以手动下载补丁，补丁下载地址：https://msrc.microsoft.com/update-guide/。 为确保数据安全，建议重要业务数据进行异地备份。 使用企业主机安全HSS的用户，请参见以下步骤进行检测与修复。 请提交工单，我们会为您后台更新Windows漏洞库。 检测并查看漏洞详情，详细的操作步骤请参见查看漏洞详情。 漏洞修复与验证，详细的操作步骤请参见漏洞修复与验证。

名词解释 认证测试中心 CTC：是结合华为30年安全经验积累，并结合企业与机构的安全合规与防护需求，帮助企业与机构满足国家及行业法律法规要求，同时实现对安全风险与安全事件的有效监控，并及时采取有效措施持续降低安全风险，消除安全事件带来的损失。 云防火墙服务 CFW：是新一代的云原生防火墙，提供云上互联网边界和VPC边界的防护，包括：实时入侵检测与防御，全局统一访问控制，全流量分析可视化，日志审计与溯源分析等，同时支持按需弹性扩容，是用户业务上云的网络安全防护基础服务。 企业主机安全 HSS：是服务器贴身安全管家，通过资产管理、漏洞管理、基线检查、入侵检测、程序运行认证、文件完整性校验，安全运营、网页防篡改等功能，帮助企业更方便地管理主机安全风险，实时发现黑客入侵行为，以及满足等保合规要求。 Web应用防火墙 WAF：对网站业务流量进行多维度检测和防护，结合深度机器学习智能识别恶意请求特征和防御未知威胁，全面避免网站被黑客恶意攻击和入侵。 SSL证书 SCM：是华为联合全球知名数字证书服务机构，为您提供一站式证书的全生命周期管理服务，实现网站的可信身份认证与安全数据传输。 态势感知 SA：为用户提供统一的威胁检测和风险处置平台。帮助用户检测云上资产遭受到的各种典型安全风险，还原攻击历史，感知攻击现状，预测攻击态势，为用户提供强大的事前、事中、事后安全管理能力。 威胁检测服务 MTD：威胁检测服务持续发现恶意活动和未经授权的行为，从而保护账户和工作负载。该服务通过集成AI智能引擎、威胁黑白名单、规则基线等检测模型，识别各类云服务日志中的潜在威胁并输出分析结果，从而提升用户告警、事件检测准确性，提升运维运营效率，同时满足等保合规。 漏洞扫描服务 VSS：集Web漏洞扫描、操作系统漏洞扫描、资产及内容合规检测、安全配置基线检查、弱密码检测、开源合规及漏洞检查、移动应用安全检查七大核心功能为一体，自动发现网站或服务器在网络中的安全风险，为云上业务提供多维度的安全检测服务，满足合规要求，让安全弱点无所遁形。

漏洞描述 Windows CryptoAPI (Crypt32.dll) 验证椭圆曲线加密 (ECC) 证书的方式中存在欺骗漏洞。 攻击者可以通过使用欺骗性的代码签名证书，对恶意可执行文件进行签名来利用此漏洞，从而使该文件看似来自受信任的合法来源，用户将无法知道该文件是恶意文件。例如，攻击者可以通过该漏洞，让勒索木马等软件拥有看似“可信”的签名证书，从而绕过Windows的信任检测机制，误导用户安装。 攻击者还可以利用该漏洞进行中间人攻击，并对有关用户与受影响软件的连接的机密信息进行解密。影响Windows信任关系的一些实例，如用户常见的HTTPS连接、文件签名和电子邮件签名等。

操作步骤 登录管理控制台。 在左侧导航树中，单击，选择“安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务页面。 在“资产列表 > 网站”页签，单击“新增域名”。 进入添加域名入口，如图1所示。 图1 进入添加域名入口 在列表的上方，可以查看可添加域名的个数。 在弹出的对话框中，添加“域名/IP地址”，设置“域名别称”，如图2所示。 域名别称：帮助用户识别自己的域名地址，您可以填写任意方便您识别网站域名的名称。 VSS是通过公网访问域名/IP地址进行扫描的，请确保该目标域名/IP地址能通过公网正常访问。 图2 新增域名 单击“确认”，进行域名所有权认证。 如果暂时不进行域名所有权认证，可关闭对话框，后续参照域名认证章节完成域名认证。 如果待检测站点的服务器搭建在华为云上，且该服务器是您当前登录帐号的资产，才可以选择“一键认证”的方式进行快速认证，否则只能选择“文件认证”的方式进行认证。 文件认证，参照图3中的验证步骤完成域名认证。 图3 文件认证方式 一键认证，如图4所示。 图4 一键认证方式 如果您选择“一键认证”方式进行域名认证，请确保待检测站点的服务器搭建在华为云的以下区域，且该服务器是您当前登录帐号的资产： 华北-北京一 华北-北京四 华东-上海一 华东-上海二 华南-广州 华南-深圳 东北-大连 西南-贵阳一 勾选“我已阅读并同意《华为云漏洞扫描服务声明》”，单击“完成认证”，进行域名认证，执行完成后，该域名的状态为“已认证”。 如果域名认证成功，页面跳转到“网站设置”页面，参照表1完成网站信息配置，如图5所示。 如果网站中存在需要登录才能访问的网页，进行登录设置后，VSS能够为您更好的检测网站安全问题，后续也可以参照编辑域名进行配置。 VSS提供了“账号密码登录”和“cookie登录”两种登录方式，为了提高登录成功率，建议您配置两种登录方式。 图5 网站登录设置 表1 网站登录页面参数说明 参数名称 参数说明 样例 “登录方式一：账号密码登录” 登录页面 网站登录页面的地址。 https://auth.example.com/ 用户名 登录网站的用户名。 vsstest 密码 对应用户名的密码。 -- 确认密码 再次输入用户名的密码。 -- “登录方式二：cookie登录” 如果网站登录需要动态验证码才能登录成功，此时必须配置“cookie登录”方式。 cookie值 输入登录网站的cookie值。 domain_tag “网站登录验证” 验证登录网址 登录成功后才能访问的网址，便于VSS快速判断您的登录信息是否有效。 https://console.example.com/ 阅读《华为云漏洞扫描服务声明》后，勾选“我已阅读并同意《华为云漏洞扫描服务声明》”，单击“确定”。

步骤三：处理主机风险 开启主机防护，并处理主机风险，如图3所示。 图3 处理主机风险 若您的主机没有全部开启主机安全防护，为了保证主机的安全性，请将主机全部开启主机防护，详细操作请参见开启防护。 根据各类告警事件统计，批量处理实时入侵事件，如图4所示。详细操作请参见查看和处理告警事件。 图4 实时入侵事件 告警事件展示在“事件管理”页面中，事件管理列表仅展示最近30天的告警事件，您可以根据自己的业务需求，自行判断并处理告警。告警事件处理完成后，告警事件将从“未处理”状态变更为“已处理”。HSS将不再对已处理的事件进行统计，并且不在“总览”页展示。 表3 处理告警事件 处理方式 处理方式说明 忽略 仅忽略本次告警。若再次出现相同的告警信息，HSS会再次告警。 隔离查杀 选择隔离查杀后，该程序无法执行“读/写”操作，同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱，被隔离的文件将不会对主机造成威胁。 您可以单击“文件隔离箱”，查看已隔离的文件，详细信息请参见管理文件隔离箱。 有以下两类告警事件支持线上隔离查杀。 恶意程序（云查杀） 进程异常检测 说明： 程序被隔离查杀时，该程序的进程将被立即终止，为避免影响业务，请及时确认检测结果，若隔离查杀有误报，请在24小时内执行取消隔离/忽略操作。 手动处理 选择手动处理。您可以根据自己的需要为该事件添加“备注”信息，方便您记录手动处理该告警事件的详细信息。 加入登录白名单 如果确认“账号暴力破解”和“账户异常登录”类型的告警事件是误报，且不希望HSS再上报该告警，您可以将本次登录告警事件加入登录白名单。 HSS不会对登录白名单内的登录事件上报告警。加入登录白名单后，若再次出现该登录事件，则HSS不会告警。 加入告警白名单 如果确认以下类型的告警事件是误报，且不希望HSS再上报该告警，您可以将本次告警事件加入告警白名单。 HSS不会对告警白名单内的告警事件上报告警。加入告警白名单后，若再次出现该告警事件，则HSS不会告警。 反弹Shell Webshell检测 进程异常行为检测 进程提权 文件提权 高危命令 恶意程序 修复漏洞，请根据界面提供的修复建议进行手动修复，如图5所示。 图5 修复漏洞 评估漏洞 企业主机安全可以检测主机漏洞，并参考官方提供的漏洞分值评出修复紧急度，紧急度由高到低依次为：需立即修复、可延后修复、暂可不修复。 “需立即修复”的漏洞存在严重的安全风险，建议用户评估漏洞影响性之后尽快修复。 “可延后修复”以及“暂可不修复”的漏洞对操作系统安全性没有直接影响，建议用户评估漏洞影响性之后，根据主机操作系统或者软件版本的升级计划来安排漏洞修复计划。 “忽略”修复漏洞：某些漏洞只在特定条件下存在风险，如果评估后确认某些漏洞无害，可以忽略该漏洞，无需修复。 例如：某漏洞必须通过开放端口进行入侵，如果主机系统并未开放该端口，则该漏洞不存在威胁，则忽略该漏洞。 修复漏洞 您可以根据漏洞信息判断该漏洞是否存在威胁，并确定该漏洞是否需要修复或者忽略。 若需要修复漏洞，请根据“解决方案”提供的修复建议，进行控制台一键修复漏洞，或者手动修复漏洞，如图5所示。 关于漏洞修复的详细操作请参见漏洞修复。 为了避免漏洞修复失败导致数据丢失，请在执行漏洞修复前备份主机中的数据和配置信息。 若需要忽略漏洞，请单击“影响服务器”页签，查看该漏洞影响的服务器，在受影响服务器所在行单击“忽略”，忽略该漏洞，如图6所示。 图6 影响的服务器 处理高危配置风险，进入“基线检查”页面，根据修复建议，逐个对主机进行“口令风险”和“配置风险”修复，如图7所示。 图7 处理高危配置风险 检测高危配置风险 企业主机安全提供的基线检测功能将检测主机中的口令复杂度策略，主机系统和关键软件中含有风险的配置信息，并针对所发现的风险为您提供修复建议，帮助您正确地处理服务器内的各种风险配置信息。 关于基线检查的详细说明请参见基线检查功能介绍。 处理高危配置风险 表4 解决高危配置风险 风险项 风险说明 解决方法 存在弱口令 使用弱口令的账户被破解成功的风险非常高，需要高度重视。弱口令检测可检测出主机系统中使用弱口令的账户，您可以在控制台查看主机中的口令风险。 弱口令并没有严格和准确的定义，从安全领域来看，容易被猜到或者被暴力破解的口令都是弱口令。 弱口令通常具有以下特征： 口令长度太短、太简洁 口令全部或大部分字符串已经出现在网络中的密码字典中或相关列表中 口令中携带了个人信息 如果您的主机被检测出弱口令风险，建议您立即修改为安全性更高的口令。 详细操作请参见如何设置安全的口令。 口令复杂度策略太简单 如需监测Linux主机中的口令复杂度策略，请先在主机中安装PAM（Pluggable Authentication Modules），详细操作请参见如何为Linux主机安装PAM？。 修改Linux主机中口令复杂度策略的详细操作请参见如何在Linux主机上设置口令复杂度策略。 修改Windows主机中口令复杂度策略的详细操作请参见如何在Windows主机上设置口令复杂度策略。 建议用户按照提示修改口令复杂度策略。 采用更安全的复杂度策略之后，新增或者修改账户的口令时，口令复杂度会按照策略要求执行限制，提高新口令的安全性。 存在不安全配置项 系统中的关键应用如果采用不安全配置，有可能被黑客利用作为入侵主机系统的手段。 例如：SSH采用了不安全的加密算法；Tomcat服务采用root权限启动。 请根据“修改建议”处理主机中的异常信息。 详细操作请参见处理关键配置项。 清点资产，如图8所示。 每日凌晨定期收集并展示服务器的各项资产信息，包括：账号信息、对外端口监听、进程运行、Web目录、软件信息、自启动项，并对变动信息进行记录，便于用户对资产风险、资产变动进行排查，降低安全风险。 图8 清点资产 表5 资产管理 资产管理项 解决方法 账号信息 根据实时账号数据和历史变动记录，您可以统一管理所有主机中的账号信息。若发现系统中有不必要的多余账号，或者发现有超级权限的账号（拥有root权限），需要排查这些账号是否是正常业务使用，如果不是则建议删除多余账号或者修改账号的权限，避免账号被黑客利用。 开放端口 手动关闭风险端口 如果检测到开放了危险端口或者开放了不必要的端口，需要排查这些端口是否是正常业务使用，如果不是正常业务端口，建议关闭端口。对于危险端口建议进一步检查程序文件，如果存在风险建议删除或者隔离源文件。 建议您及时优先处理危险程度为“危险”的端口，根据业务实际情况处理危险程度为“未知”的端口。 忽略风险：如果检测出的危险端口是业务正在使用的正常端口，您可以忽略该条告警。忽略之后将不再作为危险项进行记录，也不再发送告警。 进程信息 根据进程检测结果中的详细信息，您可以快速查看主机中可疑的应用进程，并及时终止可疑的应用进程。 Web目录 HSS能够检测出主机中存在的Web目录，您可以根据检测结果及时发现主机中可能含有风险的Web目录，及时删除可疑的Web目录并终止可疑的进程。 软件信息 根据实时软件数据和历史变动记录，您可以统一管理所有主机中的软件信息。若发现主机中的软件版本过低或存在可疑的软件，您可以及时升级低版本的软件或删除可疑和无需使用的软件。 自启动 您可以查看自启动项对应的服务器名称、路径、文件HASH和最后修改时间，及时发现并清除木马程序问题。

漏洞扫描服务 漏洞扫描服务（Vulnerability Scan Service）集Web漏洞扫描、操作系统漏洞扫描、资产内容合规检测、配置基线扫描、弱密码检测五大核心功能，自动发现网站或服务器暴露在网络中的安全风险，为云上业务提供多维度的安全检测服务，满足合规要求，让安全弱点无所遁形。 通过云审计服务，您可以记录与VSS相关的操作事件，便于日后的查询、审计和回溯。云审计服务支持的VSS操作列表请参见：漏洞扫描服务 VSS。

版本功能差异说明 表2 版本功能差异说明 服务功能 功能项 功能概述 基础版 （按需、包年/包月） 企业版 旗舰版 网页防篡改版 容器安全 检测周期 资产管理 主机管理 所有主机资产管理，包含主机的防护状态、配额绑定、策略分配等，提供Linux主机的批量安装agent功能。 √ √ √ √ √ - 容器管理 容器节点管理，容器镜像（私有镜像仓库、本地镜像）管理。 × × × × √ - 资产指纹 账号信息管理 检测当前系统的账号信息，帮助用户进行账户安全性管理。 × √ √ √ √ 实时检测 开放端口检测 检测当前系统开放的端口，帮助用户识别出其中的危险端口和未知端口。 × √ √ √ √ 实时检测 进程信息管理 监测运行中的进程并进行收集及呈现，便于用户自主清点合法进程，发现异常进程。 × √ √ √ √ 实时检测 软件信息管理 监测并记录当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 × √ √ √ √ 每日凌晨自动检测 自启动 对系统中的自启动项进行检测，及时统计自启动项的变更情况。 × √ √ √ √ 实时检测 Web站点 统计、展示存放Web内容的目录及对外提供访问的站点信息，您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、关键进程等信息。 × √ √ √ √ 1次/周（每周一凌晨05：00） Web框架 统计、展示Web内容对外呈现时所使用框架的详细信息，您可查看所有框架的版本、路径、关联进程等信息。 × √ √ √ √ 1次/周（每周一凌晨05：00） 中间件 统计、展示所使用到的所有软件信息，您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。 × √ √ √ √ 1次/周（每周一凌晨05：00） 内核模块 统计、展示运行在内核层的全量程序模块文件，您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。 × √ √ √ √ 1次/周（每周一凌晨05：00） 漏洞管理 软件漏洞检测 包括Linux软件漏洞和Windows系统漏洞。 通过与漏洞库进行比对，检测出系统和官方软件（非绿色版、非自行编译安装版；例如：SSH、OpenSSL、Apache、MySQL等）存在的漏洞，帮助用户识别出存在的风险。 × √ √ √ √ 每日凌晨自动检测 手动检测 Web-CMS漏洞检测 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，提升Web服务安全性。 × √ √ √ √ 每日凌晨自动检测 手动检测 应用漏洞检测 包括检测Web服务、Web框架、Web站点、中间件、内核模块等资产信息存在的漏洞。 × √ √ √ √ 每日凌晨自动检测 手动检测 基线检查 口令复杂度策略检测 检测系统中的口令复杂度策略，给出修改建议，帮助用户提升口令安全性。 √ √ √ √ √ 每日凌晨自动检测 手动检测 经典弱口令检测 检测系统账户口令是否属于常用的弱口令，针对弱口令提示用户修改。 √ √ √ √ √ 每日凌晨自动检测 手动检测 配置检查 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 × √ √ √ √ 每日凌晨自动检测 手动检测 容器镜像安全 容器镜像漏洞 通过与漏洞库进行比对，检测并管理本地镜像和私有镜像仓库存在的漏洞，对当前镜像中存在的紧急漏洞进行提醒。 × × × × √ 每日凌晨自动检测 手动检测 镜像恶意文件 检测镜像是否携带恶意文件（Trojan、Worm、Virus病毒和Adware垃圾软件等），帮助用户识别出存在的风险。 × × × × √ 实时检测 镜像基线检查 提供18类容器基线配置检查，帮助用户识别不安全的配置。 × × × × √ 实时检测 应用防护 SQL注入 检测防御SQL注入（SQL Injection）攻击，检测web应用是否存在对应漏洞。 × × √ √ √ 实时检测 OS命令注入 检测防御远程OS命令注入（OS Command Injection）攻击，同时检测web应用是否存在对应漏洞。 × × √ √ √ 实时检测 XSS 检测防御存储型跨站脚本(Cross-Site Scripting，XSS)注入攻击。 × × √ √ √ 实时检测 Log4jRCE漏洞检测 检测防御远程代码执行的控制攻击。 × × √ √ √ 实时检测 上传WebShell 检测防御上传危险文件的攻击或将已有文件改名为危险文件扩展名的攻击，同时检测web应用是否存在对应漏洞。 × × √ √ √ 实时检测 XML External Entity Injection 检测防御XXE注入（XML External Entity Injection）攻击，检测web应用是否存在对应漏洞。 × × √ √ √ 实时检测 反序列化输入 检测使用了危险类的反序列化攻击。 × × √ √ √ 实时检测 文件目录遍历 获取访问文件的路径或目录，匹配是否在敏感目录或敏感文件下。 × × √ √ √ 实时检测 Struts2 OGNL OGNL代码执行检测。 × × √ √ √ 实时检测 JSP执行操作系统命令 检测可疑行为——通过JSP请求执行操作系统命令。 × × √ √ √ 实时检测 JSP删除文件 检测可疑行为——通过JSP请求删除文件失败。 × × √ √ √ 实时检测 数据库连接异常 检测可疑异常——数据库连接抛出的认证和通讯异常。 × × √ √ √ 实时检测 0 day漏洞检测 检测执行命令的堆栈哈希是否在Web应用的白名单堆栈哈希表里。 × × √ √ √ 实时检测 SecurityManager权限检测异常 检测可疑异常——SecurityManager抛出的异常。 × × √ √ √ 实时检测 网页防篡改 静态网页防篡改 防止网站服务器中的静态网页文件被篡改。 × × × √ × 实时检测 动态网页防篡改 防止网站数据库中动态网页内容被篡改。 × × × √ × 实时检测 勒索病毒防护 勒索病毒防御 通过对主机运行状态的自动学习和管理端智能分析，完成可信程序的判定，在防护阶段对非可信程序的操作进行告警。 × × √ √ √ 实时检测 文件完整性管理 文件完整性检测 检查Linux系统、应用程序软件和其他组件的文件，帮助用户及时发现发生了可能遭受攻击的更改。 × × √ √ √ 实时检测 主机入侵检测 恶意程序 对运行中的程序进行检测，识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 × √ √ √ √ 实时检测 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 × × √ √ √ 实时检测 Webshell 检测云服务器上Web目录中的文件，判断是否为WebShell木马文件，支持检测常见的PHP、JSP等后门文件类型。 网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。您可以根据网站后门信息忽略可信文件。 您可以使用手动检测功能检测主机中的网站后门。 × √ √ √ √ 实时检测 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 × × √ √ √ 实时检测 一般漏洞利用 实时检测利用漏洞入侵主机的行为，对发现的入侵行为进行告警上报。 × √ √ √ √ 实时检测 文件提权 检测当前系统对文件的提权。 × × √ √ √ 实时检测 进程提权 检测以下进程提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 × × √ √ √ 实时检测 关键文件变更 对于系统关键文件进行监控，文件被修改时告警，提醒用户关键文件存在被篡改的可能。 × √ √ √ √ 实时检测 文件/目录变更 对于系统文件/目录进行监控，文件/目录被修改时告警，提醒用户文件/目录存在被篡改的可能。 × √ √ √ √ 实时检测 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 × √ √ √ √ 实时检测 高危命令执行 实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 × × √ √ √ 实时检测 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。 × × √ √ √ 实时检测 Crontab可疑任务 检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。 帮助用户通过自启动变更情况，及时发现异常自启动项，快速定位木马程序的问题。 × × √ √ √ 实时检测 暴力破解 检测“尝试暴力破解”和“暴力破解成功”等暴力破解。 检测账户遭受的口令破解攻击，封锁攻击源，防止云主机因账户破解被入侵。 若账户暴力破解成功，登录到云主机，则触发安全事件告警。 √ √ √ √ √ 实时检测 异常登录 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 若在非常用登录地登录，则触发安全事件告警。 √ √ √ √ √ 实时检测 非法系统账号 检测主机系统中的账号，列出当前系统中的可疑账号信息，帮助用户及时发现非法账号。 × √ √ √ √ 实时检测 容器入侵检测 漏洞逃逸攻击 监控到容器内进程行为符合已知漏洞的行为特征时，触发逃逸漏洞攻击告警。 × × × × √ 实时检测 文件逃逸攻击 监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，仍然会触发告警。 × × × × √ 实时检测 容器进程异常 容器恶意程序 监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 容器异常进程 对于已关联的容器镜像启动的容器，只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 × × × × √ 实时检测 容器异常启动 监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。 支持以下容器环境检测： 禁止启动特权容器(privileged:true) 需要限制容器能力集（capabilities:[xxx]） 建议启用seccomp（seccomp=unconfined） 限制容器获取新的权限(no-new-privileges:false) 危险目录映射(mounts:[...]) × × × × √ 实时检测 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。CGS监控容器进程，如果发现进程使用了危险系统调用，触发高危系统调用告警。 × × × × √ 实时检测 敏感文件访问 监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 × × × × √ 实时检测 白名单管理 加入告警白名单 处理告警事件时，将告警事件加入到告警白名单。 以下类型的告警事件可加入“告警白名单”： 反弹Shell Webshell检测 进程异常行为检测 进程提权 文件提权 高危命令 恶意程序 × × √ √ √ 实时检测 策略管理 查看和修改策略 支持自定义检测策略配置与下发，能够为每组或每台主机灵活配置检测规则，便于精细化安全运营。 查看策略组列表 依据默认策略组和已创建的策略组添加策略组 自定义策略 修改和删除策略组 针对策略组包含的策略，进行修改和关闭策略 在“主机管理”页面可以对主机进行批量部署策略 × √（仅支持默认企业版策略组） √ √ √ 实时检测 安全报告 主机安全报告 呈现每周或每月的主机安全趋势以及关键安全事件与风险。 × √ √ √ √ - 安全配置 常用登录地 配置常用登录地后，服务将对非常用地登录主机的行为进行告警。每个主机可被添加在多个登录地中。 √ √ √ √ √ 实时检测 常用登录IP 配置常用登录IP，服务将对非常用IP登录主机的行为进行告警。 √ √ √ √ √ 实时检测 配置SSH登录IP白名单 SSH登录IP白名单功能是防护账户爆破的一个重要方式，主要是限制需要通过SSH登录的服务器。 配置了白名单的服务器，只允许白名单内的IP通过SSH登录到服务器，拒绝白名单以外的IP。 说明： 使用鲲鹏计算EulerOS（EulerOS with ARM）的主机，SSH登录IP白名单功能对其不生效。 √ √ √ √ √ 实时检测 恶意程序隔离查杀 开启恶意程序隔离查杀后，HSS对识别出的后门、木马、蠕虫等恶意程序，提供自动隔离查杀功能，帮助用户自动识别处理系统存在的安全风险。 × √ √ √ √ 实时检测 双因子认证 通过密码+短信/邮件认证的方式，彻底防范账号暴力破解行为。 × √ √ √ √ - 告警配置 开启告警通知功能后，您能接收到主机安全服务服务发送的告警通知，及时了解主机/容器/网页内的安全风险。 √ √ √ √ √ -

HSS更新Apache Log4j2 远程代码执行漏洞 尊敬的华为云客户，您好： 近日，华为云关注到Apache Log4j2存在一处远程代码执行漏洞（CVE-2021-44228），在引入Apache Log4j2处理日志时，会对用户输入的内容进行一些特殊的处理，攻击者可以构造特殊的请求，触发远程代码执行。目前POC已公开，风险较高。 12月16日，官方披露低于2.16.0版本除了存在拒绝服务漏洞外，还存在另一处远程代码执行漏洞（CVE-2021-45046）。 Apache Log4j2是一款业界广泛使用的基于Java的日志记录工具。华为云提醒使用Apache Log4j2的用户尽快安排自检并做好安全加固。 参考链接：https://logging.apache.org/log4j/2.x/security.html 威胁级别：【严重】（说明：威胁级别共四级：一般、重要、严重、紧急） 影响版本：2.0-beat9 <= Apache Log4j 2.x < 2.16.0（2.12.2 版本不受影响） 已知受影响的应用及组件：spring-boot-starter-log4j2/Apache Solr/Apache Flink/Apache Druid 安全版本：Apache Log4j 1.x 不受影响；Apache Log4j 2.16.0。 漏洞处置 目前官方已发布修复版本修复了该漏洞，请受影响的用户尽快升级Apache Log4j2所有相关应用到安全版本：https://logging.apache.org/log4j/2.x/download.html Java 8（或更高版本）的用户建议升级到 2.16.0 版本； Java 7 的用户建议升级到2.12.2版本，此版本是安全版本。 华为云企业主机安全服务HSS，能够检测应用是否存在该漏洞。在华为云企业主机安全HSS控制台，网页防篡改->防护列表页面，为所防护应用所在主机开启防护，开启防护页面，勾选“开启动态网页防篡改”。具体方法参见开启网页防篡改。 无法及时升级的用户，可参考官方建议将JndiLookup类从classpath中去除，并重启服务来进行风险规避： zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class 修复漏洞前请将资料备份，并进行充分测试。

名词解释 基本概念、云服务简介、专有名词解释： 认证测试中心CTC：是结合华为30年安全经验积累，并结合企业与机构的安全合规与防护需求，帮助企业与机构满足国家及行业法律法规要求，同时实现对安全风险与安全事件的有效监控，并及时采取有效措施持续降低安全风险，消除安全事件带来的损失。 云防火墙服务CFW：是新一代的云原生防火墙，提供云上互联网边界和VPC边界的防护，包括：实时入侵检测与防御，全局统一访问控制，全流量分析可视化，日志审计与溯源分析等，同时支持按需弹性扩容，是用户业务上云的网络安全防护基础服务。 企业主机安全HSS：是服务器贴身安全管家，通过资产管理、漏洞管理、基线检查、入侵检测、程序运行认证、文件完整性校验，安全运营、网页防篡改等功能，帮助企业更方便地管理主机安全风险，实时发现黑客入侵行为，以及满足等保合规要求。 Web应用防火墙WAF：对网站业务流量进行多维度检测和防护，结合深度机器学习智能识别恶意请求特征和防御未知威胁，全面避免网站被黑客恶意攻击和入侵。 云证书管理服务CCM：是华为联合全球知名数字证书服务机构，为您提供一站式证书的全生命周期管理服务，实现网站的可信身份认证与安全数据传输。 态势感知SA：为用户提供统一的威胁检测和风险处置平台。帮助用户检测云上资产遭受到的各种典型安全风险，还原攻击历史，感知攻击现状，预测攻击态势，为用户提供强大的事前、事中、事后安全管理能力。 威胁检测服务MTD：威胁检测服务持续发现恶意活动和未经授权的行为，从而保护账户和工作负载。该服务通过集成AI智能引擎、威胁黑白名单、规则基线等检测模型，识别各类云服务日志中的潜在威胁并输出分析结果，从而提升用户告警、事件检测准确性，提升运维运营效率，同时满足等保合规。 漏洞扫描服务VSS：集Web漏洞扫描、操作系统漏洞扫描、资产及内容合规检测、安全配置基线检查、弱密码检测、开源合规及漏洞检查、移动应用安全检查七大核心功能为一体，自动发现网站或服务器在网络中的安全风险，为云上业务提供多维度的安全检测服务，满足合规要求，让安全弱点无所遁形。 数据库安全服务DBSS：是一个智能的数据库安全服务，基于机器学习机制和大数据分析技术，提供数据库审计，SQL注入攻击检测，风险操作识别等功能，保障云上数据库安全。 云堡垒机CBH：提供主机管理、权限控制、运维审计、安全合规等功能，支持Chrome等主流浏览器随时随地远程运维，保障运维安全高效。

企业版 企业版管理检测与响应结合您实际业务场景，通过云服务方式，为您提供华为云安全标准化的运维运营服务。企业版服务详细内容请参见表 企业版服务说明。 表1 企业版服务说明 服务内容 响应时间 交付件 网站安全体检：远程提供安全监测服务支持HTTP/HTTPS协议进行实时安全监测；支持网页木马、恶意篡改、坏链、对外开放服务、可用性、审计、脆弱性这七个维度对网站进行监测；支持WEB安全漏洞扫描及域名劫持进行实时安全监测； 定期推送网站安全体检报告。 8小时内响应 服务后5个工作日内提交测试报告 提供专业的《监控季度总结报告》和《年度总结报》。 主机安全体检：通过日志分析、漏洞扫描等技术手段对主机进行威胁识别；通过基线检查发现主机操作系统、中间件存在的错误配置、不符合项和弱口令等风险。 8小时内响应 5个工作日内评估主机安全 提供专业的《主机安全评估报告》。 安全加固：对主机服务器、中间件进行漏洞扫描、基线配置加固；分析操作系统及应用面临的安全威胁，分析操作系统补丁和应用系统组件版本；提供相应的整改方案，并在您的许可下完成相关漏洞的修复和补丁组件的加固工作。 8小时内响应 单次服务10-20个系统后10个工作日内提交测试报告。 提供专业的《安全加固交付报告》。 安全监测：通过远程查找及处置主机系统内的恶意程序，包括病毒、木马、蠕虫等；通过远程查找及处置Web系统内的可疑文件，包括Webshell、黑客工具和暗链等；提出业务快速恢复建议，协助您快速恢复业务。 工作日内8小时响应。 5个工作日内评估项目总体人工天与预计周期。 提供专业的《安全监测报告》。 应急响应：业务系统出现安全问题的情况下，提供24小时安全应急响应服务，由安全团队协助处理中毒、中木马等应急事宜，每次处理完成后华为侧提供应急响应报告，分析问题根因，并提供改进建议。 工作日1小时内响应，非工作日内4小时响应。 单次服务10台设备以内后3个工作日内以提交报告时间为准。 提供专业的《应急响应报告》。 安全配置服务：根据客户业务需求，如主机IP、主机系统版本、域名、流量、加密、数据库防护等级等信息。输出安全解决方案并制订安全防护体系包括安全服务规格、数量、策略。 工作日1小时内响应，非工作日内4小时响应。 提供专业的《安全配置方案》。 安全防护服务开通与部署：安全服务交付，如主机安全、WAF、DDoS高防、堡垒机、漏洞扫描等服务的部署。云安全设置，提供云安全设置服务，包括安全组、防火墙策略等的设置操作 工作日1小时内响应，非工作日内4小时响应。 提供专业的《安全服务交付报告》。 定期策略更新与维护：从主机安全、应用安全、网络安全、数据安全、安全管理等方面定期完成漏洞检测、基线扫描、策略优化、巡检监控等操作，并输出整改方案报告。 工作日8小时内响应。 7个工作日内评估项目总体人工天与预计周期。 提供专业的《安全运维服务周期性报告》。 安全漏洞预警：根据最新的安全漏洞、病毒木马、黑客技术和安全动态信息，结合客户实际的操作系统、中间件、应用和网络情况等，定期将相关安全信息如安全漏洞、病毒木马资讯、安全隐患/入侵预警和安全事件动态等内容，以电子邮件方式进行通报，并提出合理建议和解决方案等。 固定发送安全资讯周报 工作日1小时内响应，非工作日内4小时响应。 不定时发送漏洞预警 提供专业的《安全周报和漏洞预警》。 主动安全预警：主机存在被入侵并对外攻击问题，主动邮件或电话知会客户排查；针对主动发现的影响客户使用的安全问题，进行主动通知工作。 工作日1小时内响应，非工作日内4小时响应。 提供专业的《配置核查报告》、《安全策略优化报告》、《弱口令检查报告》。 安全设备维护：对各类安全设备开展基础维护，包括设备配置定期备份、设备特征库升级、设备版本升级、设备切换、设备配置调整等。 每周固定发送安全巡检周报，不定时发送设备维护报告 提供专业的《安全设备维护报告》。 漏洞管理：通过华为云主机安全、漏洞扫描等安全服务，对实现云上业务系统的web应用、操作系统、中间件等漏洞的统一管理。 工作日1小时内响应，非工作日内4小时响应。 单次服务结束后3个工作日内以提交报告时间为准。 提供专业《漏洞扫描报告》。

企业版 企业版管理检测与响应结合您实际业务场景，通过云服务方式，提供华为云安全标准化的运维运营服务。企业版服务详细内容请参见表1。 表1 企业版服务说明 服务内容 响应时间 交付件 网站安全体检：远程提供安全监测服务支持HTTP/HTTPS协议进行实时安全监测；支持网页木马、恶意篡改、坏链、对外开放服务、可用性、审计、脆弱性这七个维度对网站进行监测；支持WEB安全漏洞扫描及域名劫持进行实时安全监测； 定期推送网站安全体检报告。 8小时内响应 服务后5个工作日内提交测试报告 提供专业的《监控季度总结报告》和《年度总结报》。 主机安全体检：通过日志分析、漏洞扫描等技术手段对主机进行威胁识别；通过基线检查发现主机操作系统、中间件存在的错误配置、不符合项和弱口令等风险。 8小时内响应 5个工作日内评估主机安全 提供专业的《主机安全评估报告》。 安全加固：对主机服务器、中间件进行漏洞扫描、基线配置加固；分析操作系统及应用面临的安全威胁，分析操作系统补丁和应用系统组件版本；提供相应的整改方案，并在您的许可下完成相关漏洞的修复和补丁组件的加固工作。 8小时内响应 单次服务10-20个系统后10个工作日内提交测试报告。 提供专业的《安全加固交付报告》。 安全监测：通过远程查找及处置主机系统内的恶意程序，包括病毒、木马、蠕虫等；通过远程查找及处置Web系统内的可疑文件，包括Webshell、黑客工具和暗链等；提出业务快速恢复建议，协助您快速恢复业务。 工作日内8小时响应。 5个工作日内评估项目总体人工天与预计周期。 提供专业的《安全监测报告》。 应急响应：业务系统出现安全问题的情况下，提供24小时安全应急响应服务，由安全团队协助处理中毒、中木马等应急事宜，每次处理完成后华为侧提供应急响应报告，分析问题根因，并提供改进建议。 工作日1小时内响应，非工作日内4小时响应。 单次服务10台设备以内后3个工作日内以提交报告时间为准。 提供专业的《应急响应报告》。 安全配置服务：根据客户业务需求，如主机IP、主机系统版本、域名、流量、加密、数据库防护等级等信息。输出安全解决方案并制订安全防护体系包括安全服务规格、数量、策略。 工作日1小时内响应，非工作日内4小时响应。 提供专业的《安全配置方案》。 安全防护服务开通与部署：安全服务交付，如主机安全、WAF、DDoS高防、堡垒机、漏洞扫描等服务的部署。云安全设置，提供云安全设置服务，包括安全组、防火墙策略等的设置操作 工作日1小时内响应，非工作日内4小时响应。 提供专业的《安全服务交付报告》。 定期策略更新与维护：从主机安全、应用安全、网络安全、数据安全、安全管理等方面定期完成漏洞检测、基线扫描、策略优化、巡检监控等操作，并输出整改方案报告 工作日8小时内响应。 7个工作日内评估项目总体人工天与预计周期。 提供专业的《安全运维服务周期性报告》。 安全漏洞预警：根据最新的安全漏洞、病毒木马、黑客技术和安全动态信息，结合客户实际的操作系统、中间件、应用和网络情况等，定期将相关安全信息如安全漏洞、病毒木马资讯、安全隐患/入侵预警和安全事件动态等内容，以电子邮件方式进行通报，并提出合理建议和解决方案等。 固定发送安全资讯周报 工作日1小时内响应，非工作日内4小时响应。 不定时发送漏洞预警 提供专业的《安全周报和漏洞预警》。 主动安全预警：主机存在被入侵并对外攻击问题，主动邮件或电话知会客户排查；针对主动发现的影响客户使用的安全问题，进行主动通知工作 工作日1小时内响应，非工作日内4小时响应。 提供专业的《配置核查报告》、《安全策略优化报告》、《弱口令检查报告》。 安全设备维护：对各类安全设备开展基础维护，包括设备配置定期备份、设备特征库升级、设备版本升级、设备切换、设备配置调整等。 每周固定发送安全巡检周报，不定时发送设备维护报告 提供专业的《安全设备维护报告》。 漏洞管理：通过华为云主机安全、漏洞扫描等安全服务，对实现云上业务系统的web应用、操作系统、中间件等漏洞的统一管理 工作日1小时内响应，非工作日内4小时响应。 单次服务结束后3个工作日内以提交报告时间为准。 提供专业《漏洞扫描报告》。

2020-01-03 镜像版本 镜像说明 更新内容 CentOS 镜像名称： CentOS 7.6 64bit with ARM CentOS 7.5 64bit with ARM CentOS 7.4 64bit with ARM 更新网卡多队列 优化内核参数 设置屏保时间为10s 升级内核，修复安全漏洞 安装gdisk、wget、javac 使用chrony服务，禁用ntp服务 为CentOS 7.6 64bit with ARM配置4个网卡配置文件 内核版本：4.18.0-80.7.2.e17.aarch64 发布区域：中国-香港、亚太-新加坡、亚太-曼谷、华南-广州、华南-深圳、华东-上海一、华东-上海二、华北-乌兰察布一、华北-北京四 Ubuntu 镜像名称：Ubuntu 18.04 64bit with ARM 更新网卡多队列 优化内核参数 升级内核，修复安全漏洞 使用chrony服务，禁用ntp服务 配置DNS选项 内核版本：4.15.0-70-generic 发布区域：中国-香港、亚太-新加坡、亚太-曼谷、华南-广州、华南-深圳、华东-上海一、华东-上海二、华北-乌兰察布一、华北-北京四 EulerOS 镜像名称：EulerOS 2.8 64bit with ARM 更新网卡多队列 优化内核参数 设置屏保时间为10s 添加内核参数，以支持在虚拟机启动时查看到相关日志 升级内核，修复安全漏洞 使用chrony服务，禁用ntp服务 设置密码有效期为99999 内核版本：4.19.36-vhulk1907.1.0.h475.eulerosv2r8.aarch64 发布区域：中国-香港、亚太-新加坡、亚太-曼谷、华南-广州、华南-深圳、华东-上海一、华东-上海二、华北-乌兰察布一、华北-北京四 openSUSE 镜像名称：openSUSE 15.0 64bit with ARM 更新网卡多队列 优化内核参数 设置屏保时间为10s 升级内核，修复安全漏洞 使用chrony服务，禁用ntp服务 内核版本：4.12.14-lp150.12.67-default 发布区域：中国-香港、亚太-新加坡、亚太-曼谷、华南-广州、华南-深圳、华东-上海一、华东-上海二、华北-乌兰察布一、华北-北京四 Fedora 镜像名称：Fedora 29 64bit with ARM 更新网卡多队列 优化内核参数 设置屏保时间为10s 升级内核，修复安全漏洞 使用chrony服务，禁用ntp服务 设置环境变量，使历史命令展示时间和用户名 内核版本：4.18.16-300.fc29.aarch64 发布区域：中国-香港、亚太-新加坡、亚太-曼谷、华南-广州、华南-深圳、华东-上海一、华东-上海二、华北-乌兰察布一、华北-北京四

Windows系统服务器 补丁安装包下载不成功 您的服务器可能无访问公网权限，请在能访问Internet后，重新执行漏洞修复操作。 补丁安装包不匹配 请进一步确认补丁安装包的详细信息，如果补丁确实与您的服务器系统不匹配，建议您在“漏洞管理”界面中忽略该漏洞。 另一个补丁正在安装 由于服务器不能同时运行两个补丁安装程序，建议您等当前补丁安装完成后尝试重新执行漏洞修复操作。 检查其他设置 服务器开启了系统自动更新补丁功能。在确认服务器已更新该漏洞后，建议您在漏洞管理界面中忽略该漏洞。 服务器安装了更新的补丁将旧补丁覆盖（如，2016及以上系统，最新的月度补丁会覆盖以前的所有补丁）。在确认无误后，建议您在漏洞管理界面中忽略该漏洞。 其他安全软件对补丁安装进行了拦截（如“360安全卫士服务器版”），您可以先暂停使用安全软件，待漏洞修复后，在开启安全软件。 微软已于2020年1月14日停止对Windows Server 2008 R2系统的更新和维护，如果需要继续使用该系统，则需要购买相应的ESU （扩展安全更新） 密钥并进行激活或更换Windows操作系统版本。

移动应用安全扫描报告模板说明 下载扫描报告后，您可以根据扫描结果，对漏洞进行修复，报告模板主要内容说明如下：（以下截图中的数据仅供参考，请以实际扫描报告为准） 应用基本信息检测 包括基本信息、应用检测风险项汇总、漏洞风险项统计、漏洞风险检测项分布和检测情况汇总，如图2所示展示了检测汇总信息。 图2 检测情况汇总 应用漏洞检测 包括配置安全、加密安全、组件安全、签名证书安全、存储安全、权限安全和网络安全等，可以参考扫描出的漏洞详细信息修复漏洞，以配置安全为例，如图3所示。 图3 应用漏洞信息-配置安全 应用隐私合规检测 图4 应用隐私合规检测 应用权限信息检测 图5 应用权限信息 应用组件信息检测 查看软件的所有组件信息，包括Activity信息、Service信息、Provider信息和Receiver信息，以Activity信息为例，如图6所示。 图6 应用组件信息-Activity信息 移动应用安全评测依据 图7 移动应用安全评测信息

与其他服务的关系 与代码检查服务的关系 研发安全服务中的代码检查功能由独立的代码检查（CodeCheck）云服务提供，用户可以通过超链接跳转至CodeCheck的页面进行使用。当前代码检查是DevCloud云服务下的子服务，用户需开通DevCloud服务方可使用。 与漏洞扫描服务的关系 研发安全服务中的主机和Web漏洞扫描功能由独立的漏洞扫描（VSS）云服务提供，用户可以通过超链接跳转至VSS服务页面执行相关主机和Web的漏洞扫描。

Web应用防火墙与漏洞扫描服务有哪些区别？ Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 漏洞扫描服务（Vulnerability Scan Service，简称VSS）是针对服务器或网站进行漏洞扫描的一种安全检测服务，目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。用户新建任务后，即可人工触发扫描任务，检测出网站的漏洞并给出漏洞修复建议。 两个服务最大的区别在于WAF可以记录并拦截攻击事件，以达到保护Web服务安全稳定的目的。而VSS是漏洞检测服务，仅提供漏洞扫描并给出漏洞修复建议。

操作步骤 登录华为云管理控制台。 选择“服务列表 >安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务管理控制台。 在左侧导航栏，选择“资产列表 > 主机”。 批量选择需要配置的主机，单击“批量操作 > 编辑”，进入批量授权入口，如图1所示。 图1 进入批量授权入口 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“编辑”。 在主机授权页面，批量选择需要授权的主机，单击“批量配置授权信息”，如图2所示。 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“配置授权信息”。 如果需要修改主机名称，单击，在弹出的对话框中，进行修改。 图2 批量授权 选择SSH授权方式进行主机授权。 图3 SSH授权登录 如果需要修改已有SSH授权，单击“编辑”，进行修改。 如果需要删除已有SSH授权，单击“删除”，进行删除。 选择已有SSH授权，或者单击“创建SSH授权”创建SSH授权，如图4所示，参数说明如表1所示。 图4 创建SSH授权 表1 参数说明 参数名称 参数说明 SSH授权别称 自定义SSH授权名称。 登录端口 SSH授权登录的端口号。 请确保安全组已添加该端口，以便主机可通过该端口访问VSS。 选择登录方式 “密码登录” “密钥登录” 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 须知： 您也可以在数据加密服务的以下区域创建密钥： 华北-北京一 华北-北京四 华南-广州 华东-上海一 华东-上海二 西南-贵阳一 华南-深圳 有关创建密钥的详细操作，请参见创建密钥。 使用数据加密服务需要单独计费，详细的服务资费和费率标准，请参见价格详情。 Root权限是否加固 打开该权限后，不可以用root账号直接登录，而只能通过普通用户登录，然后才能切换到root用户。 sudo用户名 默认为root。 sudo密码 设置sudo用户对应的密码，单击“加密保存”，对密码进行加密保存。 单击“确定”，完成Linux主机授权。

操作步骤 登录华为云管理控制台。 选择“服务列表 >安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务管理控制台。 在左侧导航栏，选择“资产列表 > 主机”。 批量选择需要配置的主机，单击“批量操作 > 编辑”，进入批量授权入口，如图1所示。 图1 进入批量授权入口 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“编辑”。 在主机授权页面，批量选择需要授权的主机，单击“批量配置授权信息”，如图2所示。 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“配置授权信息”。 如果需要修改主机名称，单击，在弹出的对话框中，进行修改。 图2 批量授权 选择SSH授权方式进行主机授权。 图3 SSH授权登录 如果需要修改已有SSH授权，单击“编辑”，进行修改。 如果需要删除已有SSH授权，单击“删除”，进行删除。 选择已有SSH授权，或者单击“创建SSH授权”创建SSH授权，如图4所示，参数说明如表1所示。 图4 创建SSH授权 表1 参数说明 参数名称 参数说明 SSH授权别称 自定义SSH授权名称。 登录端口 SSH授权登录的端口号。 请确保安全组已添加该端口，以便主机可通过该端口访问VSS。 选择登录方式 “密码登录” “密钥登录” 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 须知： 您也可以在数据加密服务的以下区域创建密钥： 华北-北京一 华北-北京四 华南-广州 华东-上海一 华东-上海二 西南-贵阳一 华南-深圳 有关创建密钥的详细操作，请参见创建密钥。 使用数据加密服务需要单独计费，详细的服务资费和费率标准，请参见价格详情。 Root权限是否加固 打开该权限后，不可以用root账号直接登录，而只能通过普通用户登录，然后才能切换到root用户。 sudo用户名 默认为root。 sudo密码 设置sudo用户对应的密码，单击“加密保存”，对密码进行加密保存。 单击“确定”，完成Linux主机授权。

攻击类型 DDoS攻击 分布式拒绝服务（Distributed Denial of Service，简称DDoS）攻击是指攻击者使用网络上多个被攻陷的电脑作为攻击机器，向特定的目标发动DoS攻击。DoS（Denial of Service）攻击也称洪水攻击，是一种网络攻击手法，其目的在于使目标电脑的网络或系统资源耗尽，服务暂时中断或停止，导致合法用户不能够访问正常网络服务的行为。 暴力破解 暴力破解法是一种密码分析方法，基本原理是在一定条件范围内对所有可能结果进行逐一验证，直到找出符合条件的结果为止。攻击者通常使用暴力破解的方式猜测远程登录的用户名和密码，一旦破解成功，即可实施攻击和控制。 Web攻击 Web攻击是针对用户上网行为或网站服务器等设备进行攻击的行为。常见的Web攻击方式包括SQL注入攻击、跨站脚本攻击、跨站请求伪造攻击等。 后门木马 后门木马又称特洛伊木马（Trojan Horse），是一种后门程序。后门木马具有很高的伪装性，通常表现为一个正常的应用程序或文件，以获得广泛的传播和目标用户的信任。当目标用户执行后门木马程序后，攻击者即可对用户的主机进行破坏或盗取敏感数据，如各种账户、密码、保密文件等。在黑客进行的各种攻击行为中，后门木马基本上都起到了先导作用，为进一步的攻击打下基础。 僵尸主机 僵尸主机亦称傀儡机，是由攻击者通过木马蠕虫感染的主机，大量僵尸主机可以组成僵尸网络（Botnet）。攻击者通过控制信道向僵尸网络内的大量僵尸主机下达指令，令其发送伪造包或垃圾数据包，使攻击目标瘫痪并“拒绝服务”，这就是常见的DDoS攻击。此外，随着虚拟货币（如比特币）价值的持续增长，以及挖矿成本的逐渐增高，攻击者也开始利用僵尸主机进行挖矿和牟利。 异常行为 异常行为主要指在主机中发生了一些不应当出现的事件。例如，某用户在非正常时间成功登录了系统，一些文件目录发生了计划外的变更，进程出现了非正常的行为等。这些异常的行为事件很多是有恶意程序在背后作乱。所以在发生这类异常行为时，应当引起重视。态势感知中的异常行为数据主要来源于主机安全服务。 漏洞攻击 漏洞是指计算机系统安全方面的缺陷，可导致系统或应用数据遭受保密性、完整性、可用性等方面的威胁。攻击者利用漏洞获取计算机权限、盗取敏感数据、破坏软硬件系统等行为均可称为漏洞攻击。 命令与控制 域名生成算法（Domain Generation Algorithm，简称DGA）是一种利用随机字符生成命令与控制（Command and Control，简称C&C）域名的技术，常被用于逃避域名黑名单功能的检测。 攻击者利用DGA生产恶意域名后，选择部分域名进行注册并指向C&C服务器。当受害者运行恶意程序后，主机将通过恶意域名连接至C&C服务器，攻击者即可远程操控主机。

提示主机有挖矿行为怎么办？ 收到告警事件通知说明您的云服务器被攻击过，不代表已经被破解入侵。 您可在收到告警后，及时对告警进行分析、排查，采取相应的防护措施即可。 当主机提示有挖矿行为时： 建议备份数据，关闭不必要的端口。 增强主机密码。 使用企业主机安全服务（HSS），HSS提供账户破解防护、异地登录检测恶意程序检测、网站后门检测等入侵检测功能，以及软件漏洞、一键查杀恶意程序或修复系统漏洞等功能。

二进制成分分析扫描报告模板说明 下载扫描报告后，您可以根据扫描结果，对漏洞进行修复，报告模板主要内容说明如下：（以下截图中的数据仅供参考，请以实际扫描报告为准） 概览 查看目标软件包的扫描漏洞数。 图4 查看任务概览信息 结果概览 统计漏洞类型及分布情况。 图5 查看结果概览信息 组件列表 查看软件的所有组件信息。 图6 查看组件列表信息 漏洞列表 您可以参考每个组件扫描出的漏洞详细信息修复漏洞。 图7 查看漏洞列表信息 密钥和信息泄露问题列表 图8 查看密钥和信息泄露信息 安全配置检查列表 图9 查看安全配置检查列表

IES基础设施安全 华为云致力于打造可信云平台，IES整体上继承了华为云安全建设规范，具体安全方案细节请参见华为云安全白皮书。 IES用户侧和平台侧分别实施了严格的安全隔离策略，华为云负责IES平台的运维和安全运营，提供7*24小时安全监控运营服务。 IES平台侧默认全部部署了主机安全服务，华为云会定期对平台侧执行漏洞扫描，并按照SLA（Service-Level Agreement）的要求及时安装补丁修复漏洞。 华为云对IES平台侧的帐号权限进行集中管理，并定期进行帐号密钥轮换，以防止未经授权的访问。

弱口令检测 弱口令/密码不归属于某一类漏洞，但其带来的安全隐患却不亚于任何一类漏洞。数据、程序都储存在系统中，若密码被破解，系统中的数据和程序将毫无安全可言。 企业主机安全服务会对使用经典弱口令的用户账号告警，主动检测出主机中使用经典弱口令的账号。您也可以将疑似被泄露的口令添加在自定义弱口令列表中，防止主机中的账户使用该弱口令，给主机带来危险。 在策略管理列表中，单击待修改的策略组名称，进入策略组界面。 在策略组列表中，单击“弱口令检测”，弹出弱口令检测“策略内容”界面。 在弹出的“策略内容”界面中，修改“策略内容”，如图4所示，参数说明如表3所示。 图4 弱口令检测 表3 弱口令检测策略内容参数说明 参数 说明 使用弱口令字典 选择是否开启使用弱口令字典。 ：开启。 ：关闭。 弱口令字典更新URL 弱口令字典更新的网页地址。 弱口令字典SHA256 弱口令字典的SHA256值。 检测日 弱口令检测日期。勾选周一到周日检测弱口令的时间。 自定义弱口令 您可以将疑似被泄露的口令添加在自定义弱口令文本框中，防止主机中的账户使用该弱口令，给主机带来危险。 MySQL弱口令检测 对登录MySQL的口令进行弱口令检测，您可以选择开启或者关闭MySQL弱口令检测。 单击“确定”，完成修改。

功能总览 功能总览 全部 态势感知 安全概览 资源管理 业务分析 综合大屏 威胁告警 漏洞管理 基线检查 检测结果 安全报告 产品集成 日志管理 态势感知 态势感知（Situation Awareness，SA）是华为云安全管理与态势分析平台。能够检测出包括DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制等类别的云上安全风险。利用大数据分析技术，态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析，为用户呈现出全局安全攻击态势。 SA提供基础版、标准版和专业版三个版本。 发布区域：全部 服务版本差异 功能特性 应用场景 OBS 2.0支持 虚拟私有云子功能二 虚拟私有云（Virtual Private Cloud，以下简称VPC），为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。 您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。 除亚太-曼谷、亚太-新加坡、拉美-圣地亚哥以外的所有区域均已发布 如何创建虚拟私有云？ VPC服务介绍【视频】 VPC服务介绍【视频】 安全概览 “安全概览”分为安全评分、安全监控、安全趋势、威胁检测共四大板块，实时呈现云上整体安全评估状况，并联动其他云安全服务，集中展示云上安全。在“安全概览”查看安全概览信息和相关一键操作，实现云上安全态势一览和风险统一管控。 发布区域：全部 安全概览 资源管理 同步当前帐号中所有资源的安全状态统计信息。支持查看资源的名称、所属服务、所属区域、安全状况等，帮助您快速定位安全风险问题并提供解决方案。 发布区域：全部 资源管理 业务分析 联动企业主机安全服务（Host Security Service，HSS）、Web应用防火墙（Web Application Firewall，WAF）和数据库安全服务（Database Security Service，DBSS）三个安全防护服务，全面展示云上资产的安全状态和存在的安全风险。 发布区域：全部 业务分析 综合大屏 利用AI技术将海量云安全数据的分析并分类，通过综合大屏将数据可视化展示，集中呈现云上实时动态，云上关键风险一目了然，掌握云上安全态势更简单，更直观，更高效。 目前，综合大屏有“综合态势感知”和“主机态势感知”两个模块。 发布区域：全部 综合态势感知 主机安全态势 威胁告警 通过利用大数据量、高准确度的威胁情报库，“实时监控”云上威胁攻击，提供告警通知和监控，记录近180天告警事件详情，分析威胁攻击情况，并针对典型威胁事件预置策略实施防御手段。 目前支持检测和呈现以下类别的威胁告警事件：DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制。 发布区域：全部 威胁告警简介 查看告警列表 威胁分析 漏洞管理 通过实时获取业界热点安全漏洞讯息，同步主机漏洞扫描和网站漏洞扫描结果，全面掌握云上资产漏洞风险状况，并提供相应漏洞修复建议。 主机漏洞：通过授权主机，并一键扫描主机漏洞，呈现主机漏洞扫描检测信息，支持查看漏洞详情，并提供相应漏洞修复建议。 网站漏洞：通过自动同步VSS漏洞扫描结果，分类呈现网站漏洞扫描详情，支持查看漏洞详情列表、不同类型漏洞分布和不同漏洞等级分布，并提供相应漏洞修复建议。 应急漏洞公告：针对业界披露的热点安全漏洞，支持每5分钟抓取一次安全漏洞讯息，获取最新应急漏洞公告详情。 发布区域：全部 主机漏洞 网站漏洞 应急漏洞公告 专业版支持 基线检查 通过执行云服务基线扫描，检查基线配置风险状态，告警提示存在安全隐患的配置，并提供基线加固建议。 云服务基线检查：通过一键扫描或设置定期扫描，分类呈现云服务配置检测结果，提示不合格检测项，并提供相应配置加固建议和帮助指导。 发布区域：华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州、西南-贵阳一。 云服务基线检查 检测结果 通过集成安全防护产品，接入安全产品检测数据，管理全部检测结果。 发布区域：全部 检测结果 安全报告 为统计全局安全攻击态势，通过开启安全报告，态势感知以邮件形式向指定的收件人发送安全报告，反映阶段性安全概况、安全风险趋势。 发布区域：全部 分析报告 产品集成 通过集成安全防护产品，接入安全产品检测数据，管理检测结果的数据来源，支持查看传输数据量，管理数据上报健康状态。 发布区域：全部 安全产品集成 专业版支持 日志管理 态势感知支持将日志存储至对象存储服务（Object Storage Service，OBS），帮助用户轻松应对安全日志存储、导出场景，满足日志存储180天及集中审计的要求。 发布区域：全部 日志管理

功能总览 功能总览 全部 态势感知 安全概览 资源管理 业务分析 综合大屏 威胁告警 漏洞管理 基线检查 检测结果 安全报告 产品集成 日志管理 态势感知 态势感知（Situation Awareness，SA）是华为云安全管理与态势分析平台。能够检测出超过20大类的云上安全风险，包括DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制等。利用大数据分析技术，态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析，为用户呈现出全局安全攻击态势。 SA提供基础版、标准版和专业版三个版本。 发布区域：全部 服务版本差异 功能特性 应用场景 OBS 2.0支持 虚拟私有云子功能二 虚拟私有云（Virtual Private Cloud，以下简称VPC），为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。 您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。 除亚太-曼谷、亚太-新加坡、拉美-圣地亚哥以外的所有区域均已发布 如何创建虚拟私有云？ VPC服务介绍【视频】 VPC服务介绍【视频】 安全概览 “安全概览”分为安全评分、安全监控、安全趋势、威胁检测共四大板块，实时呈现云上整体安全评估状况，并联动其他云安全服务，集中展示云上安全。在“安全概览”查看安全概览信息和相关一键操作，实现云上安全态势一览和风险统一管控。 发布区域：全部 安全概览 资源管理 同步当前帐号中所有资源的安全状态统计信息。支持查看资源的名称、所属服务、所属区域、安全状况等，帮助您快速定位安全风险问题并提供解决方案。 发布区域：全部 资源管理 业务分析 联动企业主机安全服务（Host Security Service，HSS）、Web应用防火墙（Web Application Firewall，WAF）和数据库安全服务（Database Security Service，DBSS）三个安全防护服务，全面展示云上资产的安全状态和存在的安全风险。 发布区域：全部 业务分析 综合大屏 利用AI技术将海量云安全数据的分析并分类，通过综合大屏将数据可视化展示，集中呈现云上实时动态，云上关键风险一目了然，掌握云上安全态势更简单，更直观，更高效。 目前，综合大屏有“综合态势感知”和“主机态势感知”两个模块。 发布区域：全部 综合态势感知 主机态势感知 威胁告警 通过利用大数据量、高准确度的威胁情报库，“实时监控”云上威胁攻击，提供告警通知和监控，记录近180天告警事件详情，分析威胁攻击情况，并针对典型威胁事件预置策略实施防御手段。 目前支持检测和呈现8大类威胁告警事件，包括DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制。 发布区域：全部 威胁告警简介 查看告警列表 威胁分析 漏洞管理 通过实时获取业界热点安全漏洞讯息，同步主机漏洞扫描和网站漏洞扫描结果，全面掌握云上资产漏洞风险状况，并提供相应漏洞修复建议。 主机漏洞：通过授权主机，并一键扫描主机漏洞，呈现主机漏洞扫描检测信息，支持查看漏洞详情，并提供相应漏洞修复建议。 网站漏洞：通过自动同步VSS漏洞扫描结果，分类呈现网站漏洞扫描详情，支持查看漏洞详情列表、不同类型漏洞分布和不同漏洞等级分布，并提供相应漏洞修复建议。 应急漏洞公告：针对业界披露的热点安全漏洞，支持每5分钟抓取一次安全漏洞讯息，获取最新应急漏洞公告详情。 发布区域：全部 主机漏洞 网站漏洞 应急漏洞公告 专业版支持 基线检查 通过执行云服务基线扫描，检查基线配置风险状态，告警提示存在安全隐患的配置，并提供基线加固建议。 云服务基线检查：通过一键扫描或设置定期扫描，分类呈现云服务配置检测结果，提示不合格检测项，并提供相应配置加固建议和帮助指导。 发布区域：华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州、西南-贵阳一。 云服务基线检查 检测结果 通过集成安全防护产品，接入安全产品检测数据，管理全部检测结果。 发布区域：全部 检测结果 安全报告 为统计全局安全攻击态势，通过开启安全报告，态势感知以邮件形式向指定的收件人发送安全报告，反映阶段性安全概况、安全风险趋势。 发布区域：全部 分析报告 产品集成 通过集成安全防护产品，接入安全产品检测数据，管理检测结果的数据来源，支持查看传输数据量，管理数据上报健康状态。 发布区域：全部 安全产品集成 专业版支持 日志管理 态势感知支持将日志存储至对象存储服务（Object Storage Service，OBS），帮助用户轻松应对安全日志存储、导出场景，满足日志存储180天及集中审计的要求。 发布区域：全部 日志管理

攻击类型 DDoS攻击 分布式拒绝服务（Distributed Denial of Service，简称DDoS）攻击是指攻击者使用网络上多个被攻陷的电脑作为攻击机器，向特定的目标发动DoS攻击。DoS（Denial of Service）攻击也称洪水攻击，是一种网络攻击手法，其目的在于使目标电脑的网络或系统资源耗尽，服务暂时中断或停止，导致合法用户不能够访问正常网络服务的行为。 暴力破解 暴力破解法是一种密码分析方法，基本原理是在一定条件范围内对所有可能结果进行逐一验证，直到找出符合条件的结果为止。攻击者通常使用暴力破解的方式猜测远程登录的用户名和密码，一旦破解成功，即可实施攻击和控制。 Web攻击 Web攻击是针对用户上网行为或网站服务器等设备进行攻击的行为。常见的Web攻击方式包括SQL注入攻击、跨站脚本攻击、跨站请求伪造攻击等。 后门木马 后门木马又称特洛伊木马（Trojan Horse），是一种后门程序。后门木马具有很高的伪装性，通常表现为一个正常的应用程序或文件，以获得广泛的传播和目标用户的信任。当目标用户执行后门木马程序后，攻击者即可对用户的主机进行破坏或盗取敏感数据，如各种账户、密码、保密文件等。在黑客进行的各种攻击行为中，后门木马基本上都起到了先导作用，为进一步的攻击打下基础。 僵尸主机 僵尸主机亦称傀儡机，是由攻击者通过木马蠕虫感染的主机，大量僵尸主机可以组成僵尸网络（Botnet）。攻击者通过控制信道向僵尸网络内的大量僵尸主机下达指令，令其发送伪造包或垃圾数据包，使攻击目标瘫痪并“拒绝服务”，这就是常见的DDoS攻击。此外，随着虚拟货币（如比特币）价值的持续增长，以及挖矿成本的逐渐增高，攻击者也开始利用僵尸主机进行挖矿和牟利。 异常行为 异常行为主要指在主机中发生了一些不应当出现的事件。例如，某用户在非正常时间成功登录了系统，一些文件目录发生了计划外的变更，进程出现了非正常的行为等。这些异常的行为事件很多是有恶意程序在背后作乱。所以在发生这类异常行为时，应当引起重视。态势感知中的异常行为数据主要来源于主机安全服务。 漏洞攻击 漏洞是指计算机系统安全方面的缺陷，可导致系统或应用数据遭受保密性、完整性、可用性等方面的威胁。攻击者利用漏洞获取计算机权限、盗取敏感数据、破坏软硬件系统等行为均可称为漏洞攻击。 命令与控制 域名生成算法（Domain Generation Algorithm，简称DGA）是一种利用随机字符生成命令与控制（Command and Control，简称C&C）域名的技术，常被用于逃避域名黑名单功能的检测。 攻击者利用DGA生产恶意域名后，选择部分域名进行注册并指向C&C服务器。当受害者运行恶意程序后，主机将通过恶意域名连接至C&C服务器，攻击者即可远程操控主机。

立即购买 登录管理控制台。 在页面上方选择“区域”后，单击，选择“安全与合规 > 管理检测与响应服务”。 在“等保套餐”下方，单击“立即购买”，进入“购买MDR服务”页面。 图1 选择等保套餐 选择区域。 请就近选择靠近您业务的区域，可减少网络时延，提高访问速度 。 选择“推荐套餐”。支持的套餐有“等保二级方案”、“等保三级方案基础版”、“等保三级方案高级版”或“多云安全方案套餐”。 图2 选择套餐 表1 套餐内容 - 服务说明 推荐产品 等保二级 等保三级基础版 等保三级高级版 多云模式 安全通信网络 网络区域隔离 云防火墙 √ √ √ - 安全区域边界 检测、防止或限制网络攻击行为 DDoS高防 - - √ √ 访问控制、边界防护、入侵防范 Web应用防火墙 √ √ √ √ 安全计算环境 分析识别、报警各类安全事件和新型攻击提供恶意代码防护机制 企业主机安全 √ √ √ √ 网页防篡改 - - √ √ 威胁检测服务 √ √ √ - 数据安全审计 数据库审计 - √ √ - 满足数据完整性和数据保密性 SSL证书 √ √ √ √ 发现漏洞，提供漏洞修补建议 漏洞扫描 - - √ √ 数据加密防护 数据加密 - - √ - 安全管理中心 敏感数据识别、防护 数据安全中心 - - √ - 安全体检、安全加固、安全检测等 管理监测与响应 - - √ √ 对分布在网络中的安全设备安全设备进行集中管控 态势感知 √ √ √ - 对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测 云监控 √ √ √ - 身份鉴别、访问控制、运维审计 云堡垒机 - √ √ - 云审计 - √ √ - 云日志 - √ √ - 数据灾备服务 本地&异地（跨Region）数据家备份与恢复 CBR - √ √ - 异地（跨云）数据备份功能 OBS √ √ √ √ 数据实时备份 SDRS容灾备份 - - √ - 根据选择的套餐（需要选择的服务请勾选后再进行配置），配置套餐商品信息。购买时长默认是“1年”。 配置Web应用防火墙。 请根据您的业务情况购买“域名扩展包”或“带宽扩展包”以及选择“购买时长”。 图3 配置Web应用防火墙 一个域名包支持10个域名，限制仅支持1个一级域名和与一级域名相关的子域名或泛域名。 一个带宽扩展包包含20Mbit/s/50Mbit/s（华为云外/华为云内）或者1,000QPS（Query Per Second，即每秒钟的请求量，例如一个HTTP GET请求就是一个Query）。 配置企业主机安全。 请根据您的业务情况购买“防护主机数量”和选择“购买时长”。 图4 配置企业主机安全 配属数据库安全审计。 请根据您的业务情况选择“可用区”、“规格”、“实例名称”、“虚拟私有云”、“安全组”、“子网”以及选择“购买时长”。 图5 配置数据库安全审计 表2 数据库安全审计实例参数说明 参数名称 说明 取值样例 虚拟私有云 可以选择使用已有的虚拟私有云（Virtual Private Cloud，VPC）网络，或者单击“查看虚拟私有云”创建新的虚拟私有云。 说明： 请选择Agent安装节点（应用端或数据库端）所在的VPC。 不支持修改VPC。若要修改，请退订后重新申请。 更多有关虚拟私有云的信息，请参见虚拟私有云用户指南。 vpc-sec 安全组 界面显示实例已配置的安全组。选择实例的安全组后，该实例将受到该安全组访问规则的保护。 更多有关安全组的信息，请参见虚拟私有云用户指南。 sg 子网 界面显示所有可选择的子网。 更多有关子网的信息，请参见虚拟私有云用户指南。 public_sunnet 实例名称 您可以自定义实例的名称。 DBSS-test 配置态势感知。 请根据您的业务情况设置“最大配额数”和勾选“使用态势大屏”以及选择“购买时长”。 图6 配置态势感知 配置云堡垒机。 请根据您的业务情况选择“可用区”、“性能规格”、“实例名称”、“虚拟私有云”、“安全组”、“子网”、“弹性IP”以及选择“购买时长”。 若在当前区域无可选EIP，可单击“购买弹性IP”创建弹性IP。 图7 配置云堡垒机 配置漏洞扫描服务。 请根据您的业务情况选择“规格”、“扫描配额包”和“购买时长”。 图8 配置漏洞扫描服务 配置SSL证书。 请根据您的业务情况选择“域名类型”、“域名数量”和“有效期”。 图9 配置SSL证书 配置专属加密服务。 请根据您的业务情况选择“购买数量”和“购买时长”。 图10 配置专属加密服务 配置数据安全中心。 请根据您的业务情况选择“规格”、“数据库扩展包”、“OBS扩展包”和“购买时长”。 图11 配置数据安全中心 在页面右下方，单击“下一步”。 确认订单无误并阅读《管理检测与响应免责声明》和《隐私政策声明》后，勾选“我已阅读并同意《管理检测与响应免责声明》和《隐私政策声明》”，单击“去支付”。 在“支付”页面，请选择付款方式进行付款。 付款成功后，单击“返回管理检测与响应控制台”，返回到“管理检测与响应”界面。

应用场景 移动应用安全 移动应用安全服务主要用于以下场景。 企业自检或通报后自查 适用于各类APP发版自检，及通报整改后自查，服务提供详细精确的报告协助企业快速定位修复问题，达到监管合规要求。 审核机构APP合规审查 紧贴各类监管规范，提供高效的自动化检测服务，能快速识别存在违规行为的APP。 代码检查 代码检查服务主要用于以下场景。了解更多。 Web应用安全检查 应用：Java、JS等Web开发语言的规则集进行代码检视。 场景特点：Web服务面向Internet互联网，容易遭受DDos攻击、信息泄露等风险。 适用场景：互联网服务交付安全等级验收。 项目质量控制 应用：在交付过程中实时根据代码复杂度、重复率、质量得分控制风险。 场景特点：项目经理的共识“从前端保证质量，把质量做在日常交付”，但经常没有有效的工具平台，目前大部分的质量工作还是依赖后端测试。 适用场景：项目经理迭代交付质量控制。 漏洞扫描 漏洞扫描服务应用场景主要包括以下方面。了解更多。 Web漏洞扫描应用场景 主机漏洞扫描应用场景 弱密码扫描应用场景 中间件扫描应用场景 内容合规检测应用场景 二进制成分分析应用场景 移动应用安全

查看单台服务器安全详情 您可在“主机管理 > 云服务器”页面，单击“有风险”，进入单台服务器安全详情页面。 在单台服务器安全详情页面，可快速查看当前服务器的资产信息、未处理的漏洞和安全事件。 表2 单服务器安全详情 安全项 说明 资产管理 您可以查看主机上的“账号信息”、“开放端口”、“进程信息”、“WEB目录”、“软件信息”、“自启动”。 账号信息 列出当前系统的账号信息，帮助用户进行账户安全性管理。 开放端口 列出当前系统开放的端口列表，帮助用户识别出其中的危险端口和未知端口。 进程信息 对运行中的进程进行收集及呈现，便于自主清点合法进程发现异常进程。 WEB目录 列出当前系统中Web服务使用的目录，帮助用户进行Web资源管理。 软件信息 列出当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 自启动 列出当前系统中的自启动信息，帮助用户快速识别主机中可疑的自启动。 漏洞管理 您可以查看主机系统中的漏洞和Web-CMS漏洞。 Windows系统漏洞 通过订阅微软官方更新，统计服务器中未修复的漏洞，推送微软官方补丁。 Linux软件漏洞 通过与漏洞库进行比对，检测出系统和软件（例如：SSH、OpenSSL、Apache、Mysql等）存在的漏洞，帮助用户识别出存在的风险。 Web-CMS漏洞 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，提升Web服务安全性。 基线检查 您可以查看主机的系统、数据库、账号配置存在的风险点。 口令风险 检测系统中的口令复杂度策略，给出修改建议，帮助用户提升口令安全性检测账户口令是否属于常用的弱口令，针对弱口令提示用户修改，防止账户口令被轻易猜解。 配置风险 对常见的Tomcat配置、SSH登录配置、Nginx配置进行检查，帮助用户识别不安全的配置项。 入侵检测 您可以查看主机上的账户暴力破解、进程异常行为、网站后门、异常登录、恶意进程等13大类入侵并告警。详细信息请参见入侵告警事件概述。

护网检查—安全套件覆盖 表7 安全套件覆盖风险项检查项目 检查项目 检查内容 主机防护状态检查 企业主机安全服务（Host Security Service，HSS）是提升主机整体安全性的服务，通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能，全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 检查主机是否已开启防护。 主机Agent状态检查 企业主机安全服务（Host Security Service，HSS）是一个用于全面保障主机整体安全的服务，能帮助您高效管理主机的安全状态，并构建服务器安全体系，降低当前服务器面临的主要安全风险。 在主机中安装Agent后，您的主机才能收到HSS的保护。 检查主机Agent是否为在线状态。 主机安全检测状态检查 企业主机安全服务（Host Security Service，HSS）将实时检测主机中的风险和异常操作，在每日凌晨将对主机执行全面扫描。执行配置检测后，您可以根据检测结果中的相关信息，修复主机中含有风险的配置项或忽略可信任的配置项。 检查主机的检测结果是否存在异常。 WAF（云模式）基础防护配置检查 Web基础防护开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在云模式下是否已开启Web基础防护。 WAF（云模式）防护策略配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在云模式下是否已开启Web基础防护并设置为拦截模式。 WAF（独享模式）基础防护配置检查 Web基础防护开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在独享模式下是否已开启Web基础防护。 WAF（独享模式）防护策略配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在独享模式下是否已开启Web基础防护并设置为拦截模式。 网站高危漏洞检查 漏洞扫描服务（Vulnerability Scan Service，简称VSS）可以帮助您快速检测出您的网站存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 检查网站中是否存在高危漏洞。 网站中危漏洞检查 漏洞扫描服务（Vulnerability Scan Service，简称VSS）可以帮助您快速检测出您的网站存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 检查网站中是否存在中危漏洞。 扫描时间检查 漏洞扫描服务（Vulnerability Scan Service，简称VSS）可以帮助您快速检测出您的网站存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 检查扫描时间是否已超过一周。 SA专业版购买检查 态势感知提供基础版、标准版和专业版三个版本，不同版本有不同功能使用范围。 专业版可以呈现全局安全态势。通过动态安全检测和威胁分析，并提供安全加固建议。 检查是否已购买SA专业版。 主机Agent版本检查 在主机中安装Agent后，您的主机将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 企业主机安全服务有基础版、企业版、旗舰版和网页防篡改版四个版本。 基础版一般只用于测试、个人用户防护主机账户安全。建议您选择企业版及以上版本。 检查所有主机Agent是否为企业版及以上版本。

护网检查—安全套件覆盖 表7 安全套件覆盖风险项检查项目 检查项目 检查内容 主机防护状态检查 企业主机安全服务（Host Security Service，HSS）是提升主机整体安全性的服务，通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能，全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 检查主机是否已开启防护。 主机Agent状态检查 企业主机安全服务（Host Security Service，HSS）是一个用于全面保障主机整体安全的服务，能帮助您高效管理主机的安全状态，并构建服务器安全体系，降低当前服务器面临的主要安全风险。 在主机中安装Agent后，您的主机才能收到HSS的保护。 检查主机Agent是否为在线状态。 主机安全检测状态检查 企业主机安全服务（Host Security Service，HSS）将实时检测主机中的风险和异常操作，在每日凌晨将对主机执行全面扫描。执行配置检测后，您可以根据检测结果中的相关信息，修复主机中含有风险的配置项或忽略可信任的配置项。 检查主机的检测结果是否存在异常。 WAF（云模式）基础防护配置检查 Web基础防护开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在云模式下是否已开启Web基础防护。 WAF（云模式）防护策略配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在云模式下是否已开启Web基础防护并设置为拦截模式。 WAF（独享模式）基础防护配置检查 Web基础防护开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在独享模式下是否已开启Web基础防护。 WAF（独享模式）防护策略配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在独享模式下是否已开启Web基础防护并设置为拦截模式。 网站高危漏洞检查 漏洞扫描服务（Vulnerability Scan Service，简称VSS）可以帮助您快速检测出您的网站存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 检查网站中是否存在高危漏洞。 网站中危漏洞检查 漏洞扫描服务（Vulnerability Scan Service，简称VSS）可以帮助您快速检测出您的网站存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 检查网站中是否存在中危漏洞。 扫描时间检查 漏洞扫描服务（Vulnerability Scan Service，简称VSS）可以帮助您快速检测出您的网站存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 检查扫描时间是否已超过一周。 SA专业版购买检查 态势感知提供基础版、标准版和专业版三个版本，不同版本有不同功能使用范围。 专业版可以呈现全局安全态势。通过动态安全检测和威胁分析，并提供安全加固建议。 检查是否已购买SA专业版。 主机Agent版本检查 在主机中安装Agent后，您的主机将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 企业主机安全服务有基础版、企业版、旗舰版和网页防篡改版四个版本。 基础版一般只用于测试、个人用户防护主机账户安全。建议您选择企业版及以上版本。 检查所有主机Agent是否为企业版及以上版本。

漏洞风险通报 随着企业业务的不断上云，为避免漏洞被成功利用，需尽可能多的找出并修复漏洞。 态势感知通过采集云上应急安全通告，能够实时披露新发现的漏洞，通报突发安全漏洞事件和预警潜在漏洞；同时通过集成漏洞扫描结果，能够定期进行漏洞扫描，集中管理主机漏洞和网站漏洞，对系统、软件和网站进行检测，检测出系统、软件和网站存在的漏洞，针对检测到的漏洞提供修复建议。 集中的云上漏洞管理，快速帮助用户识别关键风险，发现攻击者可能感兴趣的资产，帮助用户快速弥补安全短板。

2020年02月 序号 功能名称 功能描述 阶段 相关文档 1 Apache Dubbo反序列化漏洞防护 2020年02月13日，华为云安全团队监测到Apache Dubbo官方发布了CVE-2019-17564漏洞通告，漏洞等级中危。当用户选择http协议进行通信时，攻击者可以通过发送POST请求的时候来执行一个反序列化的操作，由于没有任何安全校验，该漏洞可以造成反序列化执行任意代码。目前，华为云Web应用防火墙（Web Application Firewall，WAF）提供了对该漏洞的防护。 商用 Apache Dubbo反序列化漏洞

修订记录 发布日期 修改说明 2022-10-25 第五十七次正式发布。 修改如下章节： 独享引擎实例升级最佳实践 2022-09-30 第五十六次正式发布。 增加“独享WAF+7层ELB”联动，实现防护任意非标端口。 2022-09-06 第五十五次正式发布。 修改如下章节： “CDN+WAF”联动，提升网站防护能力和访问速度 “DDoS高防+WAF”联动，提升网站全面防护能力 2022-08-11 第五十四次正式发布。 增加以下最佳实践： 通过业务Cookie和HWWAFSESID联合配置限制恶意抢购、下载等的最佳实践 2022-07-26 第五十三次正式发布。 修改“WAF+HSS”联动，提升网页防篡改能力章节。 2022-07-06 第五十二次正式发布。 全局计数功能上线，修改如下章节： CC攻击防御最佳实践 “CDN+WAF”联动，提升网站防护能力和访问速度 “DDoS高防+WAF”联动，提升网站全面防护能力 2022-07-04 第五十一次正式发布。 全局白名单功能上线，修改如下章节： 通过误报处理提升Web基础防护效果 使用Postman工具模拟业务验证全局白名单（原误报屏蔽）规则 2022-06-06 第五十次正式发布。 修改如下章节： 获取客户端真实IP “DDoS高防+WAF”联动，提升网站全面防护能力 2022-05-23 第四十九次正式发布。 增加“WAF+HSS”联动，提升网页防篡改能力。 修改获取客户端真实IP章节。 2022-05-17 第四十八次正式发布。 修改“DDoS高防+WAF”联动，提升网站全面防护能力章节。 2022-05-05 第四十七次正式发布。 修改获取客户端真实IP，增加了约束条件。 2022-04-19 第四十六次正式发布。 增加如下两个最佳实践： 通过LTS实时分析Spring core RCE漏洞的拦截情况 通过LTS配置WAF规则的拦截告警 2022-04-01 第四十五次正式发布。 增加Java Spring框架远程代码执行高危漏洞最佳实践。 2022-03-29 第四十四次正式发布。 准备阶段，增加了相关说明。 2022-02-11 第四十三次正式发布。 获取客户端真实IP，增加了Apache服务器为2.4及以上版本如何获取源站IP的方法。 2021-12-22 第四十二次正式发布。 新增通过LTS快速查询分析WAF访问日志。 2021-12-02 第四十一次正式发布。 新增使用Postman工具模拟业务验证全局白名单（原误报屏蔽）规则。 通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全，优化内容描述。 2021-10-21 第四十次正式发布。 “CDN+WAF”联动，提升网站防护能力和访问速度，优化内容描述。 2021-10-12 第三十九次正式发布。 通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全，优化内容描述。 2021-09-22 第三十八次正式发布。 新增独享引擎实例升级最佳实践。 2021-08-19 第三十七次正式发布。 “CDN+WAF”联动，提升网站防护能力和访问速度，更新界面截图。 2021-07-29 第三十六次正式发布。 “CDN+WAF”联动，提升网站防护能力和访问速度、“DDoS高防+WAF”联动，提升网站全面防护能力，补充接入成功生效条件。 2021-07-20 第三十五次正式发布。 修改管理控制台入口。 2021-06-25 第三十四次正式发布。 单独使用WAF配置指导，优化内容描述。 2021-06-08 第三十三次正式发布。 “CDN+WAF”联动，提升网站防护能力和访问速度，优化前提条件描述。 “DDoS高防+WAF”联动，提升网站全面防护能力，优化前提条件描述。 2021-05-20 第三十二次正式发布。 “DDoS高防+WAF”联动，提升网站全面防护能力，补充独享模式和ELB模式配置策略。 2021-05-14 第三十一次正式发布。 “CDN+WAF”联动，提升网站防护能力和访问速度，补充独享模式和ELB模式配置策略。 2021-04-08 第三十次正式发布。 单独使用WAF配置指导，优化内容描述。 2021-03-19 第二十九次正式发布。 通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全，优化内容描述。 2020-11-27 第二十八次正式发布。 通过配置ECS/ELB访问控制策略保护源站安全，优化内容描述。 通过误报处理提升Web基础防护效果，优化内容描述。 获取客户端真实IP，优化内容描述。 2020-11-20 第二十七次正式发布。 通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全，优化内容描述。 通过配置反爬虫防护策略阻止爬虫攻击，优化内容描述。 2020-08-17 第二十六次正式发布。 获取客户端真实IP，优化内容描述。 2020-05-14 第二十五次正式发布。 通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全，优化内容描述。 2020-04-16 第二十四次正式发布。 优化内容描述。 2020-04-02 第二十三次正式发布。 更新界面截图。 2020-02-27 第二十二次正式发布。 通过误报处理提升Web基础防护效果，更新界面截图并优化内容描述。 2020-02-14 第二十一次正式发布。 新增Apache Dubbo反序列化漏洞。 2020-01-03 第二十次正式发布。 获取客户端真实IP，修改标题。 2019-12-19 第十九次正式发布。 通过误报处理提升Web基础防护效果，增加IIS服务器获取访问者真实IP的方法。 “CDN+WAF”联动，提升网站防护能力和访问速度，优化内容描述。 2019-12-16 第十八次正式发布。 操作入口连环图更新。 2019-12-05 第十七次正式发布。 获取客户端真实IP，优化内容描述。 2019-10-21 第十六次正式发布。 通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全，优化内容描述。 CC攻击防御最佳实践，优化内容描述。 通过误报处理提升Web基础防护效果，优化内容描述。 “DDoS高防+WAF”联动，提升网站全面防护能力，优化内容描述。 “CDN+WAF”联动，提升网站防护能力和访问速度，优化内容描述。 2019-09-06 第十五次正式发布。 新增开源组件Fastjson拒绝服务漏洞。 2019-09-04 第十四次正式发布。 单独使用WAF配置指导，优化内容描述。 2019-08-30 第十三次正式发布。 “CDN+WAF”联动，提升网站防护能力和访问速度，优化内容描述。 2019-08-27 第十二次正式发布。 通过配置反爬虫防护策略阻止爬虫攻击，优化内容描述。 2019-08-01 第十一次正式发布。 新增“CDN+WAF”联动，提升网站防护能力和访问速度。 2019-07-12 第十次正式发布。 新增开源组件Fastjson远程代码执行漏洞。 2019-06-21 第九次正式发布。 新增获取客户端真实IP。 2019-06-04 第八次正式发布。 新增通过误报处理提升Web基础防护效果。 新增WAF接入配置最佳实践。 2019-05-16 第七次正式发布。 新增通过配置ECS/ELB访问控制策略保护源站安全。 新增Web基础防护功能最佳实践。 2019-05-05 第六次正式发布。 通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全，优化内容描述。 2019-04-28 第五次正式发布。 新增通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全。 2019-04-23 第四次正式发布。 新增Oracle WebLogic wls9-async反序列化远程命令执行漏洞（CNVD-C-2019-48814）。 CC攻击防御最佳实践，优化内容描述。 通过配置反爬虫防护策略阻止爬虫攻击，优化内容描述。 2018-11-08 第三次正式发布。 短描述和关键字的设置。 2018-10-15 第二次正式发布。 根据界面变化更新了截图和描述。 2018-05-11 第一次正式发布。

None 如何使用容器安全服务 容器安全服务（Container Guard Service，CGS）是针对云容器引擎服务（CCE）集群进行安全防护和对容器镜像服务（SWR）镜像仓库中的镜像进行安全扫描的一种安全检测服务，同时提供容器进程白名单、文件只读保护和容器逃逸检测功能，有效防止容器运行时安全风险事件的发生。 本指南指导您快速上手容器安全服务。 Step1 开启集群防护 步骤 ① 登录华为云控制台。在控制台页面中选择“安全与合规> 容器安全服务”，购买容器安全配额。 ② 在左侧导航树中选择“防护列表”，在“集群列表”中单击“开启防护”，开启需要防护的集群。 ③ 在弹出的“开启防护“对话框中，勾选“我已阅读并同意《容器安全服务免责声明》”并单击“是”，完成开启防护操作。 说明 ① 开启集群防护时，若用户购买的包周期防护配额小于当前需要开启防护的集群节点个数，超出的集群节点将执行按需计费。 ② 集群开启防护后，如果集群新增了节点，容器安全服务将为新增的节点自动开启防护，并对新增的节点提供防护。 了解详细步骤 1 购买容器安全配额 2 集群列表 3 开启防护 单击图片可查看原图 Step2 查看本地镜像漏洞 步骤 ① 在左侧导航树中，选择“镜像安全”，单击“本地镜像漏洞”，进入本地镜像漏洞界面，查看本地镜像漏洞占比。 ② 查看TOP5风险的镜像。 ③ 查看受该漏洞的镜像。 说明 ① 用户开启集群防护后，容器安全服务自动对本地镜像执行安全扫描。 ② 针对已判断无风险或风险较小的漏洞，您可以忽略漏洞在所有镜像上的影响或者忽略漏洞在某一镜像上的影响。忽略漏洞后，镜像将不再统计该漏洞，但漏洞列表中仍可见。 了解详细步骤 1 漏洞占比 2 TOP5风险的镜像 3 漏洞列表 单击图片可查看原图 Step3 扫描私有镜像并查看漏洞报告 步骤 ① 在左侧导航树中，选择“镜像列表”，单击“私有镜像仓库”，进入私有镜像仓库页面。 ② 单击镜像名称，展开镜像版本列表，在操作列，单击“安全扫描”。 ③ 在弹出的“安全扫描”对话框中，单击“确定”，启动扫描任务。 ④ 扫描完成后，单击漏洞报告，查看镜像上存在的漏洞。 说明 ① 容器安全服务每日凌晨对私有镜像执行一次全面的安全检测。 ② 用户也可以单击镜像版本，进入镜像详情页面，查看镜像的基本信息、漏洞报告、关联策略、恶意文件、软件信息、文件信息和基线检查；并根据解决方案修复有安全风险的镜像。 了解详细步骤 1 镜像列表 2 安全扫描 3 漏洞报告 单击图片可查看原图 Step4 查看运行时安全 步骤 ① 在左侧导航树中，选择“运行时安全”，进入运行时安全界面。 ② 查看异常趋势图。 ③ 查看异常事件列表。 说明 ① 容器安全服务实时监控容器集群中运行的容器，用户可随时查看容器异常事件详情。 ② 容器安全服务提供逃逸检测、高危系统调用、异常进程检测、文件异常检测和容器环境检测。 了解详细步骤 1 异常趋势图 2 异常事件列表 单击图片可查看原图 Step5 （可选）配置安全策略 步骤 ① 在左侧导航树中，选择“安全配置”，单击“添加策略”。 ② 在弹出的“添加策略”对话框中，配置策略内容并单击“确定”，完成添加策略操作。 ③ 添加完成后，将添加的策略规则应用到关联的镜像。 说明 用户也可在镜像列表，单击需要添加策略的镜像，进入该镜像详情页面，选择关联策略，为该镜像应用策略。 了解详细步骤 1 添加策略 2 配置策略内容 3 选择关联的镜像 单击图片可查看原图

漏洞风险通报 随着企业业务的不断上云，为避免漏洞被成功利用，需尽可能多的找出并修复漏洞。 态势感知通过采集云上应急安全通告，能够实时披露新发现的漏洞，通报突发安全漏洞事件和预警潜在漏洞；同时通过集成漏洞扫描结果，能够定期进行漏洞扫描，集中管理主机漏洞和网站漏洞，对系统、软件和网站进行检测，检测出系统、软件和网站存在的漏洞，针对检测到的漏洞提供修复建议。 集中的云上漏洞管理，快速帮助用户识别关键风险，发现攻击者可能感兴趣的资产，帮助用户快速弥补安全短板。

相关术语说明 开源(open source) 即开放一类技术或一种产品的源代码，源数据，源资产，可以是各行业的技术或产品，其范畴涵盖文化、产业、法律、技术等多个社会维度。 开源软件(open source software) 允许用户直接访问源代码，通过开源许可协议将其复制、修改、再发布的权利向公众开放的计算机软件。 开源组件(open source component) 是开源软件系统中最小可识别且本身不再包含另外组件的、组件信息可在公共网站获取且可独立分发、开发过程中带有版本号并且可组装的软件实体。 开源许可证(open source license) 开源软件的版权持有人授予用户可以学习、修改开源软件，并向任何人或为任何目的分发开源软件的权利。 软件成分分析(Software Composition Analysis) 通过分析软件包含的一些信息和特征来实现对该软件的识别、管理、追踪的技术。 PE(Portable Executable) 是Windows系统下的可执行文件的标准格式。 ELF(Executable and Linkable Format) 是一种Unix或Linux系统下的可执行文件，目标文件，共享链接库和内核转储(core dumps)的标准文件格式。 APK(Android application package) 是Android操作系统使用的一种应用程序包文件格式，用于分发和安装移动应用及中间件。 HAP(HarmonyOS application package) 是鸿蒙操作系统使用的一种应用程序包文件格式，用于分发和安装移动应用及中间件。 CVE(Common Vulnerabilities and Exposures) 又称通用漏洞披露、常见漏洞与披露，是一个与信息安全有关的数据库，收集各种信息安全弱点及漏洞并给予编号以便于公众查阅。 CVSS(Common Vulnerability Scoring System) 通用漏洞评分系统，是一个行业公开标准，其被设计用来评测漏洞的严重程度，并帮助确定所需反应的紧急度和重要度，有CVSS 2.0、3.0、3.1标准。 固件(firmware) 是一种嵌入在硬件设备中的软件。 NVD National Vulnerability Database国家安全漏洞库。 CNVD China National Vulnerability Database国家信息安全漏洞共享平台。 CNNVD China National Vulnerability Database of Information Security国家信息安全漏洞库。 组件依赖 保证组件正确运行所依赖的必须加载的其他组件。

单服务页面 单服务包括两类：安全云服务和专家咨询服务，其中，安全云服务包括移动应用安全、代码检查和漏洞扫描，专家咨询服务包括研发安全SDL培训、隐私合规咨询和移动应用安全专家服务。 表5 单服务页面列表 服务类别 服务名称 说明 安全云服务 移动应用安全 添加移动应用安全任务，上传.apk或.hap文件，扫描其中的漏洞、隐私等问题，了解更多。 代码检查 页面建设中。 漏洞扫描 单击菜单名，跳转到漏洞扫描服务控制台总览页，了解更多。 专家咨询服务 研发安全SDL培训 SDL（Security Development Lifecycle，安全开发生命周期）是为了应对愈发严峻的网络安全挑战而建立、发展的一系列方法论与最佳实践。华为SDL更是与IPD紧密结合，从公司政策、组织、流程、供应链、服务等方面建立和完善可持续、可信赖的覆盖产品研发全流程的安全保障体系。华为研发安全SDL实践高研班已上线云商店，面向研发高管，提供华为研发安全SDL概述、R&D安全保障体系、网络安全技术能力建设等培训课程。 隐私合规咨询 隐私合规咨询，针对于欧盟GDPR、中国隐私保护法、数据安全法的法律法规咨询，以及如何落地研发流程的咨询服务能力。 移动应用安全专家服务 移动应用安全咨询，针对于安卓、鸿蒙应用的移动应用安全检测咨询服务，提供人工检测、修复指导和复测服务，可满足中国四部委针对于移动应用隐私合规的强制性标准要求。 全面覆盖安全合规业务范畴，包含各个环节的指导、落实、督查、整改。 确保合规落实有效，囊括所有安全合规要求，以及落实这些要求对应的实施措施、检查方法。 快速准确直观地展示安全合规问题，并寻找对应解决方案，使安全合规工作标准化、专业化。

中小型企业联网场景 随着企业海量资产不断接入互联网，数字化资产的安全已经成为企业安全建设的重要考虑因素。因此，企业客户希望有一款产品或服务提供事前检测能力，实现事前检测资产的安全状态，高效精准度地识别潜在漏洞，避免潜在漏洞被恶意利用导致威胁攻击。 华为乾坤漏洞扫描服务通过实时漏洞检测，能够帮助企业发现资产中存在的潜在漏洞，并提供漏洞修复优先级和修复建议。客户根据建议及时修补漏洞，降低漏洞被利用的风险。 图1 中小型企业联网场景

容器安全 容器镜像安全 即使在Docker Hub下载的官方镜像中也常常包含了漏洞，而研发人员在使用大量开源框架时更加剧了镜像漏洞问题的出现。 容器镜像安全对镜像进行安全扫描，将镜像中存在的各种风险（镜像漏洞、帐号、恶意文件等）进行展示，提示用户及时修改，消除安全隐患。 容器运行时安全 通常容器的行为是固定不变的，容器安全服务帮助企业制定容器行为的白名单，确保容器以最小权限运行，有效阻止容器安全风险事件的发生。 满足等保合规 安全计算环境是等保合规的关键项，容器安全服务的核心功能够满足入侵防范与恶意代码防范等保条款，能够协助用户保护容器安全、系统安全。

操作步骤 登录管理控制台。 选择“服务列表 >安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务管理控制台。 在左侧导航栏，单击移动应用安全。 在“移动应用安全”页面，单击对应任务操作列的，如图1所示。 单击“文件名”也可以进入扫描报告页面。 图1 进入应用安全扫描报告入口 进入扫描报告查看页面，如图2所示，各栏目说明如表1所示。。 图2 查看应用安全扫描报告详情 表1 详情总览说明 栏目 说明 任务概况 显示目标任务的基本信息，包括： 基本信息：查看扫描文件大小、版本、特征库版本等基本信息。 证书信息：证书的发行者、使用者、摘要算法等信息。 安全漏洞：致命、高危、中危、低危各个级别漏洞数量占比。 隐私合规：不规范隐私声明使用、不合理权限申请、违规使用用户个人信息、其他侵害用户权益行为的使用情况。 安全漏洞 安全漏洞的风险描述和修复建议。 隐私合规 不规范隐私声明使用、不合理权限申请、违规使用用户个人信息、其他侵害用户权益行为的详细数据分析。 基础组件 被扫描的软件包所有的组件信息，例如名称、描述、保护级别等。

网站漏洞 态势感知通过接入VSS漏洞扫描结果数据，集中呈现网站存在的漏洞，提供详细的漏洞分析结果，并针对不同类型的漏洞提供专业可靠的修复建议。 网站漏洞共支持8大类漏洞项的检测，详情扫描内容参见表2。 表2 网站漏洞检测项说明 检测项 说明 Web常规漏洞扫描 默认必选扫描项。扫描常规的30+种Web漏洞，包括XSS、SQL等网站漏洞。 端口扫描 （可选）扫描服务器端口的开放状态，检测出容易被黑客发现的“入侵通道”。 弱密码扫描 （可选）扫描网站的弱密码漏洞。 全方位的OS连接，涵盖90%的中间件，支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测。 丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 CVE漏洞扫描 （可选）接入公共暴露漏洞库（Common Vulnerabilities and Exposures，CVE），根据漏洞库快速更新漏洞规则，扫描CVE最新漏洞。 网页内容合规检测（文字） （可选）检测网站文字的合规性。 网页内容合规检测（图片） （可选）检测网站图片的合规性。 网站挂马检测 （可选）检测网站的挂马漏洞风险。 链接健康检测 （可选）检测网站的链接地址健康性，避免死链、暗链、恶意链接。

网站漏洞 态势感知通过接入VSS漏洞扫描结果数据，集中呈现网站存在的漏洞，提供详细的漏洞分析结果，并针对不同类型的漏洞提供专业可靠的修复建议。 网站漏洞共支持8大类漏洞项的检测，详情扫描内容参见表2。 表2 网站漏洞检测项说明 检测项 说明 Web常规漏洞扫描 默认必选扫描项。扫描常规的30+种Web漏洞，包括XSS、SQL等网站漏洞。 端口扫描 （可选）扫描服务器端口的开放状态，检测出容易被黑客发现的“入侵通道”。 弱密码扫描 （可选）扫描网站的弱密码漏洞。 全方位的OS连接，涵盖90%的中间件，支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测。 丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 CVE漏洞扫描 （可选）接入公共暴露漏洞库（Common Vulnerabilities and Exposures，CVE），根据漏洞库快速更新漏洞规则，扫描CVE最新漏洞。 网页内容合规检测（文字） （可选）检测网站文字的合规性。 网页内容合规检测（图片） （可选）检测网站图片的合规性。 网站挂马检测 （可选）检测网站的挂马漏洞风险。 链接健康检测 （可选）检测网站的链接地址健康性，避免死链、暗链、恶意链接。

安全上云合规检查—基础设施防护 表4 基础设施防护风险项检查项目 检查项目 检查内容 安全组入方向规则控制检查 安全组入方向规则应满足最小化访问控制原则。 一般，在非业务需要的情况下，以下情况视为未按最小化访问控制（风险由高到低）：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24。 高危端口、远程管理端口暴露检查 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，可以在安全组中设置出方向、入方向规则，这些规则会对安全组内部的云服务器出入方向网络流量进行访问控制，当云服务器加入该安全组后，即受到这些访问规则的保护。 安全组入方向规则中不应对外开放或未最小化开放高危端口、远程管理端口。 高危端口如下：20，21，135，137，138，139，445，389，593，1025 未最小化开放指的是：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24 检查安全组入方向规则中是否存在对外开放或未最小化开放高危端口、远程管理端口。 绑定EIP的ECS配置密钥对登录检查 当存在ECS对外暴露EIP的情况下，为安全起见，弹性云服务器登录时应使用密钥方式进行身份验证。 日志指标过滤和告警事件（VPC更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因VPC更改而产生的日志和告警事件。 日志指标过滤和告警事件（网络网关更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因网络网关更改而产生的日志和告警事件。 日志指标过滤和告警事件（安全组更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因安全组更改而产生的日志和告警事件。 日志指标过滤和告警事件（子网更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因子网更改而产生的日志和告警事件。 日志指标过滤和告警事件（VPN更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因VPN更改而产生的日志和告警事件。 ELB实例（共享型）启用访问控制检查 共享型负载均衡器用户可以通过添加白名单和黑名单的方式控制访问负载均衡监听器的IP。通过白名单能够设置允许特定IP访问，而其它IP不许访问。通过黑名单能够设置允许特定的IP不能访问，而其它IP允许访问。 检查弹性负载均衡（Elastic Load Balance，ELB）实例，是否开启访问控制策略。 网络ACL规则配置检查 网络ACL是对子网的访问控制策略系统，根据与子网关联的入站/出站规则，判断数据包是否被允许流入/流出关联子网。同一个VPC内的子网间设置网络ACL，可以增加额外的安全防护层，实现更精细、更复杂的安全访问控制。 检查是否配置网络ACL规则。 用于VPC对等连接路由表检查 对等连接是指两个VPC之间的网络连接，因此用于对等连接的路由表应满足最小访问权限。 本端路由的目的地址最好限定在最小子网网段内，对端路由的目的地址最好限定在最小子网网段内。 检查用于对等连接的路由表是否满足最小访问权限。 VPC规划检查 如果在当前区域下有多套业务部署，且希望不同业务之间进行网络隔离时，则可为每个业务在当前区域建立相应的VPC。 两个VPC之间可以采用对等连接进行互连。 VPC具有区域属性，默认情况下，不同区域的VPC之间内网不互通，同区域的不同VPC内网不互通，同一个VPC下的不同可用区之间内网互通。 检查VPC规范是否合理。 态势感知启用检查 态势感知（Situation Awareness，SA）是华为云安全管理与态势分析平台，能够检测出超过20大类的云上安全风险，利用大数据分析技术，为用户呈现出全局安全攻击态势。 检查是否已启用SA。 WAF启用（云模式/独享模式/ELB模式）检查 启用Web应用防火墙（Web Application Firewall， WAF）服务后，网站所有的公网流量都会先经过Web应用防火墙，恶意攻击流量在Web应用防火墙上被检测过滤，而正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。 检查是否已启用WAF。 WAF回源配置检查（未配置ELB） 使用Web应用防火墙（Web Application Firewall， WAF）服务后，需配置源站服务器只允许来自WAF的访问请求访问源站，既可保障访问不受影响，又能防止源站IP暴露。 未使用弹性负载均衡（Elastic Load Balance，ELB）情况下，检查在ECS关联的安全组源地址中，是否添加WAF回源IP。 WAF防护策略配置（地理位置访问控制）检查 WAF的防护策略应配置地理位置访问控制，可针对指定国家、地区的来源IP自定义访问控制。配置后，可以进一步减小业务网站的攻击面（检测版和专业版暂不支持该功能）。 Web基础防护配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查是否已开启Web基础防护并设置为拦截模式。 VSS启用检查 漏洞扫描服务（Vulnerability Scan Service）是针对网站进行漏洞扫描的一种安全检测服务，可以帮助快速检测出网站存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 检查是否已启用VSS服务。 Anti-DDoS流量清洗启用检查 DDoS原生基础防护（Anti-DDoS流量清洗）服务为华为云内公网IP资源，提供网络层和应用层的DDoS攻击防护，并提供攻击拦截实时告警，有效提升用户带宽利用率，保障业务稳定可靠。 检查是否已启用Anti-DDoS流量清洗服务。 DDoS高防启用检查 DDoS高防（Advanced Anti-DDoS，AAD）是企业重要业务连续性的有力保障。DDoS高防通过高防IP代理源站IP对外提供服务，将恶意攻击流量引流到高防IP清洗，确保重要业务不被攻击中断。 检查是否已启用DDoS高防。 云堡垒机启用检查 云堡垒机（Cloud Bastion Host，CBH）是华为云的一款4A统一安全管控平台，为企业提供集中的帐号、授权、认证和审计管理服务。启用后，可实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计，不仅能保障系统运行安全，且满足相关合规性规范。 检查是否已启用云堡垒机服务。 主机安全防护启用检查 企业主机安全服务（Host Security Service，HSS）是提升主机整体安全性的服务。可以全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 主机实例应安装HSS且开启防护，版本要求至少为企业版（旗舰版、网页防篡改版更优）。 检查主机是否开启主机安全防护。 HSS网页防篡改启用与防护目录配置检查 网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 有网站或者关键系统防篡改需求，以及有应用安全防护需求的主机，应开启HSS中的网络防篡改防护并配置好防护目录。 检查主机是否开启网络防篡改防护且已配置好防护目录。 主机紧急修复漏洞检查 企业主机安全服务（Host Security Service，HSS）提供漏洞管理功能，检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞。 检查HSS中是否存在紧急修复漏洞。 CDN访问控制配置检查 当客户CDN需要对访问者身份进行识别和过滤，限制部分用户访问，提高CDN的安全性，应配置防盗链与IP黑名单。 检查CDN是否配置访问控制规则。

安全上云合规检查—基础设施防护 表4 基础设施防护风险项检查项目 检查项目 检查内容 安全组入方向规则控制检查 安全组入方向规则应满足最小化访问控制原则。 一般，在非业务需要的情况下，以下情况视为未按最小化访问控制（风险由高到低）：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24。 高危端口、远程管理端口暴露检查 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，可以在安全组中设置出方向、入方向规则，这些规则会对安全组内部的云服务器出入方向网络流量进行访问控制，当云服务器加入该安全组后，即受到这些访问规则的保护。 安全组入方向规则中不应对外开放或未最小化开放高危端口、远程管理端口。 高危端口如下：20，21，135，137，138，139，445，389，593，1025 未最小化开放指的是：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24 检查安全组入方向规则中是否存在对外开放或未最小化开放高危端口、远程管理端口。 绑定EIP的ECS配置密钥对登录检查 当存在ECS对外暴露EIP的情况下，为安全起见，弹性云服务器登录时应使用密钥方式进行身份验证。 日志指标过滤和告警事件（VPC更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因VPC更改而产生的日志和告警事件。 日志指标过滤和告警事件（网络网关更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因网络网关更改而产生的日志和告警事件。 日志指标过滤和告警事件（安全组更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因安全组更改而产生的日志和告警事件。 日志指标过滤和告警事件（子网更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因子网更改而产生的日志和告警事件。 日志指标过滤和告警事件（VPN更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因VPN更改而产生的日志和告警事件。 ELB实例（共享型）启用访问控制检查 共享型负载均衡器用户可以通过添加白名单和黑名单的方式控制访问负载均衡监听器的IP。通过白名单能够设置允许特定IP访问，而其它IP不许访问。通过黑名单能够设置允许特定的IP不能访问，而其它IP允许访问。 检查弹性负载均衡（Elastic Load Balance，ELB）实例，是否开启访问控制策略。 网络ACL规则配置检查 网络ACL是对子网的访问控制策略系统，根据与子网关联的入站/出站规则，判断数据包是否被允许流入/流出关联子网。同一个VPC内的子网间设置网络ACL，可以增加额外的安全防护层，实现更精细、更复杂的安全访问控制。 检查是否配置网络ACL规则。 用于VPC对等连接路由表检查 对等连接是指两个VPC之间的网络连接，因此用于对等连接的路由表应满足最小访问权限。 本端路由的目的地址最好限定在最小子网网段内，对端路由的目的地址最好限定在最小子网网段内。 检查用于对等连接的路由表是否满足最小访问权限。 VPC规划检查 如果在当前区域下有多套业务部署，且希望不同业务之间进行网络隔离时，则可为每个业务在当前区域建立相应的VPC。 两个VPC之间可以采用对等连接进行互连。 VPC具有区域属性，默认情况下，不同区域的VPC之间内网不互通，同区域的不同VPC内网不互通，同一个VPC下的不同可用区之间内网互通。 检查VPC规范是否合理。 态势感知启用检查 态势感知（Situation Awareness，SA）是华为云安全管理与态势分析平台，能够检测出云上安全风险，利用大数据分析技术，为用户呈现出全局安全攻击态势。 检查是否已启用SA。 WAF启用（云模式/独享模式/ELB模式）检查 启用Web应用防火墙（Web Application Firewall， WAF）服务后，网站所有的公网流量都会先经过Web应用防火墙，恶意攻击流量在Web应用防火墙上被检测过滤，而正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。 检查是否已启用WAF。 WAF回源配置检查（未配置ELB） 使用Web应用防火墙（Web Application Firewall， WAF）服务后，需配置源站服务器只允许来自WAF的访问请求访问源站，既可保障访问不受影响，又能防止源站IP暴露。 未使用弹性负载均衡（Elastic Load Balance，ELB）情况下，检查在ECS关联的安全组源地址中，是否添加WAF回源IP。 WAF防护策略配置（地理位置访问控制）检查 WAF的防护策略应配置地理位置访问控制，可针对指定国家、地区的来源IP自定义访问控制。配置后，可以进一步减小业务网站的攻击面（检测版和专业版暂不支持该功能）。 Web基础防护配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查是否已开启Web基础防护并设置为拦截模式。 VSS启用检查 漏洞扫描服务（Vulnerability Scan Service）是针对网站进行漏洞扫描的一种安全检测服务，可以帮助快速检测出网站存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 检查是否已启用VSS服务。 Anti-DDoS流量清洗启用检查 DDoS原生基础防护（Anti-DDoS流量清洗）服务为华为云内公网IP资源，提供网络层和应用层的DDoS攻击防护，并提供攻击拦截实时告警，有效提升用户带宽利用率，保障业务稳定可靠。 检查是否已启用Anti-DDoS流量清洗服务。 DDoS高防启用检查 DDoS高防（Advanced Anti-DDoS，AAD）是企业重要业务连续性的有力保障。DDoS高防通过高防IP代理源站IP对外提供服务，将恶意攻击流量引流到高防IP清洗，确保重要业务不被攻击中断。 检查是否已启用DDoS高防。 云堡垒机启用检查 云堡垒机（Cloud Bastion Host，CBH）是华为云的一款4A统一安全管控平台，为企业提供集中的帐号、授权、认证和审计管理服务。启用后，可实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计，不仅能保障系统运行安全，且满足相关合规性规范。 检查是否已启用云堡垒机服务。 主机安全防护启用检查 企业主机安全服务（Host Security Service，HSS）是提升主机整体安全性的服务。可以全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 主机实例应安装HSS且开启防护，版本要求至少为企业版（旗舰版、网页防篡改版更优）。 检查主机是否开启主机安全防护。 HSS网页防篡改启用与防护目录配置检查 网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 有网站或者关键系统防篡改需求，以及有应用安全防护需求的主机，应开启HSS中的网络防篡改防护并配置好防护目录。 检查主机是否开启网络防篡改防护且已配置好防护目录。 主机紧急修复漏洞检查 企业主机安全服务（Host Security Service，HSS）提供漏洞管理功能，检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞。 检查HSS中是否存在紧急修复漏洞。 CDN访问控制配置检查 当客户CDN需要对访问者身份进行识别和过滤，限制部分用户访问，提高CDN的安全性，应配置防盗链与IP黑名单。 检查CDN是否配置访问控制规则。

漏洞影响 在引入Apache Log4j2处理日志时，漏洞（CVE-2021-44228）会对用户输入的内容进行一些特殊的处理，攻击者可以构造特殊的请求，触发远程代码执行。目前POC已公开，风险较高。详细请参见Apache Log4j2 远程代码执行漏洞（CVE-2021-44228、CVE-2021-45046）。 Elasticseach使用Log4j框架记录日志，同时Elasticsearch使用了Java安全管理器不易受到远程代码执行漏洞的影响。Log4j中的信息泄露漏洞使攻击者能够通过DNS泄露某些环境数据，但是此漏洞不允许访问Elasticsearch集群内的数据，因此通过Log4j漏洞只能查找到环境变量和其他一些有限的环境数据，无需担心数据泄露。

主机扫描类 VSS的主机扫描IP有哪些？ 为什么主机添加成功后不能在主机列表中查找到？ 主机扫描支持哪些区域？ 如何对主机进行授权？ 为什么在扫描时会提示授权委托失败？ 如何解决主机不能访问？ 主机扫描为什么会扫描失败？ 主机扫描支持非华为云主机吗？ 漏洞扫描服务支持哪些操作系统的主机扫描？ 如何修复扫描出来的主机漏洞？ 漏洞扫描服务可以扫描本地的物理服务器吗？ 物理服务器可以使用漏洞扫描服务吗？ 如何创建SSH授权？ 配置主机授权时，必须使用加密密钥吗？ 创建SSH授权时，如何设置登录端口？ 如何扫描修改了IP地址的主机？ 对主机扫描出的漏洞执行“忽略”操作有什么影响？ 主机扫描可以关闭基线检查吗？ 基线检查的风险个数是如何统计的？ 等保合规的检查项可以忽略吗？ 基线检查总数与检查项数不一致，为什么？ 配置普通用户和sudo提权用户漏洞扫描失败案例 如何配置跳板机进行内网扫描？ 主机互通性测试异常如何处理？ 为什么安装了最新kernel后，仍报出系统存在低版本kernel漏洞未修复？ 如何开启winrm服务

漏洞管理 漏洞管理功能将检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞，帮助用户识别潜在风险。 表2 漏洞管理 功能项 功能描述 检测周期 软件漏洞检测 包括Linux软件漏洞和Windows系统漏洞。 通过与漏洞库进行比对，检测出系统和官方软件（非绿色版、非自行编译安装版；例如：SSH、OpenSSL、Apache、MySQL等）存在的漏洞，帮助用户识别出存在的风险。 每日凌晨自动检测 手动检测 Web-CMS漏洞检测 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，提升Web服务安全性。 您可在“风险预防 > 漏洞管理”页面查看漏洞的扫描检测结果，操作详情请参见查看漏洞详情。

漏洞管理功能将检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞，帮助用户识别潜在风险。 表2 漏洞管理 功能项 功能描述 检测周期 软件漏洞检测 包括Linux软件漏洞和Windows系统漏洞。 通过与漏洞库进行比对，检测出系统和官方软件（非绿色版、非自行编译安装版；例如：SSH、OpenSSL、Apache、Mysql等）存在的漏洞，帮助用户识别出存在的风险。 每日凌晨自动检测 手动检测 Web-CMS漏洞检测 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，提升Web服务安全性。

主机漏洞检测 主机漏洞检测（Host Vulnerability Detection，以下简称HVD）是为用户提供一个针对云服务器的安全检测服务，通过安装到弹性云服务器内部的Agent定期对操作系统进行扫描，帮助您及时了解系统存在的安全漏洞，防患于未然，在漏洞被利用之前发现漏洞并修补漏洞。 通过云审计服务，您可以记录与HVD主机漏洞检测服务相关的操作事件，便于日后的查询、审计和回溯。 表1 云审计服务支持的HVD操作列表 操作名称 资源类型 事件名称 开通主机漏洞检测 vm openHvd 关闭主机漏洞检测 vm stopHvd

安全保障 多种安全服务，多维度防护 Web应用防火墙、漏洞扫描等多种安全服务提供多维度防护。 安全评估 提供对用户云环境的安全评估，帮助用户快速发现安全弱点和威胁，同时提供安全配置检查，并给出安全实践建议，有效减少或避免由于网络中病毒和恶意攻击带来的损失。 智能化进程管理 提供智能的进程管理服务，基于可定制的白名单机制，自动禁止非法程序的执行，保障弹性云服务器的安全性。 漏洞扫描 支持通用Web漏洞检测、第三方应用漏洞检测、端口检测、指纹识别等多项扫描服务。

漏洞影响 在区块链服务（简称BCS）中我们提供的国密加密Fabric_SDK_Gateway_Java和Fabric_SDK_Java、开源社区的Fabric_SDK_Gateway_Java和Fabric_SDK_Java及我们提供的对应示例Demo App_Gateway_Java_Demo、App_Java_Src_Demo、App_Java_Jar_Demo中有使用Apache Log4j2。 当前我们已在华北-北京四Region修复以上组件的漏洞，如您使用了以上组件，请尽快至华北-北京四Region的应用案例获取最新版本并完成升级以避免安全风险。在完成漏洞修复前，请确认您区块链应用的输入源是否可信。

检测与修复建议 华为云企业主机安全服务提供了对该漏洞的便捷检测与修复。 在需要检测与修复的云主机上，已安装企业主机安全客户端（Agent），并开启防护。 登录管理控制台。 在页面左上角选择“区域”，单击，选择“安全与合规 > 企业主机安全”，进入企业主机安全页面。 图1 企业主机安全 单击左侧“主机管理”，在云服务器列表中，单击Windows操作系统主机所在行的“查看详情”，如图2所示。 图2 查看详情 在详情页面，单击“漏洞管理 > Windows系统漏洞 > 手动检测”检测主机存在的漏洞，如图3所示。 图3 手动检测漏洞 检测完成后，可查看“解决方案”所在列的修复建议，根据修复建议修复漏洞。 修复过程需要花费一段时间，修复完成后，请重启云主机使补丁生效。 重启云主机后，再次单击“手动检测”，验证该漏洞是否修复成功。 您也可以通过在企业主机安全服务中，选择“漏洞管理 > Windows系统漏洞管理”页签，进入漏洞管理页面，在漏洞列表右上角，输入漏洞名称。查看并修复该漏洞。 Windows Server 2019：KB4534273 Windows Server 2016：KB4534271

操作步骤 登录管理控制台。 在左侧导航栏单击“安全云服务 > 移动应用安全”，进入“移动应用安全”页面。 在“移动应用安全”页面，单击对应任务的文件名，即可进入扫描报告页面，如图1所示。 图1 进入应用安全扫描报告入口 在扫描报告页面，可以查看扫描详情，包括：任务概括、安全漏洞、隐私合规和基础组件，如图2所示，各栏目说明如表1所示。 图2 查看应用安全扫描报告详情 表1 扫描详情说明 栏目 说明 任务概况 显示目标任务的基本信息，包括： 基本信息：查看扫描文件大小、版本、特征库版本等基本信息。 证书信息：证书的发行者、使用者、摘要算法等信息。 安全漏洞：致命、高危、中危、低危各个级别漏洞数量占比。 隐私合规：不规范隐私声明使用、不合理权限申请、违规使用用户个人信息、其他侵害用户权益行为的使用情况。 安全漏洞 安全漏洞的风险描述和修复建议。 隐私合规 不规范隐私声明使用、不合理权限申请、违规使用用户个人信息、其他侵害用户权益行为的详细数据分析。 基础组件 被扫描的软件包所有的组件信息，例如名称、描述、保护级别等。

漏洞公告 漏洞修复策略 Kubernetes安全漏洞公告（CVE-2022-3172） Linux Kernel openvswitch 模块权限提升漏洞预警（CVE-2022-2639） ingress-nginx插件安全漏洞预警公告（CVE-2021-25748） nginx-ingress插件安全漏洞预警公告（CVE-2021-25745，CVE-2021-25746） ContainerD 容器进程权限提升漏洞公告（CVE-2022-24769） CRI-O容器运行时引擎任意代码执行漏洞（CVE-2022-0811） linux内核导致的容器逃逸漏洞公告（CVE-2022-0492） containerd镜像Volume非安全处理漏洞公告（CVE-2022-23648） Linux内核整数溢出漏洞（CVE-2022-0185） Linux Polkit 权限提升漏洞预警（CVE-2021-4034） kubernetes subpath符号链接交换安全漏洞（CVE-2021- 25741） runc符号链接挂载与容器逃逸漏洞预警公告（CVE-2021-30465） Docker资源管理错误漏洞公告（CVE-2021-21285） NVIDIA GPU驱动漏洞公告（CVE-2021-1056） Sudo缓冲区错误漏洞公告（CVE-2021-3156） Kubernetes安全漏洞公告（CVE-2020-8554） Apache containerd安全漏洞公告（CVE-2020-15257） Docker Engine输入验证错误漏洞公告（CVE-2020-13401） Kubernetes kube-apiserver输入验证错误漏洞公告（CVE-2020-8559） Kubernetes kubelet资源管理错误漏洞公告（CVE-2020-8557） Kubernetes kubelet和kube-proxy授权问题漏洞公告（CVE-2020-8558） 修复Kubernetes HTTP/2漏洞公告 修复Linux内核SACK漏洞公告 修复Docker操作系统命令注入漏洞公告（CVE-2019-5736） 全面修复Kubernetes权限许可和访问控制漏洞公告（CVE-2018-1002105） 修复Kubernetes Dashboard安全漏洞公告（CVE-2018-18264）

安全检测 物联网平台提供安全检测能力，可持续检测设备的安全威胁。本文介绍具体的安全检测项，及如何查看并处理检测出的安全风险。 检测项说明 检测项 说明 设备侧使用非加密方式接入 设备与物联网平台之间，未使用加密协议建立安全连接，可能导致中间人劫持、重放攻击，会对业务造成影响。 使用不安全的TLS版本协议 不安全的TLS协议版本（TLS v1.0、v1.1）存在可被利用的安全漏洞，可能会造成设备数据泄露等安全风险。 使用不安全的加密算法套件 当前主要检测包含以下几种不安全的加密算法套件： TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA, TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA, TLS_PSK_WITH_AES_128_CBC_SHA, TLS_PSK_WITH_AES_256_CBC_SHA 不安全的加密算法套件存在可被利用的安全漏洞，可能会造成设备数据泄露等安全风险。 设备侧单位时间内多次建链 设备侧在1秒内与物联网平台进行多次建链，存在设备被暴力破解，导致身份信息泄露的可能，会造成正常设备被迫下线、业务数据被窃取等安全风险。 设备鉴权失败 设备身份认证信息错误，导致设备无法上线，可能会对业务造成影响。

修订记录 发布日期 修改说明 2022-06-30 第十三次正式发布。 下线主机安全“基础版（免费）”最佳实践。 2022-05-16 第十二次正式发布。 下线防御勒索病毒最佳实践。 2021-07-08 第十一次正式发布。 服务入口刷新。 2021-05-17 第十次正式发布。 新增6-主机安全“基础版（免费）”最佳实践。 2020-12-30 第九次正式发布。 5-防御勒索病毒最佳实践，新增Linux系统勒索病毒防护。 2020-10-15 第八次正式发布。 新增Git用户凭证泄露漏洞（CVE-2020-5260）。 新增5-防御勒索病毒最佳实践。 2020-06-19 第七次正式发布。 优化快速提升主机安全性。 删除“精准定位非法进程”，功能重构。 2020-05-08 第六次正式发布。 新增SaltStack远程命令执行漏洞（CVE-2020-11651/CVE-2020-11652）。 2020-04-26 第五次正式发布。 新增OpenSSL高危漏洞（CVE-2020-1967）。 新增Adobe Font Manager库远程代码执行漏洞（CVE-2020-1020/CVE-2020-0938）。 新增Windows内核特权提升漏洞（CVE-2020-1027）。 2020-04-09 第四次正式发布。 新增“精准定位非法进程”。 2020-02-12 第三次正式发布。 新增Windows CryptoAPI欺骗漏洞（CVE-2020-0601）。 2020-01-22 第二次正式发布。 2019-11-25 第一次正式发布。

扫描的安全漏洞告警如何分析定位? 针对移动扫描的安全漏洞，如何通过报告提供的信息进行分析、定位、修复？检测结果提供了如下信息： 报告提供了问题代码信息，包括文件名及其路径，可以通过该信息快速定位到问题文件。 针对部分检测问题，如签名安全检测告警，无具体问题文件显示。 漏洞特征信息，主要为安全漏洞所涉及的函数代码。 安全漏洞修复建议，结合上述代码信息确定具体告警位置，分析漏洞告警是否确认为安全漏洞。

操作步骤 登录华为乾坤云服务控制台，选择“ > 我的服务 > 漏洞扫描服务”。 查看漏洞扫描服务首页。 图1 漏洞扫描服务首页 表1 漏洞扫描服务首页介绍 板块 模块 说明 服务价值呈现 漏洞扫描服务为您守护资产X天 展示已使用服务的天数、已执行漏洞扫描的次数、累计发现资产的个数、总计发现漏洞的个数和关联资产、待处置漏洞的个数和等级、已发现漏洞的修复优先级和处置状态。 漏洞公告 展示最新漏洞公告，单击单条公告可以查看详细介绍。 说明： 如果您同时购买威胁信息服务，可单击“查看更多”跳转到威胁信息服务的“安全研究”界面，查看最新最全的安全漏洞通告。 TOP5修复漏洞 根据VPT（Vulnerability prioritization technology，漏洞优先级技术）评分，评分越高，漏洞的修复优先级越高。展示评分TOP5的漏洞。 漏洞趋势统计 展示近15天/近一月，聚合后待处置的超危、高危、中危、低危漏洞总数的变化趋势。 TOP5漏洞类型 展示数量TOP5的漏洞类型。 小坤智能助手 有X个问题待处理 按站点维度，提供查看该站点下待评估资产和高风险资产的快捷入口。 提供套餐续费和套餐叠加的快捷入口。 小坤已为您处理 云端对异常事件自动处理，保障用户业务正常运行。 展示近24小时此类事件的数量和概要。

扫描的安全漏洞告警如何分析定位? 针对移动扫描的安全漏洞，如何通过报告提供的信息进行分析、定位、修复？检测结果提供了如下信息： 报告提供了问题代码信息，包括文件名及其路径，可以通过该信息快速定位到问题文件。 针对部分检测问题，如签名安全检测告警，无具体问题文件显示。 漏洞特征信息，主要为安全漏洞所涉及的函数代码。 安全漏洞修复建议，结合上述代码信息确定具体告警位置，分析漏洞告警是否确认为安全漏洞。

等保套餐 等保2.0产品优惠套餐，为您提供一站式的安全解决方案，帮助您快速、低成本完成安全整改，轻松满足等保合规要求。提供等保二级方案、等保三级方案基础版、等保三级方案高级版及多云安全方案套餐。各套餐内容和典型应用场景如表2所示。您可根据实际业务系统情况，选择购买套餐类型。 表2 等保套餐说明 套餐类型 套餐内容 典型应用场景 等保二级方案 云防火墙 企业主机安全 Web应用防火墙（WAF） SSL证书 态势感知 威胁检测服务 适用于用户量较少的系统和敏感数据较少的行业，如果发生安全问题，不会对企业自身及用户造成特别严重影响的。如普通企业的门户网站，企业内部用的OA系统。 等保三级方案基础版 云防火墙 企业主机安全 Web应用防火墙（WAF） 云堡垒机 数据库安全审计 态势感知 SSL证书 威胁检测服务 适用于存有用户敏感信息的行业，因为信息外泄会造成特别严重影响，甚至会对社会秩序和公共利益造成损失。 等保三级方案高级版 云防火墙 企业主机安全 漏洞扫描服务 Web应用防火墙（WAF） 云堡垒机 数据库安全审计 态势感知 SSL证书 DDoS高防 加密服务 数据安全中心 威胁检测服务 适用于存有用户敏感信息的行业，这种行业信息外泄会造成特别严重影响，甚至会对社会秩序和公共利益造成损失。如政务、教育、医疗、物流、金融等相关行业。 多云安全方案套餐 根据业务系统的情况，自定义购买以下安全方服务： 企业主机安全 漏洞扫描服务 Web应用防火墙（WAF） SSL证书 DDoS高防 -

功能特性说明 主机安全服务包含了资产管理、基线检查、勒索防护、入侵检测等功能特性，每一个功能都从不同维度提升主机的安全性，全方位保证主机的安全可靠，不同版本支持的功能详情请参见版本功能差异说明。 表1 主机安全服务功能特性说明 功能名称 功能描述 资产管理 可深度扫描出主机中的账号、端口、进程、Web目录、软件信息和自启动任务，在“资产管理”界面，您可以统一管理主机中的信息资产。 漏洞管理 提供检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞、应用漏洞，帮助用户识别潜在风险。 基线检查 扫描主机系统和关键软件含有风险的配置、弱口令、口令复杂度策略。 支持的检测基线包含安全实践和等保合规基线。 容器镜像安全 扫描镜像仓库与正在运行的容器镜像，发现镜像中的漏洞、恶意文件等并给出修复建议，帮助用户得到一个安全的镜像。 应用防护 为运行时的应用提供安全防御。您无需修改应用程序文件，只需将探针注入到应用程序，即可为应用提供强大的安全防护能力。 应用防护目前仅支持Java应用接入。 网页防篡改 实时发现并拦截篡改指定目录下文件的行为，并快速获取备份的合法文件恢复被篡改的文件，从而保护网站的网页、电子文档、图片等文件不被黑客篡改和破坏。 勒索病毒防护 实时监控全盘新增文件及运行中的进程，有效把控新增文件的风险，动态生成诱饵文件进行主动诱捕，精准识别勒索软件，同时可自定义策略对服务器进行定期备份。 文件完整性管理 检查Linux系统、应用程序软件和其他组件的文件，帮助用户及时发现发生了可能遭受攻击的更改。 主机入侵检测 识别并阻止入侵主机的行为，实时检测主机内部的风险异变，检测并查杀主机中的恶意程序，识别主机中的网站后门等。 容器入侵检测 实时监控容器节点运行状态，发现挖矿、勒索等恶意程序，发现违反容器安全策略的进程运行和文件修改，以及容器逃逸等行为并给出解决方案。 白名单管理 可以通过加入告警白名单避免大量告警误报的发生，提升安全事件告警质量。将当前告警事件加入告警白名单后，当再次发生相同的告警时不再进行告警。 策略管理 提供灵活的策略管理能力，可以根据需要自定义安全检测规则，并可以为不同的主机组或主机/容器应用不同的策略，以满足不同应用场景的主机/容器安全需求。 安全配置 提供配置常用登录地、常用登录IP、SSH登录IP白名单，恶意程序自动隔离查杀功能，满足不同应用场景的主机/容器安全需求。 漏洞类告警详情请参见漏洞管理。 资产类风险告警详情请参见基线检查。 容器镜像类漏洞、告警详情请参见容器镜像安全。 主机及容器防护、防御类告警详情请参见安全告警事件。

安全风险趋势 图3 安全风险趋势 可显示最近7天、近30天的安全风险趋势。 表1 安全风险趋势说明 风险分类 风险事件 资产风险 账号信息 开放端口 进程信息 Web目录 软件信息 自启动 漏洞风险 Linux漏洞 Windows漏洞 Web-CMS漏洞 基线检测 口令复杂度策略检测 经典弱口令检测 配置检测 入侵事件 账户破解源IP 异常Shell 恶意程序 高危命令执行 进程异常行为 自启动检测 账户异常登录 提权操作 关键文件变更 高危恶意程序 Rootkit程序 网站后门 风险账户 反弹Shell

产品概述 华为乾坤面向等保2.0推出的等保合规解决方案采用云边一体创新架构，打造简单高效、安全可靠的云化安全解决方案。如图1所示，等保合规解决方案由部署在华为公有云上的云服务和部署在客户网络边界的天关/防火墙构成。 图1 产品架构图 表1 主要服务/模块介绍 部署位置 设备/模块名称 功能介绍 云端 边界防护与响应服务 边界防护与响应服务包括智能分析和处置、安全专家服务两大核心能力，其采用智能大数据分析技术对安全日志进行智能分析和处置，同时安全专家深入分析威胁并结合自身经验准确识别复杂威胁并快速响应。 漏洞扫描服务 漏洞扫描服务是一种针对客户内部资产提供的在线漏洞检测服务。该服务从风险管理角度出发，基于AI算法，结合资产的漏洞扫描结果、资产面临的威胁事件、威胁信息等，整体评估出风险值，帮助客户全面了解资产存在的风险。 云日志审计服务 云日志审计服务是一站式日志数据云端统一管理平台，主要致力于提供事后溯源取证的安全能力。通过对日志数据的全面解析、管理，对各种安全威胁和异常行为事件进行溯源取证，为管理人员提供全局的视角，确保客户业务的不间断运营安全。 企业边界 天关/防火墙 天关/防火墙与云端协同工作，其功能如下： 作为安全防御节点，既对进出流量进行反病毒、IPS等深度安全检测，为租户本地网络提供边界防护，同时向边界防护与响应服务提供日志，并执行边界防护与响应服务下发的防护策略。 作为漏洞扫描服务与企业内部网络的通信桥梁。在执行漏洞扫描任务前，云端会在云端服务和天关/防火墙之间建立VPN隧道，以便云端服务能扫描到企业内部资产。 作为云日志审计服务与企业内部网络的通信桥梁，用户资产的日志数据通过其上传到云端。

产品优势 移动应用安全 扫描速度快：整个检测为分钟级，综合检测报告产出效率高。 能力更新快：针对新风险响应迅速，从解读到检测规则到发布上线，按天更新推进。 检测能力强：隐私解析集成CV图形学算法、OCR、NLP等多领域技术，提供精确的隐私行为一致性检测能力。 覆盖范围全：支持100+基础安全问题、30+隐私合规问题，提供详细的检测结果及修复建议。 代码检查 专业 提供近2000条华为典型检查规则。 提供多维度质量统计报表，包括质量门禁和代码健康度徽标等。 精准 精确定位缺陷，提供修复指导。 支持用户自定义检查规则集，精准检查用户关注缺陷。 全面 支持Java/C#/JS等10种主流开发语言。 支持代码规范检查、安全检查、代码重复率和圈复杂度检查。 兼容CWE/OWASP TOP 10/SANS TOP 25/MISRA/CERT安全标准。 易用 支持多种语言混合检查。 配置任务一键执行，批量过滤缺陷，分级分类快速处理。 漏洞扫描 扫描全面 涵盖多种类型资产扫描，支持云内外网站、主机漏洞、二进制成分分析和移动应用安全，智能关联各资产，自动发现资产指纹信息，避免扫描盲区。 简单易用 配置简单，一键全网扫描。可自定义扫描事件，分类管理资产安全，让运维工作更简单，风险状况更清晰了然。 高效精准 采用Web2.0智能爬虫技术，内部验证机制不断自测和优化，提高检测准确率。 时刻关注业界紧急CVE爆发漏洞情况，自动扫描，快速了解资产安全风险。 快速排查用户软件包/固件中的开源软件、安全配置等风险。 报告全面 清晰简洁的扫描报告，多角度分析资产安全风险，多元化数据呈现，将安全数据智能分析和整合，使安全现状清晰明了。

产品规格差异 漏洞扫描服务提供了基础版、专业版、高级版和企业版四种服务版本。其中，基础版配额内的服务免费，部分功能按需计费；专业版、高级版和企业版需要收费。 VSS各服务版本支持的计费方式、功能和规格说明如下所示，您可以根据业务需求选择相应的服务版本。 表1 VSS各服务版本计费方式 服务版本 支持的计费方式 说明 价格详情 基础版 配额内的服务免费 按需计费 基础版配额内仅支持Web网站漏洞扫描（域名个数：5个，扫描次数：5个域名每日总共可以扫描5次）是免费的。 基础版提供的以下功能按需计费： 可以将Web漏洞扫描或主机漏洞扫描任务升级为专业版规格进行扫描，扫描完成后进行一次性扣费。 主机扫描一次最多支持20台主机。 产品价格详情 专业版 包年/包月 相对于按需付费，包年/包月购买方式能够提供更大的折扣，对于长期使用者，推荐该方式。包周期计费为按照订单的购买周期来进行结算。 高级版 包年/包月 企业版 包年/包月 表2 VSS各服务版本功能说明 功能 基础版 专业版 高级版 企业版 常见Web漏洞检测 √ √ √ √ 端口扫描 √ √ √ √ 自定义登录方式 √ √ √ √ Web 2.0高级爬虫 √ √ √ √ 网站指纹识别 √ √ √ √ 扫描任务管理 √ √ √ √ 漏洞查看及管理 √ √ √ √ CVE漏洞扫描 × √ √ √ 弱密码检测 × √ √ √ 网页内容合规检测（文字） × √ √ √ 操作系统漏洞扫描 × √ √ √ 操作系统基线检查 × √ √ √ 中间件基线检查 × √ √ √ 扫描完毕短信通知 × √ √ √ 查看漏洞修复建议 × √ √ √ 下载扫描报告 × √ √ √ 安全监测（定时扫描） × √ √ √ 网页内容合规检测（图片） × × × √ 网站挂马检测 × × × √ 链接健康检测（死链、暗链、恶意外链） × × × √ 操作系统等保合规检查 × × × √ 支持手动探索文件导入 × × × √ 表3 VSS各服务版本支持的扫描配额说明 版本 域名/IP个数 扫描次数 单个任务时长 任务优先级 单用户并发扫描数 基础版 Web漏扫：包含5个二级域名或IP:端口。 Web漏扫：5个域名每日总共可以扫描5次 2小时 低 默认Web漏扫最大并发为1个域名。 专业版 Web漏扫：包含1个二级域名或IP:端口。 主机漏扫：包含20个IP地址。 无限制 高 默认Web漏扫最大并发为3个域名。 默认主机漏扫最大并发为5个IP。 高级版 Web漏扫：默认包含1个一级域名（不限制下属二级域名个数）/IP（不限制端口个数）。 主机漏扫：不限制IP地址个数。 无限制 高 默认Web漏扫最大并发为5个域名。 默认主机漏扫最大并发为10个IP。 企业版 Web漏扫：默认包含5个一级域名（不限制下属二级域名个数）/IP（不限制端口个数）。 主机漏扫：不限制IP地址个数。 说明： 当默认的扫描配额不能满足您的需求时，您可以通过购买扫描配额包增加扫描配额（一个扫描配额包中包含一个一级域名扫描配额）。 无限制 高 默认Web漏扫最大并发为10个域名。 默认主机漏扫最大并发为20个IP。 说明： 更高并发需要，请提交工单联系专业工程师为您服务。 一级域名指用户通过华为云或者第三方域名注册商，购买注册的域名。 二级域名指无需购买注册，可直接在一级域名下添加的子域名。 例如：一级域名：example.com, example.com.cn，二级域名：test.example.com, test.example.com.cn，详细请参考域名注册。

功能总览 功能总览 全部 主机安全服务 资产指纹管理 基线检查 漏洞管理 容器镜像安全 应用防护 入侵检测 未防护资产的免费体检 恶意程序隔离查杀 勒索病毒防护 文件隔离箱管理 文件完整性管理 自定义安全策略 动静态网页防篡改 特权进程可修改防篡改文件 双因子认证 SSH登录IP白名单 常用登录地/IP 告警白名单管理 告警通知 主机分类管理 订阅安全报告 Agent批量安装 主机安全服务 主机安全服务（Host Security Service，HSS）是以工作负载为中心的安全产品，旨在解决现代混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。它集成了主机安全、容器安全和网页防篡改。 发布区域：全部。 HSS版本功能特性 应用场景 资产指纹管理 可深度扫描出主机中的账号、端口、进程、Web目录、软件信息和自启动任务，在“资产管理”界面，您可以统一管理主机中的信息资产。 发布区域：全部。 查看资产指纹详情 历史变动记录 基线检查 HSS提供基线检查功能，主动检测主机中的口令复杂度策略，关键软件中含有风险的配置信息，并针对所发现的风险为您提供修复建议，帮助您正确地处理服务器内的各种风险配置信息。 发布区域：全部。 查看基线检查详情 管理基线检查策略 基线检查风险修复建议 漏洞管理 HSS提供漏洞管理功能，检测Linux漏洞、Windows漏洞、Web-CMS漏洞、应用漏洞，提供漏洞概览，包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5，帮助您实时了解主机漏洞情况。 发布区域：全部。 查看漏洞详情 漏洞修复与验证 容器镜像安全 扫描镜像仓库与正在运行的容器镜像，发现镜像中的漏洞、恶意文件等并给出修复建议，帮助您得到一个安全的镜像。 发布区域：全部。 容器镜像漏洞 镜像恶意文件 镜像基线检查 应用防护 为运行时的应用提供安全防御。您无需修改应用程序文件，只需将探针注入到应用程序，即可为应用提供强大的安全防护能力。 当前只支持操作系统为Linux的服务器，且仅支持Java应用接入。 发布区域：全部。 开启应用防护 应用防护管理 关闭应用防护 入侵检测 HSS支持账户暴力破解、进程异常、网站后门、异常登录、恶意进程等入侵检测能力，用户可通过事件管理全面了解入侵检测告警事件，帮助用户及时发现资产中的安全威胁、实时掌握资产的安全状态。 企业主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况，包括存在告警的服务器、待处理告警事件、未处理告警事件、已拦截IP和已隔离文件。 事件管理列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，对告警进行“手动处理”、“忽略”、”加入告警白名单”或者“隔离查杀”，自行判断并处理告警，快速清除资产中的安全威胁。 发布区域：全部。 查看和处理入侵告警事件 主机安全告警事件概述 容器安全告警事件概述 查看和处理容器告警事件 未防护资产的免费体检 对未开启防护的主机提供每周一次的免费扫描体检，针对频繁出现的漏洞、口令、资产风险生成安全报告供查看。 发布区域：全部。 未防护资产的免费体检 恶意程序隔离查杀 HSS采用先进的AI、机器学习等技术，并集成多种杀毒引擎，深度查杀主机中的恶意程序。 开启“恶意程序隔离查杀”后，HSS对识别出的后门、木马、蠕虫等恶意程序，提供自动隔离查杀功能，帮助用户自动识别处理系统存在的安全风险。 若未开启“恶意程序隔离查杀”功能，则HSS检测到恶意程序时，不会自动隔离查杀，仅会触发告警。您可以在“入侵检测”的“事件管理”中，查看“恶意程序（云查杀）”中的告警信息，并对恶意程序手动执行“隔离查杀”。 发布区域：全部。 开启恶意程序隔离查杀 仅旗舰版支持 勒索病毒防护 实时监控全盘新增文件及运行中的进程，有效把控新增文件的风险，动态生成诱饵文件进行主动诱捕，精准识别勒索软件，同时可自定义策略对服务器进行定期备份。 发布区域：全部。 开启勒索病毒防护 防护策略管理 关闭防护管理 仅旗舰版支持 文件隔离箱管理 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中，无法对主机造成威胁。被成功隔离的文件一直保留在文件隔离箱中，您也可以根据自己的需要进行一键恢复。 发布区域：全部。 管理文件隔离箱 仅旗舰版支持 文件完整性管理 文件完整性管理可以检查操作系统、应用程序软件和其他组件的文件，确定它们是否发生了可能遭受攻击的更改，同时，能够帮助用户通过PCI-DSS等安全认证。文件完整性管理功能是使用对比的方法来确定当前文件状态是否不同于上次扫描该文件时的状态，利用这种对比来确定文件是否发生了有效或可疑的修改。 文件完整性管理会验证Linux文件的完整性，并管理针对文件执行的活动，包括： 1、文件的创建与删除。 2、文件的修改（文件大小、访问控制列表和内容哈希的更改）。 发布区域：全部。 查看云服务器变更详情 查看历史变更文件 仅旗舰版支持 自定义安全策略 HSS旗舰版提供灵活的策略管理能力，用户可以根据需要自定义安全检测规则，并可以为不同的主机组或主机应用不同的策略，以满足不同应用场景的主机安全需求。 发布区域：全部。 查看策略组 创建策略组 修改策略内容 仅网页防篡改版支持 动静态网页防篡改 静态网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 支持对Windows和Linux进程添加白名单。网页防篡改功能将不对加入白名单的进程进行拦截。 动态网页防篡改提供tomcat应用运行时自我保护，能够检测针对数据库等动态数据的篡改行为。 发布区域：全部。 定时开启网页防篡改 开启动态网页防篡改 查看网页防篡改报告 仅网页防篡改版支持 特权进程可修改防篡改文件 开启网页防篡改防护后，防护目录中的内容是只读状态，如果您需要修改防护目录中的文件或更新网站，可以添加特权进程。 通过这个特权进程去修改防护目录里的文件或者更新网站，修改才会生效。若没有添加特权进程 ，网页防篡改仅防护原来的文件或者网站，即使修改了内容，文件或者网站也会恢复到原来的状态，修改不会生效。 特权进程可以访问被防护的目录，请确保特权进程安全可靠。 发布区域：全部。 添加防护目录 双因子认证 双因子认证功能是一种双因素身份验证机制，结合短信/邮箱验证码，对云服务器登录行为进行二次认证，极大地增强云服务器账户安全性。 开启双因子认证功能后，登录弹性云服务器时，主机安全服务将根据绑定的“消息通知服务主题”验证登录者的身份信息。 发布区域：全部。 开启双因子认证 SSH登录IP白名单 SSH登录IP白名单功能是防护账户爆破的一个重要方式，主要是限制需要通过SSH登录的服务器。 配置了白名单的服务器，只允许白名单内的IP通过SSH登录到服务器，拒绝白名单以外的IP： 1、启用该功能时请确保将所有需要发起SSH登录的IP地址都加入白名单中，否则您将无法SSH远程登录您的服务器。 若您的业务需要访问主机，但不需要SSH登录，则可以不用添加到白名单。 2、IP加入白名单后，账户破解防护功能将不再对来自白名单中的IP登录行为进行拦截，该IP对您加入白名单的服务器登录访问将不受任何限制，请谨慎操作。 发布区域：全部。 配置SSH登录IP白名单 常用登录地/IP 配置常用登录地/IP后，企业主机安全服务将对非常用地/IP登录主机的行为进行告警。每个主机可被添加在多个登录地中。 发布区域：全部。 配置常用登录地 配置常用登录IP 告警白名单管理 可以通过加入告警白名单避免大量告警误报的发生，提升安全事件告警质量。将当前告警事件加入告警白名单后，当再次发生相同的告警时不再进行告警。 发布区域：全部。 配置登录白名单 管理告警白名单 告警通知 开启告警通知功能后，您能接收到企业主机安全服务发送的告警通知，及时了解主机/网页内的安全风险。否则，无论是否有风险，您都只能登录管理控制台自行查看，无法收到报警信息。 告警通知设置仅在当前区域生效，若需要接收其他区域的告警通知，请切换到对应区域后进行设置。 发布区域：全部。 开启告警通知 主机分类管理 您可以创建服务器组，并将主机分配到服务器组，将主机进行分类管理。 您户可以根据创建的服务器组，查看该服务器组内的服务器数量、有风险服务器的数量、以及未防护的服务器数量。 发布区域：全部。 管理服务器组 订阅安全报告 主机安全支持订阅日报、周报、月报和自定义，展现不同周期主机安全趋势以及关键安全事件与风险，订阅报告将为您保存6个月，以满足等保测评以及审计的需要。 订阅主机安全报告 创建安全报告 Agent批量安装 指导您完成服务器Agent的批量安装操作，创建批量安装后系统将自动执行Agent安装操作，安装后才可以对目标服务器开启防护。 发布区域：全部。 批量安装Agent

云容器引擎-成长地图 | 华为云 容器安全服务 容器安全服务（Container Guard Service，CGS）能够扫描镜像中的漏洞与配置信息，帮助企业解决传统安全软件无法感知容器环境的问题；同时提供容器进程白名单、文件只读保护和容器逃逸检测功能，有效防止容器运行时安全风险事件的发生。 产品介绍 立即使用 成长地图 由浅入深，带您玩转CGS 01 了解 容器安全服务（Container Guard Service，CGS）能够扫描容器镜像中的漏洞，以及提供容器安全策略设置和防逃逸功能。 产品介绍 什么是CGS 功能介绍 03 入门 购买容器安全配额后，您可以参照开启集群防护和添加策略，快速防护节点上运行的容器和镜像安全。 开启集群防护 服务授权 开启集群防护 容器防逃逸 安全配置 查看容器异常监控结果 02 购买 根据业务的实际情况，您可灵活购买容器安全配额，对云容器引擎（CCE）中创建的集群进行防护。 快速购买 购买容器安全配额 购买方式 如何续费 如何退订 按需计费 04 使用 开启集群防护和配置安全策略后，您可以根据业务需求配置镜像的策略、根据漏洞修复紧急度修复报告。您还可以查看容器是否违反了安全策略或存在逃逸行为，并根据结果调整安全策略。 常用操作 开启集群防护 关闭集群防护 查看容器异常监控结果 查看防护列表 安全配置 镜像安全 管理本地镜像漏洞 管理私有镜像仓库漏洞 管理官方镜像仓库漏洞 查看恶意文件检测详情 查看基线检查详情 管理镜像策略 管理本地镜像的策略 管理私有镜像的策略 管理官方镜像的策略 常见问题 了解更多常见问题、案例和解决方案 热门案例 什么是容器安全服务？ 什么是容器安全的服务授权？ 哪些区域可以使用容器安全服务？ CGS创建委托失败的原因？ 镜像、容器、应用的关系是什么？ 容器集群节点的Shield状态离线如何处理？ 添加策略 如何为容器安全配额续费？ 如何退订容器安全配额？ 如何查看私有镜像的恶意文件？ 更多 镜像安全 查看本地镜像漏洞 查看私有镜像仓库漏洞 查看官方镜像仓库漏洞 查看私有镜像仓库恶意文件 更多 计费类 如何为容器安全配额续费？ 如何退订容器安全配额？ 什么是容器安全服务的按需计费？ 更多 技术专题 技术、观点、课程专题呈现 runc逃逸漏洞 面对runc逃逸漏洞，华为云容器为您保驾护航 上榜全球权威报告！华为云容器安全是这样做到的 了解容器安全服务架构、功能特性。 云容器引擎新手学堂 从基础理论入手，到实际上手操作，用6节课的时间助力学习云容器引擎CCE。 智能客服 您好！我是有问必答知识渊博的的智能问答机器人，有问题欢迎随时求助哦！ 社区求助 华为云社区是华为云用户的聚集地。这里有来自容器服务的技术牛人，为您解决技术难题。

Linux Polkit 权限提升漏洞预警（CVE-2021-4034） 发布时间：2022/01/27 近日，有安全研究团队披露在polkit的pkexec程序中存在一处权限提升漏洞（CVE-2021-4034，亦称PwnKit），攻击者通过在其默认配置中利用此漏洞实现用任何非特权用户获取易受攻击主机的完全root权限，目前漏洞POC/EXP已公开，风险较高。 详情请参见Linux Polkit 权限提升漏洞预警（CVE-2021-4034）。

协议防攻击 产品对外发布资料中配套提供通信矩阵，通信矩阵列出可以开启或者关闭的服务和端口，以及开启和关闭的条件，未在通信矩阵中列出的服务和端口不会开启。 通信端口矩阵中记录如下信息：该产品开放的端口、该端口使用的传输层协议、通过该端口与对端通信的对端网元名称、该端口使用的应用层协议及应用层服务的描述、应用层服务能否关闭、该端口使用的认证方式、该端口的用途（如控制数据流量）等。 H.235媒体流和信令加密、SRTP（Secure Real-time Transport Protocol）、TLS（Transport Layer Security）、HTTPS等多重安全加密措施，保证了用户的安全性。 网管支持SNMP v3（Simple Network Management Protocol v3）协议，具有更强的适应性和安全性。网管在连接IdeaHub时需要输入用户名和密码。 使用协议健壮性测试工具扫描协议，避免高级别的漏洞。 采用LDAPS协议，通过SSL（Secure Sockets Layer）对通讯录数据进行加密，防止数据被窃取并且保证了数据的完整性。 终端提供防暴力破解机制，认证失败次数达到设定值后，IP或帐号将被锁定。超过锁定时间，才能重新访问终端。

功能总览 功能总览 全部 企业主机安全 资产管理 基线检查 漏洞管理 13大类入侵检测能力 账户暴力破解防护 恶意程序隔离查杀 勒索病毒防护 程序运行认证 文件完整性管理 自定义安全策略 动静态网页防篡改 特权进程可修改防篡改文件 双因子认证 SSH登录IP白名单 常用登录地/IP 告警白名单管理 告警通知 主机分类管理 订阅安全报告 企业主机安全 企业主机安全（Host Security Service，HSS）是提升主机整体安全性的服务，通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能，可全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 发布区域：全部。 HSS服务版本差异 功能特性 应用场景 资产管理 HSS提供资产管理功能，主动检测主机中的开放端口、系统运行中的进程、主机中的Web目录和自启动服务，并对账号信息和软件信息的变动情况进行记录。 通过资产管理，您能集中清点主机中的各项资产信息，及时发现主机中含有风险的各项资产。 资产管理仅提供风险检测功能，若发现有可疑资产信息，请手动处理。 发布区域：全部。 账号信息管理 开放端口检测 软件信息管理 基线检查 HSS提供基线检查功能，主动检测主机中的口令复杂度策略，关键软件中含有风险的配置信息，并针对所发现的风险为您提供修复建议，帮助您正确地处理服务器内的各种风险配置信息。 发布区域：全部。 告警策略 导出配置检测报告 基线检查风险修复建议 漏洞管理 HSS提供漏洞管理功能，检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞。 在“漏洞管理”界面，您可以查看漏洞的信息和状态，根据“修复紧急度”排查主机中的漏洞。 发布区域：全部。 检测原理 漏洞修复与验证 13大类入侵检测能力 HSS支持账户暴力破解、进程异常、网站后门、异常登录、恶意进程等13大类入侵检测能力，用户可通过事件管理全面了解入侵检测告警事件，帮助用户及时发现资产中的安全威胁、实时掌握资产的安全状态。 企业主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况，包括存在告警的服务器、待处理告警事件、未处理告警事件、已拦截IP和已隔离文件。 事件管理列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，对告警进行“手动处理”、“忽略”、”加入告警白名单”或者“隔离查杀”，自行判断并处理告警，快速清除资产中的安全威胁。 发布区域：全部。 告警事件列表说明 查看告警事件 处理告警事件 账户暴力破解防护 HSS可拦截的攻击类型包括：mysql、mssql、vsftp、filezilla、serv-u、ssh、rdp。 暴力破解是一种常见的入侵攻击行为，通过暴力破解或猜解主机密码，从而获得主机的控制权限，会严重危害主机的安全。 通过暴力破解检测算法和全网IP黑名单，若发现暴力破解主机的行为，HSS就会拦截该源IP，禁止其再次登录，防止主机因账户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 若被拦截的IP在超过默认拦截时间后，没有再被继续攻击，系统自动解除拦截。 发布区域：全部。 账户暴力破解防护 账户被暴力破解，怎么办？ 如何避免账户破解攻击？ 恶意程序隔离查杀 HSS采用先进的AI、机器学习等技术，并集成多种杀毒引擎，深度查杀主机中的恶意程序。 开启“恶意程序隔离查杀”后，HSS对识别出的后门、木马、蠕虫等恶意程序，提供自动隔离查杀功能，帮助用户自动识别处理系统存在的安全风险。 若未开启“恶意程序隔离查杀”功能，则HSS检测到恶意程序时，不会自动隔离查杀，仅会触发告警。您可以在“入侵检测”的“事件管理”中，查看“恶意程序（云查杀）”中的告警信息，并对恶意程序手动执行“隔离查杀”。 发布区域：全部。 开启恶意程序隔离查杀 仅旗舰版支持 勒索病毒防护 HSS支持勒索病毒防护功能，可有效监控您云主机上存储的重要文件，防止未经过认证或授权的进程文件对监控文件的加密或修改操作，保障您的主机不被勒索病毒侵害。 您可以通过创建勒索病毒防护策略，并为策略配置防护状态、监控的文件路径与关联服务器。策略通过机器学习引擎学习服务器上的进程修改文件的行为。策略学习完成后，自动应用于关联服务器。 策略通过对服务器运行状态的自动学习和管理端智能分析，完成可信程序的判定，在防护阶段对非可信程序的操作进行告警。 发布区域：全部。 查看防护策略列表 创建防护策略 查看和处理防护事件 仅旗舰版支持 程序运行认证 程序运行认证功能支持将重点防御的主机加入到白名单策略中，通过检测白名单中指定的应用程序区分“可信”、“不可信”和“未知”，防止未经白名单授权的程序运行。可避免您的主机受到不可信或恶意程序的侵害，还能防止不必要的资源浪费、保证您的资源被合理利用。 在创建白名单策略之后，您可以通过在需要重点防御的主机中应用该白名单策略，企业主机安全将检测服务器中是否存在可疑或恶意进程，并对不在白名单中的进程进行告警提示或者隔离。 发布区域：全部。 查看白名单策略列表 应用白名单策略 查看和处理应用进程事件 仅旗舰版支持 文件完整性管理 文件完整性管理可以检查操作系统、应用程序软件和其他组件的文件，确定它们是否发生了可能遭受攻击的更改，同时，能够帮助用户通过PCI-DSS等安全认证。文件完整性管理功能是使用对比的方法来确定当前文件状态是否不同于上次扫描该文件时的状态，利用这种对比来确定文件是否发生了有效或可疑的修改。 文件完整性管理会验证Linux文件的完整性，并管理针对文件执行的活动，包括： 1、文件的创建与删除。 2、文件的修改（文件大小、访问控制列表和内容哈希的更改）。 发布区域：全部。 添加管理文件 查看变更统计 仅旗舰版支持 自定义安全策略 HSS旗舰版提供灵活的策略管理能力，用户可以根据需要自定义安全检测规则，并可以为不同的主机组或主机应用不同的策略，以满足不同应用场景的主机安全需求。 发布区域：全部。 查看和创建策略组 修改策略内容 仅网页防篡改版支持 动静态网页防篡改 静态网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 支持对Windows和Linux进程添加白名单。网页防篡改功能将不对加入白名单的进程进行拦截。 动态网页防篡改提供tomcat应用运行时自我保护，能够检测针对数据库等动态数据的篡改行为。 发布区域：全部。 添加防护目录/文件系统 添加特权进程修改防护文件 开启动态网页防篡改 仅网页防篡改版支持 特权进程可修改防篡改文件 开启网页防篡改防护后，防护目录中的内容是只读状态，如果您需要修改防护目录中的文件或更新网站，可以添加特权进程。 通过这个特权进程去修改防护目录里的文件或者更新网站，修改才会生效。若没有添加特权进程 ，网页防篡改仅防护原来的文件或者网站，即使修改了内容，文件或者网站也会恢复到原来的状态，修改不会生效。 特权进程可以访问被防护的目录，请确保特权进程安全可靠。 发布区域：全部。 添加特权进程 双因子认证 双因子认证功能是一种双因素身份验证机制，结合短信/邮箱验证码，对云服务器登录行为进行二次认证，极大地增强云服务器账户安全性。 开启双因子认证功能后，登录弹性云服务器时，主机安全服务将根据绑定的“消息通知服务主题”验证登录者的身份信息。 发布区域：全部。 开启双因子认证 SSH登录IP白名单 SSH登录IP白名单功能是防护账户爆破的一个重要方式，主要是限制需要通过SSH登录的服务器。 配置了白名单的服务器，只允许白名单内的IP通过SSH登录到服务器，拒绝白名单以外的IP： 1、启用该功能时请确保将所有需要发起SSH登录的IP地址都加入白名单中，否则您将无法SSH远程登录您的服务器。 若您的业务需要访问主机，但不需要SSH登录，则可以不用添加到白名单。 2、IP加入白名单后，账户破解防护功能将不再对来自白名单中的IP登录行为进行拦截，该IP对您加入白名单的服务器登录访问将不受任何限制，请谨慎操作。 发布区域：全部。 配置SSH登录IP白名单 常用登录地/IP 配置常用登录地/IP后，企业主机安全服务将对非常用地/IP登录主机的行为进行告警。每个主机可被添加在多个登录地中。 发布区域：全部。 配置常用登录地 配置常用登录IP 告警白名单管理 告警白名单管理提供告警白名单的展示与批量导入/导出功能，用户可以通过导入/导出告警白名单避免大量告警误报的发生，提升安全事件告警质量。 发布区域：全部。 添加告警白名单 添加登录告警白名单 告警通知 开启告警通知功能后，您能接收到企业主机安全服务发送的告警通知，及时了解主机/网页内的安全风险。否则，无论是否有风险，您都只能登录管理控制台自行查看，无法收到报警信息。 告警通知设置仅在当前区域生效，若需要接收其他区域的告警通知，请切换到对应区域后进行设置。 发布区域：全部。 开启基础版/企业版/旗舰版告警通知 开启网页防篡改版告警通知 主机分类管理 用户可以创建服务器组，并将主机分配到服务器组，对主机进行分类管理。用户可以根据创建的服务器组，查看该服务器组内的服务器数量、有风险服务器的数量、以及未防护的服务器数量。 发布区域：全部。 创建服务器组 分配服务器到组 订阅安全报告 HSS支持订阅周报和月报，展现每周或每月的主机安全趋势以及关键安全事件与风险，订阅报告将为您保存6个月，以满足等保测评以及审计的需要。 勾选“订阅报告”后，第二天即可查看、下载。 发布区域：全部。 订阅主机安全报告

企业主机安全-成长地图 | 华为云 企业主机安全 企业主机安全（Host Security Service）是提升主机整体安全性的服务，包括账户破解防护、弱口令检测、恶意程序检测、双因子认证、漏洞管理，网页防篡改等功能，帮助企业构建服务器安全防护体系，降低当前服务器面临的主要安全风险。 产品介绍 图说HSS 立即使用 成长地图 由浅入深，带您玩转HSS 01 了解 了解企业主机安全的功能特性和应用场景，有助于您更准确地选择所需版本，让您的云上业务安全无忧。 产品介绍 什么是企业主机安全 功能特性 产品优势 应用场景 03 入门 购买企业主机安全后，您需要根据服务器的操作系统版本安装客户端、根据您选择的防护类型设置告警通知，操作完成后您可以对服务器开启防护。 安装客户端 安装Linux版本客户端 安装Windows版本客户端 设置告警通知 开启告警通知 开启防护 开启主机安全防护 开启网页防篡改版 05 实践 使用HSS进行日常的安全管理，帮助您能轻松发现并处理主机上存在的安全风险。 主机防护最佳实践 告警事件处理方法 快速掌握主机安全态势 02 购买 根据业务的实际情况，您可以灵活选择HSS的服务版本。 服务规格 服务版本 如何计费 价格体系 如何购买 购买防护配额 04 使用 根据业务发展需要，您可以随时切换版本、修改安全防护配置。此外，HSS还提供风险报告和风险修复建议，以便您及时了解服务器的安全状态并尽快修复安全风险。 主机安全防护 安全配置 漏洞修复与验证 基线检查风险项修复建议 资产管理 订阅主机安全报告 网页防篡改 添加防护目录/文件系统 添加特权进程 定时开启网页防篡改 开启动态网页防篡改 查看网页防篡改报告 常见问题 了解更多常见问题、案例和解决方案 热门案例 如何处理告警安全事件？ 如何处理漏洞？ Agent状态异常如何处理？ 如何开启HSS防护？ 基础版、企业版、网页防篡改版的特性差异？ HSS功能特性？ 如何购买防护配额、调节购买数量？ 如何续费？ 如何退订？ 更多 产品咨询 基础版、企业版、网页防篡改版的特性差异？ HSS功能特性？ 什么是企业主机安全？ 哪些区域提供HSS服务？ HSS到期后不续费，对主机和业务有影响吗？ 企业主机安全支持版本升级吗？ 更多 告警事件处理 账户被暴力破解，怎么办？ 如何避免账户破解攻击？ 如何处理弱口令为安全的口令？ 如何处理配置风险？ 更多 开通与配置 Agent状态异常如何处理？ 如何开启HSS防护？ 如何购买防护配额？ 如何安装Agent？ 如何设置告警通知？ Agent安装失败如何处理？ 如何使用双因子认证？ 更多 漏洞管理 如何处理漏洞？ 为什么漏洞修复未生效？ 漏洞修复与验证 更多 技术专题 技术、观点、课程专题呈现 华为云助你甩掉90%安全烦恼 介绍华为云重点安全服务、关键特性和应用实践 隐藏型恶意挖矿程序的分析 针对隐藏性恶意挖矿程序进行分析 跟唐老师学习云网络 唐老师将自己对网络的理解分享给大家 智能客服 您好！我是有问必答知识渊博的的智能问答机器人，有问题欢迎随时求助哦！ 社区求助 华为云社区是华为云用户的聚集地。这里有来自容器服务的技术牛人，为您解决技术难题。

场景说明 如果您的网站“www.example.com”除了需要账号密码登录，还有其他的访问机制（例如，需要输入动态验证码），请您设置“cookie登录”方式进行网站漏洞扫描，以便VSS能为您发现更多安全问题。 在添加域名并完成域名认证后，请您参照本文档对具有复杂访问机制的网站（“www.example.com”）进行漏洞扫描，操作流程如下： ①获取网站的cookie值 → ②设置网站“cookie登录”方式 → ③创建扫描任务 → ④查看扫描结果并下载扫描报告

为什么安装了最新kernel后，仍报出系统存在低版本kernel漏洞未修复？ 使用yum update kernel将kernel更新至最新版本后，VSS扫描EulerOS仍报出大量kernel漏洞。这种情况不属于VSS工具误报，而是由于升级kernel之后未及时重启并使用最新版本的kernel运行。kernel升级到最新版本后未重启并运行，实际上仍然使用未升级前的kernel扫描系统，所以漏洞仍然存在。 执行 如下命令可以查看当前系统安装了哪些版本的 kernel。 rpm -qa | grep kernel 执行如下命令可以查看当前系统实际使用的是什么版本的kernel。 uname -a 上面例子中就是实际使用的是低版本的存在大量CVE漏洞的kernel，因此使用VSS扫描仍会报kernel存在CVE-2020-0465等漏洞。 此案例对于使用了CentOS、EulerOS、Red Hat、SUSE的用户均适用。 此外还有某些情况下，用户使用的yum源并不是操作系统官方最新的源，也即yum源中没有操作系统最新的安全补丁，此种情况下也可能报出kernel漏洞未修复的问题。此种情况下需要更新yum源为操作系统官方源或者向操作系统提供方寻求安全补丁的支持。总之，需要基于VSS扫描报告中的“修复建议”中的installed version和fixed version的内容，进行分析和修复。

产品规格差异 漏洞扫描服务提供了基础版、专业版、高级版和企业版四种服务版本。其中，基础版配额内的服务免费，部分功能按需计费；专业版、高级版和企业版需要收费。 VSS各服务版本支持的计费方式、功能和规格说明如下所示，您可以根据业务需求选择相应的服务版本。 表1 VSS各服务版本计费方式 服务版本 支持的计费方式 说明 价格详情 基础版 配额内的服务免费 按需计费 基础版配额内仅支持Web网站漏洞扫描（域名个数：5个，扫描次数：5个域名每日总共可以扫描5次）是免费的。 基础版提供的以下功能按需计费： 可以将Web漏洞扫描或主机漏洞扫描任务升级为专业版规格进行扫描，扫描完成后进行一次性扣费。 主机扫描一次最多支持20台主机。 产品价格详情 专业版 包年/包月 相对于按需付费，包年/包月购买方式能够提供更大的折扣，对于长期使用者，推荐该方式。包周期计费为按照订单的购买周期来进行结算。 高级版 企业版 表2 VSS各服务版本功能说明 功能 基础版 专业版 高级版 企业版 常见Web漏洞检测 √ √ √ √ 端口扫描 √ √ √ √ CVE漏洞扫描 √ √ √ √ 自定义登录方式 √ √ √ √ Web 2.0高级爬虫 √ √ √ √ 网站指纹识别 √ √ √ √ 扫描任务管理 √ √ √ √ 漏洞查看及管理 √ √ √ √ 弱密码检测 × √ √ √ 网页内容合规检测（文字） × √ √ √ 操作系统漏洞扫描 × √ √ √ 操作系统基线检查 × √ √ √ 中间件基线检查 × √ √ √ 扫描完毕短信通知 × √ √ √ 查看漏洞修复建议 × √ √ √ 下载扫描报告 × √ √ √ 安全监测（定时扫描） × √ √ √ 网页内容合规检测（图片） × × × √ 网站挂马检测 × × × √ 链接健康检测（死链、暗链、恶意外链） × × × √ 操作系统等保合规检查 × × × √ 支持手动探索文件导入 × × × √ 表3 VSS各服务版本支持的扫描配额说明 版本 域名/IP个数 单个任务时长 任务优先级 单用户并发扫描数 基础版 Web漏扫：包含5个二级域名或IP:端口。 Web漏扫：5个域名每日总共可以扫描5次。 2小时 低 默认Web漏扫最大并发为1个域名。 专业版 Web漏扫：包含1个二级域名或IP:端口。 主机漏扫：包含20个IP地址。 无限制 高 默认Web漏扫最大并发为3个域名。 默认主机漏扫最大并发为5个IP。 高级版 Web漏扫：默认包含1个一级域名（不限制下属二级域名个数）/IP（不限制端口个数）。 主机漏扫：不限制IP地址个数。 无限制 高 默认Web漏扫最大并发为5个域名。 默认主机漏扫最大并发为10个IP。 企业版 Web漏扫：默认包含5个一级域名（不限制下属二级域名个数）/IP（不限制端口个数）。 主机漏扫：不限制IP地址个数。 说明： 当默认的扫描配额不能满足您的需求时，您可以通过购买扫描配额包增加扫描配额（一个扫描配额包中包含一个一级域名扫描配额）。 无限制 高 默认Web漏扫最大并发为10个域名。 默认主机漏扫最大并发为20个IP。 说明： 更高并发需要，请提交工单联系专业工程师为您服务。

等保2.0三级要求—安全计算环境 表16 安全计算环境风险项检查项目 检查子项目 检查项目 身份鉴别 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。 当进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。 访问控制 应对登录的用户分配账户和权限。 应重命名或删除默认账户，修改默认账户的默认口令。 应及时删除或停用多余的、过期的账户，避免共享账户的存在。 应授予管理用户所需的最小权限，实现管理用户的权限分离。 应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则。 访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级。 应对主体、客体设置安全标记，并依据安全标记和强制访问控制规则确定主体对客体的访问。 安全审计 应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 应对审计进程进行保护，防止未经授权的中断。 入侵防范 应遵循最小安装的原则，仅安装需要的组件和应用程序。 应关闭不需要的系统服务、默认共享和高危端口。 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。 应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。 应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。 应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。 恶意代码和垃圾邮件防范 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。 可信验证 可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在应用程序的所有执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心，并进行动态关联感知。 数据完整性 应采用密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。 应采用密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。 数据保密性 应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。 应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。 数据备份恢复 应提供重要数据的本地数据备份与恢复功能。 应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地。 应提供重要数据处理系统的热冗余，保证系统的高可用性。 剩余信息保护 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。 应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。 个人信息保护 应仅采集和保存业务必需的用户个人信息。 应禁止未授权访问和非法使用用户个人信息。

等保2.0三级要求—安全计算环境 表16 安全计算环境风险项检查项目 检查子项目 检查项目 身份鉴别 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。 当进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。 访问控制 应对登录的用户分配账户和权限。 应重命名或删除默认账户，修改默认账户的默认口令。 应及时删除或停用多余的、过期的账户，避免共享账户的存在。 应授予管理用户所需的最小权限，实现管理用户的权限分离。 应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则。 访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级。 应对主体、客体设置安全标记，并依据安全标记和强制访问控制规则确定主体对客体的访问。 安全审计 应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 应对审计进程进行保护，防止未经授权的中断。 入侵防范 应遵循最小安装的原则，仅安装需要的组件和应用程序。 应关闭不需要的系统服务、默认共享和高危端口。 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。 应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。 应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。 应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。 恶意代码和垃圾邮件防范 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。 可信验证 可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在应用程序的所有执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心，并进行动态关联感知。 数据完整性 应采用密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。 应采用密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。 数据保密性 应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。 应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。 数据备份恢复 应提供重要数据的本地数据备份与恢复功能。 应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地。 应提供重要数据处理系统的热冗余，保证系统的高可用性。 剩余信息保护 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。 应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。 个人信息保护 应仅采集和保存业务必需的用户个人信息。 应禁止未授权访问和非法使用用户个人信息。

漏洞扫描服务支持扫描哪些漏洞？ 漏洞扫描服务支持扫描的漏洞有： 弱口令检测 SSH、FTP、RDP、SMB、MYSQL、MSSQL、MongoDB、Redis、Oracle、DB2、GaussDB、Postgres、Telnet。 前端漏洞 SQL注入、XSS、CSRF、URL跳转等。 信息泄露 端口暴露，目录遍历，备份文件，不安全文件，不安全HTTP方法，不安全端口。 Web注入漏洞 命令注入，代码注入，XPATH注入，SSRF注入，反序列化等注入漏洞。 文件包含漏洞 任意文件读取、任意文件包含、任意文件上传、XXE。

操作步骤 登录容器镜像服务控制台。 在左侧导航栏选择“我的镜像”，单击右侧镜像名称，进入镜像详情页。 在执行镜像安全扫描任务前，请确保“我的镜像”中已经有1个以上的私有镜像。如果您当前账户下没有私有镜像，请参考客户端上传镜像，上传一个镜像到您的镜像仓库中。 在“镜像版本”页签，选择待操作的镜像版本并单击右侧的“镜像扫描”。 图1 我的镜像 单击“重新扫描”，触发镜像的安全扫描，稍等片刻将展示镜像的漏洞扫描结果。 图2 镜像安全扫描结果 漏洞名称：显示该镜像上扫描出的漏洞名称。 修复紧急程度：提示您是否需要立刻处理该漏洞。 软件信息：显示该镜像上受此漏洞影响的软件及版本信息。 解决方案：针对该漏洞给出的解决方案。单击“解决方案”列的链接，查看修复意见。

2022年3月 序号 功能名称 功能描述 阶段 相关文档 1 漏洞扫描服务 漏洞扫描 资产评估 商用 漏洞扫描 2 云日志审计服务 日志采集/解析/存储 日志查询 审计资产管理 日志审计统计数据可视化 商用 云日志审计 3 安全重保解决方案 边界防护与响应服务 漏洞扫描服务 重保威胁信息 商用 安全重保解决方案 4 等保合规解决方案 边界防护与响应服务 漏洞扫描服务 云日志审计服务 商用 等保合规解决方案 5 云管理网络 网络规划与设计 站点管理 网络健康360 用户体验360 智能调优360 公测 云管理网络

成分分析的扫描原理是什么，主要识别哪些风险？ 对用户提供的软件包/固件进行全面分析，通过解压获取包中所有待分析文件，基于组件特征识别技术以及各种风险检测规则，获得相关被测对象的组件BOM清单和潜在风险清单。主要包括以下几类： 开源软件风险：检测包中的开源软件风险，如已知漏洞、License合规等。 安全配置风险：检测包中配置类风险，如硬编码凭证、敏感文件（如密钥、证书、调试工具等）问题、OS认证和访问控制类问题等。 信息泄露风险：检测包中信息泄露风险，如IP泄露、硬编码密钥、弱口令、 GIT/SVN仓泄露等风险。 图1 风险项

修订记录 发布日期 修改说明 2022-08-30 第四十九次正式发布。 新增常见问题：Agent安装成功后显示未安装怎么处理？。 修改内容：如何批量安装Agent？，补充Agent支持的操作系统描述。 2022-08-10 第四十八次正式发布。 新增常见问题：漏洞修复失败如何处理？ 2022-07-30 第四十七次正式发布。 补充说明升级Agent全过程均为免费。 补充说明退订配额不支持批量退定。 2022-07-15 第四十六次正式发布。 下线支持centos 6系统版本的说明。 2022-06-30 第四十五次正式发布。 修改基础版免费使用的说明。 2022-05-31 第四十四次正式发布。 新增常见问题如下： Agent安装后控制台不显示怎么处理？ 如何防御勒索病毒攻击？ 2022-05-26 第四十三次正式发布。 新增Agent升级失败如何处理？ 2022-04-25 第四十二次正式发布。 优化、新增内容如下： 基础版使用及能力的说明。 收到告警信息不代表已被破解入侵的说明。 2022-04-20 第四十一次正式发布 新增常见问题如下： HSS拦截的IP是否需要处理？ 修改常见问题如下： 每台云服务器都需要配置部署主机安全服务吗？ 2022-04-11 第四十次正式发布。 新增常见问题如下： 修复漏洞时服务器内容被清空是否可以恢复？ 2022-03-18 第三十九次正式发布。 完善优化章节如下： 购买云服务器时，为什么无法选择免费的企业主机安全防护？ 如何扩充HSS防护配额？ 2022-01-29 第三十八次正式发布。 新增如下常见问题： 开启HSS基础版防护及说明 HSS的数据传输实现原理是什么？ 2022-01-13 第三十七次正式发布。 完善优化章节如下： 如何预防账户暴力破解攻击？ 收到来自华为云IP的暴力破解告警如何处理？ 2021-10-22 第三十六次正式发布。 新增如下常见问题： 收到来自华为云IP的暴力破解告警如何处理？ HSS如何查询漏洞、基线已修复记录？ 2021-10-18 第三十五次正式发布。 新增如下常见问题： 如何切换主机之间已绑定的防护配额？ HSS的恶意程序检测周期、隔离查杀是多久一次？ HSS的病毒库、漏洞库多久更新一次？ 每台云服务器都需要配置部署主机安全服务吗？ 频繁收到HSS暴力破解告警如何处理？ HSS怎么区分高危漏洞和低危漏洞？ 优化如下常见问题： Agent安装失败应如何处理？ 2021-08-03 第三十四次正式发布。 新增如下常见问题： 主机重装系统后，HSS防护功能是否需要手动开启？ 修改如下常见问题： Agent状态异常应如何处理？ 如何扩充HSS防护配额？ 2021-07-14 第三十三次正式发布。 新增如下常见问题： 如何修改告警通知的通知项？ 防护的主机切换操作系统，HSS配额会发生变化吗？ 如何筛选未绑定配额的主机？ HSS可以添加黑名单IP吗？ HSS与SA的基线检查有什么区别？ 如何扩充HSS防护配额？ 修改如下常见问题： Agent安装失败应如何处理？ 漏洞修复后，为什么仍然提示漏洞存在？ 2021-07-08 第三十二次正式发布。 Agent状态异常应如何处理？，增加“卸载Agent”和“安装Agent”链接。 2021-06-08 第三十一次正式发布。 新增如下常见问题： 安装HSS Agent有什么影响？ 如何手动解除误拦截IP？ “内核漏洞升级修复后，为什么仍然提示漏洞存在？” 漏洞修复后，为什么仍然提示漏洞存在？ HSS支持告警日志转存OBS吗？ 修改如下常见问题： HSS如何拦截账户暴力破解？ 账户被暴力破解，怎么办？ 如何预防账户暴力破解攻击？ 漏洞修复完毕后是否需要重启主机？ 2021-04-28 第三十次正式发布。 新增如下常见问题： 如何使用命令行方式安装Agent（Windows操作系统）？ 关闭弱口令策略后，之前扫描的弱口令事件为什么还会重复出现？。 修改如下常见问题： Agent状态异常应如何处理？ 添加登录白名单后，为什么还有异地登录告警？ 2021-02-25 第二十九次正式发布。 是否可以不开启HSS告警通知？修改问题内容，可以不设置告警通知，开启主机安全防护。 2021-02-01 第二十八次正式发布。 新增如下常见问题： HSS是否支持线下多台服务器共用一个公网IP？ 防护配额与主机不在同一企业项目，是否可以相互绑定？ 购买云服务器时，为什么无法选择免费的企业主机安全防护？ 2020-11-16 第二十七次正式发布。 HSS可以跨区域使用吗？将支持跨区域使用修改为“不支持跨区域使用”。 2020-11-10 第二十六次正式发布。 新增如下常见问题： 账户被暴力破解，怎么办？ 出现弱口令告警，怎么办？ 主机被挖矿攻击，怎么办？ 添加告警白名单后，为什么进程还是被隔离？ 添加登录白名单后，为什么还有异地登录告警？ 如何修改接收告警通知的手机号或邮箱？ 2020-06-20 第二十五次正式发布。 新增HSS支持企业项目后，如何同步配置数据？。 2020-05-18 第二十四次正式发布。 新增如下常见问题： HSS与WAF的网页防篡改有什么区别？ 如何查看HSS的日志文件？ 2020-03-09 第二十三次正式发布。 新增如下常见问题： 如何筛选未安装Agent的主机？ 为什么开启双因子认证后登录主机失败？ 开启双因子认证时，如何添加手机号？ 双因子认证中，验证码是一个固定的验证码吗？ 开启动态网页防篡改后，状态是“已开启未生效”，怎么办？ 如何清除HSS中配置的SSH登录IP白名单？ 2020-01-14 第二十二次正式发布。 新增如下常见问题： 什么是HSS的Agent？ 是否可以不开启HSS告警通知？ 2019-12-26 第二十一次正式发布。 新增如下常见问题： HSS可以跨账号使用吗？ 购买HSS后会自动安装Agent吗？ 2019-12-18 第二十次正式发布。 删除以下常见问题： 华为云主机安全是否支持订阅周报功能？ 2019-11-27 第十九次正式发布。 新增如下常见问题： HSS到期后不续费，对主机和业务有影响吗？ 开启网页防篡改后，如何修改文件？ 配置告警通知时选不到消息主题？ 如何避免账户破解攻击？ 开启防护时显示没有配额？ 2019-10-12 第十八次正式发布。 新增以下常见问题： 如何处理漏洞？ 2019-09-23 第十七次正式发布。 新增以下常见问题： 基础版能够升级为企业版吗？ 没有手动解除的IP拦截记录为什么会显示已解除？ 主机安全基线检测检查出配置风险项怎么办？ 为什么要添加防护目录？ 无法开启网页防篡改怎么办？ 2019-04-25 第十三次正式发布。 新增以下常见问题： 企业版能升级为网页防篡改版吗？ 2019-04-08 第十六次正式发布。 如何使用双因子认证？更新了截图和相关描述。 2019-03-18 第十五次正式发布。 新增以下常见问题： 企业主机安全是否支持对裸金属机器提供防护？ 2018-11-06 第十四次正式发布。 新增以下常见问题： 在Windows中文系统中输入数字卡顿或需要数字连输怎么办？ 如何批量安装Agent？ 2018-10-25 第十三次正式发布。 修改以下常见问题： 如何批量安装Agent？ 2018-09-15 第十二次正式发布。 新增以下常见问题： 如何开启登录失败日志开关？ 如何开启filezilla的登录失败日志开关？ 如何开启vsftp的登录失败日志开关？ 2018-08-02 第十一次正式发布。 修改以下常见问题： 如何解决Linux系统的账户破解防护功能未生效的问题？ 2018-07-19 第十次正式发布。 新增以下常见问题： 如何解决SUSE12 SP2（包含SAP）、Gentoo系统设置账户破解防护拦截IP后未生效？ 2018-06-28 第九次正式发布。 新增以下常见问题： Windows系统如何设置安全的口令复杂度策略？ 2018-06-13 第八次正式发布。 新增以下常见问题： 如何批量安装Agent？ 2018-05-17 第七次正式发布。 优化常见问题标题。 2018-05-07 第六次正式发布。 修改以下常见问题： 企业主机安全是否收费？ 2018-04-19 第五次正式发布。 修改以下常见问题： 更新“如何安装Agent？”的截图。 2018-03-15 第四次正式发布。 删除以下常见问题： 安装Windows版本Agent报错应该如何处理？ 2018-01-09 第三次正式发布。 新增以下常见问题： 如何安装Agent？ 2017-11-17 第二次正式发布。 新增以下常见问题： 如何安装PAM并设置安全的口令复杂度策略？ 2017-09-30 第一次正式发布。

SaaS类商品发布安全规范 发布SaaS类商品如涉及为用户提供网站服务（包括业务前台，管理后台portal等），您需确保您的应用中不包含常见的web漏洞：如XSS、SQL注入、CSRF、XXE注入、OS注入、跨目录访问、文件上传漏洞、敏感信息泄露、URL重定向泄露、TLS配置缺陷、网页木马等，如检测结果中包含一个高危漏洞，则扫描结果为不通过，请整改后再发布上架。 漏洞扫描服务支持扫描的漏洞请参见：漏洞扫描服务支持扫描哪些漏洞？ 漏洞扫描服务的扫描IP请参见：漏洞扫描服务的扫描IP有哪些？

使用场景 合作伙伴登录云原生服务中心控制台将开发好的服务发布到云原生服务中心，触发服务包扫描后出现初始化失败错误，提示镜像存在安全漏洞需要处理。 安全扫描失败常见错误提示是以"get scan image vulnerability result failed"开头，表示此次上架的服务中镜像存在漏洞，错误信息后面是扫描出的漏洞信息，由于长度限制，一般提示只会展示10个以内漏洞的相关信息，如果此镜像存在更多漏洞，需要用户参考下面方式单独进行镜像扫描并根据修复建议进行修复。

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 task_name String 任务名称 最小长度：1 最大长度：16 url String 待扫描的目标网址 最小长度：1 最大长度：256 task_type String 扫描任务类型: normal - 普通任务 monitor - 监测任务 缺省值：normal 枚举值： normal monitor task_id String 任务ID 最小长度：32 最大长度：50 domain_name String 域名 最小长度：1 最大长度：256 task_settings TaskSettings object 扫描任务设置 create_time String 创建任务的时间 最小长度：0 最大长度：19 start_time String 任务启动的时间 最小长度：0 最大长度：19 end_time String 任务结束的时间 最小长度：0 最大长度：19 task_status String 任务状态: running - 正在运行 success - 成功 canceled - 已取消 waiting - 正在等待 failure - 失败 枚举值： running success canceled waiting failure schedule_status String 监测任务状态: running - 正在运行 waiting - 正在等待 finished - 已完成 枚举值： running waiting finished progress Integer 任务进度 最小值：0 最大值：100 reason String 任务状态描述 最小长度：0 最大长度：128 pack_num Long 包总数 最小值：0 最大值：100000 score Integer 安全分数 最小值：0 最大值：100 safe_level String 安全等级: safety - 安全 average - 中风险 highrisk - 高风险 枚举值： safety average highrisk statistics VulnsLevel object 漏洞风险等级统计 表5 TaskSettings 参数 参数类型 描述 timer String 普通任务的定时启动时间 最小长度：0 最大长度：19 trigger_time String 监测任务的定时触发时间 最小长度：0 最大长度：19 task_period String 监测任务的定时触发周期: everyday - 每日 threedays - 每三天 everyweek - 每星期 everymonth - 每月 枚举值： everyday threedays everyweek everymonth task_config task_config object 扫描任务配置 表6 task_config 参数 参数类型 描述 scan_mode String 扫描模式: fast - 快速扫描 normal - 标准扫描 deep - 深度扫描 缺省值：normal 枚举值： fast normal deep port_scan Boolean 是否进行端口扫描 缺省值：true weak_pwd_scan Boolean 是否进行弱密码扫描 缺省值：true cve_check Boolean 是否进行CVE漏洞扫描 缺省值：true text_check Boolean 是否进行网站内容合规文字检测 缺省值：true picture_check Boolean 是否进行网站内容合规图片检测 缺省值：false malicious_code Boolean 是否进行网站挂马检测 缺省值：false malicious_link Boolean 是否进行链接健康检测（死链、暗链、恶意外链） 缺省值：false 表7 VulnsLevel 参数 参数类型 描述 high Integer 高危漏洞数 最小值：0 最大值：1000 middle Integer 中危漏洞数 最小值：0 最大值：1000 low Integer 低危漏洞数 最小值：0 最大值：1000 hint Integer 提示危漏洞数 最小值：0 最大值：1000 状态码： 400 表8 响应Body参数 参数 参数类型 描述 error_code String 错误码 最小长度：0 最大长度：50 error_msg String 错误描述 最小长度：0 最大长度：256 状态码： 401 表9 响应Body参数 参数 参数类型 描述 error_code String 错误码 最小长度：0 最大长度：50 error_msg String 错误描述 最小长度：0 最大长度：256 状态码： 418 表10 响应Body参数 参数 参数类型 描述 error_code String 错误码 最小长度：0 最大长度：50 error_msg String 错误描述 最小长度：0 最大长度：256

等保2.0三级要求—安全运维管理 表22 安全运维管理风险项检查项目 检查子项目 检查项目 环境管理 应指定专门的部门或人员负责机房安全，对机房出入进行管理，定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理。 应建立机房安全管理制度，对有关物理访问、物品带进出和环境安全等方面的管理作出规定。 应不在重要区域接待来访人员，不随意放置含有敏感信息的纸档文件和移动介质等。 资产管理 应编制并保存与保护对象相关的资产清单，包括资产责任部门、重要程度和所处位置等内容。 应根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施。 应对信息分类与标识方法作出规定，并对信息的使用、传输和存储等进行规范化管理。 介质管理 应将介质存放在安全的环境中，对各类介质进行控制和保护，实行存储环境专人管理，并根据存档介质的目录清单定期盘点。 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制，并对介质的归档和查询等进行登记记录。 设备维护管理 应对各种设备（包括备份和冗余设备）、线路等指定专门的部门或人员定期进行维护管理。 应建立配套设施、软硬件维护方面的管理制度，对其维护进行有效的管理，包括明确维护人员的责任、维修和服务的审批、维修过程的监督控制等。 信息处理设备应经过审批才能带离机房或办公地点，含有存储介质的设备带出工作环境时其中重要数据应加密。 含有存储介质的设备在报废或重用前，应进行完全清除或被安全覆盖，保证该设备上的敏感数据和授权软件无法被恢复重用。 漏洞和风险管理 应采取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。 应定期开展安全测评，形成安全测评报告，采取措施应对发现的安全问题。 网络和系统安全管理 应划分不同的管理员角色进行网络和系统的运维管理，明确各个角色的责任和权限。 应指定专门的部门或人员进行账户管理，对申请账户、建立账户、删除账户等进行控制。 应建立网络和系统安全管理制度，对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定。 应制定重要设备的配置和操作手册，依据手册对设备进行安全配置和优化配置等。 应详细记录运维操作日志，包括日常巡检工作、运行维护记录、参数的设置和修改等内容。 应指定专门的部门或人员对日志、监测和报警数据等进行分析、统计，及时发现可疑行为。 应严格控制变更性运维，经过审批后才可改变连接、安装系统组件或调整配置参数，操作过程中应保留不可更改的审计日志，操作结束后应同步更新配置信息库。 应严格控制运维工具的使用，经过审批后才可接入进行操作，操作过程中应保留不可更改的审计日志，操作结束后应删除工具中的敏感数据。 应严格控制远程运维的开通，经过审批后才可开通远程运维接口或通道，操作过程中应保留不可更改的审计日志，操作结束后立即关闭接口或通道。 应保证所有与外部的连接均得到授权和批准，应定期检查违反规定无线上网及其他违反网络安全策略的行为。 恶意代码防范管理 应提高所有用户的防恶意代码意识，对外来计算机或存储设备接入系统前进行恶意代码检查等。 应定期验证防范恶意代码攻击的技术措施的有效性。 配置管理 应记录和保存基本配置信息，包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等。 应将基本配置信息改变纳入变更范畴，实施对配置信息改变的控制，并及时更新基本配置信息库。 密码管理 应遵循密码相关国家标准和行业标准。 应使用国家密码管理主管部门认证核准的密码技术和产品。 变更管理 应明确变更需求，变更前根据变更需求制定变更方案，变更方案经过评审、审批后方可实施。 应建立变更的申报和审批控制程序，依据程序控制所有的变更，记录变更实施过程。 应建立中止变更并从失败变更中恢复的程序，明确过程控制方法和人员职责，必要时对恢复过程进行演练。 备份与恢复管理 应识别需要定期备份的重要业务信息、系统数据及软件系统等。 应规定备份信息的备份方式、备份频度、存储介质、保存期等。 应根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略、备份程序和恢复程序等。 安全事件处置 应及时向安全管理部门报告所发现的安全弱点和可疑事件。 应制定安全事件报告和处置管理制度，明确不同安全事件的报告、处置和响应流程，规定安全事件的现场处理、事件报告和后期恢复的管理职责等。 应在安全事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训。 对造成系统中断和造成信息泄漏的重大安全事件应采用不同的处理程序和报告程序。 应急预案管理 应规定统一的应急预案框架，包括启动预案的条件、应急组织构成、应急资源保障、事后教育和培训等内容。 应制定重要事件的应急预案，包括应急处理流程、系统恢复流程等内容。 应定期对系统相关的人员进行应急预案培训，并进行应急预案的演练。 应定期对原有的应急预案重新评估，修订完善。 外包运维管理 应确保外包运维服务商的选择符合国家的有关规定。 应与选定的外包运维服务商签订相关的协议，明确约定外包运维的范围、工作内容。 应保证选择的外包运维服务商在技术和管理方面均应具有按照等级保护要求开展安全运维工作的能力，并将能力要求在签订的协议中明。 应在与外包运维服务商签订的协议中明确所有相关的安全要求，如可能涉及对敏感信息的访问、处理、存储要求，对IT基础设施中断服务的应急保障要求等。

等保2.0三级要求—安全运维管理 表22 安全运维管理风险项检查项目 检查子项目 检查项目 环境管理 应指定专门的部门或人员负责机房安全，对机房出入进行管理，定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理。 应建立机房安全管理制度，对有关物理访问、物品带进出和环境安全等方面的管理作出规定。 应不在重要区域接待来访人员，不随意放置含有敏感信息的纸档文件和移动介质等。 资产管理 应编制并保存与保护对象相关的资产清单，包括资产责任部门、重要程度和所处位置等内容。 应根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施。 应对信息分类与标识方法作出规定，并对信息的使用、传输和存储等进行规范化管理。 介质管理 应将介质存放在安全的环境中，对各类介质进行控制和保护，实行存储环境专人管理，并根据存档介质的目录清单定期盘点。 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制，并对介质的归档和查询等进行登记记录。 设备维护管理 应对各种设备（包括备份和冗余设备）、线路等指定专门的部门或人员定期进行维护管理。 应建立配套设施、软硬件维护方面的管理制度，对其维护进行有效的管理，包括明确维护人员的责任、维修和服务的审批、维修过程的监督控制等。 信息处理设备应经过审批才能带离机房或办公地点，含有存储介质的设备带出工作环境时其中重要数据应加密。 含有存储介质的设备在报废或重用前，应进行完全清除或被安全覆盖，保证该设备上的敏感数据和授权软件无法被恢复重用。 漏洞和风险管理 应采取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。 应定期开展安全测评，形成安全测评报告，采取措施应对发现的安全问题。 网络和系统安全管理 应划分不同的管理员角色进行网络和系统的运维管理，明确各个角色的责任和权限。 应指定专门的部门或人员进行账户管理，对申请账户、建立账户、删除账户等进行控制。 应建立网络和系统安全管理制度，对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定。 应制定重要设备的配置和操作手册，依据手册对设备进行安全配置和优化配置等。 应详细记录运维操作日志，包括日常巡检工作、运行维护记录、参数的设置和修改等内容。 应指定专门的部门或人员对日志、监测和报警数据等进行分析、统计，及时发现可疑行为。 应严格控制变更性运维，经过审批后才可改变连接、安装系统组件或调整配置参数，操作过程中应保留不可更改的审计日志，操作结束后应同步更新配置信息库。 应严格控制运维工具的使用，经过审批后才可接入进行操作，操作过程中应保留不可更改的审计日志，操作结束后应删除工具中的敏感数据。 应严格控制远程运维的开通，经过审批后才可开通远程运维接口或通道，操作过程中应保留不可更改的审计日志，操作结束后立即关闭接口或通道。 应保证所有与外部的连接均得到授权和批准，应定期检查违反规定无线上网及其他违反网络安全策略的行为。 恶意代码防范管理 应提高所有用户的防恶意代码意识，对外来计算机或存储设备接入系统前进行恶意代码检查等。 应定期验证防范恶意代码攻击的技术措施的有效性。 配置管理 应记录和保存基本配置信息，包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等。 应将基本配置信息改变纳入变更范畴，实施对配置信息改变的控制，并及时更新基本配置信息库。 密码管理 应遵循密码相关国家标准和行业标准。 应使用国家密码管理主管部门认证核准的密码技术和产品。 变更管理 应明确变更需求，变更前根据变更需求制定变更方案，变更方案经过评审、审批后方可实施。 应建立变更的申报和审批控制程序，依据程序控制所有的变更，记录变更实施过程。 应建立中止变更并从失败变更中恢复的程序，明确过程控制方法和人员职责，必要时对恢复过程进行演练。 备份与恢复管理 应识别需要定期备份的重要业务信息、系统数据及软件系统等。 应规定备份信息的备份方式、备份频度、存储介质、保存期等。 应根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略、备份程序和恢复程序等。 安全事件处置 应及时向安全管理部门报告所发现的安全弱点和可疑事件。 应制定安全事件报告和处置管理制度，明确不同安全事件的报告、处置和响应流程，规定安全事件的现场处理、事件报告和后期恢复的管理职责等。 应在安全事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训。 对造成系统中断和造成信息泄漏的重大安全事件应采用不同的处理程序和报告程序。 应急预案管理 应规定统一的应急预案框架，包括启动预案的条件、应急组织构成、应急资源保障、事后教育和培训等内容。 应制定重要事件的应急预案，包括应急处理流程、系统恢复流程等内容。 应定期对系统相关的人员进行应急预案培训，并进行应急预案的演练。 应定期对原有的应急预案重新评估，修订完善。 外包运维管理 应确保外包运维服务商的选择符合国家的有关规定。 应与选定的外包运维服务商签订相关的协议，明确约定外包运维的范围、工作内容。 应保证选择的外包运维服务商在技术和管理方面均应具有按照等级保护要求开展安全运维工作的能力，并将能力要求在签订的协议中明。 应在与外包运维服务商签订的协议中明确所有相关的安全要求，如可能涉及对敏感信息的访问、处理、存储要求，对IT基础设施中断服务的应急保障要求等。

计费说明 研发安全服务（DevSecurity）包含多个安全检测原子服务，支持单独购买，按需模式进行计费。 移动应用安全扫描支持基础版和专业版，详细内容请参见表1。 表1 版本说明 服务版本 支持的计费方式 说明 基础版 免费 基础版主要为用户提供体验机会，仅支持安全漏洞扫描。基础版同样提供在线报告查看功能，查看内容仅限安全漏洞项，不包括隐私合规项。每个用户默认拥有5次基础版额度，扫描失败不扣费。 专业版 按需计费包（5000元/次、40000元/10次） 专业版为付费版本，提供全量功能，包含安全漏洞、隐私合规检测。隐私合规紧跟工信部164号发文，针对违规收集个人信息、超范围收集个人信息、频繁索权、过度索权等通报问题进行检测。用户可在线查看扫描报告，并导出PDF格式离线报告。

一、概要 近日，国外安全研究团队披露在polkit的pkexec程序中存在一处权限提升漏洞（CVE-2021-4034，亦称PwnKit），攻击者通过在其默认配置中利用此漏洞实现用任何非特权用户获取易受攻击主机的完全root权限，目前漏洞POC/EXP已公开，风险较高。 Polkit（PolicyKit）是一个用于在类Unix操作系统中控制系统范围权限的组件。pkexec是Plokit框架中的一部分，执行具有提升权限的命令，是sudo的替代方案。请使用Polkit的用户及时安排自检并做好安全加固。 参考链接：https://www.qualys.com/2022/01/25/cve-2021-4034/pwnkit.txt

支持的服务版本 移动应用安全扫描仅支持基础版和专业版，详细内容请参见表1。 表1 版本说明 服务版本 支持的计费方式 说明 基础版 免费 基础版主要为用户提供体验机会，仅支持安全漏洞扫描。基础版同样提供在线报告查看功能，查看内容仅限安全漏洞项，不包括隐私合规项。每个用户默认拥有5次基础版额度，扫描失败不扣费。 专业版 包年/包月 按需计费 专业版为付费版本，提供全量功能，包含安全漏洞、隐私合规检测。隐私合规紧跟工信部164号发文，针对违规收集个人信息、超范围收集个人信息、频繁索权、过度索权等通报问题进行检测。用户可在线查看扫描报告，并导出PDF格式离线报告。

安全与合规 服务 作用范围 系统权限 权限类别 权限描述 DDoS防护（Anti-DDoS、AAD） （项目级服务） 区域级项目 Anti-DDoS Administrator 角色 Anti-DDoS流量清洗的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 CAD Administrator DDoS高防服务的所有执行权限。 DDoS防护（CNAD） （全局服务） 全局服务 CNAD FullAccess 策略 DDoS原生专业防护所有权限。 CNAD ReadOnlyAccess DDoS原生专业防护只读权限。 漏洞扫描服务（VSS） （项目级服务） 区域级项目 VSS Administrator 角色 漏洞扫描服务的所有执行权限。 企业主机安全（HSS） （项目级服务） 区域级项目 HSS Administrator 角色 企业主机安全的所有执行权限。 HSS FullAccess 策略 企业主机安全服务所有权限。 HSS ReadOnlyAccess 企业主机安全服务的只读访问权限。 数据库安全服务（DBSS） （项目级服务） 区域级项目 DBSS System Administrator 角色 数据库安全服务的所有执行权限。 DBSS Audit Administrator 数据库安全服务的安全审计权限。 DBSS Security Administrator 数据库安全服务的安全防护权限。 DBSS FullAccess 策略 数据库安全服务所有权限。 DBSS ReadOnlyAccess 数据库安全服务只读权限，拥有该权限的用户仅能查看数据库安全服务，不具备服务配置权限。 数据加密服务（DEW）（项目级服务） 区域级项目 KMS Administrator 角色 数据加密服务加密密钥的管理员权限。 KMS CMKFullAccess 策略 数据加密服务加密密钥所有权限。 DEW KeypairFullAccess 数据加密服务密钥对所有权限。 DEW KeypairReadOnlyAccess 数据加密服务密钥对查看权限。 管理检测与响应服务（MDR） （项目级服务） 区域级项目 SES Administrator 角色 管理检测与响应服务的管理员权限。 该角色有依赖，需要在同项目中勾选依赖的角色：BSS Administrator。 Web应用防火墙（WAF） （项目级服务） 区域级项目 WAF Administrator 角色 Web应用防火墙的所有执行权限。 该角色有依赖，需要在全局项目中勾选Tenant Guest角色、在同项目中勾选Server Administrator角色。 WAF FullAccess 策略 Web应用防火墙服务的所有权限。 WAF ReadOnlyAccess Web应用防火墙服务的只读访问权限。 云防火墙（CFW） （项目级服务） 区域级项目 CFW FullAccess 策略 云防火墙服务所有权限。 CFW ReadOnlyAccess 云防火墙服务只读权限。 SSL证书管理（SCM） （全局级服务） (SCM已合并到云证书管理服务CCM) 全局服务 SCM Administrator 角色 SSL证书管理服务的管理员权限，拥有服务的所有权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator SCM FullAccess 策略 SSL证书管理服务的所有权限。 SCM ReadOnlyAccess SSL证书管理服务只读权限，拥有该权限的用户仅能查询证书信息，不具备对证书进行增删改权限。 容器安全服务（CGS） （项目级服务） 区域级项目 CGS FullAccess 策略 容器安全服务所有权限。 CGS ReadOnlyAccess 容器安全服务只读访问权限，拥有该权限的用户仅能查看容器安全服务。 CGS Administrator 角色 容器安全服务（CGS）管理员，拥有该服务下的所有权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 态势感知（SA） （全局级服务） 全局服务 SA FullAccess 策略 态势感知的所有权限。 SA ReadOnlyAccess 态势感知只读权限，拥有该权限的用户仅能查看态势感知数据，不具备态势感知配置权限。 云堡垒机（CBH） （项目级服务） 区域级项目 CBH FullAccess 策略 云堡垒机实例的所有权限。 CBH ReadOnlyAccess 云堡垒机实例只读权限，拥有该权限的用户仅能查看云堡垒机服务，不具备服务配置和操作权限。 数据安全中心（DSC） （项目级服务） 区域级项目 DSC FullAccess 策略 数据安全中心服务所有权限。 DSC ReadOnlyAccess 数据安全中心服务只读权限。 DSC DashboardReadOnlyAccess 数据安全中心服务大屏服务只读权限。 数据库和应用迁移（UGO） （项目级服务） 区域级项目 UGO FullAccess 策略 数据库和应用迁移服务所有权限。 UGO ReadOnlyAccess 数据库和应用迁移服务只读权限。 UGO CommonOperations 数据库和应用迁移服务SQL语句转换权限。

操作步骤 登录管理控制台。 在页面左上角单击，选择“安全与合规 > 态势感知”，进入态势感知管理页面。 在态势感知管理页面选择“漏洞管理 > 主机漏洞”，进入“主机漏洞”页面。主机漏洞参数说明如表1。 在列表的右上角，用户可以根据漏洞IP、漏洞等级或者漏洞名称进行筛选查看目标类漏洞详情。 图1 主机漏洞 表1 主机漏洞参数说明 参数名称 参数说明 漏洞名称 扫描出的漏洞名称。 单击漏洞名称，可查看该漏洞的简介、相关漏洞库信息。 IP 主机的IP地址。 漏洞等级 按照漏洞的危险程度分为：“高危”、“中危”、“低危”、“提示”。 修复建议 根据修复建议，快速对漏洞做出响应处理。 操作 如果某一项漏洞您已经完成了修复，可以在目标漏洞的“操作”列，单击“忽略”。 如果希望重新关注已经忽略的漏洞，可以在目标漏洞的“操作”列，单击“查看忽略理由”了解当时的处理原因，确认需要恢复风险项后，单击“取消忽略”，恢复风险项检测。

安全与合规 服务 作用范围 系统权限 权限类别 权限描述 DDoS防护（Anti-DDoS、AAD） （项目级服务） 区域级项目 Anti-DDoS Administrator 角色 Anti-DDoS流量清洗的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 CAD Administrator DDoS高防服务的所有执行权限。 DDoS防护（CNAD） （全局服务） 全局服务 CNAD FullAccess 策略 DDoS原生专业防护所有权限。 CNAD ReadOnlyAccess DDoS原生专业防护只读权限。 漏洞扫描服务（VSS） （项目级服务） 区域级项目 VSS Administrator 角色 漏洞扫描服务的所有执行权限。 企业主机安全（HSS） （项目级服务） 区域级项目 HSS Administrator 角色 企业主机安全的所有执行权限。 HSS FullAccess 策略 企业主机安全服务所有权限。 HSS ReadOnlyAccess 企业主机安全服务的只读访问权限。 数据库安全服务（DBSS） （项目级服务） 区域级项目 DBSS System Administrator 角色 数据库安全服务的所有执行权限。 DBSS Audit Administrator 数据库安全服务的安全审计权限。 DBSS Security Administrator 数据库安全服务的安全防护权限。 DBSS FullAccess 策略 数据库安全服务所有权限。 DBSS ReadOnlyAccess 数据库安全服务只读权限，拥有该权限的用户仅能查看数据库安全服务，不具备服务配置权限。 数据加密服务（DEW）（项目级服务） 区域级项目 KMS Administrator 角色 数据加密服务加密密钥的管理员权限。 KMS CMKFullAccess 策略 数据加密服务加密密钥所有权限。 DEW KeypairFullAccess 数据加密服务密钥对所有权限。 DEW KeypairReadOnlyAccess 数据加密服务密钥对查看权限。 管理检测与响应服务（MDR） （项目级服务） 区域级项目 SES Administrator 角色 管理检测与响应服务的管理员权限。 该角色有依赖，需要在同项目中勾选依赖的角色：BSS Administrator。 Web应用防火墙（WAF） （项目级服务） 区域级项目 WAF Administrator 角色 Web应用防火墙的所有执行权限。 该角色有依赖，需要在全局项目中勾选Tenant Guest角色、在同项目中勾选Server Administrator角色。 WAF FullAccess 策略 Web应用防火墙服务的所有权限。 WAF ReadOnlyAccess Web应用防火墙服务的只读访问权限。 云防火墙（CFW） （项目级服务） 区域级项目 CFW FullAccess 策略 云防火墙服务所有权限。 CFW ReadOnlyAccess 云防火墙服务只读权限。 SSL证书管理（SCM） （全局级服务） (SCM已合并到云证书管理服务CCM) 全局服务 SCM Administrator 角色 SSL证书管理服务的管理员权限，拥有服务的所有权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator SCM FullAccess 策略 SSL证书管理服务的所有权限。 SCM ReadOnlyAccess SSL证书管理服务只读权限，拥有该权限的用户仅能查询证书信息，不具备对证书进行增删改权限。 容器安全服务（CGS） （项目级服务） 区域级项目 CGS FullAccess 策略 容器安全服务所有权限。 CGS ReadOnlyAccess 容器安全服务只读访问权限，拥有该权限的用户仅能查看容器安全服务。 CGS Administrator 角色 容器安全服务（CGS）管理员，拥有该服务下的所有权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 态势感知（SA） （全局级服务） 全局服务 SA FullAccess 策略 态势感知的所有权限。 SA ReadOnlyAccess 态势感知只读权限，拥有该权限的用户仅能查看态势感知数据，不具备态势感知配置权限。 云堡垒机（CBH） （项目级服务） 区域级项目 CBH FullAccess 策略 云堡垒机实例的所有权限。 CBH ReadOnlyAccess 云堡垒机实例只读权限，拥有该权限的用户仅能查看云堡垒机服务，不具备服务配置和操作权限。 数据安全中心（DSC） （项目级服务） 区域级项目 DSC FullAccess 策略 数据安全中心服务所有权限。 DSC ReadOnlyAccess 数据安全中心服务只读权限。 DSC DashboardReadOnlyAccess 数据安全中心服务大屏服务只读权限。 数据库和应用迁移（UGO） （项目级服务） 区域级项目 UGO FullAccess 策略 数据库和应用迁移服务所有权限。 UGO ReadOnlyAccess 数据库和应用迁移服务只读权限。 UGO CommonOperations 数据库和应用迁移服务SQL语句转换权限。

安全与合规 服务 作用范围 系统权限 权限类别 权限描述 DDoS防护（Anti-DDoS、AAD） （项目级服务） 区域级项目 Anti-DDoS Administrator 角色 Anti-DDoS流量清洗的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 CAD Administrator DDoS高防服务的所有执行权限。 DDoS防护（CNAD） （全局服务） 全局服务 CNAD FullAccess 策略 DDoS原生专业防护所有权限。 CNAD ReadOnlyAccess DDoS原生专业防护只读权限。 漏洞扫描服务（VSS） （项目级服务） 区域级项目 VSS Administrator 角色 漏洞扫描服务的所有执行权限。 企业主机安全（HSS） （项目级服务） 区域级项目 HSS Administrator 角色 企业主机安全的所有执行权限。 HSS FullAccess 策略 企业主机安全服务所有权限。 HSS ReadOnlyAccess 企业主机安全服务的只读访问权限。 数据库安全服务（DBSS） （项目级服务） 区域级项目 DBSS System Administrator 角色 数据库安全服务的所有执行权限。 DBSS Audit Administrator 数据库安全服务的安全审计权限。 DBSS Security Administrator 数据库安全服务的安全防护权限。 DBSS FullAccess 策略 数据库安全服务所有权限。 DBSS ReadOnlyAccess 数据库安全服务只读权限，拥有该权限的用户仅能查看数据库安全服务，不具备服务配置权限。 数据加密服务（DEW）（项目级服务） 区域级项目 KMS Administrator 角色 数据加密服务加密密钥的管理员权限。 KMS CMKFullAccess 策略 数据加密服务加密密钥所有权限。 DEW KeypairFullAccess 数据加密服务密钥对所有权限。 DEW KeypairReadOnlyAccess 数据加密服务密钥对查看权限。 管理检测与响应服务（MDR） （项目级服务） 区域级项目 SES Administrator 角色 管理检测与响应服务的管理员权限。 该角色有依赖，需要在同项目中勾选依赖的角色：BSS Administrator。 Web应用防火墙（WAF） （项目级服务） 区域级项目 WAF Administrator 角色 Web应用防火墙的所有执行权限。 该角色有依赖，需要在全局项目中勾选Tenant Guest角色、在同项目中勾选Server Administrator角色。 WAF FullAccess 策略 Web应用防火墙服务的所有权限。 WAF ReadOnlyAccess Web应用防火墙服务的只读访问权限。 云防火墙（CFW） （项目级服务） 区域级项目 CFW FullAccess 策略 云防火墙服务所有权限。 CFW ReadOnlyAccess 云防火墙服务只读权限。 SSL证书管理（SCM） （全局级服务） (SCM已合并到云证书管理服务CCM) 全局服务 SCM Administrator 角色 SSL证书管理服务的管理员权限，拥有服务的所有权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator SCM FullAccess 策略 SSL证书管理服务的所有权限。 SCM ReadOnlyAccess SSL证书管理服务只读权限，拥有该权限的用户仅能查询证书信息，不具备对证书进行增删改权限。 容器安全服务（CGS） （项目级服务） 区域级项目 CGS FullAccess 策略 容器安全服务所有权限。 CGS ReadOnlyAccess 容器安全服务只读访问权限，拥有该权限的用户仅能查看容器安全服务。 CGS Administrator 角色 容器安全服务（CGS）管理员，拥有该服务下的所有权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 态势感知（SA） （全局级服务） 全局服务 SA FullAccess 策略 态势感知的所有权限。 SA ReadOnlyAccess 态势感知只读权限，拥有该权限的用户仅能查看态势感知数据，不具备态势感知配置权限。 云堡垒机（CBH） （项目级服务） 区域级项目 CBH FullAccess 策略 云堡垒机实例的所有权限。 CBH ReadOnlyAccess 云堡垒机实例只读权限，拥有该权限的用户仅能查看云堡垒机服务，不具备服务配置和操作权限。 数据安全中心（DSC） （项目级服务） 区域级项目 DSC FullAccess 策略 数据安全中心服务所有权限。 DSC ReadOnlyAccess 数据安全中心服务只读权限。 DSC DashboardReadOnlyAccess 数据安全中心服务大屏服务只读权限。 数据库和应用迁移（UGO） （项目级服务） 区域级项目 UGO FullAccess 策略 数据库和应用迁移服务所有权限。 UGO ReadOnlyAccess 数据库和应用迁移服务只读权限。 UGO CommonOperations 数据库和应用迁移服务SQL语句转换权限。

操作场景 该任务指导用户通过漏洞扫描服务进行网站登录设置，修改网站信息。 如果您的网站页面需要登录才能访问，必须进行网站登录设置，以便VSS能为您发现更多安全问题。VSS提供了两种登录方式，请您根据您的网站访问限制条件选择登录方式： 方式一：账号密码登录。 如果您的网站仅需要账号密码就可以登录访问，设置方式一即可。 方式二：cookie登录。 如果您的网站除了需要账号密码登录，还有其他的访问限制，如需要输入“动态验证码”，必须选择方式二，设置cookie登录。 若没有cookie，请在“高级配置”中，通过添加自定义Header的方式进行登录扫描。 若没有cookie，也没有自定义Header，则VSS不支持扫描该网站。 以上登录方式根据网站访问情况可二选一。

操作步骤 登录华为云管理控制台。 选择“服务列表 >安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务管理控制台。 在左侧导航栏，选择“资产列表 > 主机”。 单击主机信息“操作”列的扫描，进入主机扫描入口，如图1所示。 图1 进入主机扫描入口 您可以选中需要扫描的主机，在主机列表上方单击“一键扫描”，对选中的多台主机批量进行扫描。 查看主机信息，相关参数说明如表1所示。 表1 主机资产列表参数说明 参数 参数说明 主机信息 IP 主机名称 VPC 所在分组/区域/操作系统 主机所在分组/区域/操作系统，可在目标主机的“操作”列，单击“更换分组”，更换主机组。 跳板机/授权信息 添加跳板机的具体操作请参见添加主机。 主机授权的具体操作请参见配置Linux主机授权。 上一次扫描时间 主机最近一次扫描任务扫描时间。 上一次扫描结果 主机最近一次扫描任务的信息，包括得分和各等级的漏洞数量。单击分数或者“查看详情”，进入“任务详情”界面查看扫描概况。 在目标主机所在行的“上一次扫描结果”列，单击分数或者“查看详情”，查看相应任务的“扫描项总览”，如图2所示，各栏目说明如表2所示。 基础版用户按次购买主机扫描功能后，如果扫描任务失败，请在扫描详情页面单击“重新扫描（免费）”，系统将重新执行扫描任务。 图2 查看主机扫描详情 表2 详情总览说明 栏目 说明 目标IP 主机IP。 任务信息 显示目标任务的基本信息，包括： 得分：任务被创建后，初始得分是一百分，任务扫描完成后，根据扫描出的漏洞个数和漏洞级别会扣除相应的分数，无漏洞则不扣分。 漏洞总数：漏洞总数及各级别的漏洞个数。 基线风险：各级别的基线风险个数，windows扫描不支持此项检测。 等保合规：为您提供本地化、系统化、专业的等保测评服务，为您提供一站式安全产品及服务，帮助您测评整改，提升安全防护能力，快速满足国家实行的网络安全等级保护制度。 须知： 仅企业版可查看“等保合规”功能的检测结果。 扫描详情：开始时间及任务扫描耗时。 扫描结果；扫描任务的执行结果，有“扫描成功”和“扫描失败”两种结果。 扫描项 显示扫描任务的类别、扫描项名称、扫描统计、等级和扫描状态。 选择“扫描项”页签，查看目标主机的扫描项信息，如图3所示。 图3 扫描项 选择“漏洞列表”页签，查看目标主机的漏洞信息，如图4所示。 图4 漏洞列表界面 如果您确认扫描出的漏洞不会对主机造成危害，您可以在目标漏洞所在行的“操作”列，单击“忽略”，忽略该漏洞，后续执行扫描任务会扫描出该漏洞，但相应的漏洞统计结果将发生变化，扫描报告中也不会出现该漏洞。 单击漏洞名称，进入“漏洞详情”页面，根据修复建议修复漏洞。 选择“基线检查”页签，查看主机扫描的基线检查信息，如图5所示。 图5 基线检查 如果您确认扫描出的检查项不会对主机造成危害，您可以在目标检查项所在行的“操作”列，单击“忽略”，忽略该检查项，后续执行扫描任务会扫描出该漏洞，但相应的检查项统计结果将发生变化，扫描报告中也不会出现该检查项。 Windows扫描暂不支持基线检测扫描。 单击“等保合规（企业版）”页签，进入“等保合规（企业版）”的详情列表界面，显示目标主机的等保合规检测信息，如图6所示。 图6 等保合规 如果您确认扫描出的检查项不会对主机造成危害，您可以在目标检查项所在行的“操作”列，单击“忽略”，忽略该检查项，后续执行扫描任务会扫描出该漏洞，但相应的检查项统计结果将发生变化，扫描报告中也不会出现该检查项。 VSS目前仅企业版用户支持等保合规检测，如果您需要对您的主机进行等保合规检测，请购买企业版。

安全与合规 服务 作用范围 系统权限 权限类别 权限描述 DDoS防护（Anti-DDoS、AAD） （项目级服务） 区域级项目 Anti-DDoS Administrator 角色 Anti-DDoS流量清洗的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 CAD Administrator DDoS高防服务的所有执行权限。 DDoS防护（CNAD） （全局服务） 全局服务 CNAD FullAccess 策略 DDoS原生专业防护所有权限。 CNAD ReadOnlyAccess DDoS原生专业防护只读权限。 漏洞扫描服务（VSS） （项目级服务） 区域级项目 VSS Administrator 角色 漏洞扫描服务的所有执行权限。 企业主机安全（HSS） （项目级服务） 区域级项目 HSS Administrator 角色 企业主机安全的所有执行权限。 HSS FullAccess 策略 企业主机安全服务所有权限。 HSS ReadOnlyAccess 企业主机安全服务的只读访问权限。 数据库安全服务（DBSS） （项目级服务） 区域级项目 DBSS System Administrator 角色 数据库安全服务的所有执行权限。 DBSS Audit Administrator 数据库安全服务的安全审计权限。 DBSS Security Administrator 数据库安全服务的安全防护权限。 DBSS FullAccess 策略 数据库安全服务所有权限。 DBSS ReadOnlyAccess 数据库安全服务只读权限，拥有该权限的用户仅能查看数据库安全服务，不具备服务配置权限。 数据加密服务（DEW）（项目级服务） 区域级项目 KMS Administrator 角色 数据加密服务加密密钥的管理员权限。 KMS CMKFullAccess 策略 数据加密服务加密密钥所有权限。 DEW KeypairFullAccess 数据加密服务密钥对所有权限。 DEW KeypairReadOnlyAccess 数据加密服务密钥对查看权限。 管理检测与响应服务（MDR） （项目级服务） 区域级项目 SES Administrator 角色 管理检测与响应服务的管理员权限。 该角色有依赖，需要在同项目中勾选依赖的角色：BSS Administrator。 Web应用防火墙（WAF） （项目级服务） 区域级项目 WAF Administrator 角色 Web应用防火墙的所有执行权限。 该角色有依赖，需要在全局项目中勾选Tenant Guest角色、在同项目中勾选Server Administrator角色。 WAF FullAccess 策略 Web应用防火墙服务的所有权限。 WAF ReadOnlyAccess Web应用防火墙服务的只读访问权限。 云防火墙（CFW） （项目级服务） 区域级项目 CFW FullAccess 策略 云防火墙服务所有权限。 CFW ReadOnlyAccess 云防火墙服务只读权限。 SSL证书管理（SCM） （全局级服务） (SCM已合并到云证书管理服务CCM) 全局服务 SCM Administrator 角色 SSL证书管理服务的管理员权限，拥有服务的所有权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator SCM FullAccess 策略 SSL证书管理服务的所有权限。 SCM ReadOnlyAccess SSL证书管理服务只读权限，拥有该权限的用户仅能查询证书信息，不具备对证书进行增删改权限。 容器安全服务（CGS） （项目级服务） 区域级项目 CGS FullAccess 策略 容器安全服务所有权限。 CGS ReadOnlyAccess 容器安全服务只读访问权限，拥有该权限的用户仅能查看容器安全服务。 CGS Administrator 角色 容器安全服务（CGS）管理员，拥有该服务下的所有权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 态势感知（SA） （全局级服务） 全局服务 SA FullAccess 策略 态势感知的所有权限。 SA ReadOnlyAccess 态势感知只读权限，拥有该权限的用户仅能查看态势感知数据，不具备态势感知配置权限。 云堡垒机（CBH） （项目级服务） 区域级项目 CBH FullAccess 策略 云堡垒机实例的所有权限。 CBH ReadOnlyAccess 云堡垒机实例只读权限，拥有该权限的用户仅能查看云堡垒机服务，不具备服务配置和操作权限。 数据安全中心（DSC） （项目级服务） 区域级项目 DSC FullAccess 策略 数据安全中心服务所有权限。 DSC ReadOnlyAccess 数据安全中心服务只读权限。 DSC DashboardReadOnlyAccess 数据安全中心服务大屏服务只读权限。 数据库和应用迁移（UGO） （项目级服务） 区域级项目 UGO FullAccess 策略 数据库和应用迁移服务所有权限。 UGO ReadOnlyAccess 数据库和应用迁移服务只读权限。 UGO CommonOperations 数据库和应用迁移服务SQL语句转换权限。

操作步骤 登录管理控制台。 在页面左上角单击，选择“安全与合规 > 态势感知”，进入态势感知管理页面。 在态势感知管理页面选择“漏洞管理 > 主机漏洞”，进入“主机漏洞”页面。主机漏洞参数说明如表1。 在列表的右上角，用户可以根据漏洞IP、漏洞等级或者漏洞名称进行筛选查看目标类漏洞详情。 图1 主机漏洞 表1 主机漏洞参数说明 参数名称 参数说明 漏洞名称 扫描出的漏洞名称。 单击漏洞名称，可查看该漏洞的简介、相关漏洞库信息。 IP 主机的IP地址。 漏洞等级 按照漏洞的危险程度分为：“高危”、“中危”、“低危”、“提示”。 修复建议 根据修复建议，快速对漏洞做出响应处理。 操作 如果某一项漏洞您已经完成了修复，可以在目标漏洞的“操作”列，单击“忽略”。 如果希望重新关注已经忽略的漏洞，可以在目标漏洞的“操作”列，单击“查看忽略理由”了解当时的处理原因，确认需要恢复风险项后，单击“取消忽略”，恢复风险项检测。

成长地图 | 华为云 主机安全服务 主机安全服务（Host Security Service，HSS）是以工作负载为中心的安全产品，旨在解决现代混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。它集成了主机安全、容器安全和网页防篡改。 产品介绍 图说HSS 立即使用 成长地图 由浅入深，带您玩转HSS 01 了解 了解企业主机安全的功能特性和应用场景，有助于您更准确地选择所需版本，让您的云上业务安全无忧。 产品介绍 什么是主机安全服务 版本功能特性 产品优势 应用场景 03 入门 购买企业主机安全后，您需要根据服务器的操作系统版本安装客户端、根据您选择的防护类型设置告警通知，操作完成后您可以对服务器开启防护。 安装客户端 安装Linux版本客户端 安装Windows版本客户端 设置告警通知 开启告警通知 开启防护 开启主机安全防护 开启网页防篡改版 05 实践 使用HSS进行日常的安全管理，帮助您能轻松发现并处理主机上存在的安全风险。 主机防护最佳实践 防御勒索病毒 快速掌握主机安全态势 02 购买 根据业务的实际情况，您可以灵活选择HSS的服务版本。 服务规格 服务版本 如何计费 价格体系 如何购买 购买主机安全防护配额 购买容器安全防护配额 04 使用 根据业务发展需要，您可以随时切换版本、修改安全防护配置。此外，HSS还提供风险报告和风险修复建议，以便您及时了解服务器的安全状态并尽快修复安全风险。 主机安全防护 安全配置 漏洞修复与验证 基线检查风险项修复建议 资产管理 订阅主机安全报告 网页防篡改 添加防护目录 添加特权进程 定时开启网页防篡改 开启动态网页防篡改 查看网页防篡改报告 常见问题 了解更多常见问题、案例和解决方案 热门案例 如何处理告警安全事件？ 如何处理漏洞？ Agent状态异常如何处理？ 如何开启HSS防护？ 基础版、企业版、网页防篡改版的特性差异？ HSS功能特性？ 如何购买防护配额、调节购买数量？ 如何续费？ 如何退订？ 更多 产品咨询 基础版、企业版、网页防篡改版的特性差异？ HSS功能特性？ 什么是企业主机安全？ 哪些区域提供HSS服务？ HSS到期后不续费，对主机和业务有影响吗？ 企业主机安全支持版本升级吗？ 更多 告警事件处理 账户被暴力破解，怎么办？ 如何避免账户破解攻击？ 如何处理弱口令为安全的口令？ 如何处理配置风险？ 更多 开通与配置 Agent状态异常如何处理？ 如何开启HSS防护？ 如何购买防护配额？ 如何安装Agent？ 如何设置告警通知？ Agent安装失败如何处理？ 如何使用双因子认证？ 更多 漏洞管理 如何处理漏洞？ 为什么漏洞修复未生效？ 漏洞修复与验证 更多 技术专题 技术、观点、课程专题呈现 华为云助你甩掉90%安全烦恼 介绍华为云重点安全服务、关键特性和应用实践 隐藏型恶意挖矿程序的分析 针对隐藏性恶意挖矿程序进行分析 跟唐老师学习云网络 唐老师将自己对网络的理解分享给大家 智能客服 您好！我是有问必答知识渊博的的智能问答机器人，有问题欢迎随时求助哦！ 社区求助 华为云社区是华为云用户的聚集地。这里有来自容器服务的技术牛人，为您解决技术难题。

移动应用安全类 任务状态显示失败如何处理？ 扫描的安全漏洞告警如何分析定位? 扫描的隐私合规问题如何分析定位？ 任务部分检测项有数值，但任务状态显示失败？ 安全漏洞报告中问题文件或者漏洞特征信息为空? 任务扫描超1小时仍然未结束？ 哪些场景下检测结果可能会存在漏报？ 如何在应用检测过程中输入用户凭证登录应用？ 检测过程中，无法打开详情查看手机实时检测界面怎么解决？ 隐私声明URL地址、个人信息第三方共享目录URL地址如何获取？

2021-04-01 镜像版本 镜像说明 更新内容 CentOS 镜像名称： CentOS 8.0 64bit with ARM CentOS 7.6 64bit with ARM CentOS 7.5 64bit with ARM CentOS 7.4 64bit with ARM 优化resolv.conf配置 安装hss插件 更新一键密码重置插件 优化repo源配置 修复sudo漏洞 内核版本： CentOS 8: 4.18.0-147.5.1.e18_1.aarch64 CentOS 7: 4.18.0-80.7.2.e17.aarch64 发布区域：中国-香港、亚太-新加坡、亚太-曼谷、华南-广州、华南-深圳、华东-上海一、华东-上海二、华北-乌兰察布一、华北-北京四 Ubuntu 镜像名称：Ubuntu 18.04 64bit with ARM 优化resolv.conf配置 安装hss插件 更新一键密码重置插件 优化repo源配置 修复sudo漏洞 内核版本：4.15.0-70-generic 发布区域：中国-香港、亚太-新加坡、亚太-曼谷、华南-广州、华南-深圳、华东-上海一、华东-上海二、华北-乌兰察布一、华北-北京四 OpenEuler 镜像名称：openEuler 20.03 64bit with ARM 优化resolv.conf配置 安装hss插件 更新一键密码重置插件 优化repo源配置 修复sudo漏洞 内核版本：4.19.90-2003.4.0.0036.oel.aarch64 发布区域：中国-香港、亚太-新加坡、亚太-曼谷、华南-广州、华南-深圳、华东-上海一、华东-上海二、华北-乌兰察布一、华北-北京四

Apache Log4j2漏洞检测相关问题 网站漏洞扫描和主机扫描是否支持Apache Log4j2漏洞检测？检测原理有何不同？ 答：网站漏洞扫描和主机扫描支持Apache Log4j2漏洞检测，但检测原理不同。网站漏洞扫描的检测原理是基于漏洞POC验证，如果没有攻击入口或路径，或已经开启了Web应用防火墙等防护措施，则无法扫出来；主机扫描的检测原理是登录操作系统之后探测JAR包版本，匹配是否在受影响的版本范围之内，相对高效。 建议有条件的话，使用网站漏洞扫描和主机扫描远程扫描，若发现问题请尽快按处置办法进行操作。 Apache Log4j2漏洞之前能扫出来，后来扫不出来，不稳定是什么原因？ 答：只要扫出来过Apache Log4j2漏洞，建议马上排查相应网站或主机，尽快按处置办法进行操作。 后面扫不出来的原因，可能是网站已修复，或已通过Web应用防火墙等防护措施解决，另外由于该漏洞POC验证相对复杂，涉及较多网络交互，网络环境因素如安全组策略加固等变动，也可能导致漏洞不能稳定扫出来，但建议客户还是尽快排查处置，彻底规避风险。 哪些版本支持Apache Log4j2漏洞检测？ 答：当前包括基础版（可免费开通）在内的所有版本均支持，但由于基础版规格有较多限制，如不支持主机漏洞扫描、Web漏洞扫描的扫描时长和次数受限，可能存在扫描不全面的问题。建议有条件的话，根据业务需求购买专业版及以上版本进行全面扫描。 不同版本规格说明请参见服务版本。

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 total Integer 历史扫描任务总数 最小值：0 最大值：100000 data Array of ShowTasksResponseBody objects 历史扫描任务列表 表5 ShowTasksResponseBody 参数 参数类型 描述 task_name String 任务名称 最小长度：1 最大长度：16 url String 待扫描的目标网址 最小长度：1 最大长度：256 task_type String 扫描任务类型: normal - 普通任务 monitor - 监测任务 缺省值：normal 枚举值： normal monitor task_id String 任务ID 最小长度：32 最大长度：50 domain_name String 域名 最小长度：1 最大长度：256 task_settings TaskSettings object 扫描任务设置 create_time String 创建任务的时间 最小长度：0 最大长度：19 start_time String 任务启动的时间 最小长度：0 最大长度：19 end_time String 任务结束的时间 最小长度：0 最大长度：19 task_status String 任务状态: running - 正在运行 success - 成功 canceled - 已取消 waiting - 正在等待 failure - 失败 枚举值： running success canceled waiting failure schedule_status String 监测任务状态: running - 正在运行 waiting - 正在等待 finished - 已完成 枚举值： running waiting finished progress Integer 任务进度 最小值：0 最大值：100 reason String 任务状态描述 最小长度：0 最大长度：128 pack_num Long 包总数 最小值：0 最大值：100000 score Integer 安全分数 最小值：0 最大值：100 safe_level String 安全等级: safety - 安全 average - 中风险 highrisk - 高风险 枚举值： safety average highrisk statistics VulnsLevel object 漏洞风险等级统计 表6 TaskSettings 参数 参数类型 描述 timer String 普通任务的定时启动时间 最小长度：0 最大长度：19 trigger_time String 监测任务的定时触发时间 最小长度：0 最大长度：19 task_period String 监测任务的定时触发周期: everyday - 每日 threedays - 每三天 everyweek - 每星期 everymonth - 每月 枚举值： everyday threedays everyweek everymonth task_config task_config object 扫描任务配置 表7 task_config 参数 参数类型 描述 scan_mode String 扫描模式: fast - 快速扫描 normal - 标准扫描 deep - 深度扫描 缺省值：normal 枚举值： fast normal deep port_scan Boolean 是否进行端口扫描 缺省值：true weak_pwd_scan Boolean 是否进行弱密码扫描 缺省值：true cve_check Boolean 是否进行CVE漏洞扫描 缺省值：true text_check Boolean 是否进行网站内容合规文字检测 缺省值：true picture_check Boolean 是否进行网站内容合规图片检测 缺省值：false malicious_code Boolean 是否进行网站挂马检测 缺省值：false malicious_link Boolean 是否进行链接健康检测（死链、暗链、恶意外链） 缺省值：false 表8 VulnsLevel 参数 参数类型 描述 high Integer 高危漏洞数 最小值：0 最大值：1000 middle Integer 中危漏洞数 最小值：0 最大值：1000 low Integer 低危漏洞数 最小值：0 最大值：1000 hint Integer 提示危漏洞数 最小值：0 最大值：1000 状态码： 400 表9 响应Body参数 参数 参数类型 描述 error_code String 错误码 最小长度：0 最大长度：50 error_msg String 错误描述 最小长度：0 最大长度：256 状态码： 401 表10 响应Body参数 参数 参数类型 描述 error_code String 错误码 最小长度：0 最大长度：50 error_msg String 错误描述 最小长度：0 最大长度：256 状态码： 418 表11 响应Body参数 参数 参数类型 描述 error_code String 错误码 最小长度：0 最大长度：50 error_msg String 错误描述 最小长度：0 最大长度：256

配置思路 登录华为乾坤云服务控制台，根据租户内网资产IP地址配置全局白名单，提升安全状态检测的准确性。 配置交换机： 配置Switch的GigabitEthernet0/0/2为观察端口，该端口直连天关，Switch将通过镜像将流量上送到天关进行检测。 配置Switch的GigabitEthernet0/0/1为镜像端口，开启端口镜像功能。 配置Switch的GigabitEthernet0/0/3为三层端口，与天关上漏洞扫描和云日志审计接口直连。 配置天关： 配置云端管理接口，用于天关与云端对接，包括设备向云端注册、向云端提供日志、接收云端下发配置等。 配置检测接口GE0/0/1为旁路检测模式，该二层接口与Switch的观察端口直连。 配置边界防护与响应服务的业务参数。 将GE0/0/1和对应VLAN都加入trust安全域，并配置旁路检测所需要的安全策略。 对于USG6603F-C，仅需要配置安全域，不需要配置安全策略。 配置漏洞扫描和云日志审计接口GE0/0/2为三层接口，并加入trust安全域，已购买漏洞扫描服务或云日志审计服务时需要配置。 分别配置漏洞扫描服务和云日志审计服务的业务参数，已购买漏洞扫描服务或云日志审计服务时需要配置。

服务功能区别 SA通过采集全网安全数据（包括HSS、WAF、AntiDDoS等安全服务检测数据），使用大数据AI、机器学习等分析技术，从资产安全、威胁告警、漏洞管理、基线检查维度，分类呈现资产安全状况。同时可从安全概览、综合大屏集中可视化安全数据，生动呈现风险态势。 HSS通过在主机中安装Agent，使用AI、机器学习和深度算法等技术分析主机中风险，并从HSS云端防护中心下发检测和防护任务，全方位保障主机安全。同时可从可视化控制台，管理主机Agent上报的安全信息。 表1 SA与HSS主要功能区别 功能项 态势感知（SA） 企业主机安全（HSS） 资产安全 主机资产 支持同步主机资产风险信息，列表呈现各主机资产的整体安全状况。 网站资产 支持检查和扫描网站安全状态，列表呈现各网站资产的整体安全状况。 主机资产 支持深度扫描主机中的帐号、端口、进程、Web目录、软件信息和自启动任务。 威胁告警 告警事件 支持检测和呈现8大类告警事件，共200+种子告警类型。支持上报告警通知。 告警事件 支持识别并阻止13大类入侵主机的行为，并支持上报告警通知。 漏洞管理 应急漏洞公告 支持同步华为云安全公告信息，及时获取热点安全讯息。 主机漏洞 支持同步HSS主机漏洞扫描结果，管理主机漏洞。 网站漏洞 支持同步VSS网站漏洞扫描结果，管理网站漏洞。 主机漏洞 支持检测和管理检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞。 基线检查 云服务基线 支持“安全上云合规检查1.0”、“等保2.0三级要求”、“护网检查”三大风险类别检查。 主机基线 支持扫描主机系统和关键软件含有风险的配置。

查看任务 登录管理控制台。 选择“服务列表 >安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务管理控制台。 在左侧导航栏，单击移动应用安全。 在“移动应用安全”页面，查看应用安全任务列表，相关参数说明如表1所示。 图1 应用安全任务列表 表1 应用安全任务列表参数说明 参数 参数说明 文件名 扫描文件名称。 应用包名 应用packagename。 应用类型 安卓或鸿蒙 任务描述 对任务信息进行说明。 任务发起时间 任务开始时间。 任务状态 “排队中”：上传扫描对象后开始等待扫描。 “分析中”：任务正在进行扫描。 当任务处于“分析中”状态大约5分钟时，可以单击任务状态进入检测详情界面。 详情界面左侧实时显示应用运行过程。 当出现登录界面时，暂停运行，此时支持用户操作手机界面输入登录凭证，输入完成后可单击右侧“完成”继续自动化检测。如果用户选择“跳过”，界面忽略登录操作，继续运行剩余检测任务。 说明： 如果用户选择“跳过”，移动应用安全服务无法检测需要登录才能访问的页面，最终检测结果也不会包含需要登录才能访问的页面检测结果。 隐私合规检测完成后，会自动断开手机投屏界面。 “完成”：任务已完成扫描。 “失败”：任务扫描失败。 分析时长 分析上传文件的时间。 安全漏洞 扫描结果的漏洞分布情况。 隐私合规 隐私合规的扫描结果。 在下拉框下拉选择任务状态，可根据任务状态筛选查看任务。 在输入框中输入任务名称关键字，可根据任务名称关键字筛选查看。可以和任务状态联合使用。 单击刷新任务列表。

服务功能区别 SA通过采集全网安全数据（包括HSS、WAF、AntiDDoS等安全服务检测数据），使用大数据AI、机器学习等分析技术，从资产安全、威胁告警、漏洞管理、基线检查维度，分类呈现资产安全状况。同时可从安全概览、综合大屏集中可视化安全数据，生动呈现风险态势。 HSS通过在主机中安装Agent，使用AI、机器学习和深度算法等技术分析主机中风险，并从HSS云端防护中心下发检测和防护任务，全方位保障主机安全。同时可从可视化控制台，管理主机Agent上报的安全信息。 表1 SA与HSS主要功能区别 功能项 态势感知（SA） 企业主机安全（HSS） 资产安全 主机资产 支持同步主机资产风险信息，列表呈现各主机资产的整体安全状况。 网站资产 支持检查和扫描网站安全状态，列表呈现各网站资产的整体安全状况。 主机资产 支持深度扫描主机中的帐号、端口、进程、Web目录、软件信息和自启动任务。 威胁告警 告警事件 支持检测和呈现8大类告警事件，共200+种子告警类型。支持上报告警通知。 告警事件 支持识别并阻止13大类入侵主机的行为，并支持上报告警通知。 漏洞管理 应急漏洞公告 支持同步华为云安全公告信息，及时获取热点安全讯息。 主机漏洞 支持同步HSS主机漏洞扫描结果，管理主机漏洞。 网站漏洞 支持同步VSS网站漏洞扫描结果，管理网站漏洞。 主机漏洞 支持检测和管理检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞。 基线检查 云服务基线 支持“安全上云合规检查1.0”、“等保2.0三级要求”、“护网检查”三大风险类别检查。 主机基线 支持扫描主机系统和关键软件含有风险的配置。

产生背景 漏洞是硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，可以使攻击者能够在未授权的情况下访问或破坏系统。利用漏洞入侵并控制目标系统，是攻击者最常用的手段。据公开数据统计，漏洞数量逐年增加，中高危漏洞数量居高不下，受漏洞影响的产品范围广泛（从操作系统，数据库，到应用程序，物联设备，网络安全设备都可能存在漏洞被攻击者利用），这些都给企业的安全防护带来巨大困难。近年来，高危漏洞频发，例如：Apache Log4j2、Spring框架被先后爆出高危漏洞，因两者在全球范围内应用广泛，一旦漏洞被利用，影响和危害将难以估量。 因此，企业需要了解资产中潜在的漏洞，及时修复，降低漏洞被利用的风险，保护资产安全。

VSS与HSS、WAF有什么区别？ VSS支持主机和Web漏洞扫描，从攻击者的视角扫描漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。HSS是提升主机整体安全性的服务，通过安装在主机上的Agent守护主机安全，全面识别并管理主机中的信息资产。 WAF是对网站业务流量进行多维度检测和防护，降低数据被篡改、失窃的风险。 华为云提供的VSS、HSS、WAF服务，帮助您全面从网站、主机、Web应用等层面防御风险和威胁，提升系统安全指数。建议三个服务搭配使用。 表1 VSS、HSS、WAF的区别 服务名称 所属分类 防护对象 功能差异 漏洞扫描服务（VSS） 应用安全、主机安全 提升网站、主机整体安全性。 多元漏洞检测 网页内容检测 网站健康检测 基线合规检测 主机漏洞扫描 企业主机安全（HSS） 主机安全 提升主机整体安全性。 资产管理 漏洞管理 入侵检测 基线检查 网页防篡改 Web应用防火墙（WAF） 应用安全 保护Web应用程序的可用性、安全性。 Web基础防护 CC攻击防护 精准访问防护

CVE-2020-8554的漏洞公告 发布时间：2020/12/09 针对社区近期公布的CVE-2020-8554漏洞，对于单集群内多个用户共享使用的场景，如果将Pod和Service的创建和更新权限授予不信任的用户易受此漏洞的影响。建议您检查所有使用externalIP和loadBalancerIP的Service，确认是否有可疑的Service。 该问题由Kubernetes软件的设计缺陷导致，开源社区的长期修复方案还在讨论中，当前您可以通过限制externalIP的使用或限制LoadBalancerIP的使用进行防范。 详情请参见Kubernetes安全漏洞公告（CVE-2020-8554）。

安全评估 对于Web站点及关键主机，建议定期进行安全评估(安全体检服务-专业安全评估)，以及时发现、规避安全风险。 服务测试范围包括： 网站类：SQL注入、XSS跨站、文件包含、任意文件上传、任意文件下载、Web弱口令、服务弱口令。 主机类：远程漏洞扫描、弱口令扫描、高危端口识别、高危服务识别、基线检查。 华为安全专家团队会对专业机构提交的体检报告进行审核，引导专业机构提高服务质量，给客户更佳的用户体验。 提供准确的漏洞信息和对应的修复建议，并可为用户定制整体安全解决方案，帮助用户构筑完善的安全防御机制。

安全评估 对于Web站点及关键主机，建议定期进行安全评估(安全体检服务-专业安全评估)，以及时发现、规避安全风险。 服务测试范围包括： 网站类：SQL注入、XSS跨站、文件包含、任意文件上传、任意文件下载、Web弱口令、服务弱口令。 主机类：远程漏洞扫描、弱口令扫描、高危端口识别、高危服务识别、基线检查。 华为安全专家团队会对专业机构提交的体检报告进行审核，引导专业机构提高服务质量，给客户更佳的用户体验。 提供准确的漏洞信息和对应的修复建议，并可为用户定制整体安全解决方案，帮助用户构筑完善的安全防御机制。

kubernetes subpath符号链接交换安全漏洞（CVE-2021- 25741） 发布时间：2021/09/17 近期，安全团队监控到社区在 Kubernetes 中发现了一个安全问题，用户可以创建一个带有subPath volume挂载的容器，访问卷外的文件和目录，包括主机文件系统上的文件和目录。 详情请参见kubernetes subpath符号链接交换安全漏洞（CVE-2021- 25741）。

总览页 研发安全服务控制台总览页主要展示：资产信息和各服务最近一次检测情况。 我的资产 包括移动应用安全、代码检查以及漏洞扫描，如图3所示，资产信息说明如表1所示。 图3 我的资产 表1 资产信息说明 服务名称 说明 移动应用安全 显示最近30天被扫描的移动应用个数，以及高风险、中低风险和无风险的应用个数。 漏洞扫描 显示最近30天被扫描的主机和网站的个数，以及高风险、中低风险和无风险的主机或网站个数。 最近一次移动应用安全扫描 显示最近一次扫描详细情况，如图4所示，参数说明如表2所示。 图4 最近一次移动应用安全扫描 表2 移动应用应安全扫描参数说明 参数 说明 扫描对象 被扫描的应用，单击可进入本次任务的扫描详情。 文件大小 被扫描的文件的大小。 应用包名 应用的包名。 应用版本 应用的版本号。 SDK版本 最低支持SDK版本8，目标SDK版本为实际应用的SDK版本。 开始时间 开始扫描的时间。 完成时间 扫描结束的时间。 任务状态 任务扫描状态，包括：排队中、分析中、完成、失败。 安全漏洞风险项 显示不同风险等级的漏洞个数，风险等级包括：超危、高危、中危、低危。 隐私合规风险项 显示隐私合规风险问题数。 最近一次Web扫描任务 显示最近一次Web扫描详细情况，如图5所示，参数说明如表3所示。 图5 最近一次Web扫描任务 表3 Web扫描任务参数说明 参数 说明 扫描对象 被扫描的网站，单击可进入本次任务的扫描详情。 开始时间 开始扫描的时间。 扫描耗时 扫描花费的时间。 任务状态 任务扫描状态，包括：已完成、进行中，等待中，已取消。 漏洞总数 显示不同风险等级的漏洞个数，风险等级包括：高危、中危、低危、提示。 TOP风险 根据扫描项的漏洞数量排序而来。 最近一次主机扫描 显示最近一次Web扫描详细情况，如图5所示，参数说明如表3所示。 图6 最近一次主机扫描 表4 主机扫描参数说明 参数 说明 扫描对象 被扫描的主机，单击可进入本次任务的扫描详情。 开始时间 开始扫描的时间。 扫描耗时 扫描花费的时间。 任务状态 任务扫描状态，包括：已完成、进行中，等待中，已取消。 漏洞总数 显示不同风险等级的漏洞个数，风险等级包括：高危、中危、低危、提示。

HSS怎么区分高危漏洞和低危漏洞？ 您可通过漏洞管理页的“修复紧急度”来区分高危漏洞和低危漏洞。 “修复紧急度”分为如下三种类型： 需尽快修复：属高危漏洞，您必须立即修复的漏洞，攻击者利用该类型的漏洞会对主机造成较大的破坏。 可延后修复：属中危漏洞，您需要修复的漏洞，为提高您主机的安全能力，建议您修复该类型的漏洞。 暂可不修复：属低危漏洞，该类型的漏洞对主机安全的威胁较小，您可以选择修复或忽略。 您可在漏洞管理页面查看漏洞详情，参照漏洞修复与验证对漏洞进行修复和验证。

漏洞扫描服务和传统的漏洞扫描器有什么区别？ VSS和传统的漏洞扫描器的区别如表1所示。 表1 VSS和传统的漏洞扫描器的区别 对比项 传统的漏洞扫描器 VSS 使用方法 使用前需要安装客户端。 不需要安装客户端，在管理控制台创建任务（输入域名或IP地址）就可以进行漏洞扫描，节约运维成本。 更新漏洞库方式 手动更新漏洞库，更新不及时。 云端同步更新漏洞库，涵盖最新漏洞，可以及时检测用户的网站是否有最新爆发的漏洞威胁。

Linux软件漏洞/Windows系统漏洞 登录管理控制台。 在页面左上角选择“区域”，单击，选择“安全与合规 > 企业主机安全”，进入企业主机安全页面。 图1 企业主机安全 选择“Linux软件漏洞管理”或“Windows系统漏洞管理”页签，进入相应漏洞管理页面，如图2所示。 图2 查看Linux软件/Windows系统漏洞检测结果 单击“漏洞名称”，查看漏洞信息，包括漏洞基本信息、解决方案、CVE漏洞描述。 图3 漏洞信息 查看漏洞影响的服务器，在该页面，您可以对漏洞进行处理。 图4 影响服务器 单击“修复”，您可一键修复该漏洞。 单击“忽略”，您可忽略该漏洞，HSS将不再上报并告警此服务器上的这个漏洞。 修复漏洞后，您可以单击“验证”，一键验证该漏洞是否已修复成功。 若您未进行手动验证，主机防护每日凌晨进行全量检测，您修复后需要等到次日凌晨检测后才能查看修复结果。 若您确认已完成漏洞修复，但验证后仍提示未修复，请参考漏洞修复未生效进行排查。 若提示修复失败，可以单击“查看原因”了解具体原因并处理。

资产管理 态势感知24小时全方位防护云上主机和网站安全，呈现云上资产实时安全状态。 表1 资产安全功能说明 功能模块 功能详情 主机资产 同步主机资产信息，列表统计主机整体安全状况的信息。 支持查看主机资产的防护状态、当前安全状况、风险值和被攻击次数等。 网站资产 通过添加目标网站，并一键扫描任务，检查网站安全状态和所有漏洞项目，列表呈现各网站资产的总体安全状况统计信息。 支持查看网站扫描结果详情，包括“扫描项总览”、“漏洞列表”和“站点结构”，并支持下载网站漏洞安全报告。 扫描项总览 呈现当前网站漏洞扫描检查的所有项目和检测结果。呈现的检查项包括“恶意内容”、“潜在风险”和“网站安全漏洞”。 恶意内容包括检测恶意外链、挖矿后门和网页木马。 潜在风险包括检测网站请求头、https协议。 网站安全漏洞包括检测跨站请求伪造、应急漏洞、信息泄露、注入攻击、跨站脚本攻击等。 漏洞列表 扫描出的漏洞详细列表信息。 站点结构 显示网站扫描监测出的漏洞，以及漏洞的具体站点位置。

如何查看漏洞修复建议？ 网站扫描查看漏洞修复建议的方法。 登录管理控制台。 在左侧导航树中，单击，选择“安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务页面。 在“资产列表 > 网站”页签，进入网站列表入口，如图1所示。 图1 进入网站列表入口 查看网站资产列表，相关参数说明如表1所示。 表1 网站资产列表参数说明 参数 参数说明 域名信息 域名/IP地址 域名别称 认证状态 “已认证” 目标域名已完成域名认证。 “未认证” 目标域名未完成域名认证。单击“去认证”进行域名认证。 “证书失效” 如果证书失效，请重新下载证书文件并完成域名认证。 上次扫描时间 域名最近一次扫描任务的时间。 上一次扫描结果 域名最近一次扫描结果信息，包括得分和各等级的漏洞数量。单击得分或者“查看详情”，进入“扫描详情”界面查看扫描概况。 在目标域名所在行的“上一次扫描结果”列，单击分数或者“查看详情”，查看扫描任务详情。 选择“漏洞列表”页签，查看漏洞信息，如图2所示。 图2 漏洞列表 单击漏洞名称，查看相应漏洞的“漏洞详情”、“漏洞简介”、“修复建议”，如图3所示，用户可以根据修复建议修复漏洞。 图3 网站漏洞详情

Web-CMS漏洞 登录管理控制台。 在页面左上角选择“区域”，单击，选择“安全与合规 > 企业主机安全”，进入企业主机安全页面。 图5 企业主机安全 进入“Web-CMS漏洞管理”页面，如图6所示。 图6 查看Web-CMS漏洞检测结果 单击“漏洞名称”查看漏洞详情和受影响的服务器。 Web-CMS漏洞不支持一键修复功能，请根据界面提供的修复建议进行手动修复。 漏洞修复后，请手动执行漏洞检测查看漏洞修复结果。若您未进行手动验证，主机防护每日凌晨进行全量检测，您修复后需要等到次日凌晨检测后才能查看修复结果。 单击“忽略”，您可忽略该漏洞，HSS将不再上报并告警此服务器上的这个漏洞。 图7 漏洞详细信息 图8 受影响的服务器