漏洞管理 通过实时获取业界热点安全漏洞讯息，同步主机漏洞扫描和网站漏洞扫描结果，全面掌握云上资产漏洞风险状况，并提供相应漏洞修复建议。 表6 漏洞管理功能说明 功能模块 功能详情 主机漏洞 通过授权主机，并一键扫描主机漏洞，呈现主机漏洞扫描检测信息，支持查看漏洞详情，并提供相应漏洞修复建议。 Linux软件漏洞扫描 通过比对国际通用漏洞库，检测系统和官方软件（非绿色版、非自行编译安装版，例如：SSH、OpenSSL、Apache、MySQL等）存在的漏洞，识别Linux系统存在的漏洞风险。 Windows软件漏洞扫描 通过同步国际通用补丁源，识别并告警提醒Windows系统潜在漏洞风险。 Web-CMS漏洞扫描 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，提升Web服务安全性。 网站漏洞 通过自动同步VSS漏洞扫描结果，分类呈现网站漏洞扫描详情，支持查看漏洞详情列表、不同类型漏洞分布和不同漏洞等级分布，并提供相应漏洞修复建议。 Web常规漏洞扫描 提供OWASP TOP10和WASC的漏洞检测能力，支持扫描30多种常见漏洞。包括XSS、SQL注入等。 网站弱密码扫描 全方位的OS连接，涵盖90%的中间件，支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测；比对丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 网站端口扫描 扫描服务器端口的开放状态，检测出容易被黑客发现的端口。 CVE网站漏洞扫描 同步国际通用漏洞库，扫描网站安全状况。 网页内容合规检测 对网站文字和图片规范性进行检测。 网站挂马检测 检测网站是否被上传木马，避免网站运行时自动执行木马程序，而被黑客控制。 网站链接健康检测 检测网站的链接地址健康性状态，避免网站出现死链、暗链、恶意链接。 应急漏洞公告 针对业界披露的热点安全漏洞，支持每5分钟抓取一次安全漏洞讯息，获取最新应急漏洞公告详情。

漏洞管理 通过实时获取业界热点安全漏洞讯息，同步主机漏洞扫描和网站漏洞扫描结果，全面掌握云上资产漏洞风险状况，并提供相应漏洞修复建议。 表7 漏洞管理功能说明 功能模块 功能详情 主机漏洞 通过授权主机，并一键扫描主机漏洞，呈现主机漏洞扫描检测信息，支持查看漏洞详情，并提供相应漏洞修复建议。 Linux软件漏洞扫描 通过比对国际通用漏洞库，检测系统和官方软件（非绿色版、非自行编译安装版，例如：SSH、OpenSSL、Apache、MySQL等）存在的漏洞，识别Linux系统存在的漏洞风险。 Windows软件漏洞扫描 通过同步国际通用补丁源，识别并告警提醒Windows系统潜在漏洞风险。 Web-CMS漏洞扫描 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，提升Web服务安全性。 网站漏洞 通过自动同步VSS漏洞扫描结果，分类呈现网站漏洞扫描详情，支持查看漏洞详情列表、不同类型漏洞分布和不同漏洞等级分布，并提供相应漏洞修复建议。 Web常规漏洞扫描 提供OWASP TOP10和WASC的漏洞检测能力，支持扫描30多种常见漏洞。包括XSS、SQL注入等。 网站弱密码扫描 全方位的OS连接，涵盖90%的中间件，支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测；比对丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 网站端口扫描 扫描服务器端口的开放状态，检测出容易被黑客发现的端口。 CVE网站漏洞扫描 同步国际通用漏洞库，扫描网站安全状况。 网页内容合规检测 对网站文字和图片规范性进行检测。 网站挂马检测 检测网站是否被上传木马，避免网站运行时自动执行木马程序，而被黑客控制。 网站链接健康检测 检测网站的链接地址健康性状态，避免网站出现死链、暗链、恶意链接。 应急漏洞公告 针对业界披露的热点安全漏洞，支持每5分钟抓取一次安全漏洞讯息，获取最新应急漏洞公告详情。

漏洞管理功能将检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞，帮助用户识别潜在风险。 表2 漏洞管理 功能项 功能描述 检测周期 软件漏洞检测 包括Linux软件漏洞和Windows系统漏洞。 通过与漏洞库进行比对，检测出系统和官方软件（非绿色版、非自行编译安装版；例如：SSH、OpenSSL、Apache、Mysql等）存在的漏洞，帮助用户识别出存在的风险。 每日凌晨自动检测 手动检测 Web-CMS漏洞检测 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，提升Web服务安全性。

漏洞管理 漏洞管理功能将检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞，帮助用户识别潜在风险。 表2 漏洞管理 功能项 功能描述 检测周期 软件漏洞检测 包括Linux软件漏洞和Windows系统漏洞。 通过与漏洞库进行比对，检测出系统和官方软件（非绿色版、非自行编译安装版；例如：SSH、OpenSSL、Apache、MySQL等）存在的漏洞，帮助用户识别出存在的风险。 每日凌晨自动检测 手动检测 Web-CMS漏洞检测 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，提升Web服务安全性。 您可在“风险预防 > 漏洞管理”页面查看漏洞的扫描检测结果，操作详情请参见查看漏洞详情。

主机漏洞 态势感知通过授权主机，并一键扫描主机漏洞，呈现主机漏洞扫描检测信息，支持查看漏洞详情，并提供相应漏洞修复建议。 主机漏洞共支持3大类漏洞项的检测，详情请参见表1说明。 表1 主机漏洞检测项说明 检测项 说明 Linux软件漏洞检测 通过与漏洞库进行比对，检测系统和软件（例如：SSH、OpenSSL、Apache、MySQL等）是否存在的漏洞，呈现漏洞结果，并提供修复建议。 Windows系统漏洞检测 通过订阅微软官方更新，判断服务器上的补丁是否已经更新，并推送微软官方补丁，呈现漏洞结果，并提供修复建议。 Web-CMS漏洞检测 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，呈现漏洞结果。

主机漏洞 态势感知通过授权主机，并一键扫描主机漏洞，呈现主机漏洞扫描检测信息，支持查看漏洞详情，并提供相应漏洞修复建议。 主机漏洞共支持3大类漏洞项的检测，详情请参见表1说明。 表1 主机漏洞检测项说明 检测项 说明 Linux软件漏洞检测 通过与漏洞库进行比对，检测系统和软件（例如：SSH、OpenSSL、Apache、MySQL等）是否存在的漏洞，呈现漏洞结果，并提供修复建议。 Windows系统漏洞检测 通过订阅微软官方更新，判断服务器上的补丁是否已经更新，并推送微软官方补丁，呈现漏洞结果，并提供修复建议。 Web-CMS漏洞检测 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，呈现漏洞结果。

应用场景 漏洞扫描服务主要用于以下场景。 Web漏洞扫描应用场景 网站的漏洞与弱点易于被黑客利用，形成攻击，带来不良影响，造成经济损失。 常规漏洞扫描 丰富的漏洞规则库，可针对各种类型的网站进行全面深入的漏洞扫描，提供专业全面的扫描报告。 最新紧急漏洞扫描 针对最新紧急爆发的CVE漏洞，安全专家第一时间分析漏洞、更新规则，提供快速专业的CVE漏洞扫描。 主机漏洞扫描应用场景 运行重要业务的主机可能存在漏洞、配置不合规等安全风险。 支持深入扫描 通过配置验证信息，可连接到服务器进行OS检测，进行多维度的漏洞、配置检测。 支持内网扫描 可以通过跳板机方式访问业务所在的服务器，适配不同企业网络管理场景。 弱密码扫描应用场景 主机或中间件等资产一般使用密码进行远程登录，攻击者通常使用扫描技术来探测其用户名和弱口令。 多场景可用 支持操作系统(RDP协议、SSH协议)、数据库（如Mysql、Redis）等常见中间件服务的弱口令检测。 丰富的弱密码库 丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 中间件扫描应用场景 中间件可帮助用户灵活、高效地开发和集成复杂的应用软件，一旦被黑客发现漏洞并利用，将影响上下层安全。 丰富的扫描场景 支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。 多扫描方式可选 支持通过标准包或者自定义安装等多种方式识别服务器的中间件及其版本，全方位发现服务器的漏洞风险。 内容合规检测应用场景 当网站被发现有不合规言论时，会给企业造成品牌和经济上的多重损失。 精准识别 同步更新时政热点和舆情事件的样本数据，准确定位各种涉黄、涉暴涉恐、涉政等敏感内容。 智能高效 对文本、图片内容进行上下文语义分析，智能识别复杂变种文本。 二进制成分分析应用场景 产品包或固件中因不当使用开源软件、配置不合规等会产生漏洞或合规性风险，及时的发现和修复相关问题可以减少被攻击者利用的风险。 全方位风险检测 对产品包/固件进行全面分析，基于各类检测规则，获得相关被测对象的开源软件、信息泄露、安全配置等存在的潜在风险。 支持各类应用 支持对桌面应用（Windows和Linux）、移动应用程序（APK、IPA、Hap等）、嵌入式系统固件等的检测。 专业分析指导 提供全面、直观的风险汇总信息，并针对不同的扫描告警提供专业的解决方案和修复建议。 移动应用安全 企业自检或通报后自查 适用于各类APP发版自检，及通报整改后自查，服务提供详细精确的报告协助企业快速定位修复问题，达到监管合规要求。 审核机构APP合规审查 紧贴各类监管规范，提供高效的自动化检测服务，能快速识别存在违规行为的APP。

查看单台服务器安全详情 您可在“主机管理 > 云服务器”页面，单击“有风险”，进入单台服务器安全详情页面。 在单台服务器安全详情页面，可快速查看当前服务器的资产信息、未处理的漏洞和安全事件。 表2 单服务器安全详情 安全项 说明 资产管理 您可以查看主机上的“账号信息”、“开放端口”、“进程信息”、“WEB目录”、“软件信息”、“自启动”。 账号信息 列出当前系统的账号信息，帮助用户进行账户安全性管理。 开放端口 列出当前系统开放的端口列表，帮助用户识别出其中的危险端口和未知端口。 进程信息 对运行中的进程进行收集及呈现，便于自主清点合法进程发现异常进程。 WEB目录 列出当前系统中Web服务使用的目录，帮助用户进行Web资源管理。 软件信息 列出当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 自启动 列出当前系统中的自启动信息，帮助用户快速识别主机中可疑的自启动。 漏洞管理 您可以查看主机系统中的漏洞和Web-CMS漏洞。 Windows系统漏洞 通过订阅微软官方更新，统计服务器中未修复的漏洞，推送微软官方补丁。 Linux软件漏洞 通过与漏洞库进行比对，检测出系统和软件（例如：SSH、OpenSSL、Apache、Mysql等）存在的漏洞，帮助用户识别出存在的风险。 Web-CMS漏洞 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，提升Web服务安全性。 基线检查 您可以查看主机的系统、数据库、账号配置存在的风险点。 口令风险 检测系统中的口令复杂度策略，给出修改建议，帮助用户提升口令安全性检测账户口令是否属于常用的弱口令，针对弱口令提示用户修改，防止账户口令被轻易猜解。 配置风险 对常见的Tomcat配置、SSH登录配置、Nginx配置进行检查，帮助用户识别不安全的配置项。 入侵检测 您可以查看主机上的账户暴力破解、进程异常行为、网站后门、异常登录、恶意进程等13大类入侵并告警。详细信息请参见入侵告警事件概述。

检测原理 表1 漏洞检测原理 漏洞分类 原理说明 Linux软件漏洞 通过与漏洞库进行比对，检测出系统和软件（例如：SSH、OpenSSL、Apache、MySQL等）是否存在的漏洞，将结果上报至管理控制台，并为您提供漏洞告警。 Windows系统漏洞 通过订阅微软官方更新，判断服务器上的补丁是否已经更新，并推送微软官方补丁，将结果上报至管理控制台，并为您提供漏洞告警。 Web-CMS漏洞 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，将结果上报至管理控制台，并为您提供漏洞告警。 支持检测的软件类型如下： wordpress Joomla drupal discuz 漏洞管理显示24小时内检测到的结果。若检测到主机存在漏洞后，您修改了主机的名称，检测结果会显示原主机名称。

功能特性 漏洞扫描服务可以帮助您快速检测出您的网站、主机、移动应用和软件包/固件存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 网站漏洞扫描 具有OWASP TOP10和WASC的漏洞检测能力，支持扫描22种类型以上的漏洞。 扫描规则云端自动更新，全网生效，及时涵盖最新爆发的漏洞。 支持HTTPS扫描。 一站式漏洞管理 支持任务完成后短信通知用户。如果您希望在扫描任务执行完成后收到短信通知，请购买专业版、高级版或者企业版。 提供漏洞修复建议。如果您需要查看修复建议，请购买专业版、高级版或者企业版。 支持下载扫描报告，用户可以离线查看漏洞信息，报告格式为PDF。如果您需要下载扫描报告，请购买专业版、高级版或者企业版。 支持重新扫描。 支持弱密码扫描 多场景可用 支持操作系统(RDP协议、SSH协议)、数据库（如Mysql、Redis）等常见中间件弱口令检测。 丰富的弱密码库 丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 支持端口扫描 扫描服务器端口的开放状态，检测出容易被黑客发现的“入侵通道”。 自定义扫描 支持任务定时扫描。 支持基于用户名密码登录、基于自定义Cookie登录。 支持Web 2.0高级爬虫扫描。 支持自定义Header扫描。 支持手动导入探索文件来进行被动扫描。 主机漏洞扫描 支持深入扫描 通过配置验证信息，可连接到服务器进行OS检测，进行多维度的漏洞、配置检测。 支持内网扫描 可以通过跳板机方式访问业务所在的服务器，适配不同企业网络管理场景。 支持中间件扫描 丰富的扫描场景 支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。 多扫描方式可选 支持通过标准包或者自定义安装等多种方式识别服务器的中间件及其版本，全方位发现服务器的漏洞风险。 二进制成分分析 全方位风险检测 对软件包/固件进行全面分析，基于各类检测规则，获得相关被测对象的开源软件、信息泄露、安全配置等存在的潜在风险。 支持各类应用 支持对桌面应用（Windows和Linux）、移动应用程序（APK、IPA、Hap等）、嵌入式系统固件等的检测。 专业分析指导 提供全面、直观的风险汇总信息，并针对不同的扫描告警提供专业的解决方案和修复建议。 移动应用安全 移动应用安全服务能快速扫描您的应用，并提供详细的检测报告，协助你快速定位修复问题。 全自动化测试 您只需上传Android、HarmonyOS应用文件提交扫描任务，即可输出详尽专业的测试报告 详细的测试报告 详尽的在线测试报告，一键即可下载，报告提供包括问题代码行、修复建议、调用栈信息、违规问题场景截图、关联隐私策略片段等信息。 支持第三方SDK隐私声明解析 针对第三方SDK隐私声明存在“表格”与“外链”两种展示方式。通过插桩方式获取应用隐私声明的url，继而提取并深度分析隐私声明内容。 支撑鸿蒙应用扫描 率先支持鸿蒙应用安全漏洞、隐私合规问题扫描。

漏洞扫描 漏洞扫描支持系统扫描、应用扫描等多种扫描类型，并为扫描出的漏洞提供修复建议。同时支持漏洞扫描报告下载。 表1 漏洞扫描能力 类型 功能描述 全量扫描 对服务器、终端设备等多种资产类型进行全量漏洞扫描，包括系统漏洞扫描、Web应用漏洞扫描、数据库漏洞扫描。 专项扫描 高危漏洞扫描 对服务器、终端设备等多种资产类型进行高危漏洞扫描。 Log4j扫描 对服务器和终端设备进行最新Apache Log4j2远程代码执行漏洞的扫描。 数据库扫描 对数据库进行安全漏洞扫描、未授权扫描，并支持版本风险提示。 WEB扫描 对SQL注入、跨站脚本攻击、跨站请求伪造、安全配置错误、敏感信息泄露等多种Web常规漏洞进行扫描。 弱密码扫描 对服务器和终端设备进行基于弱密码字典库、弱密码规则和穷举等多种模式的弱密码扫描。

网站漏洞 态势感知通过接入VSS漏洞扫描结果数据，集中呈现网站存在的漏洞，提供详细的漏洞分析结果，并针对不同类型的漏洞提供专业可靠的修复建议。 网站漏洞共支持8大类漏洞项的检测，详情扫描内容参见表2。 表2 网站漏洞检测项说明 检测项 说明 Web常规漏洞扫描 默认必选扫描项。扫描常规的30+种Web漏洞，包括XSS、SQL等网站漏洞。 端口扫描 （可选）扫描服务器端口的开放状态，检测出容易被黑客发现的“入侵通道”。 弱密码扫描 （可选）扫描网站的弱密码漏洞。 全方位的OS连接，涵盖90%的中间件，支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测。 丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 CVE漏洞扫描 （可选）接入公共暴露漏洞库（Common Vulnerabilities and Exposures，CVE），根据漏洞库快速更新漏洞规则，扫描CVE最新漏洞。 网页内容合规检测（文字） （可选）检测网站文字的合规性。 网页内容合规检测（图片） （可选）检测网站图片的合规性。 网站挂马检测 （可选）检测网站的挂马漏洞风险。 链接健康检测 （可选）检测网站的链接地址健康性，避免死链、暗链、恶意链接。

网站漏洞 态势感知通过接入VSS漏洞扫描结果数据，集中呈现网站存在的漏洞，提供详细的漏洞分析结果，并针对不同类型的漏洞提供专业可靠的修复建议。 网站漏洞共支持8大类漏洞项的检测，详情扫描内容参见表2。 表2 网站漏洞检测项说明 检测项 说明 Web常规漏洞扫描 默认必选扫描项。扫描常规的30+种Web漏洞，包括XSS、SQL等网站漏洞。 端口扫描 （可选）扫描服务器端口的开放状态，检测出容易被黑客发现的“入侵通道”。 弱密码扫描 （可选）扫描网站的弱密码漏洞。 全方位的OS连接，涵盖90%的中间件，支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测。 丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 CVE漏洞扫描 （可选）接入公共暴露漏洞库（Common Vulnerabilities and Exposures，CVE），根据漏洞库快速更新漏洞规则，扫描CVE最新漏洞。 网页内容合规检测（文字） （可选）检测网站文字的合规性。 网页内容合规检测（图片） （可选）检测网站图片的合规性。 网站挂马检测 （可选）检测网站的挂马漏洞风险。 链接健康检测 （可选）检测网站的链接地址健康性，避免死链、暗链、恶意链接。

事前：安全加固 配置安全基线 HSS每日凌晨自动检测系统中关键软件的配置风险并给出详细的加固方法。您可以根据给出的加固建议，正确处理主机内的各种风险配置信息。 风险等级分为“高危”、“中危”和“低危”。 建议您优先修复“威胁等级”为“高危”的关键配置，根据业务实际情况修复威胁等级为“中危”或“低危”的关键配置，忽略可信任的配置项。 HSS支持检测的软件类型：Tomcat、SSH、Nginx、Redis、Apache 2、MySQL 5。 在页面左上角选择“区域”，单击，选择“安全与合规 > 主机安全（新版）”，进入主机安全（新版）平台界面。 选择“风险预防 > 基线检查 > 配置检查”页签，查看配置检查详情。 图1 进入配置检查页面 单击基线名称，进入基线检查详情页面，单击目标检查项“操作”列的“检测详情”，您可以根据“审计描述”验证检测结果，根据“修改建议”处理主机中的异常信息，从而加固配置基线。 图2 查看检查详情 完成配置项的修复后，建议您立即执行手动检测，查看配置项修复结果。 如果您未进行手动验证，HSS会在次日凌晨执行自动验证。自动验证完成后，您可查看配置项修复结果。 加固弱密码 HSS每日凌晨自动检测主机中使用的经典弱口令和您添加的自定义弱口令。您可以根据检测出的弱口令对应的弹性云服务器名称、账号名、账号类型和弱口令使用时长，加固弱密码。 HSS支持检测MySQL、FTP及系统账号的弱口令。 在页面左上角选择“区域”，单击，选择“安全与合规 > 主机安全（新版）”，进入主机安全（新版）平台界面。 选择“风险预防 > 基线检查 > 配置检查”页签，查看经典弱口令检测。 图3 进入经典弱口令检测页 自定义弱口令。进入“策略管理”页面，配置指定策略组的“弱口令检测”，添加自定义弱口令。 图4 自定义弱口令 完成弱密码加固后，建议您立即执行手动检测，查看弱密码加固结果。 如果您未进行手动验证，HSS会在次日凌晨执行自动验证。自动验证完成后，您可查看弱密码加固结果。 进入“告警通知”页面，勾选“告警等级”的所有选项，一旦检测出弱口令，您将会收到告警通知。 图5 设置告警 修复漏洞 HSS每日凌晨自动进行一次全面的检测，“漏洞管理”通过订阅官方更新，判断服务器上的补丁是否已经更新，并推送官方补丁，将结果上报至管理控制台，并为您提供漏洞告警。帮助您及时发现漏洞，并在不影响业务的情况下修复漏洞、更新补丁。 漏洞修复紧急程度分为“需尽快修复”、“可延后修复”和“暂可不修复”。 建议您优先修复“需尽快修复”的漏洞，根据业务实际情况修复“可延后修复”或“暂可不修复”的漏洞，忽略无需修复的漏洞。 在页面左上角选择“区域”，单击，选择“安全与合规 > 主机安全（新版）”，进入主机安全（新版）平台界面。 选择“风险预防 > 漏洞管理”，进入“漏洞管理”页面，选择“Linux软件漏洞管理”、“Windows系统漏洞管理”或者“Web-CMS漏洞管理”不同页签查看漏洞详情。 图6 查看漏洞详情 漏洞修复。 单击目标漏洞操作列的处理，进入漏洞处理页面，可对目标漏洞进行修复或忽略。 勾选多个目标，单击忽略，可进行忽略处理。 修复漏洞后，您可以单击“验证”，一键验证该漏洞是否已修复成功。 若您未进行手动验证，主机防护每日凌晨进行全量检测，您修复后需要等到次日凌晨检测后才能查看修复结果。 进入“告警通知”页面，勾选“告警等级”的所有选项，一旦检测出紧急漏洞（需尽快修复），您将会收到告警通知。 图7 设置告警

操作步骤 登录华为乾坤云服务控制台，选择“ > 我的服务 > 漏洞扫描服务”。 在右上角菜单栏选择“漏洞扫描”。 支持选择以下几种扫描场景。 全量扫描：对服务器、终端设备等多种资产类型进行漏洞扫描，包括系统漏洞扫描、应用漏洞扫描、数据库漏洞扫描。 专项扫描：用户自主选择专项扫描场景和扫描端口，对服务器、终端设备、安全设备、网络设备、中间件和数据库等多种资产类型进行全量漏洞扫描。 表1 专项扫描 场景 说明 高危漏洞扫描 对服务器、终端设备等多种资产类型进行高危漏洞扫描。 Log4j扫描 对服务器和终端设备进行最新Apache Log4j2远程代码执行漏洞的扫描。 数据库扫描 对数据库进行安全漏洞扫描、未授权扫描，并支持版本风险提示。 WEB扫描 对SQL注入、跨站脚本攻击、跨站请求伪造、安全配置错误、敏感信息泄露等多种Web常规漏洞进行扫描。 弱密码扫描 对服务器和终端设备进行基于弱密码字典库、弱密码规则和穷举等多种模式的弱密码扫描。 创建扫描任务并执行。 此处以创建全量扫描任务为例。 图1 创建扫描任务 表2 扫描任务配置参数 区域 参数 参数说明 扫描资产 扫描目标 勾选预备扫描的资产，加入到扫描目标列表中。 资产需要满足如下条件才能扫描，否则无法加入扫描目标列表： 资产类型属于：网站、服务器、终端设备、网络设备、安全设备、数据库或中间件。 如果是网站资产，“URL”必须是“http(s)://IP地址:端口号”的二级域名网站。 如果是服务器/终端设备/网络设备/安全设备/数据库资产，需要满足： IP地址的格式为IPv4。 IP地址需为A类/B类/C类私有IP地址网段，不能为公网网段。 如果您需要扫描公网网段的资产，请填写“工单”求助处理。 IP地址需为非云上保留IP。 云上保留IP：10.252.0.128/25，10.252.0.0/26。 扫描端口（仅专项扫描中呈现） 高危端口 易于被攻击者探测并利用攻击的开放服务端口，涉及常见的web服务端口、安全协议端口、数据库端口等。具体端口号请参见页面提示信息。 常用端口 IANA（Internet Assigned Numbers Authority，互联网数字分配机构）注册的常用端口。 执行方式 立即执行 即时执行扫描任务。 定时执行 选定未来某个时间点自动执行扫描任务。 因VPN的存在，当同一资产经不同天关同时执行扫描任务时，必有一个任务进入“正在等待”状态。 因天关性能限制，执行中的任务数量超过200时，后续添加的任务进入“正在等待”状态。 单资产不支持在多个任务中同时扫描。 查看扫描结果并处理扫描问题。 单击“点击查看”。 图2 查看扫描任务 单击任务名称，查看任务详情。或在高级搜索中设置搜索条件，如任务名称、资产名称等，对历史扫描任务进行模糊查询。 请重点关注“扫描结果”中的漏洞等级和漏洞数量。 图3 任务详情 您可以单击操作栏的“查看详情”，查看资产扫描详情。 图4 资产扫描详情 请根据修复建议，手动修复漏洞。 未处理的漏洞默认标识为“待分析”状态，处理完成的漏洞可根据实际情况标识为“非问题”、“已处理”。 资产在进行漏洞扫描时，以IP作为标识，扫描结果仅代表执行扫描任务时该IP关联资产存在的漏洞。当对应资产的IP发生变化时，请重新对资产进行漏洞扫描，以便获取最新的资产漏洞。

目前支持检测和呈现8大类告警事件，包括DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制。基础版与专业版能检测的威胁告警范围不同，详情请参见下表： 表2 不同版本威胁告警检测范围差异 告警事件 专业版 标准版 基础版 DDoS 支持检测100+种子类型DDoS威胁。 网络层攻击 NTP Flood攻击、CC攻击等。 传输层攻击 SYN Flood攻击、ACK Flood攻击等。 会话层攻击 SSL连接攻击等。 应用层攻击 HTTP Get Flood攻击、HTTP Post Flood攻击等。 全部支持 全部支持 暴力破解 支持检测22种子类型的暴力破解威胁。 支持检测的暴力破解威胁 包括SSH暴力破解（2种）、RDP暴力破解、MSSQL暴力破解、MySQL暴力破解、FTP暴力破解、SMB暴力破解（3种）、HTTP暴力破解（4种）、Telnet暴力破解。 接入的HSS服务上报的告警事件 包括SSH暴力破解、RDP暴力破解、FTP暴力破解、MySQL暴力破解、IRC暴力破解、Webmin暴力破解、其他端口被暴力破解、系统被成功爆破事件。 支持检测8种子类型暴力破解威胁。 包括SSH暴力破解（3种）、RDP暴力破解（2种）、MSSQL暴力破解、MySQL暴力破解（2种）。 不支持 Web攻击 支持检测38种子类型的Web攻击威胁。 支持检测的Web攻击威胁 包括Webshell攻击（3种）、跨站脚本攻击、代码注入攻击（7种）、SQL注入攻击（9种）、命令注入攻击。 接入的HSS服务上报的告警事件 包括Webshell攻击、Linux网页篡改、Windows网页篡改。 接入的WAF服务上报的告警事件 包括跨站脚本攻击、命令注入攻击、SQL注入攻击、目录遍历攻击、本地文件包含、远程文件包含、远程代码执行、网站后门、网站信息泄露、漏洞攻击、IP信誉库、恶意爬虫、网页防篡改、网页防爬虫。 支持检测19种子类型Web攻击威胁。 包括Webshell攻击（4种）、跨站脚本攻击（2种）、命令注入攻击、SQL注入攻击、目录遍历攻击、本地文件包含、远程文件包含、远程代码执行、网站后门、网站信息泄露、漏洞攻击、IP信誉库、恶意爬虫、网页防篡改、网页防爬虫。 不支持 后门木马 支持检测5种子类型的后门木马威胁。 检测主机资产上Web目录中的PHP、JSP等后门木马文件类型。 检测资产被植入木马特性 检测内容包括资产系统存在win32/ramnit checkin木马、被入侵后执行wannacry勒索病毒相关的DNS解析请求、被入侵后尝试下载木马程序，被入侵后访问HFS下载服务器等。 支持检测1种子类型后门木马威胁。 资产上木马文件 不支持 僵尸主机 支持检测7种子类型的僵尸主机威胁。 对外发起SSH暴力破解 对外发起RDP暴力破解 对外发起Web暴力破解 对外发起MySQL暴力破解 对外发起SQLServer暴力破解 对外发起DDoS攻击 被入侵后安装挖矿程序 支持检测5种子类型僵尸主机威胁。 包括MySQL暴力破解、对外发起RDP暴力破解、对外发起Web暴力破解、对外发起MySQL暴力破解、对外发起SQLServer暴力破解。 不支持 异常行为 支持检测21种子类型的异常行为威胁。 支持检测的异常行为威胁 包括文件系统被扫描、CMS V1.0漏洞、敏感文件被访问。 接入的HSS服务上报的告警事件 包括系统成功登录审计事件、文件目录变更监测事件、混杂模式网卡、异常权限用户、反弹Shell、异常Shell、高危命令执行、异常自启动、文件提权、进程提权、Rootkit程序。 接入的WAF服务上报的告警事件 包括自定义规则、白名单、黑名单、地理访问控制、扫描器爬虫、IP黑白名单、非法访问。 接入的MTD服务上报的告警事件 包括暴力破解、恶意攻击、渗透、挖矿攻击等恶意活动和未经授权行为。 支持检测7种子类型异常行为威胁。 包括自定义规则、白名单、黑名单、地理访问控制、扫描器爬虫、IP黑白名单、非法访问。 接入的MTD服务上报的告警事件 包括暴力破解、恶意攻击、渗透、挖矿攻击等恶意活动和未经授权行为。 不支持 漏洞攻击 支持检测2种子类型的漏洞攻击威胁。 SMBv1漏洞攻击 WebCMS漏洞攻击 不支持 不支持 命令控制 共支持检测3种子类型的命令控制威胁。 监控主机存在访问DGA域名行为 监控主机存在访问恶意C&C域名行为 监控主机存在恶意C&C通道行为 不支持 不支持

RDS for MySQL 8.0 表1 云数据库 RDS for MySQL 8.0版本说明 日期 特性描述 2022-06-01 新特性及性能优化 内核版本升级到8.0.25。 支持SQL限流。 升级编译器到GCC 9.3。 修复问题 修复单个超大Binlog可能导致的复制中断问题。 修复社区innodb_row_lock_current_waits统计不准确的问题。 修复使用blob字段可能导致的异常重启问题。 安全加固 解决安全漏洞：CVE-2021-2307、CVE-2021-2180、CVE-2021-2194。 2021-08-07 新特性及性能优化 线程池静态链接，提高性能。 开启PGO（Profile-Guided Optimization）编译优化。 优化MySQL HASH算法。 支持数据库添加备注功能。 系统库防止被DDL修改。 添加参数innodb_total_tablespaces用于统计innodb表空间数量。 在i_s中提供innodb锁视图。 升级openssl，jemalloc，curl开源组件。 修复问题 修复XA事务在binlog rotate后可能异常重启的问题。 修复全量SQL未记录预编译SQL操作类型的问题。 修复flush privieges操作的executed time统计错误的问题。 修复审计日志错误写入其他文件的问题。 2021-04-13 修复XA事务在数据库异常重启后可能发生丢失的问题。 优化自适应HASH分割算法。 内核版本升级到8.0.21。 安全加固 解决安全漏洞：CVE-2020-14697、CVE-2020-14680、CVE-2020-14678、CVE-2020-14663、CVE-2021-2020、CVE-2020-14619、CVE-2020-14591、CVE-2020-14576、CVE-2020-14539。 2021-01-26 SQL限流特性性能优化。 全量SQL采集性能优化。 2020-12-31 性能优化 升级编译器到GCC 9。 2020-12-01 性能优化 优化慢日志额外信息的采集效率。 修复以下问题 修复XA事务回滚可能会导致备机复制中断问题。 2020-11-06 修复问题 修复微秒计时器中gettimeofday多线程导致计时错误问题。 2020-09-21 支持在错误日志中记录详细的连接断开信息。 支持index hint功能。 2020-08-03 显示大事务执行时间和等待时间。 为管理用户使用独立的连接控制。 支持SQL限流，业务高峰期可以限制特定SQL的执行频率。 优化内核性能。 2020-06-19 内核版本升级到8.0.20。 优化内核性能。 2020-02-15 RDS for MySQL 8.0版本正式商用。 ARM内核版本上线，该内核基于华为云鲲鹏服务器。 2019-12-15 内核版本升级到8.0.17。 并行创建索引：并行创建索引速度最快提升2.5倍。 2019-10-15 修复“SQL_MODE”为“PAD_CHAR_TO_FULL_LENGTH”时的主备复制异常问题。 2019-09-15 支持线程池。 升级Openssl版本至1.1.1a。 支持CTS语法：支持create table xx select语法。 用户线程内存使用信息、CPU时间使用信息，您可以通过show full processlist进行查询。

操作步骤 登录管理控制台。 在页面左上角单击，选择“安全与合规 > 态势感知”，进入态势感知管理页面。 在态势感知管理页面选择“漏洞管理 > 主机漏洞”，进入“主机漏洞”页面。主机漏洞参数说明如表1。 在列表的右上角，用户可以根据漏洞IP、漏洞等级或者漏洞名称进行筛选查看目标类漏洞详情。 图1 主机漏洞 表1 主机漏洞参数说明 参数名称 参数说明 漏洞名称 扫描出的漏洞名称。 单击漏洞名称，可查看该漏洞的简介、相关漏洞库信息。 IP 主机的IP地址。 漏洞等级 按照漏洞的危险程度分为：“高危”、“中危”、“低危”、“提示”。 修复建议 根据修复建议，快速对漏洞做出响应处理。 操作 如果某一项漏洞您已经完成了修复，可以在目标漏洞的“操作”列，单击“忽略”。 如果希望重新关注已经忽略的漏洞，可以在目标漏洞的“操作”列，单击“查看忽略理由”了解当时的处理原因，确认需要恢复风险项后，单击“取消忽略”，恢复风险项检测。

事前：安全加固 配置安全基线 HSS每日凌晨自动检测系统中关键软件的配置风险并给出详细的加固方法。您可以根据给出的加固建议，正确处理主机内的各种风险配置信息。 风险等级分为“高危”、“中危”和“低危”。 建议您优先修复“威胁等级”为“高危”的关键配置，根据业务实际情况修复威胁等级为“中危”或“低危”的关键配置，忽略可信任的配置项。 HSS支持检测的软件类型：Tomcat、SSH、Nginx、Redis、Apache 2、MySQL 5。 在页面左上角选择“区域”，单击，选择“安全与合规 > 企业主机安全”，进入企业主机安全平台界面。 在界面左上角单击“体验新版”，进入云工作负载保护平台（主机安全+容器安全）页面。 选择“风险预防 > 基线检查 > 配置检查”页签，查看配置检查详情。 图1 进入配置检查页面 单击基线名称，进入基线检查详情页面，单击目标检查项“操作”列的“检测详情”，您可以根据“审计描述”验证检测结果，根据“修改建议”处理主机中的异常信息，从而加固配置基线。 图2 查看检查详情 完成配置项的修复后，建议您立即执行手动检测，查看配置项修复结果。 如果您未进行手动验证，HSS会在次日凌晨执行自动验证。自动验证完成后，您可查看配置项修复结果。 加固弱密码 HSS每日凌晨自动检测主机中使用的经典弱口令和您添加的自定义弱口令。您可以根据检测出的弱口令对应的弹性云服务器名称、账号名、账号类型和弱口令使用时长，加固弱密码。 HSS支持检测MySQL、FTP及系统账号的弱口令。 在页面左上角选择“区域”，单击，选择“安全与合规 > 企业主机安全”，进入企业主机安全平台界面。 在界面左上角单击“体验新版”，进入云工作负载保护平台（主机安全+容器安全）页面。 选择“风险预防 > 基线检查 > 配置检查”页签，查看经典弱口令检测。 图3 进入经典弱口令检测页 自定义弱口令。进入“策略管理”页面，配置指定策略组的“弱口令检测”，添加自定义弱口令。 图4 自定义弱口令 完成弱密码加固后，建议您立即执行手动检测，查看弱密码加固结果。 如果您未进行手动验证，HSS会在次日凌晨执行自动验证。自动验证完成后，您可查看弱密码加固结果。 进入“告警通知”页面，勾选“告警等级”的所有选项，一旦检测出弱口令，您将会收到告警通知。 图5 设置告警 修复漏洞 HSS每日凌晨自动进行一次全面的检测，“漏洞管理”通过订阅官方更新，判断服务器上的补丁是否已经更新，并推送官方补丁，将结果上报至管理控制台，并为您提供漏洞告警。帮助您及时发现漏洞，并在不影响业务的情况下修复漏洞、更新补丁。 漏洞修复紧急程度分为“需尽快修复”、“可延后修复”和“暂可不修复”。 建议您优先修复“需尽快修复”的漏洞，根据业务实际情况修复“可延后修复”或“暂可不修复”的漏洞，忽略无需修复的漏洞。 在页面左上角选择“区域”，单击，选择“安全与合规 > 企业主机安全”，进入企业主机安全平台界面。 在界面左上角单击“体验新版”，进入云工作负载保护平台（主机安全+容器安全）页面。 选择“风险预防 > 漏洞管理”，进入“漏洞管理”页面，选择“Linux软件漏洞管理”、“Windows系统漏洞管理”或者“Web-CMS漏洞管理”不同页签查看漏洞详情。 图6 查看漏洞详情 漏洞修复。 单击目标漏洞操作列的处理，进入漏洞处理页面，可对目标漏洞进行修复或忽略。 勾选多个目标，单击忽略，可进行忽略处理。 修复漏洞后，您可以单击“验证”，一键验证该漏洞是否已修复成功。 若您未进行手动验证，主机防护每日凌晨进行全量检测，您修复后需要等到次日凌晨检测后才能查看修复结果。 进入“告警通知”页面，勾选“告警等级”的所有选项，一旦检测出紧急漏洞（需尽快修复），您将会收到告警通知。 图7 设置告警

操作步骤 登录管理控制台。 在页面左上角单击，选择“安全与合规 > 态势感知”，进入态势感知管理页面。 在态势感知管理页面选择“漏洞管理 > 主机漏洞”，进入“主机漏洞”页面。主机漏洞参数说明如表1。 在列表的右上角，用户可以根据漏洞IP、漏洞等级或者漏洞名称进行筛选查看目标类漏洞详情。 图1 主机漏洞 表1 主机漏洞参数说明 参数名称 参数说明 漏洞名称 扫描出的漏洞名称。 单击漏洞名称，可查看该漏洞的简介、相关漏洞库信息。 IP 主机的IP地址。 漏洞等级 按照漏洞的危险程度分为：“高危”、“中危”、“低危”、“提示”。 修复建议 根据修复建议，快速对漏洞做出响应处理。 操作 如果某一项漏洞您已经完成了修复，可以在目标漏洞的“操作”列，单击“忽略”。 如果希望重新关注已经忽略的漏洞，可以在目标漏洞的“操作”列，单击“查看忽略理由”了解当时的处理原因，确认需要恢复风险项后，单击“取消忽略”，恢复风险项检测。

产生背景 漏洞是硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，可以使攻击者能够在未授权的情况下访问或破坏系统。利用漏洞入侵并控制目标系统，是攻击者最常用的手段。据公开数据统计，漏洞数量逐年增加，中高危漏洞数量居高不下，受漏洞影响的产品范围广泛（从操作系统，数据库，到应用程序，物联设备，网络安全设备都可能存在漏洞被攻击者利用），这些都给企业的安全防护带来巨大困难。近年来，高危漏洞频发，例如：Apache Log4j2、Spring框架被先后爆出高危漏洞，因两者在全球范围内应用广泛，一旦漏洞被利用，影响和危害将难以估量。 因此，企业需要了解资产中潜在的漏洞，及时修复，降低漏洞被利用的风险，保护资产安全。

漏洞扫描服务支持扫描哪些漏洞？ 漏洞扫描服务支持扫描的漏洞有： 弱口令检测 SSH、FTP、RDP、SMB、MYSQL、MSSQL、MongoDB、Redis、Oracle、DB2、GaussDB、Postgres、Telnet。 前端漏洞 SQL注入、XSS、CSRF、URL跳转等。 信息泄露 端口暴露，目录遍历，备份文件，不安全文件，不安全HTTP方法，不安全端口。 Web注入漏洞 命令注入，代码注入，XPATH注入，SSRF注入，反序列化等注入漏洞。 文件包含漏洞 任意文件读取、任意文件包含、任意文件上传、XXE。

功能总览 功能总览 全部 态势感知 安全概览 资源管理 业务分析 综合大屏 威胁告警 漏洞管理 基线检查 检测结果 安全报告 产品集成 日志管理 态势感知 态势感知（Situation Awareness，SA）是华为云安全管理与态势分析平台。能够检测出超过20大类的云上安全风险，包括DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制等。利用大数据分析技术，态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析，为用户呈现出全局安全攻击态势。 SA提供基础版、标准版和专业版三个版本。 发布区域：全部 服务版本差异 功能特性 应用场景 OBS 2.0支持 虚拟私有云子功能二 虚拟私有云（Virtual Private Cloud，以下简称VPC），为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。 您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。 除亚太-曼谷、亚太-新加坡、拉美-圣地亚哥以外的所有区域均已发布 如何创建虚拟私有云？ VPC服务介绍【视频】 VPC服务介绍【视频】 安全概览 “安全概览”分为安全评分、安全监控、安全趋势、威胁检测共四大板块，实时呈现云上整体安全评估状况，并联动其他云安全服务，集中展示云上安全。在“安全概览”查看安全概览信息和相关一键操作，实现云上安全态势一览和风险统一管控。 发布区域：全部 安全概览 资源管理 同步当前帐号中所有资源的安全状态统计信息。支持查看资源的名称、所属服务、所属区域、安全状况等，帮助您快速定位安全风险问题并提供解决方案。 发布区域：全部 资源管理 业务分析 联动企业主机安全服务（Host Security Service，HSS）、Web应用防火墙（Web Application Firewall，WAF）和数据库安全服务（Database Security Service，DBSS）三个安全防护服务，全面展示云上资产的安全状态和存在的安全风险。 发布区域：全部 业务分析 综合大屏 利用AI技术将海量云安全数据的分析并分类，通过综合大屏将数据可视化展示，集中呈现云上实时动态，云上关键风险一目了然，掌握云上安全态势更简单，更直观，更高效。 目前，综合大屏有“综合态势感知”和“主机态势感知”两个模块。 发布区域：全部 综合态势感知 主机态势感知 威胁告警 通过利用大数据量、高准确度的威胁情报库，“实时监控”云上威胁攻击，提供告警通知和监控，记录近180天告警事件详情，分析威胁攻击情况，并针对典型威胁事件预置策略实施防御手段。 目前支持检测和呈现8大类威胁告警事件，包括DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制。 发布区域：全部 威胁告警简介 查看告警列表 威胁分析 漏洞管理 通过实时获取业界热点安全漏洞讯息，同步主机漏洞扫描和网站漏洞扫描结果，全面掌握云上资产漏洞风险状况，并提供相应漏洞修复建议。 主机漏洞：通过授权主机，并一键扫描主机漏洞，呈现主机漏洞扫描检测信息，支持查看漏洞详情，并提供相应漏洞修复建议。 网站漏洞：通过自动同步VSS漏洞扫描结果，分类呈现网站漏洞扫描详情，支持查看漏洞详情列表、不同类型漏洞分布和不同漏洞等级分布，并提供相应漏洞修复建议。 应急漏洞公告：针对业界披露的热点安全漏洞，支持每5分钟抓取一次安全漏洞讯息，获取最新应急漏洞公告详情。 发布区域：全部 主机漏洞 网站漏洞 应急漏洞公告 专业版支持 基线检查 通过执行云服务基线扫描，检查基线配置风险状态，告警提示存在安全隐患的配置，并提供基线加固建议。 云服务基线检查：通过一键扫描或设置定期扫描，分类呈现云服务配置检测结果，提示不合格检测项，并提供相应配置加固建议和帮助指导。 发布区域：华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州、西南-贵阳一。 云服务基线检查 检测结果 通过集成安全防护产品，接入安全产品检测数据，管理全部检测结果。 发布区域：全部 检测结果 安全报告 为统计全局安全攻击态势，通过开启安全报告，态势感知以邮件形式向指定的收件人发送安全报告，反映阶段性安全概况、安全风险趋势。 发布区域：全部 分析报告 产品集成 通过集成安全防护产品，接入安全产品检测数据，管理检测结果的数据来源，支持查看传输数据量，管理数据上报健康状态。 发布区域：全部 安全产品集成 专业版支持 日志管理 态势感知支持将日志存储至对象存储服务（Object Storage Service，OBS），帮助用户轻松应对安全日志存储、导出场景，满足日志存储180天及集中审计的要求。 发布区域：全部 日志管理

功能总览 功能总览 全部 态势感知 安全概览 资源管理 业务分析 综合大屏 威胁告警 漏洞管理 基线检查 检测结果 安全报告 产品集成 日志管理 态势感知 态势感知（Situation Awareness，SA）是华为云安全管理与态势分析平台。能够检测出包括DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制等类别的云上安全风险。利用大数据分析技术，态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析，为用户呈现出全局安全攻击态势。 SA提供基础版、标准版和专业版三个版本。 发布区域：全部 服务版本差异 功能特性 应用场景 OBS 2.0支持 虚拟私有云子功能二 虚拟私有云（Virtual Private Cloud，以下简称VPC），为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。 您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。 除亚太-曼谷、亚太-新加坡、拉美-圣地亚哥以外的所有区域均已发布 如何创建虚拟私有云？ VPC服务介绍【视频】 VPC服务介绍【视频】 安全概览 “安全概览”分为安全评分、安全监控、安全趋势、威胁检测共四大板块，实时呈现云上整体安全评估状况，并联动其他云安全服务，集中展示云上安全。在“安全概览”查看安全概览信息和相关一键操作，实现云上安全态势一览和风险统一管控。 发布区域：全部 安全概览 资源管理 同步当前帐号中所有资源的安全状态统计信息。支持查看资源的名称、所属服务、所属区域、安全状况等，帮助您快速定位安全风险问题并提供解决方案。 发布区域：全部 资源管理 业务分析 联动企业主机安全服务（Host Security Service，HSS）、Web应用防火墙（Web Application Firewall，WAF）和数据库安全服务（Database Security Service，DBSS）三个安全防护服务，全面展示云上资产的安全状态和存在的安全风险。 发布区域：全部 业务分析 综合大屏 利用AI技术将海量云安全数据的分析并分类，通过综合大屏将数据可视化展示，集中呈现云上实时动态，云上关键风险一目了然，掌握云上安全态势更简单，更直观，更高效。 目前，综合大屏有“综合态势感知”和“主机态势感知”两个模块。 发布区域：全部 综合态势感知 主机安全态势 威胁告警 通过利用大数据量、高准确度的威胁情报库，“实时监控”云上威胁攻击，提供告警通知和监控，记录近180天告警事件详情，分析威胁攻击情况，并针对典型威胁事件预置策略实施防御手段。 目前支持检测和呈现以下类别的威胁告警事件：DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制。 发布区域：全部 威胁告警简介 查看告警列表 威胁分析 漏洞管理 通过实时获取业界热点安全漏洞讯息，同步主机漏洞扫描和网站漏洞扫描结果，全面掌握云上资产漏洞风险状况，并提供相应漏洞修复建议。 主机漏洞：通过授权主机，并一键扫描主机漏洞，呈现主机漏洞扫描检测信息，支持查看漏洞详情，并提供相应漏洞修复建议。 网站漏洞：通过自动同步VSS漏洞扫描结果，分类呈现网站漏洞扫描详情，支持查看漏洞详情列表、不同类型漏洞分布和不同漏洞等级分布，并提供相应漏洞修复建议。 应急漏洞公告：针对业界披露的热点安全漏洞，支持每5分钟抓取一次安全漏洞讯息，获取最新应急漏洞公告详情。 发布区域：全部 主机漏洞 网站漏洞 应急漏洞公告 专业版支持 基线检查 通过执行云服务基线扫描，检查基线配置风险状态，告警提示存在安全隐患的配置，并提供基线加固建议。 云服务基线检查：通过一键扫描或设置定期扫描，分类呈现云服务配置检测结果，提示不合格检测项，并提供相应配置加固建议和帮助指导。 发布区域：华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州、西南-贵阳一。 云服务基线检查 检测结果 通过集成安全防护产品，接入安全产品检测数据，管理全部检测结果。 发布区域：全部 检测结果 安全报告 为统计全局安全攻击态势，通过开启安全报告，态势感知以邮件形式向指定的收件人发送安全报告，反映阶段性安全概况、安全风险趋势。 发布区域：全部 分析报告 产品集成 通过集成安全防护产品，接入安全产品检测数据，管理检测结果的数据来源，支持查看传输数据量，管理数据上报健康状态。 发布区域：全部 安全产品集成 专业版支持 日志管理 态势感知支持将日志存储至对象存储服务（Object Storage Service，OBS），帮助用户轻松应对安全日志存储、导出场景，满足日志存储180天及集中审计的要求。 发布区域：全部 日志管理

微软5月份月度安全漏洞更新，HSS已具备检测能力 尊敬的华为云客户，您好： 近日，微软发布2021年5月份安全补丁更新，共披露了55个安全漏洞，其中4个漏洞标记为严重漏洞。攻击者利用漏洞可实现远程代码执行、权限提升、敏感信息泄露等。受影响的应用包括：Microsoft Windows、Exchange Server、Hyper-V等组件。微软官方说明，请参见：https://msrc.microsoft.com/update-guide/releaseNote/2021-May%20。 您需关注HTTP 协议堆栈远程执行代码漏洞（CVE-2021-31166），该漏洞官方说明可造成蠕虫级危害，未经过身份验证的攻击者可以使用 HTTP 协议栈 (http.sys) 将特制的数据包发送到目标服务器，实现远程代码执行。请受影响的用户及时自检并安排补丁升级，避免遭受攻击。 漏洞级别：严重 影响范围：Microsoft Windows、Exchange Server、Hyper-V等产品。 重要漏洞说明详情，如表1所示。表格中漏洞为严重漏洞，其他漏洞及详情请参见微软官方说明。 表1 重要漏洞说明 CVE编号 漏洞名称 严重程度 影响产品 CVE-2021-31166 HTTP 协议堆栈远程执行代码漏洞 严重 Windows Server version 20H2 (Server Core Installation) Windows Server version 2004 (Server Core installation) Windows 10 Version 20H2 for x64-based Systems Windows 10 Version 20H2 for ARM64-based Systems Windows 10 Version 20H2 for 32-bit Systems Windows 10 Version 2004 for x64-based Systems Windows 10 Version 2004 for ARM64-based Systems Windows 10 Version 2004 for 32-bit Systems CVE-2021-28476 Hyper-V 远程执行代码漏洞 严重 Windows 10 Windows 8.1 Windows 7 Windows Server 2008/2008(R2/2012/2012 R2/2016/2019) CVE-2021-31194 OLE 自动化远程执行代码漏洞 严重 Windows 10 Windows 8.1/RT 8.1 Windows 7 Windows Server 2008/2008(R2/2012/2012 R2/2016/2019) CVE-2021-26419 脚本引擎内存损坏漏洞 严重 Internet Explorer 9 Internet Explorer 11 安全建议 可通过Windows Update自动更新微软补丁修复漏洞，也可以手动下载补丁，补丁下载地址：https://msrc.microsoft.com/update-guide/。 为确保数据安全，建议重要业务数据进行异地备份。 使用企业主机安全HSS的用户，请参见以下步骤进行检测与修复。 请提交工单，我们会为您后台更新Windows漏洞库。 检测并查看漏洞详情，详细的操作步骤请参见查看漏洞详情。 漏洞修复与验证，详细的操作步骤请参见漏洞修复与验证。

威胁告警事件 默认“实时监控”并上报威胁告警事件，支持检测和呈现8大类威胁告警事件，包括DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制。 表6 威胁告警事件说明 告警名称 威胁告警说明 DDoS “实时检测”华为云、非华为云及IDC的互联网主机的DDoS攻击。 共支持检测100+种子类型DDoS威胁。 网络层攻击 NTP Flood攻击、CC攻击等。 传输层攻击 SYN Flood攻击、ACK Flood攻击等。 会话层攻击 SSL连接攻击等。 应用层攻击 HTTP Get Flood攻击、HTTP Post Flood攻击等。 暴力破解 “实时检测”入侵资产的行为和主机资产内部的风险，检测SSH、RDP、FTP、SQL Server、MySQL等账户是否遭受的口令破解攻击，以及检测资产账户是否被破解异常登录。 共支持检测22种子类型的暴力破解威胁。 支持检测的暴力破解威胁 包括SSH暴力破解（2种）、RDP暴力破解、MSSQL暴力破解、MySQL暴力破解、FTP暴力破解、SMB暴力破解（3种）、HTTP暴力破解（4种）、Telnet暴力破解。 接入的HSS服务上报的告警事件 包括SSH暴力破解、RDP暴力破解、FTP暴力破解、MySQL暴力破解、IRC暴力破解、Webmin暴力破解、其他端口被暴力破解、系统被成功爆破事件。 Web攻击 “实时检测”Web恶意扫描器、IP、网马等威胁。 共支持检测38种子类型的Web攻击威胁。 支持检测的Web攻击威胁 包括Webshell攻击（3种）、跨站脚本攻击、代码注入攻击（7种）、SQL注入攻击（9种）、命令注入攻击。 接入的HSS服务上报的告警事件 包括Webshell攻击、Linux网页篡改、Windows网页篡改。 接入的WAF服务上报的告警事件 包括跨站脚本攻击、命令注入攻击、SQL注入攻击、目录遍历攻击、本地文件包含、远程文件包含、远程代码执行、网站后门、网站信息泄露、漏洞攻击、IP信誉库、恶意爬虫、网页防篡改、网页防爬虫。 后门木马 “实时检测”资产系统是否存在后门木马风险，以及被后门木马程序入侵后的恶意请求行为。 共支持检测5种子类型的后门木马威胁。 检测主机资产上Web目录中的PHP、JSP等后门木马文件类型。 检测资产被植入木马特性 检测内容包括资产系统存在win32/ramnit checkin木马、被入侵后执行wannacry勒索病毒相关的DNS解析请求、被入侵后尝试下载木马程序，被入侵后访问HFS下载服务器等。 僵尸主机 “实时检测”资产被入侵后对外发起攻击的威胁。 共支持检测7种子类型的僵尸主机威胁。 对外发起SSH暴力破解 对外发起RDP暴力破解 对外发起Web暴力破解 对外发起MySQL暴力破解 对外发起SQLServer暴力破解 对外发起DDoS攻击 被入侵后安装挖矿程序 异常行为 “实时检测”资产系统异常变更和操作行为。 共支持检测21种子类型的异常行为威胁。 支持检测的异常行为威胁 包括文件系统被扫描、CMS V1.0漏洞、敏感文件被访问。 接入的HSS服务上报的告警事件 包括系统成功登录审计事件、文件目录变更监测事件、混杂模式网卡、异常权限用户、反弹Shell、异常Shell、高危命令执行、异常自启动、文件提权、进程提权、Rootkit程序。 接入的WAF服务上报的告警事件 包括自定义规则、白名单、黑名单、地理访问控制、扫描器爬虫、IP黑白名单、非法访问。 接入的MTD服务上报的告警事件 包括暴力破解、恶意攻击、渗透、挖矿攻击等恶意活动和未经授权行为。 漏洞攻击 “实时检测”资产被尝试使用漏洞进行攻击。 共支持检测2种子类型的漏洞攻击威胁。 SMBv1漏洞攻击 WebCMS漏洞攻击 命令控制 “实时检测”资产可能被命令与控制服务器（C&C，Command and Control Server）远程控制，访问与恶意软件或建立与恶意软件之间的链接。 共支持检测3种子类型的命令控制威胁。 监控主机存在访问DGA域名行为 监控主机存在访问恶意C&C域名行为 监控主机存在恶意C&C通道行为

查看漏洞列表 登录管理控制台。 进入查看私有镜仓库像漏洞入口，如图1所示，漏洞列表各参数说明如表1所示。 漏洞占比：按“漏洞修复紧急度”进行统计的漏洞数量及占比。 图1 进入查看私有镜像仓库漏洞入口 表1 参数说明 参数名称 说明 操作 漏洞名称 - 单击，查看漏洞详情，包括漏洞ID、漏洞分值、漏洞披露时间和漏洞描述。 单击漏洞名称，查看该漏洞的基本信息以及受该漏洞影响的镜像列表，具体请参见3。 修复紧急度 提示您是否需要立刻处理该漏洞。 - 受影响镜像个数 显示受该漏洞影响的镜像个数。 - 解决方案 针对该漏洞给出的解决方案。 单击“解决方案”列的链接，查看修复意见。 单击漏洞名称，查看该漏洞的基本信息及受该漏洞影响的镜像列表，如图2和图3所示。 图2 漏洞的基本信息（私有） 图3 受漏洞影响的镜像列表（私有）

威胁告警事件 默认“实时监控”并上报威胁告警事件，支持检测和呈现8大类威胁告警事件，包括DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制。 表5 威胁告警事件说明 告警名称 威胁告警说明 DDoS “实时检测”华为云、非华为云及IDC的互联网主机的DDoS攻击。 共支持检测100+种子类型DDoS威胁。 网络层攻击 NTP Flood攻击、CC攻击等。 传输层攻击 SYN Flood攻击、ACK Flood攻击等。 会话层攻击 SSL连接攻击等。 应用层攻击 HTTP Get Flood攻击、HTTP Post Flood攻击等。 暴力破解 “实时检测”入侵资产的行为和主机资产内部的风险，检测SSH、RDP、FTP、SQL Server、MySQL等账户是否遭受的口令破解攻击，以及检测资产账户是否被破解异常登录。 共支持检测22种子类型的暴力破解威胁。 支持检测的暴力破解威胁 包括SSH暴力破解（2种）、RDP暴力破解、MSSQL暴力破解、MySQL暴力破解、FTP暴力破解、SMB暴力破解（3种）、HTTP暴力破解（4种）、Telnet暴力破解。 接入的HSS服务上报的告警事件 包括SSH暴力破解、RDP暴力破解、FTP暴力破解、MySQL暴力破解、IRC暴力破解、Webmin暴力破解、其他端口被暴力破解、系统被成功爆破事件。 Web攻击 “实时检测”Web恶意扫描器、IP、网马等威胁。 共支持检测38种子类型的Web攻击威胁。 支持检测的Web攻击威胁 包括Webshell攻击（3种）、跨站脚本攻击、代码注入攻击（7种）、SQL注入攻击（9种）、命令注入攻击。 接入的HSS服务上报的告警事件 包括Webshell攻击、Linux网页篡改、Windows网页篡改。 接入的WAF服务上报的告警事件 包括跨站脚本攻击、命令注入攻击、SQL注入攻击、目录遍历攻击、本地文件包含、远程文件包含、远程代码执行、网站后门、网站信息泄露、漏洞攻击、IP信誉库、恶意爬虫、网页防篡改、网页防爬虫。 后门木马 “实时检测”资产系统是否存在后门木马风险，以及被后门木马程序入侵后的恶意请求行为。 共支持检测5种子类型的后门木马威胁。 检测主机资产上Web目录中的PHP、JSP等后门木马文件类型。 检测资产被植入木马特性 检测内容包括资产系统存在win32/ramnit checkin木马、被入侵后执行wannacry勒索病毒相关的DNS解析请求、被入侵后尝试下载木马程序，被入侵后访问HFS下载服务器等。 僵尸主机 “实时检测”资产被入侵后对外发起攻击的威胁。 共支持检测7种子类型的僵尸主机威胁。 对外发起SSH暴力破解 对外发起RDP暴力破解 对外发起Web暴力破解 对外发起MySQL暴力破解 对外发起SQLServer暴力破解 对外发起DDoS攻击 被入侵后安装挖矿程序 异常行为 “实时检测”资产系统异常变更和操作行为。 共支持检测21种子类型的异常行为威胁。 支持检测的异常行为威胁 包括文件系统被扫描、CMS V1.0漏洞、敏感文件被访问。 接入的HSS服务上报的告警事件 包括系统成功登录审计事件、文件目录变更监测事件、混杂模式网卡、异常权限用户、反弹Shell、异常Shell、高危命令执行、异常自启动、文件提权、进程提权、Rootkit程序。 接入的WAF服务上报的告警事件 包括自定义规则、白名单、黑名单、地理访问控制、扫描器爬虫、IP黑白名单、非法访问。 接入的MTD服务上报的告警事件 包括暴力破解、恶意攻击、渗透、挖矿攻击等恶意活动和未经授权行为。 漏洞攻击 “实时检测”资产被尝试使用漏洞进行攻击。 共支持检测2种子类型的漏洞攻击威胁。 SMBv1漏洞攻击 WebCMS漏洞攻击 命令控制 “实时检测”资产可能被命令与控制服务器（C&C，Command and Control Server）远程控制，访问与恶意软件或建立与恶意软件之间的链接。 共支持检测3种子类型的命令控制威胁。 监控主机存在访问DGA域名行为 监控主机存在访问恶意C&C域名行为 监控主机存在恶意C&C通道行为

版本功能差异说明 表2 版本功能差异说明 服务功能 功能项 功能概述 基础版 （按需、包年/包月） 企业版 旗舰版 网页防篡改版 容器安全 检测周期 资产管理 主机管理 所有主机资产管理，包含主机的防护状态、配额绑定、策略分配等，提供Linux主机的批量安装agent功能。 √ √ √ √ √ - 容器管理 容器节点管理，容器镜像（私有镜像仓库、本地镜像）管理。 × × × × √ - 资产指纹 账号信息管理 检测当前系统的账号信息，帮助用户进行账户安全性管理。 × √ √ √ √ 实时检测 开放端口检测 检测当前系统开放的端口，帮助用户识别出其中的危险端口和未知端口。 × √ √ √ √ 实时检测 进程信息管理 监测运行中的进程并进行收集及呈现，便于用户自主清点合法进程，发现异常进程。 × √ √ √ √ 实时检测 软件信息管理 监测并记录当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 × √ √ √ √ 每日凌晨自动检测 自启动 对系统中的自启动项进行检测，及时统计自启动项的变更情况。 × √ √ √ √ 实时检测 Web站点 统计、展示存放Web内容的目录及对外提供访问的站点信息，您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、关键进程等信息。 × √ √ √ √ 1次/周（每周一凌晨05：00） Web框架 统计、展示Web内容对外呈现时所使用框架的详细信息，您可查看所有框架的版本、路径、关联进程等信息。 × √ √ √ √ 1次/周（每周一凌晨05：00） 中间件 统计、展示所使用到的所有软件信息，您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。 × √ √ √ √ 1次/周（每周一凌晨05：00） 内核模块 统计、展示运行在内核层的全量程序模块文件，您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。 × √ √ √ √ 1次/周（每周一凌晨05：00） 漏洞管理 软件漏洞检测 包括Linux软件漏洞和Windows系统漏洞。 通过与漏洞库进行比对，检测出系统和官方软件（非绿色版、非自行编译安装版；例如：SSH、OpenSSL、Apache、MySQL等）存在的漏洞，帮助用户识别出存在的风险。 × √ √ √ √ 每日凌晨自动检测 手动检测 Web-CMS漏洞检测 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，提升Web服务安全性。 × √ √ √ √ 每日凌晨自动检测 手动检测 应用漏洞检测 包括检测Web服务、Web框架、Web站点、中间件、内核模块等资产信息存在的漏洞。 × √ √ √ √ 每日凌晨自动检测 手动检测 基线检查 口令复杂度策略检测 检测系统中的口令复杂度策略，给出修改建议，帮助用户提升口令安全性。 √ √ √ √ √ 每日凌晨自动检测 手动检测 经典弱口令检测 检测系统账户口令是否属于常用的弱口令，针对弱口令提示用户修改。 √ √ √ √ √ 每日凌晨自动检测 手动检测 配置检查 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 × √ √ √ √ 每日凌晨自动检测 手动检测 容器镜像安全 容器镜像漏洞 通过与漏洞库进行比对，检测并管理本地镜像和私有镜像仓库存在的漏洞，对当前镜像中存在的紧急漏洞进行提醒。 × × × × √ 每日凌晨自动检测 手动检测 镜像恶意文件 检测镜像是否携带恶意文件（Trojan、Worm、Virus病毒和Adware垃圾软件等），帮助用户识别出存在的风险。 × × × × √ 实时检测 镜像基线检查 提供18类容器基线配置检查，帮助用户识别不安全的配置。 × × × × √ 实时检测 应用防护 SQL注入 检测防御SQL注入（SQL Injection）攻击，检测web应用是否存在对应漏洞。 × × √ √ √ 实时检测 OS命令注入 检测防御远程OS命令注入（OS Command Injection）攻击，同时检测web应用是否存在对应漏洞。 × × √ √ √ 实时检测 XSS 检测防御存储型跨站脚本(Cross-Site Scripting，XSS)注入攻击。 × × √ √ √ 实时检测 Log4jRCE漏洞检测 检测防御远程代码执行的控制攻击。 × × √ √ √ 实时检测 上传WebShell 检测防御上传危险文件的攻击或将已有文件改名为危险文件扩展名的攻击，同时检测web应用是否存在对应漏洞。 × × √ √ √ 实时检测 XML External Entity Injection 检测防御XXE注入（XML External Entity Injection）攻击，检测web应用是否存在对应漏洞。 × × √ √ √ 实时检测 反序列化输入 检测使用了危险类的反序列化攻击。 × × √ √ √ 实时检测 文件目录遍历 获取访问文件的路径或目录，匹配是否在敏感目录或敏感文件下。 × × √ √ √ 实时检测 Struts2 OGNL OGNL代码执行检测。 × × √ √ √ 实时检测 JSP执行操作系统命令 检测可疑行为——通过JSP请求执行操作系统命令。 × × √ √ √ 实时检测 JSP删除文件 检测可疑行为——通过JSP请求删除文件失败。 × × √ √ √ 实时检测 数据库连接异常 检测可疑异常——数据库连接抛出的认证和通讯异常。 × × √ √ √ 实时检测 0 day漏洞检测 检测执行命令的堆栈哈希是否在Web应用的白名单堆栈哈希表里。 × × √ √ √ 实时检测 SecurityManager权限检测异常 检测可疑异常——SecurityManager抛出的异常。 × × √ √ √ 实时检测 网页防篡改 静态网页防篡改 防止网站服务器中的静态网页文件被篡改。 × × × √ × 实时检测 动态网页防篡改 防止网站数据库中动态网页内容被篡改。 × × × √ × 实时检测 勒索病毒防护 勒索病毒防御 通过对主机运行状态的自动学习和管理端智能分析，完成可信程序的判定，在防护阶段对非可信程序的操作进行告警。 × × √ √ √ 实时检测 文件完整性管理 文件完整性检测 检查Linux系统、应用程序软件和其他组件的文件，帮助用户及时发现发生了可能遭受攻击的更改。 × × √ √ √ 实时检测 主机入侵检测 恶意程序 对运行中的程序进行检测，识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 × √ √ √ √ 实时检测 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 × × √ √ √ 实时检测 Webshell 检测云服务器上Web目录中的文件，判断是否为WebShell木马文件，支持检测常见的PHP、JSP等后门文件类型。 网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。您可以根据网站后门信息忽略可信文件。 您可以使用手动检测功能检测主机中的网站后门。 × √ √ √ √ 实时检测 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 × × √ √ √ 实时检测 一般漏洞利用 实时检测利用漏洞入侵主机的行为，对发现的入侵行为进行告警上报。 × √ √ √ √ 实时检测 文件提权 检测当前系统对文件的提权。 × × √ √ √ 实时检测 进程提权 检测以下进程提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 × × √ √ √ 实时检测 关键文件变更 对于系统关键文件进行监控，文件被修改时告警，提醒用户关键文件存在被篡改的可能。 × √ √ √ √ 实时检测 文件/目录变更 对于系统文件/目录进行监控，文件/目录被修改时告警，提醒用户文件/目录存在被篡改的可能。 × √ √ √ √ 实时检测 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 × √ √ √ √ 实时检测 高危命令执行 实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 × × √ √ √ 实时检测 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。 × × √ √ √ 实时检测 Crontab可疑任务 检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。 帮助用户通过自启动变更情况，及时发现异常自启动项，快速定位木马程序的问题。 × × √ √ √ 实时检测 暴力破解 检测“尝试暴力破解”和“暴力破解成功”等暴力破解。 检测账户遭受的口令破解攻击，封锁攻击源，防止云主机因账户破解被入侵。 若账户暴力破解成功，登录到云主机，则触发安全事件告警。 √ √ √ √ √ 实时检测 异常登录 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 若在非常用登录地登录，则触发安全事件告警。 √ √ √ √ √ 实时检测 非法系统账号 检测主机系统中的账号，列出当前系统中的可疑账号信息，帮助用户及时发现非法账号。 × √ √ √ √ 实时检测 容器入侵检测 漏洞逃逸攻击 监控到容器内进程行为符合已知漏洞的行为特征时，触发逃逸漏洞攻击告警。 × × × × √ 实时检测 文件逃逸攻击 监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，仍然会触发告警。 × × × × √ 实时检测 容器进程异常 容器恶意程序 监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 容器异常进程 对于已关联的容器镜像启动的容器，只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 × × × × √ 实时检测 容器异常启动 监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。 支持以下容器环境检测： 禁止启动特权容器(privileged:true) 需要限制容器能力集（capabilities:[xxx]） 建议启用seccomp（seccomp=unconfined） 限制容器获取新的权限(no-new-privileges:false) 危险目录映射(mounts:[...]) × × × × √ 实时检测 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。CGS监控容器进程，如果发现进程使用了危险系统调用，触发高危系统调用告警。 × × × × √ 实时检测 敏感文件访问 监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 × × × × √ 实时检测 白名单管理 加入告警白名单 处理告警事件时，将告警事件加入到告警白名单。 以下类型的告警事件可加入“告警白名单”： 反弹Shell Webshell检测 进程异常行为检测 进程提权 文件提权 高危命令 恶意程序 × × √ √ √ 实时检测 策略管理 查看和修改策略 支持自定义检测策略配置与下发，能够为每组或每台主机灵活配置检测规则，便于精细化安全运营。 查看策略组列表 依据默认策略组和已创建的策略组添加策略组 自定义策略 修改和删除策略组 针对策略组包含的策略，进行修改和关闭策略 在“主机管理”页面可以对主机进行批量部署策略 × √（仅支持默认企业版策略组） √ √ √ 实时检测 安全报告 主机安全报告 呈现每周或每月的主机安全趋势以及关键安全事件与风险。 × √ √ √ √ - 安全配置 常用登录地 配置常用登录地后，服务将对非常用地登录主机的行为进行告警。每个主机可被添加在多个登录地中。 √ √ √ √ √ 实时检测 常用登录IP 配置常用登录IP，服务将对非常用IP登录主机的行为进行告警。 √ √ √ √ √ 实时检测 配置SSH登录IP白名单 SSH登录IP白名单功能是防护账户爆破的一个重要方式，主要是限制需要通过SSH登录的服务器。 配置了白名单的服务器，只允许白名单内的IP通过SSH登录到服务器，拒绝白名单以外的IP。 说明： 使用鲲鹏计算EulerOS（EulerOS with ARM）的主机，SSH登录IP白名单功能对其不生效。 √ √ √ √ √ 实时检测 恶意程序隔离查杀 开启恶意程序隔离查杀后，HSS对识别出的后门、木马、蠕虫等恶意程序，提供自动隔离查杀功能，帮助用户自动识别处理系统存在的安全风险。 × √ √ √ √ 实时检测 双因子认证 通过密码+短信/邮件认证的方式，彻底防范账号暴力破解行为。 × √ √ √ √ - 告警配置 开启告警通知功能后，您能接收到主机安全服务服务发送的告警通知，及时了解主机/容器/网页内的安全风险。 √ √ √ √ √ -

查看漏洞列表 登录管理控制台。 在页面上方选择“区域”后，单击，选择“安全与合规 > 容器安全服务”，进入“防护列表”界面。 进入查看官方镜像仓库漏洞入口，如图1所示，漏洞列表各参数说明如表1所示。 漏洞占比：按“漏洞修复紧急度”进行统计的漏洞数量及占比。 图1 进入查看官方镜像仓库漏洞入口 表1 参数说明 参数名称 说明 操作 漏洞名称 - 单击，查看漏洞详情，包括漏洞ID、漏洞分值、漏洞披露时间和漏洞描述。 单击漏洞名称，查看该漏洞的基本信息以及受该漏洞影响的镜像列表，具体请参见4。 修复紧急度 提示您是否需要立刻处理该漏洞。 - 受影响镜像个数 显示受该漏洞影响的镜像个数。 - 解决方案 针对该漏洞给出的解决方案。 单击“解决方案”列的链接，查看修复意见。 单击漏洞名称，查看该漏洞的基本信息及受该漏洞影响的镜像列表，如图2和图3所示。 图2 漏洞的基本信息（官方） 图3 受漏洞影响的镜像列表（官方）

操作步骤 登录管理控制台。 选择“服务列表 >安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务管理控制台。 在左侧导航栏，单击二进制成分分析。 在“二进制成分分析”页面，可看到全部添加过的任务。 单击对应任务操作列的“报告”，如图1所示。 单击“任务名称”也可以进入扫描报告页面。 图1 进入成分分析扫描报告入口 进入扫描报告查看页面，各栏目说明如表1所示。 当扫描任务成功完成后，单击右上角的“生成PDF报告”或“生成Excel报告”，生成扫描报告后，单击右上角的“导出PDF”，可以下载报告。 表1 详情总览说明 栏目 说明 任务概况 显示目标任务的基本信息，包括： 查看文件名、文件大小、平台版本、特征库版本等基本信息。 显示目标任务的组件检测、安全漏洞、安全配置、许可协议、信息泄露等检测概况，包括： 组件检测：被扫描的软件包所有的组件数量，有漏洞、未知版本和无漏洞组件数量占比。 安全漏洞：超危、高危、中危、低危各个级别漏洞数量占比。 安全配置：展示通过、失败、不涉及的检测结果数量占比。 许可协议：展示数量排名前六的漏洞使用许可。 信息泄露：展示各检测结果数量分布。 开源漏洞分析 显示扫描任务中的每个组件的组件名、组件版本、许可协议、包含文件数以及存在漏洞数。 组件名称和漏洞数可按升降序查看。 可按组件类别、组件名称对组件列表进行筛选查看。 安全配置检查 显示凭据管理、认证问题和会话管理的检测项目、级别、检测结果。 密钥和信息泄露 显示IP、硬编码密码、弱口令、Git地址、SVN地址和硬编码密钥的检测结果。 在“开源漏洞分析”页签查看软件包的每个组件的漏洞。 如果检测结果存在漏洞或者风险，可单击“组件名称”列，查看详细信息。 单击“对象路径”，可以查看文件对象路径详细信息。 单击“CVE”漏洞名称可以查看相应漏洞的“漏洞详情”、“漏洞简介”、“解决方案”、“漏洞修复参考”、“参考链接”。 在“安全配置”页签查看凭据管理、认证问题和会话管理对应检测项目的检测结果。 图2 安全配置检查结果 在“密钥和信息泄露”页签查看对应检测项目的检测结果。 图3 密钥和信息泄露检测结果

相关术语说明 开源(open source) 即开放一类技术或一种产品的源代码，源数据，源资产，可以是各行业的技术或产品，其范畴涵盖文化、产业、法律、技术等多个社会维度。 开源软件(open source software) 允许用户直接访问源代码，通过开源许可协议将其复制、修改、再发布的权利向公众开放的计算机软件。 开源组件(open source component) 是开源软件系统中最小可识别且本身不再包含另外组件的、组件信息可在公共网站获取且可独立分发、开发过程中带有版本号并且可组装的软件实体。 开源许可证(open source license) 开源软件的版权持有人授予用户可以学习、修改开源软件，并向任何人或为任何目的分发开源软件的权利。 软件成分分析(Software Composition Analysis) 通过分析软件包含的一些信息和特征来实现对该软件的识别、管理、追踪的技术。 PE(Portable Executable) 是Windows系统下的可执行文件的标准格式。 ELF(Executable and Linkable Format) 是一种Unix或Linux系统下的可执行文件，目标文件，共享链接库和内核转储(core dumps)的标准文件格式。 APK(Android application package) 是Android操作系统使用的一种应用程序包文件格式，用于分发和安装移动应用及中间件。 HAP(HarmonyOS application package) 是鸿蒙操作系统使用的一种应用程序包文件格式，用于分发和安装移动应用及中间件。 CVE(Common Vulnerabilities and Exposures) 又称通用漏洞披露、常见漏洞与披露，是一个与信息安全有关的数据库，收集各种信息安全弱点及漏洞并给予编号以便于公众查阅。 CVSS(Common Vulnerability Scoring System) 通用漏洞评分系统，是一个行业公开标准，其被设计用来评测漏洞的严重程度，并帮助确定所需反应的紧急度和重要度，有CVSS 2.0、3.0、3.1标准。 固件(firmware) 是一种嵌入在硬件设备中的软件。 NVD National Vulnerability Database国家安全漏洞库。 CNVD China National Vulnerability Database国家信息安全漏洞共享平台。 CNNVD China National Vulnerability Database of Information Security国家信息安全漏洞库。 组件依赖 保证组件正确运行所依赖的必须加载的其他组件。

检测能力 移动应用安全 对用户提供的安卓、鸿蒙应用进行安全漏洞、隐私合规检测，基于静态分析技术，结合数据流静态污点跟踪，检测权限、组件、网络、等APP基础安全漏洞，并提供详细的漏洞信息及修复建议。 代码检查 由外部代码检查服务提供，代码检查（CodeCheck）是基于云端实现代码质量管理的服务，软件开发者可在编码完成后执行多语言的代码静态检查和安全检查，获取全面的质量报告，并提供缺陷的分组查看与改进建议，有效管控代码质量。 漏洞扫描 由外部漏洞扫描服务提供，漏洞扫描服务（Vulnerability Scan Service，简称VSS）是针对网站、主机、移动应用、软件包/固件进行漏洞扫描的一种安全检测服务，目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。扫描成功后，提供扫描报告详情，用于查看漏洞明细、修复建议等信息。 漏洞扫描服务具有Web网站扫描和两种扫描能力。 Web网站扫描：采用网页爬虫的方式全面深入地爬取网站url，基于多种不同能力的漏洞扫描插件，模拟用户真实浏览场景，逐个深度分析网站细节，帮助用户发现网站潜在的安全隐患。同时内置了丰富的无害化扫描规则，以及扫描速率动态调整能力，可有效避免用户网站业务受到影响。 主机扫描：经过用户授权（支持帐密授权）访问用户主机，漏洞扫描服务能够自动发现并检测主机操作系统、中间件等版本漏洞信息和基线配置，实时同步官网更新的漏洞库匹配漏洞特征，帮助用户及时发现主机安全隐患。

操作步骤 登录管理控制台。 在页面左上角单击，选择“安全与合规 > 态势感知”，进入态势感知管理页面。 在态势感知管理页面选择“漏洞管理 > 网站漏洞”，进入“网站漏洞”页面。 图1 查看网站漏洞信息 查看漏洞分布比例及漏洞等级分布比例，如图2。 图2 网站漏洞 查看漏洞详情列表，网站漏洞参数说明如表1。 图3 网站漏洞详情列表 表1 网站漏洞参数说明 参数名称 参数说明 漏洞名称/漏洞ID 扫描出的漏洞名称。 单击漏洞名称，可查看该漏洞的简介、相关漏洞库信息。 目标网址 网站的IP地址。 发现时间 任务扫描出漏洞的时间。 漏洞等级 按照漏洞的危险程度分为：“高危”、“中危”、“低危”、“提示”。 检测项目 漏洞类型。 状态 “未修复” “已修复” “已忽略” 操作 如果确认该风险类型不存在风险，在目标风险类型所在行的“操作”列，单击“忽略”，忽略此风险项。 如果想对已忽略的风险项恢复为风险类型，在目标风险类型所在行的“操作”列，单击“取消忽略”，恢复检测此风险。

操作步骤 登录管理控制台。 在页面左上角单击，选择“安全与合规 > 态势感知”，进入态势感知管理页面。 在态势感知管理页面选择“漏洞管理 > 网站漏洞”，进入“网站漏洞”页面。 图1 查看网站漏洞信息 查看漏洞分布比例及漏洞等级分布比例，如图2。 图2 网站漏洞 查看漏洞详情列表，网站漏洞参数说明如表1。 图3 网站漏洞详情列表 表1 网站漏洞参数说明 参数名称 参数说明 漏洞名称/漏洞ID 扫描出的漏洞名称。 单击漏洞名称，可查看该漏洞的简介、相关漏洞库信息。 目标网址 网站的IP地址。 发现时间 任务扫描出漏洞的时间。 漏洞等级 按照漏洞的危险程度分为：“高危”、“中危”、“低危”、“提示”。 检测项目 漏洞类型。 状态 “未修复” “已修复” “已忽略” 操作 如果确认该风险类型不存在风险，在目标风险类型所在行的“操作”列，单击“忽略”，忽略此风险项。 如果想对已忽略的风险项恢复为风险类型，在目标风险类型所在行的“操作”列，单击“取消忽略”，恢复检测此风险。

None 如何使用容器安全服务 容器安全服务（Container Guard Service，CGS）是针对云容器引擎服务（CCE）集群进行安全防护和对容器镜像服务（SWR）镜像仓库中的镜像进行安全扫描的一种安全检测服务，同时提供容器进程白名单、文件只读保护和容器逃逸检测功能，有效防止容器运行时安全风险事件的发生。 本指南指导您快速上手容器安全服务。 Step1 开启集群防护 步骤 ① 登录华为云控制台。在控制台页面中选择“安全与合规> 容器安全服务”，购买容器安全配额。 ② 在左侧导航树中选择“防护列表”，在“集群列表”中单击“开启防护”，开启需要防护的集群。 ③ 在弹出的“开启防护“对话框中，勾选“我已阅读并同意《容器安全服务免责声明》”并单击“是”，完成开启防护操作。 说明 ① 开启集群防护时，若用户购买的包周期防护配额小于当前需要开启防护的集群节点个数，超出的集群节点将执行按需计费。 ② 集群开启防护后，如果集群新增了节点，容器安全服务将为新增的节点自动开启防护，并对新增的节点提供防护。 了解详细步骤 1 购买容器安全配额 2 集群列表 3 开启防护 单击图片可查看原图 Step2 查看本地镜像漏洞 步骤 ① 在左侧导航树中，选择“镜像安全”，单击“本地镜像漏洞”，进入本地镜像漏洞界面，查看本地镜像漏洞占比。 ② 查看TOP5风险的镜像。 ③ 查看受该漏洞的镜像。 说明 ① 用户开启集群防护后，容器安全服务自动对本地镜像执行安全扫描。 ② 针对已判断无风险或风险较小的漏洞，您可以忽略漏洞在所有镜像上的影响或者忽略漏洞在某一镜像上的影响。忽略漏洞后，镜像将不再统计该漏洞，但漏洞列表中仍可见。 了解详细步骤 1 漏洞占比 2 TOP5风险的镜像 3 漏洞列表 单击图片可查看原图 Step3 扫描私有镜像并查看漏洞报告 步骤 ① 在左侧导航树中，选择“镜像列表”，单击“私有镜像仓库”，进入私有镜像仓库页面。 ② 单击镜像名称，展开镜像版本列表，在操作列，单击“安全扫描”。 ③ 在弹出的“安全扫描”对话框中，单击“确定”，启动扫描任务。 ④ 扫描完成后，单击漏洞报告，查看镜像上存在的漏洞。 说明 ① 容器安全服务每日凌晨对私有镜像执行一次全面的安全检测。 ② 用户也可以单击镜像版本，进入镜像详情页面，查看镜像的基本信息、漏洞报告、关联策略、恶意文件、软件信息、文件信息和基线检查；并根据解决方案修复有安全风险的镜像。 了解详细步骤 1 镜像列表 2 安全扫描 3 漏洞报告 单击图片可查看原图 Step4 查看运行时安全 步骤 ① 在左侧导航树中，选择“运行时安全”，进入运行时安全界面。 ② 查看异常趋势图。 ③ 查看异常事件列表。 说明 ① 容器安全服务实时监控容器集群中运行的容器，用户可随时查看容器异常事件详情。 ② 容器安全服务提供逃逸检测、高危系统调用、异常进程检测、文件异常检测和容器环境检测。 了解详细步骤 1 异常趋势图 2 异常事件列表 单击图片可查看原图 Step5 （可选）配置安全策略 步骤 ① 在左侧导航树中，选择“安全配置”，单击“添加策略”。 ② 在弹出的“添加策略”对话框中，配置策略内容并单击“确定”，完成添加策略操作。 ③ 添加完成后，将添加的策略规则应用到关联的镜像。 说明 用户也可在镜像列表，单击需要添加策略的镜像，进入该镜像详情页面，选择关联策略，为该镜像应用策略。 了解详细步骤 1 添加策略 2 配置策略内容 3 选择关联的镜像 单击图片可查看原图

工作原理 漏洞扫描服务具有Web网站扫描和主机扫描两种扫描能力。 Web网站扫描 采用网页爬虫的方式全面深入的爬取网站url，基于多种不同能力的漏洞扫描插件，模拟用户真实浏览场景，逐个深度分析网站细节，帮助用户发现网站潜在的安全隐患。同时内置了丰富的无害化扫描规则，以及扫描速率动态调整能力，可有效避免用户网站业务受到影响。 主机扫描 经过用户授权（支持账密授权）访问用户主机，漏洞扫描服务能够自动发现并检测主机操作系统、中间件等版本漏洞信息和基线配置，实时同步官网更新的漏洞库匹配漏洞特征，帮助用户及时发现主机安全隐患。 移动应用安全 对用户提供的安卓、鸿蒙应用进行安全漏洞、隐私合规检测，基于静态分析技术，结合数据流静态污点跟踪，检测权限、组件、网络、等APP基础安全漏洞，并提供详细的漏洞信息及修复建议。 二进制成分分析 对用户提供的二进制软件包/固件进行全面分析，通过解压获取包中所有待分析文件，基于组件特征识别技术、静态检测技术以及各种风险检测规则，获得相关被测对象的组件BOM清单和潜在风险清单，并输出一份专业的分析报告。

漏洞扫描服务和传统的漏洞扫描器有什么区别？ VSS和传统的漏洞扫描器的区别如表1所示。 表1 VSS和传统的漏洞扫描器的区别 对比项 传统的漏洞扫描器 VSS 使用方法 使用前需要安装客户端。 不需要安装客户端，在管理控制台创建任务（输入域名或IP地址）就可以进行漏洞扫描，节约运维成本。 更新漏洞库方式 手动更新漏洞库，更新不及时。 云端同步更新漏洞库，涵盖最新漏洞，可以及时检测用户的网站是否有最新爆发的漏洞威胁。

云容器引擎-成长地图 | 华为云 容器安全服务 容器安全服务（Container Guard Service，CGS）能够扫描镜像中的漏洞与配置信息，帮助企业解决传统安全软件无法感知容器环境的问题；同时提供容器进程白名单、文件只读保护和容器逃逸检测功能，有效防止容器运行时安全风险事件的发生。 产品介绍 立即使用 成长地图 由浅入深，带您玩转CGS 01 了解 容器安全服务（Container Guard Service，CGS）能够扫描容器镜像中的漏洞，以及提供容器安全策略设置和防逃逸功能。 产品介绍 什么是CGS 功能介绍 03 入门 购买容器安全配额后，您可以参照开启集群防护和添加策略，快速防护节点上运行的容器和镜像安全。 开启集群防护 服务授权 开启集群防护 容器防逃逸 安全配置 查看容器异常监控结果 02 购买 根据业务的实际情况，您可灵活购买容器安全配额，对云容器引擎（CCE）中创建的集群进行防护。 快速购买 购买容器安全配额 购买方式 如何续费 如何退订 按需计费 04 使用 开启集群防护和配置安全策略后，您可以根据业务需求配置镜像的策略、根据漏洞修复紧急度修复报告。您还可以查看容器是否违反了安全策略或存在逃逸行为，并根据结果调整安全策略。 常用操作 开启集群防护 关闭集群防护 查看容器异常监控结果 查看防护列表 安全配置 镜像安全 管理本地镜像漏洞 管理私有镜像仓库漏洞 管理官方镜像仓库漏洞 查看恶意文件检测详情 查看基线检查详情 管理镜像策略 管理本地镜像的策略 管理私有镜像的策略 管理官方镜像的策略 常见问题 了解更多常见问题、案例和解决方案 热门案例 什么是容器安全服务？ 什么是容器安全的服务授权？ 哪些区域可以使用容器安全服务？ CGS创建委托失败的原因？ 镜像、容器、应用的关系是什么？ 容器集群节点的Shield状态离线如何处理？ 添加策略 如何为容器安全配额续费？ 如何退订容器安全配额？ 如何查看私有镜像的恶意文件？ 更多 镜像安全 查看本地镜像漏洞 查看私有镜像仓库漏洞 查看官方镜像仓库漏洞 查看私有镜像仓库恶意文件 更多 计费类 如何为容器安全配额续费？ 如何退订容器安全配额？ 什么是容器安全服务的按需计费？ 更多 技术专题 技术、观点、课程专题呈现 runc逃逸漏洞 面对runc逃逸漏洞，华为云容器为您保驾护航 上榜全球权威报告！华为云容器安全是这样做到的 了解容器安全服务架构、功能特性。 云容器引擎新手学堂 从基础理论入手，到实际上手操作，用6节课的时间助力学习云容器引擎CCE。 智能客服 您好！我是有问必答知识渊博的的智能问答机器人，有问题欢迎随时求助哦！ 社区求助 华为云社区是华为云用户的聚集地。这里有来自容器服务的技术牛人，为您解决技术难题。

弱口令检测 弱口令/密码不归属于某一类漏洞，但其带来的安全隐患却不亚于任何一类漏洞。数据、程序都储存在系统中，若密码被破解，系统中的数据和程序将毫无安全可言。 企业主机安全服务会对使用经典弱口令的用户账号告警，主动检测出主机中使用经典弱口令的账号。您也可以将疑似被泄露的口令添加在自定义弱口令列表中，防止主机中的账户使用该弱口令，给主机带来危险。 在策略管理列表中，单击待修改的策略组名称，进入策略组界面。 在策略组列表中，单击“弱口令检测”，弹出弱口令检测“策略内容”界面。 在弹出的“策略内容”界面中，修改“策略内容”，如图4所示，参数说明如表3所示。 图4 弱口令检测 表3 弱口令检测策略内容参数说明 参数 说明 使用弱口令字典 选择是否开启使用弱口令字典。 ：开启。 ：关闭。 弱口令字典更新URL 弱口令字典更新的网页地址。 弱口令字典SHA256 弱口令字典的SHA256值。 检测日 弱口令检测日期。勾选周一到周日检测弱口令的时间。 自定义弱口令 您可以将疑似被泄露的口令添加在自定义弱口令文本框中，防止主机中的账户使用该弱口令，给主机带来危险。 MySQL弱口令检测 对登录MySQL的口令进行弱口令检测，您可以选择开启或者关闭MySQL弱口令检测。 单击“确定”，完成修改。

操作步骤 登录管理控制台。 选择“服务列表 >安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务管理控制台。 在左侧导航栏，单击移动应用安全。 在“移动应用安全”页面，单击对应任务操作列的，如图1所示。 单击“文件名”也可以进入扫描报告页面。 图1 进入应用安全扫描报告入口 进入扫描报告查看页面，如图2所示，各栏目说明如表1所示。。 图2 查看应用安全扫描报告详情 表1 详情总览说明 栏目 说明 任务概况 显示目标任务的基本信息，包括： 基本信息：查看扫描文件大小、版本、特征库版本等基本信息。 证书信息：证书的发行者、使用者、摘要算法等信息。 安全漏洞：致命、高危、中危、低危各个级别漏洞数量占比。 隐私合规：不规范隐私声明使用、不合理权限申请、违规使用用户个人信息、其他侵害用户权益行为的使用情况。 安全漏洞 安全漏洞的风险描述和修复建议。 隐私合规 不规范隐私声明使用、不合理权限申请、违规使用用户个人信息、其他侵害用户权益行为的详细数据分析。 基础组件 被扫描的软件包所有的组件信息，例如名称、描述、保护级别等。

操作步骤 登录管理控制台。 在左侧导航树中，单击，选择“安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务页面。 在“安全监测”页面，单击“新增监测任务”。 进入新增监测任务入口，如图1所示。 图1 进入新增监测任务 在“新增监测任务”界面，请根据表1进行扫描设置，设置后如图2所示。 图2 监测任务的扫描设置 表1 扫描设置参数说明 参数 参数说明 任务名称 用户自定义。 目标网址 待扫描的网站地址或IP地址。 通过下拉框选择已认证通过的域名。 扫描周期 单击下拉框选择任务扫描周期。 每天 每三天 每周 每月 开始时间 设置监测任务开始的时间。 扫描模式 三种扫描模式： 快速扫描：扫描耗时最少，能检测到的漏洞相对较少。 标准扫描：扫描耗时适中，能检测到的漏洞相对较多。 深度扫描：扫描耗时最长，能检测到最深处的漏洞。 是否将每次扫描升级为专业版规格 基础版用户开启此功能后，扫描过程中会按需扣费： 鼠标移动至了解升级后影响。 打开此功能时，扫描时会自动升级为专业版按需扣费，关闭该功能时，扫描时不会升级。 扫描项设置 VSS支持的扫描项参照表2。 ：开启 ：关闭 表2 扫描项设置 扫描项名称 说明 Web常规漏洞扫描（包括XSS、SQL注入等30多种常见漏洞） 提供了常规的30多种常见漏洞的扫描，如XSS、SQL等漏洞的扫描。默认为开启状态，不支持关闭。 端口扫描 检测主机打开的所有端口。 弱密码扫描 对网站的弱密码进行扫描检测。 CVE漏洞扫描 CVE，即公共暴露漏洞库。VSS可以快速更新漏洞规则，扫描最新漏洞。 网页内容合规检测（文字） 对网站文字的合规性进行检测。 网页内容合规检测（图片） 对网站图片的合规性进行检测。 网站挂马检测 挂马：上传木马到网站上，使得网站在运行的时候执行木马程序，被黑客控制，遭受损失。VSS可以检测网站是否存在挂马。 链接健康检测（死链、暗链、恶意外链） 对网站的链接地址进行健康性检测，避免您的网站出现死链、暗链、恶意链接。 设置完成后，单击“确认”。 如果没有设置开始扫描时间，且此时服务器没有被占用，则创建的任务可立即开始扫描，任务状态为“进行中”；否则进入等待队列中等待，任务状态为“等待中”。

版本功能差异 不同版本支持功能差别，标识符号说明如下： ×：代表不支持该功能。 √：代表支持该功能。 √+：代表支持该功能，但需额外购买功能或服务。 表1 不同版本功能差异 服务功能 功能模块 功能概述 基础版 标准版 专业版 安全概览 安全评分 集中呈现资产安全风险评分和风险等级分布，同时展示当前风险防御能力。 √ √ √ 安全监控 实时呈现展示待处理威胁告警、待修复漏洞、基线异常问题的安全监控统计数据。 √ √ √ 安全趋势 展示近7天内您的整体资产安全健康得分的趋势。 √ √ √ 威胁检测 集中呈现最近7天检测到的告警数量及类型。 √ √ √ 资源管理 资源安全状况 同步资源信息，集中呈现资源整体安全状况。 × √ √ 业务分析 专项分析 关联HSS、WAF、DBSS安全防护服务，全面展示主机、应用、数据库的安全状态和存在的安全风险。 √+ √+ √+ 威胁告警 告警列表 集中呈现威胁告警事件统计信息，导出告警事件。 √ √ √ 通过将告警忽略、标记为线下处理，标识告警事件。 × √ √ 威胁分析 根据“攻击源”的IP查询被攻击的资产信息，亦可根据“被攻击的资产”的IP查询威胁攻击来源信息。 × √ √ 告警监控 通过设置监控的威胁名单，以及设置关注的告警条件，自定义呈现关注的威胁告警。 × × √ 通知告警 通过自定义威胁告警通知，及时了解威胁风险。 × √ √ 漏洞管理 应急漏洞公告 集中呈现业界披露的热点安全漏洞，全面掌握资产漏洞风险。 √ √ √ 主机漏洞 集中呈现主机漏洞扫描结果信息，并提供相应修复建议。 × √ √ 网站漏洞 集中呈现网站漏洞扫描结果信息，并提供相应修复建议。 × × √ 基线检查 云服务基线 通过一键扫描云服务基线，分类呈现云服务配置项检测结果信息。 × √ √ 通过一键扫描云服务基线，分类呈现云服务配置项检测结果信息。支持查看检测结果详情，并提供相应修复建议。 × × √ 检测结果 全部结果 集中呈现安全产品的检测结果，可导出结果、标识结果等。 √ √ √ 安全报告 分析报告 默认自动创建一个周报和月报，仅可生成两期报告。 × × √ 通过创建报告，定向发送报告内容。可管理历史报告和报告列表。 × × √ 产品集成 安全产品集成 通过集成安全产品，接入安全产品检测结果，管理检测结果的数据来源。 √ √ √ 日志管理 日志管理 通过授权OBS存储SA日志，满足日志审计和容灾需求。 × × √

态势感知与其他安全服务之间的关系与区别？ 华为云提供多种安全防护和管理服务，其中态势感知（Situation Awareness，SA）是可视化威胁检测和分析的安全管理平台，通过从Anti-DDoS流量清洗（Anti-DDoS）、DDoS高防（Advanced Anti-DDoS，AAD）、企业主机安全（Host Security Service，HSS）、漏洞扫描服务（Vulnerability Scan Service，VSS）、Web应用防火墙（Web Application Firewall，WAF）、数据库安全服务（Database Security Service，DBSS）等安全防护服务中获取必要的安全事件记录，进行大数据挖掘和机器学习，智能AI分析并识别出攻击和入侵，帮助用户了解攻击和入侵过程，并提供相关的防护措施建议。 态势感知作为安全管理服务，依赖于安全防护服务提供威胁检测数据，进行安全威胁风险分析，呈现全局安全威胁态势，并提供防护建议，但是态势感知不实施具体安全防护动作，需与其他安全服务搭配使用。 SA与其他安全防护服务区别，详细内容如表1。 表1 SA与其他服务的区别 服务名称 服务类别 关联与区别 防护对象 功能差异 态势感知（SA） 安全管理 SA着重呈现全局安全威胁攻击态势，统筹分析多服务威胁数据和云上安全威胁，并提供防护建议。 呈现全局安全威胁攻击态势。 SA功能介绍 Anti-DDoS流量清洗（Anti-DDoS） 网络安全 Anti-DDoS集中于异常DDoS攻击流量的检测和防御，相关攻击日志、防护等数据同步给SA。 保障企业业务稳定性。 Anti-DDoS功能特性 DDoS高防（AAD） 网络安全 AAD将公网流量引流至高防IP，聚焦于大流量的DDoS攻击的检测和防御，相关攻击日志、防护等数据同步给SA。 保障企业重要业务连续性。 AAD产品介绍 企业主机安全（HSS） 主机安全 HSS着手于保障主机整体安全性，检测主机安全风险，执行防护策略，相关告警、防护等数据同步给SA。 保障主机整体安全性。 HSS功能特性 漏洞扫描服务（VSS） 应用安全 VSS通过启动扫描Web类、应用类安全漏洞，发现网站或服务器的风险，并修复漏洞。相关历史漏洞和修复记录同步给SA。 保障网站整体安全性。 VSS功能特性 Web应用防火墙（WAF） 应用安全 WAF服务对网站业务流量进行多维度检测和防护，防御常见攻击，阻断攻击进一步威胁。相关入侵日志、告警数据等同步给SA，呈现全网Web风险态势。 保障Web应用程序的可用性、安全性。 WAF功能特性 数据库安全服务（DBSS） 数据安全 DBSS着力于数据库访问行为的防护和审计，相关审计日志、告警数据等同步给SA。 保障云上数据库安全和资产安全。 DBSS产品介绍

企业版 企业版管理检测与响应结合您实际业务场景，通过云服务方式，为您提供华为云安全标准化的运维运营服务。企业版服务详细内容请参见表 企业版服务说明。 表1 企业版服务说明 服务内容 响应时间 交付件 网站安全体检：远程提供安全监测服务支持HTTP/HTTPS协议进行实时安全监测；支持网页木马、恶意篡改、坏链、对外开放服务、可用性、审计、脆弱性这七个维度对网站进行监测；支持WEB安全漏洞扫描及域名劫持进行实时安全监测； 定期推送网站安全体检报告。 8小时内响应 服务后5个工作日内提交测试报告 提供专业的《监控季度总结报告》和《年度总结报》。 主机安全体检：通过日志分析、漏洞扫描等技术手段对主机进行威胁识别；通过基线检查发现主机操作系统、中间件存在的错误配置、不符合项和弱口令等风险。 8小时内响应 5个工作日内评估主机安全 提供专业的《主机安全评估报告》。 安全加固：对主机服务器、中间件进行漏洞扫描、基线配置加固；分析操作系统及应用面临的安全威胁，分析操作系统补丁和应用系统组件版本；提供相应的整改方案，并在您的许可下完成相关漏洞的修复和补丁组件的加固工作。 8小时内响应 单次服务10-20个系统后10个工作日内提交测试报告。 提供专业的《安全加固交付报告》。 安全监测：通过远程查找及处置主机系统内的恶意程序，包括病毒、木马、蠕虫等；通过远程查找及处置Web系统内的可疑文件，包括Webshell、黑客工具和暗链等；提出业务快速恢复建议，协助您快速恢复业务。 工作日内8小时响应。 5个工作日内评估项目总体人工天与预计周期。 提供专业的《安全监测报告》。 应急响应：业务系统出现安全问题的情况下，提供24小时安全应急响应服务，由安全团队协助处理中毒、中木马等应急事宜，每次处理完成后华为侧提供应急响应报告，分析问题根因，并提供改进建议。 工作日1小时内响应，非工作日内4小时响应。 单次服务10台设备以内后3个工作日内以提交报告时间为准。 提供专业的《应急响应报告》。 安全配置服务：根据客户业务需求，如主机IP、主机系统版本、域名、流量、加密、数据库防护等级等信息。输出安全解决方案并制订安全防护体系包括安全服务规格、数量、策略。 工作日1小时内响应，非工作日内4小时响应。 提供专业的《安全配置方案》。 安全防护服务开通与部署：安全服务交付，如主机安全、WAF、DDoS高防、堡垒机、漏洞扫描等服务的部署。云安全设置，提供云安全设置服务，包括安全组、防火墙策略等的设置操作 工作日1小时内响应，非工作日内4小时响应。 提供专业的《安全服务交付报告》。 定期策略更新与维护：从主机安全、应用安全、网络安全、数据安全、安全管理等方面定期完成漏洞检测、基线扫描、策略优化、巡检监控等操作，并输出整改方案报告。 工作日8小时内响应。 7个工作日内评估项目总体人工天与预计周期。 提供专业的《安全运维服务周期性报告》。 安全漏洞预警：根据最新的安全漏洞、病毒木马、黑客技术和安全动态信息，结合客户实际的操作系统、中间件、应用和网络情况等，定期将相关安全信息如安全漏洞、病毒木马资讯、安全隐患/入侵预警和安全事件动态等内容，以电子邮件方式进行通报，并提出合理建议和解决方案等。 固定发送安全资讯周报 工作日1小时内响应，非工作日内4小时响应。 不定时发送漏洞预警 提供专业的《安全周报和漏洞预警》。 主动安全预警：主机存在被入侵并对外攻击问题，主动邮件或电话知会客户排查；针对主动发现的影响客户使用的安全问题，进行主动通知工作。 工作日1小时内响应，非工作日内4小时响应。 提供专业的《配置核查报告》、《安全策略优化报告》、《弱口令检查报告》。 安全设备维护：对各类安全设备开展基础维护，包括设备配置定期备份、设备特征库升级、设备版本升级、设备切换、设备配置调整等。 每周固定发送安全巡检周报，不定时发送设备维护报告 提供专业的《安全设备维护报告》。 漏洞管理：通过华为云主机安全、漏洞扫描等安全服务，对实现云上业务系统的web应用、操作系统、中间件等漏洞的统一管理。 工作日1小时内响应，非工作日内4小时响应。 单次服务结束后3个工作日内以提交报告时间为准。 提供专业《漏洞扫描报告》。

企业版 企业版管理检测与响应结合您实际业务场景，通过云服务方式，提供华为云安全标准化的运维运营服务。企业版服务详细内容请参见表1。 表1 企业版服务说明 服务内容 响应时间 交付件 网站安全体检：远程提供安全监测服务支持HTTP/HTTPS协议进行实时安全监测；支持网页木马、恶意篡改、坏链、对外开放服务、可用性、审计、脆弱性这七个维度对网站进行监测；支持WEB安全漏洞扫描及域名劫持进行实时安全监测； 定期推送网站安全体检报告。 8小时内响应 服务后5个工作日内提交测试报告 提供专业的《监控季度总结报告》和《年度总结报》。 主机安全体检：通过日志分析、漏洞扫描等技术手段对主机进行威胁识别；通过基线检查发现主机操作系统、中间件存在的错误配置、不符合项和弱口令等风险。 8小时内响应 5个工作日内评估主机安全 提供专业的《主机安全评估报告》。 安全加固：对主机服务器、中间件进行漏洞扫描、基线配置加固；分析操作系统及应用面临的安全威胁，分析操作系统补丁和应用系统组件版本；提供相应的整改方案，并在您的许可下完成相关漏洞的修复和补丁组件的加固工作。 8小时内响应 单次服务10-20个系统后10个工作日内提交测试报告。 提供专业的《安全加固交付报告》。 安全监测：通过远程查找及处置主机系统内的恶意程序，包括病毒、木马、蠕虫等；通过远程查找及处置Web系统内的可疑文件，包括Webshell、黑客工具和暗链等；提出业务快速恢复建议，协助您快速恢复业务。 工作日内8小时响应。 5个工作日内评估项目总体人工天与预计周期。 提供专业的《安全监测报告》。 应急响应：业务系统出现安全问题的情况下，提供24小时安全应急响应服务，由安全团队协助处理中毒、中木马等应急事宜，每次处理完成后华为侧提供应急响应报告，分析问题根因，并提供改进建议。 工作日1小时内响应，非工作日内4小时响应。 单次服务10台设备以内后3个工作日内以提交报告时间为准。 提供专业的《应急响应报告》。 安全配置服务：根据客户业务需求，如主机IP、主机系统版本、域名、流量、加密、数据库防护等级等信息。输出安全解决方案并制订安全防护体系包括安全服务规格、数量、策略。 工作日1小时内响应，非工作日内4小时响应。 提供专业的《安全配置方案》。 安全防护服务开通与部署：安全服务交付，如主机安全、WAF、DDoS高防、堡垒机、漏洞扫描等服务的部署。云安全设置，提供云安全设置服务，包括安全组、防火墙策略等的设置操作 工作日1小时内响应，非工作日内4小时响应。 提供专业的《安全服务交付报告》。 定期策略更新与维护：从主机安全、应用安全、网络安全、数据安全、安全管理等方面定期完成漏洞检测、基线扫描、策略优化、巡检监控等操作，并输出整改方案报告 工作日8小时内响应。 7个工作日内评估项目总体人工天与预计周期。 提供专业的《安全运维服务周期性报告》。 安全漏洞预警：根据最新的安全漏洞、病毒木马、黑客技术和安全动态信息，结合客户实际的操作系统、中间件、应用和网络情况等，定期将相关安全信息如安全漏洞、病毒木马资讯、安全隐患/入侵预警和安全事件动态等内容，以电子邮件方式进行通报，并提出合理建议和解决方案等。 固定发送安全资讯周报 工作日1小时内响应，非工作日内4小时响应。 不定时发送漏洞预警 提供专业的《安全周报和漏洞预警》。 主动安全预警：主机存在被入侵并对外攻击问题，主动邮件或电话知会客户排查；针对主动发现的影响客户使用的安全问题，进行主动通知工作 工作日1小时内响应，非工作日内4小时响应。 提供专业的《配置核查报告》、《安全策略优化报告》、《弱口令检查报告》。 安全设备维护：对各类安全设备开展基础维护，包括设备配置定期备份、设备特征库升级、设备版本升级、设备切换、设备配置调整等。 每周固定发送安全巡检周报，不定时发送设备维护报告 提供专业的《安全设备维护报告》。 漏洞管理：通过华为云主机安全、漏洞扫描等安全服务，对实现云上业务系统的web应用、操作系统、中间件等漏洞的统一管理 工作日1小时内响应，非工作日内4小时响应。 单次服务结束后3个工作日内以提交报告时间为准。 提供专业《漏洞扫描报告》。

版本功能差异 不同版本支持功能差别，标识符号说明如下： ×：代表不支持该功能。 √：代表支持该功能。 √+：代表支持该功能，但需额外购买功能或服务。 表1 不同版本功能差异 服务功能 功能模块 功能概述 基础版 标准版 专业版 安全概览 安全评分 集中呈现资产安全风险评分和风险等级分布，同时展示当前风险防御能力。 √ √ √ 安全监控 实时呈现展示待处理威胁告警、待修复漏洞、基线异常问题的安全监控统计数据。 √ √ √ 安全趋势 展示近7天内您的整体资产安全健康得分的趋势。 √ √ √ 威胁检测 集中呈现最近7天检测到的告警数量及类型。 √ √ √ 资源管理 资源安全状况 同步资源信息，集中呈现资源整体安全状况。 × √ √ 业务分析 专项分析 关联HSS、WAF、DBSS安全防护服务，全面展示主机、应用、数据库的安全状态和存在的安全风险。 √+ √+ √+ 综合大屏 综合态势感知 大屏集中展示云上资产综合安全态势，动态呈现资产风险状况。 × × √+ 主机安全态势 大屏集中呈现华为云主机安全态势，动态呈现主机安全状况。 × × √+ 威胁告警 告警列表 集中呈现威胁告警事件统计信息，导出告警事件。 √ √ √ 通过将告警忽略、标记为线下处理，标识告警事件。 × √ √ 威胁分析 根据“攻击源”的IP查询被攻击的资产信息，亦可根据“被攻击的资产”的IP查询威胁攻击来源信息。 × √ √ 告警监控 通过设置监控的威胁名单，以及设置关注的告警条件，自定义呈现关注的威胁告警。 × × √ 通知告警 通过自定义威胁告警通知，及时了解威胁风险。 × √ √ 漏洞管理 应急漏洞公告 集中呈现业界披露的热点安全漏洞，全面掌握资产漏洞风险。 √ √ √ 主机漏洞 集中呈现主机漏洞扫描结果信息，并提供相应修复建议。 × √ √ 网站漏洞 集中呈现网站漏洞扫描结果信息，并提供相应修复建议。 × × √ 基线检查 云服务基线 通过一键扫描云服务基线，分类呈现云服务配置项检测结果信息。 × √ √ 通过一键扫描云服务基线，分类呈现云服务配置项检测结果信息。支持查看检测结果详情，并提供相应修复建议。 × × √ 检测结果 全部结果 集中呈现安全产品的检测结果，可导出结果、标识结果等。 √ √ √ 安全报告 分析报告 默认自动创建一个周报和月报，仅可生成两期报告。 × × √ 通过创建报告，定向发送报告内容。可管理历史报告和报告列表。 × × √ 产品集成 安全产品集成 通过集成安全产品，接入安全产品检测结果，管理检测结果的数据来源。 √ √ √ 日志管理 日志管理 通过授权OBS存储SA日志，满足日志审计和容灾需求。 × × √

资产详情查看 前提条件 成功登录华为乾坤云服务控制台，并至少进行过一次资产录入。 背景信息 资产发现的来源有以下几种方式： 用户在控制台手工录入资产信息。 用户在控制台利用Excel模板批量导入资产信息。 依赖于漏洞扫描服务的主动发现功能，基于客户提供的IP网段，主动发现网段内的活跃资产。经客户确认后，支持一键录入，提高梳理效率。 依赖于终端防护与响应服务的Agent主动上报功能，已经安装Agent的终端，Agent经用户授权后将资产信息提供给云端。 资产详情页面仅提供查看资产信息的基础功能，同时基于用户已购买的华为乾坤云服务类型，集成资产体检、漏洞扫描、病毒查杀等高级功能，用户可以根据实际需要对资产进行处置。 用户在查找资产时，支持按资产名称、重要性等级、资产类型、资产来源、资产IP或网站、Agent状态等条件进行筛选，以便快速定位。 操作步骤 登录华为乾坤云服务控制台，选择“资源 > 资产管理”。 选择任一资产，单击资产名称进入资产详情界面。 查看资产详情，并对资产进行处置操作。 图1 资产详情界面 表1 资产详情界面说明 模块序号 模块名称 模块说明 1 更多信息 展示资产的基本信息、高级配置、和历史关联IP。 如果该资产已开通终端防护与响应服务，还将展示Agent信息，包含Agent版本、AV病毒引擎版本、AV病毒特征库等属性。 2 运行进程（仅当已开通终端防护与响应服务时呈现） 展示终端运行进程信息。 3 隔离区（仅当已开通终端防护与响应服务时呈现） 对已发现的威胁事件进行处置，运行中的进程将会被立即终止，其进程关联启动文件也会被立即移至该终端的隔离区中。展示隔离文件列表，并提供恢复功能。 4 资产相关服务开通状况 已开通的服务显示“已开启”，未开通的服务显示“推荐”标签。 5 处置记录 展示终端防护与响应服务Agent指令处理记录。 6 资产评估 基于算法，结合资产的漏洞扫描结果、资产面临的威胁事件、威胁情报等信息，整体评估出资产的风险值，帮助用户全面了解资产存在的风险。 资产风险值是量化数据，由边界防护威胁分、漏洞扫描得分、终端防护威胁分加权计算所得。 边界防护威胁分：从边界防护与响应服务实时获取。 漏洞扫描得分：根据扫描出的漏洞数量、漏洞级别而确定。 终端防护威胁分：从终端防护与响应服务实时获取。 说明： 如果用户只开通了边界防护与响应服务、漏洞扫描服务和终端防护与响应服务中的部分服务，未开通服务的资产评估得分将被算法剔除，不计入资产风险值的加权计算。 7 漏洞扫描（仅当已开通漏洞扫描服务时用户可操作） 用户可对资产执行漏洞扫描。 具体操作请参见《漏洞扫描服务用户指南-漏洞扫描》。

漏洞检测与修复最佳实践 Git用户凭证泄露漏洞（CVE-2020-5260） SaltStack远程命令执行漏洞（CVE-2020-11651/CVE-2020-11652） OpenSSL高危漏洞（CVE-2020-1967） Adobe Font Manager库远程代码执行漏洞（CVE-2020-1020/CVE-2020-0938） Windows内核特权提升漏洞（CVE-2020-1027） Windows CryptoAPI欺骗漏洞（CVE-2020-0601）

不同版本支持功能差别，标识符号说明如下： ×：代表不支持该功能。 √：代表支持该功能。 √+：代表支持该功能，但需额外购买功能或服务。 表1 不同版本功能差异 服务功能 功能模块 功能概述 基础版 标准版 专业版 安全概览 安全评分 集中呈现资产安全风险评分和风险等级分布，同时展示当前风险防御能力。 √ √ √ 安全监控 实时呈现展示待处理威胁告警、待修复漏洞、基线异常问题的安全监控统计数据。 √ √ √ 安全趋势 展示近7天内您的整体资产安全健康得分的趋势。 √ √ √ 威胁检测 集中呈现最近7天检测到的告警数量及类型。 √ √ √ 资源管理 资源安全状况 同步资源信息，集中呈现资源整体安全状况。 × √ √ 业务分析 专项分析 关联HSS、WAF、DBSS安全防护服务，全面展示主机、应用、数据库的安全状态和存在的安全风险。 √+ √+ √+ 综合大屏 综合态势感知 大屏集中展示云上资产综合安全态势，动态呈现资产风险状况。 × × √+ 主机安全态势 大屏集中呈现华为云主机安全态势，动态呈现主机安全状况。 × × √+ 资产安全 主机资产 同步主机资产信息，集中呈现主机整体安全状况。 × √ √ 网站资产 通过添加和扫描网站资产，呈现网站资产的整体安全状况。 × √ √ 威胁告警 告警列表 集中呈现威胁告警事件统计信息，导出告警事件。 √ √ √ 通过将告警忽略、标记为线下处理，标识告警事件。 × √ √ 威胁分析 根据“攻击源”的IP查询被攻击的资产信息，亦可根据“被攻击的资产”的IP查询威胁攻击来源信息。 × √ √ 告警监控 通过设置监控的威胁名单，以及设置关注的告警条件，自定义呈现关注的威胁告警。 × × √ 通知告警 通过自定义威胁告警通知，及时了解威胁风险。 × √ √ 漏洞管理 应急漏洞公告 集中呈现业界披露的热点安全漏洞，全面掌握资产漏洞风险。 √ √ √ 主机漏洞 集中呈现主机漏洞扫描结果信息，并提供相应修复建议。 × √ √ 网站漏洞 集中呈现网站漏洞扫描结果信息，并提供相应修复建议。 × × √ 基线检查 云服务基线 通过一键扫描云服务基线，分类呈现云服务配置项检测结果信息。 × √ √ 通过一键扫描云服务基线，分类呈现云服务配置项检测结果信息。支持查看检测结果详情，并提供相应修复建议。 × × √ 检测结果 全部结果 集中呈现安全产品的检测结果，可导出结果、标识结果等。 √ √ √ 安全报告 分析报告 默认自动创建一个周报和月报，仅可生成两期报告。 √ × √ 通过创建报告，定向发送报告内容。可管理历史报告和报告列表。 × × √ 产品集成 安全产品集成 通过集成安全产品，接入安全产品检测结果，管理检测结果的数据来源。 × √ √ 日志管理 日志管理 通过授权OBS存储SA日志，满足日志审计和容灾需求。 × × √

背景介绍 态势感知通过集成华为云安全公告、漏洞扫描数据，以及实施扫描任务，集中呈现云上资产漏洞风险，以及实时通报突发安全漏洞预警，帮助用户及时发现资产安全短板，修复危险漏洞。 态势感知支持以下类型的漏洞： 应急漏洞公告 接入华为云安全公告数据信息，呈现业界近期广泛披露的热点安全漏洞。 主机漏洞 包括Linux软件漏洞、Windows系统漏洞、Web-CMS漏洞。 网站漏洞 包括Web常规漏洞、端口漏洞、弱密码、CVE漏洞、网页内容合规（图片、文字）、网站挂马、链接健康等共8大类漏洞的检测。

操作步骤 登录管理控制台。 在左侧导航栏单击“安全云服务 > 移动应用安全”，进入“移动应用安全”页面。 在“移动应用安全”页面，单击对应任务的文件名，即可进入扫描报告页面，如图1所示。 图1 进入应用安全扫描报告入口 在扫描报告页面，可以查看扫描详情，包括：任务概括、安全漏洞、隐私合规和基础组件，如图2所示，各栏目说明如表1所示。 图2 查看应用安全扫描报告详情 表1 扫描详情说明 栏目 说明 任务概况 显示目标任务的基本信息，包括： 基本信息：查看扫描文件大小、版本、特征库版本等基本信息。 证书信息：证书的发行者、使用者、摘要算法等信息。 安全漏洞：致命、高危、中危、低危各个级别漏洞数量占比。 隐私合规：不规范隐私声明使用、不合理权限申请、违规使用用户个人信息、其他侵害用户权益行为的使用情况。 安全漏洞 安全漏洞的风险描述和修复建议。 隐私合规 不规范隐私声明使用、不合理权限申请、违规使用用户个人信息、其他侵害用户权益行为的详细数据分析。 基础组件 被扫描的软件包所有的组件信息，例如名称、描述、保护级别等。

背景介绍 态势感知通过集成华为云安全公告、漏洞扫描数据，以及实施扫描任务，集中呈现云上资产漏洞风险，以及实时通报突发安全漏洞预警，帮助用户及时发现资产安全短板，修复危险漏洞。 态势感知支持以下类型的漏洞： 应急漏洞公告 接入华为云安全公告数据信息，呈现业界近期广泛披露的热点安全漏洞。 主机漏洞 包括Linux软件漏洞、Windows系统漏洞、Web-CMS漏洞。 网站漏洞 包括Web常规漏洞、端口漏洞、弱密码、CVE漏洞、网页内容合规（图片、文字）、网站挂马、链接健康等共8大类漏洞的检测。

漏洞管理 态势感知通过集成华为云安全公告、漏洞扫描数据，以及实施扫描任务，集中呈现云上资产漏洞风险，以及实时通报突发安全漏洞预警，帮助用户及时发现资产安全短板，修复危险漏洞。 态势感知支持以下类型的漏洞： 应急漏洞公告 态势感知通过采集华为云安全公告讯息，及时呈现业界近期广泛披露的安全漏洞，并支持一键获取安全漏洞详情、影响范围和处置建议等信息，提供对资产风险的消减建议。应急漏洞功能支持以下特性： 支持追溯已披露的安全漏洞至2014年4月。 支持每5分钟抓取一次安全公告讯息，更新应急漏洞公告。 支持按披露时间排序应急漏洞公告列表。 支持按关键字查找应急漏洞公告。 支持导出应急漏洞公告列表。 主机漏洞 态势感知通过授权主机，并一键扫描主机漏洞，呈现主机漏洞扫描检测信息，支持查看漏洞详情，并提供相应漏洞修复建议。 网站漏洞 态势感知通过接入VSS漏洞扫描结果数据，集中呈现网站存在的漏洞，提供详细的漏洞分析结果，并针对不同类型的漏洞提供专业可靠的修复建议。包括Web常规漏洞、端口漏洞、弱密码、CVE漏洞、网页内容合规（图片、文字）、网站挂马、链接健康等共8大类漏洞的检测。

查看漏洞列表 登录管理控制台。 进入查看本地镜像漏洞入口，如图1所示。漏洞列表各参数表1说明如所示。 图1 进入查看本地镜像漏洞入口 漏洞占比：按“漏洞修复紧急度”进行统计的漏洞数量及占比。 TOP5风险的镜像：漏洞数TOP5的镜像及各紧急度的漏洞数量。 单击某风险镜像，即可查看该风险镜像的漏洞概况，包括漏洞名称、修复紧急度、处理状态、软件信息以及根据漏洞修复紧急度修复镜像或忽略漏洞。 表1 参数说明 参数名称 说明 操作 漏洞名称 - 单击，查看漏洞详情，包括漏洞ID、漏洞分值、漏洞披露时间和漏洞描述。 单击漏洞名称，查看该漏洞的基本信息以及受该漏洞影响的镜像列表，具体请参见3。 修复紧急度 提示您是否需要立刻处理该漏洞。 - 当前未处理镜像数（个） 显示受该漏洞影响的镜像是否全部处理。 - 历史受影响镜像数（个） 显示受该漏洞影响的镜像个数。 - 解决方案 针对该漏洞给出的解决方案。 单击“解决方案”列的链接，查看修复意见。 单击漏洞名称，查看该漏洞的基本信息及受该漏洞影响的镜像列表，如图2和图3所示。 图2 漏洞的基本信息（本地） 图3 受漏洞影响的镜像列表

方案架构 该解决方案支持一键式部署云防火墙CFW、企业主机安全HSS、web应用防火墙 WAF、云堡垒机CBH、数据库安全审计DBSS等服务，帮助用户快速在华为云上搭建等保三级合规安全解决方案，轻松满足等保三级合规要求。 方案部署架构如下图所示： 图1 方案架构图 该解决方案会部署如下资源： Web应用防火墙WAF：用来对业务流量进行多维度检测和防护。 企业主机安全HSS：用来提升主机整体安全性，提供资产管理、漏洞管理、入侵检测、基线检查等功能，帮助企业降低主机安全风险。 云证书管理服务CCM：实现网站的可信身份认证与安全数据传输。 态势感知SA：用来对攻击事件、威胁告警和攻击源头进行分类统计和综合分析，为用户呈现出全局安全攻击态势。 威胁检测服务MTD：用来识别云服务日志中的潜在威胁，并对检测出的威胁告警进行统计。 云防火墙CFW：实现对云上互联网边界流量实时入侵检测与防御。 云堡垒机CBH：集中管控运维管理人员实现操作可审计、可管控、可合规且高效运维。 数据库安全审计DBSS：对数据库的行为进行操作审计，及时发现降低数据库泄露风险。 漏洞扫描服务VSS：及时发现业务系统存在的安全漏洞，发现问题及时修复降低风险。 此外，您可以通过使用云监控服务来监测弹性云服务器运行状态；通过购买云日志服务，对日志数据进行备份；开启云审计功能对云平台操作进行业务审计。

名词解释 基本概念、云服务简介、专有名词解释： 认证测试中心CTC：是结合华为30年安全经验积累，并结合企业与机构的安全合规与防护需求，帮助企业与机构满足国家及行业法律法规要求，同时实现对安全风险与安全事件的有效监控，并及时采取有效措施持续降低安全风险，消除安全事件带来的损失。 云防火墙服务CFW：是新一代的云原生防火墙，提供云上互联网边界和VPC边界的防护，包括：实时入侵检测与防御，全局统一访问控制，全流量分析可视化，日志审计与溯源分析等，同时支持按需弹性扩容，是用户业务上云的网络安全防护基础服务。 企业主机安全HSS：是服务器贴身安全管家，通过资产管理、漏洞管理、基线检查、入侵检测、程序运行认证、文件完整性校验，安全运营、网页防篡改等功能，帮助企业更方便地管理主机安全风险，实时发现黑客入侵行为，以及满足等保合规要求。 Web应用防火墙WAF：对网站业务流量进行多维度检测和防护，结合深度机器学习智能识别恶意请求特征和防御未知威胁，全面避免网站被黑客恶意攻击和入侵。 云证书管理服务CCM：是华为联合全球知名数字证书服务机构，为您提供一站式证书的全生命周期管理服务，实现网站的可信身份认证与安全数据传输。 态势感知SA：为用户提供统一的威胁检测和风险处置平台。帮助用户检测云上资产遭受到的各种典型安全风险，还原攻击历史，感知攻击现状，预测攻击态势，为用户提供强大的事前、事中、事后安全管理能力。 威胁检测服务MTD：威胁检测服务持续发现恶意活动和未经授权的行为，从而保护账户和工作负载。该服务通过集成AI智能引擎、威胁黑白名单、规则基线等检测模型，识别各类云服务日志中的潜在威胁并输出分析结果，从而提升用户告警、事件检测准确性，提升运维运营效率，同时满足等保合规。 漏洞扫描服务VSS：集Web漏洞扫描、操作系统漏洞扫描、资产及内容合规检测、安全配置基线检查、弱密码检测、开源合规及漏洞检查、移动应用安全检查七大核心功能为一体，自动发现网站或服务器在网络中的安全风险，为云上业务提供多维度的安全检测服务，满足合规要求，让安全弱点无所遁形。 数据库安全服务DBSS：是一个智能的数据库安全服务，基于机器学习机制和大数据分析技术，提供数据库审计，SQL注入攻击检测，风险操作识别等功能，保障云上数据库安全。 云堡垒机CBH：提供主机管理、权限控制、运维审计、安全合规等功能，支持Chrome等主流浏览器随时随地远程运维，保障运维安全高效。

操作步骤 登录管理控制台。 在左侧导航树中，单击，选择“安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务页面。 在“资产列表 > 网站”页签，单击对应的网站信息“操作”列的“扫描”。 进入创建扫描任务入口，如图1所示。 图1 进入创建扫描任务入口 在“创建任务”界面，请根据表1进行扫描设置，设置后如图2所示。 图2 创建扫描任务 表1 扫描设置参数说明 参数 参数说明 任务名称 用户自定义。 目标网址 待扫描的网站地址或IP地址。 通过下拉框选择已认证通过的域名。 须知： VSS是通过公网访问域名/IP地址进行扫描的，请确保该目标域名/IP地址能通过公网正常访问。 开始时间 可选参数，设置开始扫描的时间，不设置默认立即扫描。 扫描模式 三种扫描模式： 快速扫描：扫描耗时最少，能检测到的漏洞相对较少。 标准扫描：扫描耗时适中，能检测到的漏洞相对较多。 深度扫描：扫描耗时最长，能检测到最深处的漏洞。 有些接口只能在登录后才能访问，建议用户配置对应接口的用户名和密码，VSS才能进行深度扫描。 说明： “快速扫描”：扫描的网站URL数量有限且VSS会开启耗时较短的扫描插件进行扫描。 “深度扫描”：扫描的网站URL数量不限且VSS会开启所有的扫描插件进行耗时较长的遍历扫描。 “标准扫描”：扫描的网站URL数量和耗时都介于“快速扫描”和“深度扫描”两者之间。 手动探索文件 不启用自动探索，仅扫描探索文件中指定的URL。 是否扫描登录URL 默认不扫描登录URL，以防触发网站登录的防御机制而影响正常业务（如登录失败次数过多后禁止登录），注意开启扫描登录URL前评估业务影响。 是否将本次扫描升级为专业版规格 基础版用户开启此功能后，扫描过程中会按需扣费： 鼠标移动至了解升级后影响。 打开此功能时，扫描时会自动升级为专业版按需扣费，关闭该功能时，扫描时不会升级。 扫描项设置 VSS支持的扫描功能参照表2。 ：开启。 ：关闭。 表2 扫描项设置 扫描项名称 说明 Web常规漏洞扫描（包括XSS、SQL注入等30多种常见漏洞） 提供了常规的30多种常见漏洞的扫描，如XSS、SQL等漏洞的扫描。默认为开启状态，不支持关闭。 端口扫描 检测主机打开的所有端口。 弱密码扫描 对网站的弱密码进行扫描检测。 CVE漏洞扫描 CVE，即公共暴露漏洞库。VSS可以快速更新漏洞规则，扫描最新漏洞。 网页内容合规检测（文字） 对网站文字的合规性进行检测。 网页内容合规检测（图片） 对网站图片的合规性进行检测。 网站挂马检测 挂马：上传木马到网站上，使得网站在运行的时候执行木马程序，被黑客控制，遭受损失。VSS可以检测网站是否存在挂马。 链接健康检测（死链、暗链、恶意外链） 对网站的链接地址进行健康性检测，避免您的网站出现死链、暗链、恶意链接。 如果您当前的服务版本已经为专业版，不会提示升级。 基础版支持常见漏洞检测、端口扫描，每日扫描任务上限5个，单个扫描任务时长限制2小时。 专业版支持常见漏洞检测、端口扫描、弱密码扫描、短信通知，每日扫描任务上限多达60次。 高级版支持常见漏洞检测、端口扫描、弱密码扫描、短信通知，每日扫描任务上限多达60次。 企业版支持常见网站漏洞扫描、基线合规检测、弱密码、端口检测、紧急漏洞扫描、周期性检测，每日扫描任务上限多达60次。 设置完成后，单击“开始扫描”。 如果没有设置开始扫描时间，且此时服务器没有被占用，则创建的任务可立即开始扫描，任务状态为“进行中”；否则进入等待队列中等待，任务状态为“等待中”。

扫描任务的得分是如何计算的？ 扫描任务被创建后，初始得分是一百分，任务扫描完成后，根据扫描出的漏洞级别会扣除相应的分数。 网站扫描： 高危漏洞，一个扣10分，最多扣60分（6个）。 中危漏洞， 一个扣3分，最多扣45分（15个）。 低危漏洞， 一个扣1分，最多扣30分（30个）。 无漏洞或提示漏洞不扣分。 扫描分数最低为10分。 得分越高，表示漏洞数量越少，网站越安全。 如果得分偏低，请根据实际情况对漏洞进行忽略标记，或根据修复建议修复漏洞，或使用Web应用防火墙服务为您的网站保驾护航。 漏洞修复后，建议重新扫描一次查看修复效果。

漏洞管理 以漏洞视角呈现每个漏洞的详细信息和关联资产。 详细信息包括漏洞名称、漏洞编号、漏洞优先级评级VPR和修复建议等。 漏洞优先级评级VPR（Vulnerability Priority Rating）用来表示漏洞修复优先级，是漏洞扫描服务基于漏洞利用代码成熟度、漏洞公布时长、产品的覆盖率、CVSS评分等多维度数据，通过机器学习算法计算的漏洞风险评分。分数越高，说明越需要优先修复。 关联资产能够帮助客户快速定位到风险资产，使漏洞修复更有针对性。

相关操作 有关网站扫描得分的计算方法参考如下： 扫描任务被创建后，初始得分是一百分，任务扫描完成后，根据扫描出的漏洞级别会扣除相应的分数。 网站扫描：高危减10分，中危减5分，低危减3分，无漏洞则不扣分。 得分越高，表示漏洞数量越少，网站越安全。 如果得分偏低，请根据实际情况对漏洞进行忽略标记，或根据修复建议修复漏洞，或使用Web应用防火墙服务为您的网站保驾护航。 漏洞修复后，建议重新扫描一次查看修复效果。 有关修复漏洞的详细介绍，请参见漏洞扫描服务能修复扫描出来的漏洞吗？

操作步骤 登录华为乾坤云服务控制台，选择“ > 我的服务 > 漏洞扫描服务”。 查看漏洞扫描服务首页。 图1 漏洞扫描服务首页 表1 漏洞扫描服务首页介绍 板块 模块 说明 服务价值呈现 漏洞扫描服务为您守护资产X天 展示已使用服务的天数、已执行漏洞扫描的次数、累计发现资产的个数、总计发现漏洞的个数和关联资产、待处置漏洞的个数和等级、已发现漏洞的修复优先级和处置状态。 漏洞公告 展示最新漏洞公告，单击单条公告可以查看详细介绍。 说明： 如果您同时购买威胁信息服务，可单击“查看更多”跳转到威胁信息服务的“安全研究”界面，查看最新最全的安全漏洞通告。 TOP5修复漏洞 根据VPT（Vulnerability prioritization technology，漏洞优先级技术）评分，评分越高，漏洞的修复优先级越高。展示评分TOP5的漏洞。 漏洞趋势统计 展示近15天/近一月，聚合后待处置的超危、高危、中危、低危漏洞总数的变化趋势。 TOP5漏洞类型 展示数量TOP5的漏洞类型。 小坤智能助手 有X个问题待处理 按站点维度，提供查看该站点下待评估资产和高风险资产的快捷入口。 提供套餐续费和套餐叠加的快捷入口。 小坤已为您处理 云端对异常事件自动处理，保障用户业务正常运行。 展示近24小时此类事件的数量和概要。

版本功能差异说明 基础版只支持部分功能的检测能力，不支持防护能力，不支持等保认证。 若需对云服务器进行防护或做等保认证，您需购买企业版及以上（包含企业版、旗舰版、网页防篡改版）版本。 表2 版本功能说明 服务功能 功能项 功能概述 基础版 （按需） 基础版 （包年/包月） 企业版 旗舰版 网页防篡改版 资产管理 账号信息管理 检测当前系统的账号信息，帮助用户进行账户安全性管理。 × × √ √ √ 开放端口检测 检测当前系统开放的端口，帮助用户识别出其中的危险端口和未知端口。 × × √ √ √ 进程信息管理 监测运行中的进程并进行收集及呈现，便于用户自主清点合法进程，发现异常进程。 × × √ √ √ Web目录管理 统计当前系统中Web服务使用的目录，帮助用户进行Web资源管理。 × × √ √ √ 软件信息管理 监测并记录当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 × × √ √ √ 自启动 对系统中的自启动项进行检测，及时统计自启动项的变更情况。 × × × √ √ 漏洞管理 Windows漏洞管理 通过与漏洞库进行比对，检测并管理Windows系统和软件存在的漏洞，对当前系统中存在的紧急漏洞进行提醒。 × × √ √ √ Linux漏洞管理 通过与漏洞库进行比对，检测并管理Linux系统和软件存在的漏洞，对当前系统中存在的紧急漏洞进行提醒。 × × √ √ √ Web-CMS漏洞管理 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，提升Web服务安全性。 × × √ √ √ 基线检查 口令复杂度策略检测 检测系统中的口令复杂度策略，给出修改建议，帮助用户提升口令安全性。 √ √ √ √ √ 经典弱口令检测 检测系统账户口令是否属于常用的弱口令，针对弱口令提示用户修改。 √ √ √ √ √ 配置检测 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 × × √ √ √ 入侵检测 账户暴力破解 检测账户遭受的口令破解攻击，封锁攻击源，防止云主机因账户破解被入侵。 √ √ √ √ √ 账户异常登录 检测“异地登录”和“账户暴力破解成功”等异常登录。 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 异地登录检测信息包括“登录源IP”、“登录时间”，攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。 若在非常用登录地登录，则触发安全事件告警。 若账户暴力破解成功，登录到云主机，则触发安全事件告警。 √ √ √ √ √ 恶意程序（云查杀） 对运行中的程序进行检测，识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 × × √ √ √ 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 × × √ √ √ 关键文件变更 对于系统关键文件进行监控，文件被修改时告警，提醒用户关键文件存在被篡改的可能。 × × √ √ √ 网站后门（Webshell） 检测云服务器上Web目录中的文件，判断是否为WebShell木马文件，支持检测常见的PHP、JSP等后门文件类型。 网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。您可以根据网站后门信息忽略可信文件。 您可以使用手动检测功能检测主机中的网站后门。 × × √ √ √ 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 × × × √ √ 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。 × × × √ √ 高危命令执行 实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 × × × √ √ 自启动检测 检测并列举当前系统中的自启动服务、定时任务、预加载动态库、Run注册表键和开机启动文件夹，帮助用户及时发现非法自启动。 × × × √ √ 风险账户 检测主机系统中的账号，列出当前系统中的可疑账号信息，帮助用户及时发现非法账号。 × × √ √ √ 提权操作 检测当前系统的“进程提权”和“文件提权”操作。 检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 × × × √ √ Rootkit程序 检测Rootkit安装的文件和目录，帮助用户及时发现可疑的Rootkit安装。 支持使用文件特征码检测rootkit。 支持对隐藏文件、端口、进程的检测。 × × × √ √ 高级防御 程序运行认证 支持将重点防御的主机加入到白名单策略中，通过检测白名单中指定的应用程序区分“可信”、“不可信”和“未知”，防止未经白名单授权的程序运行。可避免您的主机受到不可信或恶意程序的侵害，还能防止不必要的资源浪费、保证您的资源被合理利用。 × × × √ √ 文件完整性管理 检查Linux系统、应用程序软件和其他组件的文件，帮助用户及时发现发生了可能遭受攻击的更改。 × × × √ √ 勒索病毒防护 通过对主机运行状态的自动学习和管理端智能分析，完成可信程序的判定，在防护阶段对非可信程序的操作进行告警。 × × × √ √ 安全运营 策略管理 支持自定义检测策略配置与下发，能够为每组或每台主机灵活配置检测规则，便于精细化安全运营。 查看策略组列表 依据默认策略组和已创建的策略组添加策略组 自定义策略 修改和删除策略组 针对策略组包含的策略，进行修改和关闭策略 在“主机管理”页面可以对主机进行批量部署策略 × × √（仅支持默认企业版策略组） √ √ 安全报告 呈现每周或每月的主机安全趋势以及关键安全事件与风险。 × × √ √ √ 安全配置 双因子认证 通过密码+短信/邮件认证的方式，彻底防范账号暴力破解行为。 × √ √ √ √ 网页防篡改 静态网页防篡改 防止网站服务器中的静态网页文件被篡改。 × × × × √ 动态网页防篡改 防止网站数据库中动态网页内容被篡改。 × × × × √

背景信息 为了解资产存在的风险，您可以对相应资产执行漏洞扫描，漏洞扫描支持全量扫描和专项扫描两种场景。漏洞扫描后，您可以在“资源>资产管理”界面，进入资产详情查看该资产存在的漏洞，以及资产风险值。 资产风险值是量化数据，由边界防护威胁分、漏洞扫描得分、终端防护威胁分加权计算所得。 边界防护威胁分：从边界防护与响应服务实时获取。 漏洞扫描得分：根据扫描出的漏洞数量、漏洞级别而确定。 终端防护威胁分：从终端防护与响应服务实时获取。

安全监控 “安全监控”板块展示待处理威胁告警、待修复漏洞、合规检查问题的安全监控统计数据。 图2 安全监控 表1 安全监控参数说明 参数名称 参数说明 威胁告警 呈现最近7天内未处理威胁告警，可快速了解资产遭受的威胁告警类型和数量，呈现威胁告警的统计结果。 此处严重等级含义如下： 致命：即致命风险，表示您的资产中检测到了入侵事件，建议您立即查看告警事件的详情并及时进行处理。 高危：即高危风险，表示资产中检测到了可疑的异常事件，建议您立即查看告警事件的详情并及时进行处理。 其他：即其他类型（中危、低危、提示）风险，表示服务器中检测到了有风险的异常事件，建议您及时查看该告警事件的详情。 单击威胁告警模块，系统将列表实时呈现近7天内TOP5的威胁告警事件，可快速查看威胁告警详情，监控威胁告警状况，如图3所示。 列表呈现近7天TOP5的威胁告警事件的信息，包括威胁告警名称、告警等级、资产名称、告警发现时间。 若列表显示内容为空，表示近7天无威胁告警事件。 单击“查看更多”，可跳转到“检测结果”页面，查看更多的威胁告警信息，并可自定义过滤条件查询告警信息，查看威胁告警详细操作请参见告警列表。 图3 查看实时威胁告警 漏洞 展示您资产中TOP5漏洞类型，以及近24小时内还未修复的漏洞总数和不同漏洞风险等级对应的数量。 此处严重等级含义如下： 致命：即致命风险，表示您的资产中检测到了入侵事件，建议您立即查看漏洞事件的详情并及时进行处理。 高危：即高危风险，表示资产中检测到了可疑的异常事件，建议您立即查看漏洞事件的详情并及时进行处理。 其他：即其他类型（中危、低危、提示）风险，表示服务器中检测到了有风险的异常事件，建议您及时查看该漏洞的详情。 单击漏洞模块中的“漏洞类型Top5”栏，系统将列表呈现TOP5（根据某个漏洞影响的主机数量进行排序）的漏洞类型。 此处的TOP等级是根据某个漏洞影响的主机数量进行排序，受影响主机数量越多排名越靠前。 仅当主机中Agent版本为2.0时，才会在“漏洞类型Top5”中显示对应数据。如未显示数据或需要查看TOP5漏洞类型，请将主机将Agent1.0升级至Agent2.0。 图4 漏洞类型 单击漏洞模块中的“实时监控最新漏洞风险事件 Top5”栏，系统将列表实时呈现近24小时内TOP5的漏洞事件，可快速查看漏洞详情，如图5所示。 列表呈现当日最新TOP5漏洞事件详情，包括漏洞名称、漏洞等级、资产名称、漏洞发现时间。 若列表显示内容为空，表示当日无漏洞事件。 单击“查看更多”，可跳转到“检查结果”页面，查看更多的漏洞信息，并可自定义过滤条件查询漏洞信息，查看漏洞详细操作请参见漏洞列表。 图5 查看实时漏洞 合规检查 展示您资产中近30天内存在的合规风险总数量和不同危险等级的合规检查风险对应的数量。 此处严重等级含义如下： 致命：即致命风险，表示您的资产中检测到了入侵事件，建议您立即查看合规异常事件的详情并及时进行处理。 高危：即高危风险，表示资产中检测到了可疑的异常事件，建议您立即查看合规检查事件的详情并及时进行处理。 其他：即其他类型（中危、低危、提示）风险，表示服务器中检测到了有风险的异常事件，建议您及时查看该合规检查项目的详情。 单击合规检查异常模块，系统将列表实时呈现近30天内TOP5的合规检查异常事件，可快速查看合规检查详情，如图6所示。 列表呈现最近一次合规检查中TOP的合规异常事件详情，包括合规检查项目名称、等级、资产名称、发现时间。 若列表显示内容为空，表示近30天无合规异常事件。 单击“查看更多”，可跳转到“检查结果”页面，查看更多的合规异常信息，并可自定义过滤条件查询合规检查信息，查看合规检查详细操作请参见基线检查列表。 图6 查看合规异常事件

服务功能区别 SA通过采集全网安全数据（包括HSS、WAF、AntiDDoS等安全服务检测数据），使用大数据AI、机器学习等分析技术，从资产安全、威胁告警、漏洞管理、基线检查维度，分类呈现资产安全状况。同时可从安全概览、综合大屏集中可视化安全数据，生动呈现风险态势。 HSS通过在主机中安装Agent，使用AI、机器学习和深度算法等技术分析主机中风险，并从HSS云端防护中心下发检测和防护任务，全方位保障主机安全。同时可从可视化控制台，管理主机Agent上报的安全信息。 表1 SA与HSS主要功能区别 功能项 态势感知（SA） 企业主机安全（HSS） 资产安全 主机资产 支持同步主机资产风险信息，列表呈现各主机资产的整体安全状况。 网站资产 支持检查和扫描网站安全状态，列表呈现各网站资产的整体安全状况。 主机资产 支持深度扫描主机中的帐号、端口、进程、Web目录、软件信息和自启动任务。 威胁告警 告警事件 支持检测和呈现8大类告警事件，共200+种子告警类型。支持上报告警通知。 告警事件 支持识别并阻止13大类入侵主机的行为，并支持上报告警通知。 漏洞管理 应急漏洞公告 支持同步华为云安全公告信息，及时获取热点安全讯息。 主机漏洞 支持同步HSS主机漏洞扫描结果，管理主机漏洞。 网站漏洞 支持同步VSS网站漏洞扫描结果，管理网站漏洞。 主机漏洞 支持检测和管理检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞。 基线检查 云服务基线 支持“安全上云合规检查1.0”、“等保2.0三级要求”、“护网检查”三大风险类别检查。 主机基线 支持扫描主机系统和关键软件含有风险的配置。

相关操作 有关主机扫描得分的计算方法参考如下： 扫描任务被创建后，初始得分是一百分，任务扫描完成后，根据扫描出的漏洞级别会扣除相应的分数。 主机扫描：高危减10分，中危减5分，低危减3分，无漏洞则不扣分。 得分越高，表示漏洞数量越少，主机越安全。 如果得分偏低，请根据实际情况对漏洞进行忽略标记，或根据修复建议修复漏洞。 漏洞修复后，建议重新扫描一次查看修复效果。 有关修复主机漏洞的详细介绍，请参见如何修复扫描出来的主机漏洞？。

产品咨询类 什么是区域和可用区？ 漏洞扫描服务的扫描IP有哪些？ 漏洞扫描服务可以免费使用吗？ 扫描任务有哪些状态？ 漏洞扫描服务到期后还能继续使用吗？ 扫描任务的得分是如何计算的？ 按需计费扫描失败怎么办？ 为什么购买漏洞扫描服务失败了？ 漏洞扫描服务能修复扫描出来的漏洞吗？ 漏洞扫描服务和传统的漏洞扫描器有什么区别？ 漏洞扫描服务支持扫描哪些漏洞？ 如何查看漏洞修复建议？ 漏洞扫描服务可以跨区域使用吗？ 漏洞扫描服务支持跨云扫描吗？ 漏洞扫描服务支持多个帐号共享使用吗？ 单次扫描是否提供扫描报告和修复建议？ 漏洞扫描服务可以对网站文字和图片改变进行检测吗？ 使用漏洞扫描服务前需要备份数据吗？ 漏洞扫描服务如何判定SQL注入风险？ 漏洞扫描服务支持扫描SQL注入吗？ Apache Log4j2漏洞检测相关问题 VSS与HSS、WAF有什么区别？ 漏洞扫描时会影响现有运行服务吗？

漏洞影响 在引入Apache Log4j2处理日志时，漏洞（CVE-2021-44228）会对用户输入的内容进行一些特殊的处理，攻击者可以构造特殊的请求，触发远程代码执行。目前POC已公开，风险较高。详细请参见Apache Log4j2 远程代码执行漏洞（CVE-2021-44228、CVE-2021-45046）。 Elasticseach使用Log4j框架记录日志，同时Elasticsearch使用了Java安全管理器不易受到远程代码执行漏洞的影响。Log4j中的信息泄露漏洞使攻击者能够通过DNS泄露某些环境数据，但是此漏洞不允许访问Elasticsearch集群内的数据，因此通过Log4j漏洞只能查找到环境变量和其他一些有限的环境数据，无需担心数据泄露。

服务功能区别 SA通过采集全网安全数据（包括HSS、WAF、AntiDDoS等安全服务检测数据），使用大数据AI、机器学习等分析技术，从资产安全、威胁告警、漏洞管理、基线检查维度，分类呈现资产安全状况。同时可从安全概览、综合大屏集中可视化安全数据，生动呈现风险态势。 HSS通过在主机中安装Agent，使用AI、机器学习和深度算法等技术分析主机中风险，并从HSS云端防护中心下发检测和防护任务，全方位保障主机安全。同时可从可视化控制台，管理主机Agent上报的安全信息。 表1 SA与HSS主要功能区别 功能项 态势感知（SA） 企业主机安全（HSS） 资产安全 主机资产 支持同步主机资产风险信息，列表呈现各主机资产的整体安全状况。 网站资产 支持检查和扫描网站安全状态，列表呈现各网站资产的整体安全状况。 主机资产 支持深度扫描主机中的帐号、端口、进程、Web目录、软件信息和自启动任务。 威胁告警 告警事件 支持检测和呈现8大类告警事件，共200+种子告警类型。支持上报告警通知。 告警事件 支持识别并阻止13大类入侵主机的行为，并支持上报告警通知。 漏洞管理 应急漏洞公告 支持同步华为云安全公告信息，及时获取热点安全讯息。 主机漏洞 支持同步HSS主机漏洞扫描结果，管理主机漏洞。 网站漏洞 支持同步VSS网站漏洞扫描结果，管理网站漏洞。 主机漏洞 支持检测和管理检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞。 基线检查 云服务基线 支持“安全上云合规检查1.0”、“等保2.0三级要求”、“护网检查”三大风险类别检查。 主机基线 支持扫描主机系统和关键软件含有风险的配置。

如何查看漏洞修复建议？ 网站扫描查看漏洞修复建议的方法。 登录管理控制台。 在左侧导航树中，单击，选择“安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务页面。 在“资产列表 > 网站”页签，进入网站列表入口，如图1所示。 图1 进入网站列表入口 查看网站资产列表，相关参数说明如表1所示。 表1 网站资产列表参数说明 参数 参数说明 域名信息 域名/IP地址 域名别称 认证状态 “已认证” 目标域名已完成域名认证。 “未认证” 目标域名未完成域名认证。单击“去认证”进行域名认证。 “证书失效” 如果证书失效，请重新下载证书文件并完成域名认证。 上次扫描时间 域名最近一次扫描任务的时间。 上一次扫描结果 域名最近一次扫描结果信息，包括得分和各等级的漏洞数量。单击得分或者“查看详情”，进入“扫描详情”界面查看扫描概况。 在目标域名所在行的“上一次扫描结果”列，单击分数或者“查看详情”，查看扫描任务详情。 选择“漏洞列表”页签，查看漏洞信息，如图2所示。 图2 漏洞列表 单击漏洞名称，查看相应漏洞的“漏洞详情”、“漏洞简介”、“修复建议”，如图3所示，用户可以根据修复建议修复漏洞。 图3 网站漏洞详情

表2 版本功能说明 服务功能 功能项 功能概述 基础版 （按需、包年/包月） 企业版 旗舰版 网页防篡改版 资产管理 账号信息管理 检测当前系统的账号信息，帮助用户进行账户安全性管理。 × √ √ √ 开放端口检测 检测当前系统开放的端口，帮助用户识别出其中的危险端口和未知端口。 × √ √ √ 进程信息管理 监测运行中的进程并进行收集及呈现，便于用户自主清点合法进程，发现异常进程。 × √ √ √ Web目录管理 统计当前系统中Web服务使用的目录，帮助用户进行Web资源管理。 × √ √ √ 软件信息管理 监测并记录当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 × √ √ √ 自启动 对系统中的自启动项进行检测，及时统计自启动项的变更情况。 × × √ √ 漏洞管理 Windows漏洞管理 通过与漏洞库进行比对，检测并管理Windows系统和软件存在的漏洞，对当前系统中存在的紧急漏洞进行提醒。 × √ √ √ Linux漏洞管理 通过与漏洞库进行比对，检测并管理Linux系统和软件存在的漏洞，对当前系统中存在的紧急漏洞进行提醒。 × √ √ √ Web-CMS漏洞管理 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，提升Web服务安全性。 × √ √ √ 基线检查 口令复杂度策略检测 检测系统中的口令复杂度策略，给出修改建议，帮助用户提升口令安全性。 √ √ √ √ 经典弱口令检测 检测系统账户口令是否属于常用的弱口令，针对弱口令提示用户修改。 √ √ √ √ 配置检测 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 × √ √ √ 入侵检测 账户暴力破解 检测账户遭受的口令破解攻击，封锁攻击源，防止云主机因账户破解被入侵。 √ √ √ √ 账户异常登录 检测“异地登录”和“账户暴力破解成功”等异常登录。 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 异地登录检测信息包括“登录源IP”、“登录时间”，攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。 若在非常用登录地登录，则触发安全事件告警。 若账户暴力破解成功，登录到云主机，则触发安全事件告警。 √ √ √ √ 恶意程序（云查杀） 对运行中的程序进行检测，识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 × √ √ √ 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 × √ √ √ 关键文件变更 对于系统关键文件进行监控，文件被修改时告警，提醒用户关键文件存在被篡改的可能。 × √ √ √ 网站后门（Webshell） 检测云服务器上Web目录中的文件，判断是否为WebShell木马文件，支持检测常见的PHP、JSP等后门文件类型。 网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。您可以根据网站后门信息忽略可信文件。 您可以使用手动检测功能检测主机中的网站后门。 × √ √ √ 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 × × √ √ 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。 × × √ √ 高危命令执行 实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 × × √ √ 自启动检测 检测并列举当前系统中的自启动服务、定时任务、预加载动态库、Run注册表键和开机启动文件夹，帮助用户及时发现非法自启动。 × × √ √ 风险账户 检测主机系统中的账号，列出当前系统中的可疑账号信息，帮助用户及时发现非法账号。 × √ √ √ 提权操作 检测当前系统的“进程提权”和“文件提权”操作。 检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 × × √ √ Rootkit程序 检测Rootkit安装的文件和目录，帮助用户及时发现可疑的Rootkit安装。 支持使用文件特征码检测rootkit。 支持对隐藏文件、端口、进程的检测。 Rootkit程序分为“用户空间rootkit检测”和“内核空间rootkit检测”。 用户空间rootkit检测主要针对rootkit安装的文件和目录进行检测。 内核空间rootkit检测主要针对rootkit加载的内核模块进行检测。 Rootkit程序支持以下功能： 支持使用文件特征码检测rootkit。 支持对内核rootkit加载行为的监控。 支持对系统调用表篡改类rootkit的检测。 支持对隐藏文件、端口、进程、内核模块的检测。 × × √ √ 高级防御 程序运行认证 支持将重点防御的主机加入到白名单策略中，通过检测白名单中指定的应用程序区分“可信”、“不可信”和“未知”，防止未经白名单授权的程序运行。可避免您的主机受到不可信或恶意程序的侵害，还能防止不必要的资源浪费、保证您的资源被合理利用。 × × √ √ 文件完整性管理 检查Linux系统、应用程序软件和其他组件的文件，帮助用户及时发现发生了可能遭受攻击的更改。 × × √ √ 勒索病毒防护 通过对主机运行状态的自动学习和管理端智能分析，完成可信程序的判定，在防护阶段对非可信程序的操作进行告警或阻断。 × × √ √ 安全运营 策略管理 支持自定义检测策略配置与下发，能够为每组或每台主机灵活配置检测规则，便于精细化安全运营。 查看策略组列表 依据默认策略组和已创建的策略组添加策略组 自定义策略 修改和删除策略组 针对策略组包含的策略，进行修改和关闭策略 在“主机管理”页面可以对主机进行批量部署策略 × √（仅支持默认企业版策略组） √ √ 安全报告 呈现每周或每月的主机安全趋势以及关键安全事件与风险。 × √ √ √ 安全配置 双因子认证 通过密码+短信/邮件认证的方式，彻底防范账号暴力破解行为。 按需：× 包年/包月：√ √ √ √ 网页防篡改 静态网页防篡改 防止网站服务器中的静态网页文件被篡改。 × × × √ 网盘文件防篡改 防止共享文件网盘中的网页文件被篡改。 × × × √ 动态网页防篡改 防止网站数据库中动态网页内容被篡改。 × × × √

打开或关闭Linux操作系统的安全漏洞补丁开关 CPU的预测执行是一种性能优化技术，因此修复Meltdown或Spectre漏洞后可能导致在特定工作负载下的性能下降。 如果您认为漏洞修复对系统的性能影响不可接受或者系统有更好的保护机制，希望可以禁用部分或全部漏洞安全保护策略，那么可以参考以下操作启用或者禁用安全保护策略。 您可以根据如下具体情况配置系统来达到理想的安全策略： Meltdown漏洞 采取页表隔离pti（Page Table Isolation）来控制内核页表隔离功能，此功能适用于CVE-2017-5754。 Spectre漏洞 采取间接分支限制预测ibrs（Indirect Branch Restricted Speculation）控制SPEC_CTRL模型特定寄存器（MSR）中的IBRS功能，结合retpoline，及间接分支预测障碍ibpb（Indirect Branch Prediction Barriers）控制PRED_CMD模型特定寄存器（MSR）中的IBPB功能，此功能适用于CVE-2017-5715。 CVE-2017-5753漏洞是通过内核补丁修复的，它无法禁用，并且它在Red Hat的性能测试中没有显示出任何可见的影响。 关闭Meltdown安全漏洞补丁 如果您想降低开启pti对系统的性能影响或者系统有更好的保护机制，您可以根据以下步骤操作： 根据不同的操作系统修改内核参数： CentOS、EulerOS、Ubuntu、Fedora、Red Hat：添加内核参数nopti Debian、OpenSUSE：添加内核参数pti=off 重启云服务器。 关闭Spectre安全漏洞补丁 如果您认为Spectre漏洞修复对系统的性能影响不可接受或者系统有更好的保护机制，您可以根据以下步骤操作： 根据不同的操作系统修改内核参数： CentOS、EulerOS、Fedora、Debian、Red Hat、OpenSUSE：添加内核参数spectre_v2=off Ubuntu：添加内核参数nospectre_v2=off 重启云服务器。 如果您使用的是以下操作系统，可以前往官网查询更多信息。 RedHat：https://access.redhat.com/articles/3311301?spm=a2c4g.11186623.2.20.42b49d4aJuKYx2 SUSE：https://www.suse.com/support/kb/doc/?spm=a2c4g.11186623.2.21.42b49d4avOXw7d&id=7022512 Ubuntu：https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown

二进制成分分析扫描报告模板说明 下载扫描报告后，您可以根据扫描结果，对漏洞进行修复，报告模板主要内容说明如下：（以下截图中的数据仅供参考，请以实际扫描报告为准） 概览 查看目标软件包的扫描漏洞数。 图4 查看任务概览信息 结果概览 统计漏洞类型及分布情况。 图5 查看结果概览信息 组件列表 查看软件的所有组件信息。 图6 查看组件列表信息 漏洞列表 您可以参考每个组件扫描出的漏洞详细信息修复漏洞。 图7 查看漏洞列表信息 密钥和信息泄露问题列表 图8 查看密钥和信息泄露信息 安全配置检查列表 图9 查看安全配置检查列表

一个容器只运行一个进程 从技术角度讲，Docker容器中可以运行多个进程，您可以将数据库、前端、后端、ssh等都运行在同一个Docker容器中。但是，这样跟未使用容器前没有太大区别，且这样容器的构建时间非常长（一处修改就要构建全部），镜像体积大，横向扩展时非常浪费资源（不同的应用需要运行的容器数并不相同）。 通常所说的容器化改造是对应用整体微服务进行架构改造，改造后，再容器化。这样做可以带来如下好处： 单独扩展：拆分为微服务后，可单独增加或缩减每个微服务的实例数量。 提升开发速度：各微服务之间解耦，某个微服务的代码开发不影响其他微服务。 通过隔离确保安全：整体应用中，若存在安全漏洞，一旦被攻击，所有功能的权限都可能会被窃取。微服务架构中，若攻击了某个服务，只可获得该服务的访问权限，无法入侵其他服务。 提升稳定性：如果其中一个微服务崩溃，其他微服务还可以持续正常运行。 因此，上述企业门户网站可以进行如下改造，Web应用和MySQL运行在不同容器中。 MySQL运行在独立的镜像中，这样的好处就是，我们可以对它们分别进行修改，且不会牵一发而动全身。如下面这个例子所示，我们可以删除MySQL，只安装node.js。 FROM ubuntuADD . /appRUN apt-get update RUN apt-get upgrade -yRUN apt-get install -y nodejs RUN cd /app && npm installCMD npm start

问题描述 北京时间1月3日，Intel处理器芯片被曝出存在严重的Meltdown和Spectre安全漏洞，漏洞详情如下： 漏洞名称：Intel处理器存在严重芯片级漏洞 漏洞编号：CVE-2017-5753、CVE-2017-5715、CVE-2017-5754 严重程度：高危 漏洞描述：CPU内核高危漏洞Meltdown（CVE-2017-5754）和Spectre（CVE-2017-5715/CVE-2017-5753）爆发，攻击者可利用这两组漏洞，绕过内存安全隔离机制，越权访问操作系统和其他程序的核心数据，造成敏感信息泄露。

漏洞详情 近期Kubernetes社区发布了与Go相关的安全漏洞CVE-2019-9512和CVE-2019-9514。具体的安全问题出现在Go语言的net/http库中，它会影响Kubernetes的所有版本和所有组件。这些漏洞可能导致所有处理HTTP或HTTPS Listener的进程受到DoS攻击。 由于此问题影响范围很广，Go官方及时针对此问题发布了Go 1.12.9和Go 1.11.13版本。 Kubernetes也在v1.13.10 - go1.11.13版本中完成了Go版本的更新。 表1 漏洞信息 漏洞类型 CVE-ID 披露/发现时间 拒绝服务攻击 CVE-2019-9512 2019-08-13 资源管理错误 CVE-2019-9514 2019-08-13

手工录入 登录华为乾坤云服务控制台，选择“资源 > 资产管理”。 在“资产管理”区域的右上角，单击“录入”。 填写资产信息，单击“确定”。 图1 手工录入资产界面 表1 手工录入资产界面参数说明 类别 参数 参数说明 基本信息 资产名称 必须唯一，且容易分辨。 资产类型 根据实际情况选择，其中“服务器”、“数据库”资产支持二级子类型。 URL 当资产类型为网站时填写。 请输入http或https网址，本服务只支持对格式为“http(s)://IP地址:端口号”的二级域名进行扫描。 IPv4地址 当资产类型为非网站时填写。 请输入IPv4、IPv6或MAC地址，其中IPv4地址为必填项，IPv6地址、MAC地址为选填项。 IPv6地址 MAC地址 重要性等级 根据实际情况选择。 站点 资产所属站点。 资产组 用于将同类型资产或满足特定需要的资产归类到同一个组，方便管理。 初始状态下，系统默认有一个资产组，名称为“默认资产组”。 如果在创建资产时，没有您合适的资产组，请在创建资产后，参考《租户操作指南-资产组创建》，创建资产组，将该资产加入新建的资产组。 天关 资产所属天关。 说明： 资产通用信息中，“天关”为选填项。若此项为空，用户将无法正常使用华为乾坤网络安全漏洞扫描服务或云日志审计。 高级配置 -- 记录资产的详细信息，根据实际情况填写。 认证信息 开启认证 只对“服务器”类型的资产有效，建议开启。 Root权限：是否加固 根据实际情况填写。 管理员密码 仅未勾选“是否加固”选项时需要配置。填写为root用户的密码。 普通用户名/普通用户密码 当已勾选“是否加固”时填写。填写为非root用户的密码，该用户可以登录服务器。 登录端口 SSH（Secure Shell Protocol，安全外壳协议）的端口号。 查看录入后的资产。 资产列表参数列支持自定义编辑，用户可以单击选择某个参数列是否在页面呈现。 图2 资产列表 表2 资产列表参数说明 参数 说明 资产名称 自定义资产名称。 风险评分 基于算法，结合资产的漏洞扫描结果、资产面临的威胁事件、威胁情报等信息，整体评估出资产的风险值，帮助用户全面了解资产存在的风险。 资产风险值是量化数据，由边界防护威胁分、漏洞扫描得分、终端防护威胁分加权计算所得。 边界防护威胁分：从边界防护与响应服务实时获取。 漏洞扫描得分：根据扫描出的漏洞数量、漏洞级别而确定。 终端防护威胁分：从终端防护与响应服务实时获取。 说明： 如果用户只开通了边界防护与响应服务、漏洞扫描服务和终端防护与响应服务中的部分服务，未开通服务的资产评估得分将被算法剔除，不计入资产风险值的加权计算。 重要性等级 用户在录入时根据实际填写。 核心：其安全属性破坏后可能对组织造成非常严重的损失。 重要：其安全属性破坏后可能对组织造成比较严重的损失。 普通：其安全属性破坏后可能对组织造成较低的损失。 站点名称 该资产关联的天关所归属的站点名称。 服务使用情况 该资产关联的相关服务，您可以将光标置于图标上查看具体的服务名称。 操作 对资产进行编辑、删除操作。 说明： 对终端防护与响应服务Agent主动上报的资产进行删除操作时，需要保证Agent在线，否则“删除”按钮置灰。确认删除时，资产上已安装的Agent也会被远程卸载。 Agent状态 Agent状态分为“在线”、“离线”、“未安装”。 最近上线时间 Agent最近一次上线时间。

操作步骤 登录管理控制台。 在左侧导航树中，单击，选择“安全与合规 > 漏洞扫描服务”。 在左侧导航树中，选择“安全监测”，进入“安全监测”界面，如图1所示。 图1 监测列表 在目标监测任务所在行的“最近一次扫描情况”列，单击分数或者“查看详情”，进入“任务详情”界面，可以查看相应任务的“扫描项总览”，如图2所示。 扫描任务详情界面默认显示最近一次的扫描情况，如果您需要查看其他时间的扫描情况，在“历史扫描报告”下拉框中，选择扫描时间点。 单击“重新扫描”，可以重新执行扫描任务。 如果需要修改扫描任务名称或者检测项，单击“编辑”，完成相关配置。 当扫描任务成功完成后，单击右上角的“生成报告”，生成网站扫描报告后，单击右上角的，可以下载任务报告，目前只支持PDF格式。 图2 查看扫描详情 选择“扫描项总览”页签，查看扫描项的检测结果，如图3所示。 图3 扫描项总览 如果检测结果存在漏洞或者风险，可在“检测结果”列，单击“查看详情”了解漏洞或者风险的详细情况。 选择“漏洞列表”页签，查看漏洞信息，如图4所示。 图4 漏洞列表 单击“查看更多”，可以查看详细的漏洞分析。 单击漏洞名称可以查看相应漏洞的“漏洞详情”、“漏洞简介”、“修复建议”。 如果您确认扫描出的漏洞不会对网站造成危害，请在目标漏洞所在行的“操作”列，单击“忽略”，忽略该漏洞，后续执行扫描任务会扫描出该漏洞，但扫描结果将不会统计忽略的漏洞。例如，如果您对2个低危漏洞执行了“忽略”操作，则再次执行扫描任务，扫描结果显示的低危漏洞个数将减少2。 如果想对已忽略的漏洞恢复为风险类型，在目标漏洞所在行的“操作”列，单击“取消忽略”，恢复检测此漏洞。 选择“业务风险列表”页签，查看业务风险信息，如图5所示。 图5 风险列表 选择“端口列表”页签，查看目标网站的端口信息，如图6所示。 图6 端口列表 选择“站点结构”页签，查看目标网站的站点结构信息，如图7所示。 站点结构显示的是目标任务的漏洞的具体站点位置，如果任务暂未扫描出漏洞，站点结构无数据显示。 显示目标网站的基本信息，包括： IP地址：目标网站的IP地址。 服务器：目标网站部署所使用的服务器名称（例如：Tomcat 、Apache httpd、 IIS等）。 语言：目标网站所使用的开发语言（例如：PHP、JAVA、C#等）。 图7 站点结构

操作步骤 使用华为云账号登录，region选择"北京四"，并切换至容器镜像服务SWR中，将安全扫描失败或者显示漏洞存在异常的服务的所有镜像上传到镜像仓库中。 上海一区域容器镜像服务SWR不支持镜像扫描功能，因此用户可以切换到北京四来进行镜像扫描 单击"我的镜像"，选择进入上传镜像详细页面。 单击右下角的"镜像扫描"按钮进入镜像扫描详情页面。 如扫描状态为"未扫描"，则单击"重新扫描"按钮触发镜像扫描。 依次触发所有服务的镜像扫描操作，查看扫描结果，如果镜像存在漏洞，可以根据扫描界面中的解决方案对容器镜像中的漏洞进行处理即可。

操作步骤 登录管理控制台。 在左侧导航树中，单击，选择“安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务页面。 在“资产列表 > 网站”页签，进入网站列表入口，如图1所示。 图1 进入网站列表入口 查看网站资产列表，相关参数说明如表1所示。 表1 网站资产列表参数说明 参数 参数说明 域名信息 域名/IP地址 域名别称 认证状态 “已认证” 目标域名已完成域名认证。 “未认证” 目标域名未完成域名认证。单击“去认证”进行域名认证。 “证书失效” 如果证书失效，请重新下载证书文件并完成域名认证。 上次扫描时间 域名最近一次扫描任务的时间。 上一次扫描结果 域名最近一次扫描结果信息，包括得分和各等级的漏洞数量。单击得分或者“查看详情”，进入“扫描详情”界面查看扫描概况。 在目标域名所在行的“上一次扫描结果”列，单击分数或者“查看详情”，查看扫描任务详情，如图2所示。 扫描任务详情界面默认显示最近一次的扫描情况，如果您需要查看其他时间的扫描情况，在“历史扫描报告”下拉框中，选择扫描时间点。 单击“重新扫描”，可以重新执行扫描任务。 如果需要修改扫描任务名称或者检测项，单击“编辑”，完成相关配置。 当扫描任务成功完成后，单击右上角的“生成报告”，生成网站扫描报告后，单击右上角的，可以下载任务报告，目前只支持PDF格式。 图2 查看扫描任务详情 选择“扫描项总览”页签，查看扫描项的检测结果，如图3所示。 图3 扫描项总览 如果检测结果存在漏洞或者风险，可在“检测结果”列，单击“查看详情”了解漏洞或者风险的详细情况。 选择“漏洞列表”页签，查看漏洞信息，如图4所示。 图4 漏洞列表 单击“查看更多”，可以查看详细的漏洞分析。 单击漏洞名称可以查看相应漏洞的“漏洞详情”、“漏洞简介”、“修复建议”。 如果您确认扫描出的漏洞不会对网站造成危害，请在目标漏洞所在行的“操作”列，单击“忽略”，忽略该漏洞，后续执行扫描任务会扫描出该漏洞，但扫描结果将不会统计忽略的漏洞。例如，如果您对2个低危漏洞执行了“忽略”操作，则再次执行扫描任务，扫描结果显示的低危漏洞个数将减少2。 如果想对已忽略的漏洞恢复为风险类型，在目标漏洞所在行的“操作”列，单击“取消忽略”，恢复检测此漏洞。 选择“业务风险列表”页签，查看业务风险信息，如图5所示。 图5 风险列表 选择“端口列表”页签，查看目标网站的端口信息，如图6所示。 图6 端口列表 选择“站点结构”页签，查看目标网站的站点结构信息，如图7所示。 站点结构显示的是目标任务的漏洞的具体站点位置，如果任务暂未扫描出漏洞，站点结构无数据显示。 显示目标网站的基本信息，包括： IP地址：目标网站的IP地址。 服务器：目标网站部署所使用的服务器名称（例如：Tomcat 、Apache httpd、 IIS等）。 语言：目标网站所使用的开发语言（例如：PHP、JAVA、C#等）。 图7 站点结构

操作步骤 登录华为乾坤云服务控制台，选择“ > 我的服务 > 网络威胁评估”。 在右上角菜单栏选择“威胁评估”。 根据场景创建评估任务。 表1 根据场景创建评估任务 场景名称 场景描述 操作 边界突破 模拟黑客由外网向内网渗透的过程，通过收集环境信息，识别网络暴露面，验证是否存在能够被真实验证的漏洞。 单击“边界突破评估”，勾选预评估对象并确认执行。 热点漏洞 本场景对高危漏洞、护网使用漏洞、常见应用系统漏洞等热点漏洞进行评估。 单击“热点漏洞评估”，勾选预评估对象、支持漏洞（默认全选）并确认执行。 网络威胁评估服务目前支持以下指定漏洞评估场景，您可以将鼠标悬停在漏洞名称上查看对应的场景描述，根据实际需要选择部分或全部支持漏洞进行评估。 泛微e-cology beanshell远程命令执行漏洞 F5 BIG-IP远程命令执行漏洞 F5 BIG-IP代码注入漏洞 泛微OA E-Office任意文件上传漏洞 泛微E-Cology协同办公系统任意文件上传漏洞 通达OA任意用户登录漏洞 云端与目标地址网络不连通，评估任务会执行失败，但不会影响评估任务的创建。

操作步骤 登录华为云管理控制台。 选择“服务列表 >安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务管理控制台。 在左侧导航栏，选择“资产列表 > 主机”。 单击主机信息“操作”列的扫描，进入主机扫描入口，如图1所示。 图1 进入主机扫描入口 您可以选中需要扫描的主机，在主机列表上方单击“一键扫描”，对选中的多台主机批量进行扫描。 查看主机信息，相关参数说明如表1所示。 表1 主机资产列表参数说明 参数 参数说明 主机信息 IP 主机名称 VPC 所在分组/区域/操作系统 主机所在分组/区域/操作系统，可在目标主机的“操作”列，单击“更换分组”，更换主机组。 跳板机/授权信息 添加跳板机的具体操作请参见添加主机。 主机授权的具体操作请参见配置Linux主机授权。 上一次扫描时间 主机最近一次扫描任务扫描时间。 上一次扫描结果 主机最近一次扫描任务的信息，包括得分和各等级的漏洞数量。单击分数或者“查看详情”，进入“任务详情”界面查看扫描概况。 在目标主机所在行的“上一次扫描结果”列，单击分数或者“查看详情”，查看相应任务的“扫描项总览”，如图2所示，各栏目说明如表2所示。 基础版用户按次购买主机扫描功能后，如果扫描任务失败，请在扫描详情页面单击“重新扫描（免费）”，系统将重新执行扫描任务。 图2 查看主机扫描详情 表2 详情总览说明 栏目 说明 目标IP 主机IP。 任务信息 显示目标任务的基本信息，包括： 得分：任务被创建后，初始得分是一百分，任务扫描完成后，根据扫描出的漏洞个数和漏洞级别会扣除相应的分数，无漏洞则不扣分。 漏洞总数：漏洞总数及各级别的漏洞个数。 基线风险：各级别的基线风险个数，windows扫描不支持此项检测。 等保合规：为您提供本地化、系统化、专业的等保测评服务，为您提供一站式安全产品及服务，帮助您测评整改，提升安全防护能力，快速满足国家实行的网络安全等级保护制度。 须知： 仅企业版可查看“等保合规”功能的检测结果。 扫描详情：开始时间及任务扫描耗时。 扫描结果；扫描任务的执行结果，有“扫描成功”和“扫描失败”两种结果。 扫描项 显示扫描任务的类别、扫描项名称、扫描统计、等级和扫描状态。 选择“扫描项”页签，查看目标主机的扫描项信息，如图3所示。 图3 扫描项 选择“漏洞列表”页签，查看目标主机的漏洞信息，如图4所示。 图4 漏洞列表界面 如果您确认扫描出的漏洞不会对主机造成危害，您可以在目标漏洞所在行的“操作”列，单击“忽略”，忽略该漏洞，后续执行扫描任务会扫描出该漏洞，但相应的漏洞统计结果将发生变化，扫描报告中也不会出现该漏洞。 单击漏洞名称，进入“漏洞详情”页面，根据修复建议修复漏洞。 选择“基线检查”页签，查看主机扫描的基线检查信息，如图5所示。 图5 基线检查 如果您确认扫描出的检查项不会对主机造成危害，您可以在目标检查项所在行的“操作”列，单击“忽略”，忽略该检查项，后续执行扫描任务会扫描出该漏洞，但相应的检查项统计结果将发生变化，扫描报告中也不会出现该检查项。 Windows扫描暂不支持基线检测扫描。 单击“等保合规（企业版）”页签，进入“等保合规（企业版）”的详情列表界面，显示目标主机的等保合规检测信息，如图6所示。 图6 等保合规 如果您确认扫描出的检查项不会对主机造成危害，您可以在目标检查项所在行的“操作”列，单击“忽略”，忽略该检查项，后续执行扫描任务会扫描出该漏洞，但相应的检查项统计结果将发生变化，扫描报告中也不会出现该检查项。 VSS目前仅企业版用户支持等保合规检测，如果您需要对您的主机进行等保合规检测，请购买企业版。

中小型企业联网场景 随着企业海量资产不断接入互联网，数字化资产的安全已经成为企业安全建设的重要考虑因素。因此，企业客户希望有一款产品或服务提供事前检测能力，实现事前检测资产的安全状态，高效精准度地识别潜在漏洞，避免潜在漏洞被恶意利用导致威胁攻击。 华为乾坤漏洞扫描服务通过实时漏洞检测，能够帮助企业发现资产中存在的潜在漏洞，并提供漏洞修复优先级和修复建议。客户根据建议及时修补漏洞，降低漏洞被利用的风险。 图1 中小型企业联网场景

操作步骤 登录容器镜像服务控制台。 在左侧导航栏选择“我的镜像”，单击右侧镜像名称，进入镜像详情页。 在执行镜像安全扫描任务前，请确保“我的镜像”中已经有1个以上的私有镜像。如果您当前账户下没有私有镜像，请参考客户端上传镜像，上传一个镜像到您的镜像仓库中。 在“镜像版本”页签，选择待操作的镜像版本并单击右侧的“镜像扫描”。 图1 我的镜像 单击“重新扫描”，触发镜像的安全扫描，稍等片刻将展示镜像的漏洞扫描结果。 图2 镜像安全扫描结果 漏洞名称：显示该镜像上扫描出的漏洞名称。 修复紧急程度：提示您是否需要立刻处理该漏洞。 软件信息：显示该镜像上受此漏洞影响的软件及版本信息。 解决方案：针对该漏洞给出的解决方案。单击“解决方案”列的链接，查看修复意见。

Apache Log4j2漏洞检测相关问题 网站漏洞扫描和主机扫描是否支持Apache Log4j2漏洞检测？检测原理有何不同？ 答：网站漏洞扫描和主机扫描支持Apache Log4j2漏洞检测，但检测原理不同。网站漏洞扫描的检测原理是基于漏洞POC验证，如果没有攻击入口或路径，或已经开启了Web应用防火墙等防护措施，则无法扫出来；主机扫描的检测原理是登录操作系统之后探测JAR包版本，匹配是否在受影响的版本范围之内，相对高效。 建议有条件的话，使用网站漏洞扫描和主机扫描远程扫描，若发现问题请尽快按处置办法进行操作。 Apache Log4j2漏洞之前能扫出来，后来扫不出来，不稳定是什么原因？ 答：只要扫出来过Apache Log4j2漏洞，建议马上排查相应网站或主机，尽快按处置办法进行操作。 后面扫不出来的原因，可能是网站已修复，或已通过Web应用防火墙等防护措施解决，另外由于该漏洞POC验证相对复杂，涉及较多网络交互，网络环境因素如安全组策略加固等变动，也可能导致漏洞不能稳定扫出来，但建议客户还是尽快排查处置，彻底规避风险。 哪些版本支持Apache Log4j2漏洞检测？ 答：当前包括基础版（可免费开通）在内的所有版本均支持，但由于基础版规格有较多限制，如不支持主机漏洞扫描、Web漏洞扫描的扫描时长和次数受限，可能存在扫描不全面的问题。建议有条件的话，根据业务需求购买专业版及以上版本进行全面扫描。 不同版本规格说明请参见服务版本。

漏洞虚拟补丁（自动消减处置措施） 一般情况下，漏洞是通过在资产上安装补丁进行修复。当客户的实际环境无法满足安装补丁的条件，又希望降低被攻击风险时，可以选择使用漏洞虚拟补丁。 漏洞虚拟补丁是指不直接在资产上安装补丁，而是选择在企业网络边界的天关/防火墙上设置漏洞关联的IPS签名动作为“阻断”，通过在边界拦截异常流量，降低漏洞被利用的风险。 天关/防火墙侧的IPS签名动作一般有“告警”和“阻断”两种。 如果签名动作为“阻断”，则表示天关/防火墙会阻断异常流量。漏洞被利用的风险低，可以暂时不修复。 如果签名动作为“告警”，则表示天关/防火墙只产生告警，不会阻断异常流量。漏洞可能会被利用，建议您联系华为乾坤运营人员（如：提交“工单”），重新设置签名动作。 天关/防火墙侧的IPS签名动作是根据长期运营数据统计结果进行设置的，请不要随意修改。如果一定要修改，请联系华为乾坤运营人员处理。

操作步骤 在管理PC上配置网口的IP地址为192.168.0.2（可以是192.168.0.2～192.168.0.254中的任何一个），子网掩码为255.255.255.0，然后打开Web浏览器访问设备的标准界面https://192.168.0.1:8443/。 配置云端管理接口。 GE0/0/3默认为二层接口，请按照如下方式配置成三层接口。 选择“网络 > 接口”。 单击GE0/0/3对应的，按照如下参数配置接口。 安全区域 untrust 模式 路由 IPv4 IP地址 172.16.10.10/24 配置云端管理接口的静态路由。 选择“网络 > 路由 > 静态路由”。 单击“静态路由列表”区域下的“新建”，添加静态路由。下一跳配置为网关地址。 配置业务接口。 选择“网络 > 接口”。 单击GE0/0/20，按如下参数配置，单击“确定”。 安全区域 trust 模式 接口对 参考上述步骤按如下参数配置GE0/0/21接口。 安全区域 untrust 模式 接口对 配置业务接口对。 选择“网络 > 接口”。 单击“新建”，按如下参数配置，单击“确定”。 名称 interface_bypass1 工作模式 不同口进出 成员 接口一 GE0/0/20 接口二 GE0/0/21 允许的VLAN 1-4094 接口对状态同步 不开启 配置漏洞扫描和云日志审计接口。 已购买漏洞扫描服务或云日志审计服务时需要执行本步骤。 GE0/0/2默认为二层接口，请按照如下方式配置成三层接口。请保证上报日志的资产与此IP地址路由可达。 选择“网络 > 接口”。 单击GE0/0/2对应的，按照如下参数配置接口。 安全区域 trust 模式 路由 IPv4 IP地址 192.168.56.10/24 选择“系统 > 配置 > 时钟配置”，检查设备系统时间是否与当前时间一致，如果不一致，请调整设备系统时间，以保证云端能够精确掌握威胁事件的发生时间。 配置业务参数（边界防护与响应服务）。 加载License。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 选择“系统 > License管理”，“License激活方式”设置为“本地手动激活”。 单击“浏览”，选择本地PC中的的License文件，并单击“激活”。 选择“策略 > 安全策略 > 安全策略”，检查default策略的动作是否为“允许”，如果不是，单击策略名称default进入修改安全策略界面，将动作修改为“允许”。 确认安全策略已成功下发。 设备上线后，云端会部署套餐，需要2分钟左右，部署成功后安全策略会自动下发。 安全策略下发后，如图1所示。共有5条安全策略，其中default安全策略建议改回禁止，默认安全需要。 如果设备上只有“default”和“rule_iss_dns”安全策略，或只有“default”安全策略时，由云端自动下发安全策略。 如果设备上存在其他安全策略时，云端不会自动下发安全策略，此时请参考如何配置边界防护与响应服务需要的安全策略（USG6000E-C天关、USG6000E防火墙）自行完成配置。 图1 安全策略 选择“系统 > 升级中心”，单击下图所示的立即升级，升级“入侵防御特征库”和“反病毒特征库”。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（漏洞扫描服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表1 安全策略 服务 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 漏洞扫描服务 untrust-local untrust local any any udp：云端与防火墙之间建立VPN隧道。 tcp：对资产进行漏洞扫描。 允许 local-untrust local untrust any any any 允许 local-trust local trust any any tcp：对资产进行漏洞扫描。 允许 trust-local trust local any any tcp：对资产进行漏洞扫描。 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（云日志审计服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表2 安全策略 服务类型 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 云日志审计服务 trust-local trust local any any udp：资产上传日志到防火墙。 允许 local-untrust local untrust any any any 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。

操作步骤 在管理PC上配置网口的IP地址为192.168.0.2（可以是192.168.0.2～192.168.0.254中的任何一个），子网掩码为255.255.255.0，然后打开Web浏览器访问设备的标准界面https://192.168.0.1:8443/。 配置Bypass接口对。 选择“网络 > 接口”。 单击GE0/0/20对应的，按照下图所示配置接口。 单击GE0/0/21对应的，按照下图所示配置接口。 选择“网络 > 接口对”。 单击“新建”，按照下图所示配置接口对，并单击“确定”。 配置云端管理接口。 GE0/0/3默认为二层接口，请按照如下方式配置成三层接口。 选择“网络 > 接口”。 单击GE0/0/3对应的，按照如下参数配置接口。 安全区域 untrust 模式 路由 IPv4 IP地址 172.16.10.10/24 配置云端管理接口的静态路由。 选择“网络 > 路由 > 静态路由”。 单击“静态路由列表”区域下的“新建”，添加静态路由。下一跳配置为网关地址。 配置漏洞扫描和云日志审计接口。 已购买漏洞扫描服务或云日志审计服务时需要执行本步骤。 GE0/0/2默认为二层接口，请按照如下方式配置成三层接口。请保证上报日志的资产与此IP地址路由可达。 选择“网络 > 接口”。 单击GE0/0/2对应的，按照如下参数配置接口。 安全区域 trust 模式 路由 IPv4 IP地址 192.168.56.10/24 选择“系统 > 配置 > 时钟配置”，检查设备系统时间是否与当前时间一致，如果不一致，请调整设备系统时间，以保证云端能够精确掌握威胁事件的发生时间。 配置业务参数（边界防护与响应服务）。 加载License。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 选择“系统 > License管理”，“License激活方式”设置为“本地手动激活”。 单击“浏览”，选择本地PC中的的License文件，并单击“激活”。 选择“策略 > 安全策略 > 安全策略”，检查default策略的动作是否为“允许”，如果不是，单击策略名称default进入修改安全策略界面，将动作修改为“允许”。 确认安全策略已成功下发。 设备上线后，云端会部署套餐，需要2分钟左右，部署成功后安全策略会自动下发。 安全策略下发后，如图1所示。共有5条安全策略，其中default安全策略建议改回禁止，默认安全需要。 如果设备上只有“default”和“rule_iss_dns”安全策略，或只有“default”安全策略时，由云端自动下发安全策略。 如果设备上存在其他安全策略时，云端不会自动下发安全策略，此时请参考如何配置边界防护与响应服务需要的安全策略（USG6000E-C天关、USG6000E防火墙）自行完成配置。 图1 安全策略 选择“系统 > 升级中心”，单击下图所示的立即升级，升级“入侵防御特征库”和“反病毒特征库”。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（漏洞扫描服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表1 安全策略 服务 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 漏洞扫描服务 untrust-local untrust local any any udp：云端与防火墙之间建立VPN隧道。 tcp：对资产进行漏洞扫描。 允许 local-untrust local untrust any any any 允许 local-trust local trust any any tcp：对资产进行漏洞扫描。 允许 trust-local trust local any any tcp：对资产进行漏洞扫描。 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（云日志审计服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表2 安全策略 服务类型 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 云日志审计服务 trust-local trust local any any udp：资产上传日志到防火墙。 允许 local-untrust local untrust any any any 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。

如何修复扫描出来的主机漏洞？ 不同的主机系统修复漏洞的方法有所不同，软件漏洞的修复需要具有一定专业知识的人员进行操作，根据服务器的情况进行漏洞修复，可参考漏洞扫描服务给出的修复建议，修复漏洞时应按照如下的操作步骤进行修复。 对需要修复的服务器实例进行备份，防止出现不可预料的后果。 对需要修复的资产和漏洞进行多次确认。根据业务情况以及服务器的使用情况等综合因素，确认自己的资产是否需要做漏洞修复，并形成漏洞修复列表。 在模拟测试环境中部署待修复漏洞的相关补丁，从兼容性和安全性方面进行测试，并输出补丁漏洞修复测试报告，报告内容应包含补丁漏洞修复情况、漏洞修复的时长、补丁本身的兼容性、以及漏洞修复可能造成的影响。 进行漏洞修复时，最好多人在场，边操作边记录，防止出现误操作。 漏洞修复完成后，在测试环境对目标服务器系统上的漏洞进行修复验证，确保服务器没有异常，输出详细的修复记录进行归档，方便日后遇见相关问题可快速反应。 总之，为了防止在漏洞修复过程中出现问题，在漏洞修复前要及时备份、制定方案、在测试环境进行模拟测试验证可行性，在修复过程中要小心并及时记录，在修复后及时生成完备的修复报告进行归档。 如果以上方案仍未能解决您的问题，建议您使用华为云“管理检测与响应”的安全加固功能，一站式完成漏洞修复。

漏洞影响 恶意攻击者可以篡改主机上其他容器或主机本身的IPv6路由记录，实现中间人攻击。即使现在系统或者服务上没有直接使用IPv6地址进行网络请求通知，但是如果DNS返回了A(IPv4)和AAAA(IPv6)记录，许多HTTP库都会尝试IPv6进行连接，如果再回退到IPv4，这为攻击者提供了响应的机会。该漏洞为中危漏洞，CVSS评分为6.0。 Kubernetes本身不受该漏洞影响，但Kubernetes所使用的CNI插件（请参阅https://github.com/containernetworking/plugins/pull/484）会受影响，以下kubelet版本都包含了受影响的CNI插件服务： kubelet v1.18.0~v1.18.3 kubelet v1.17.0~v1.17.6 kubelet

云容器引擎 CCE 漏洞公告

步骤三：处理主机风险 开启主机防护，并处理主机风险，如图3所示。 图3 处理主机风险 若您的主机没有全部开启主机安全防护，为了保证主机的安全性，请将主机全部开启主机防护，详细操作请参见开启防护。 根据各类告警事件统计，批量处理实时入侵事件，如图4所示。详细操作请参见查看和处理告警事件。 图4 实时入侵事件 告警事件展示在“事件管理”页面中，事件管理列表仅展示最近30天的告警事件，您可以根据自己的业务需求，自行判断并处理告警。告警事件处理完成后，告警事件将从“未处理”状态变更为“已处理”。HSS将不再对已处理的事件进行统计，并且不在“总览”页展示。 表3 处理告警事件 处理方式 处理方式说明 忽略 仅忽略本次告警。若再次出现相同的告警信息，HSS会再次告警。 隔离查杀 选择隔离查杀后，该程序无法执行“读/写”操作，同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱，被隔离的文件将不会对主机造成威胁。 您可以单击“文件隔离箱”，查看已隔离的文件，详细信息请参见管理文件隔离箱。 有以下两类告警事件支持线上隔离查杀。 恶意程序（云查杀） 进程异常检测 说明： 程序被隔离查杀时，该程序的进程将被立即终止，为避免影响业务，请及时确认检测结果，若隔离查杀有误报，请在24小时内执行取消隔离/忽略操作。 手动处理 选择手动处理。您可以根据自己的需要为该事件添加“备注”信息，方便您记录手动处理该告警事件的详细信息。 加入登录白名单 如果确认“账号暴力破解”和“账户异常登录”类型的告警事件是误报，且不希望HSS再上报该告警，您可以将本次登录告警事件加入登录白名单。 HSS不会对登录白名单内的登录事件上报告警。加入登录白名单后，若再次出现该登录事件，则HSS不会告警。 加入告警白名单 如果确认以下类型的告警事件是误报，且不希望HSS再上报该告警，您可以将本次告警事件加入告警白名单。 HSS不会对告警白名单内的告警事件上报告警。加入告警白名单后，若再次出现该告警事件，则HSS不会告警。 反弹Shell Webshell检测 进程异常行为检测 进程提权 文件提权 高危命令 恶意程序 修复漏洞，请根据界面提供的修复建议进行手动修复，如图5所示。 图5 修复漏洞 评估漏洞 企业主机安全可以检测主机漏洞，并参考官方提供的漏洞分值评出修复紧急度，紧急度由高到低依次为：需立即修复、可延后修复、暂可不修复。 “需立即修复”的漏洞存在严重的安全风险，建议用户评估漏洞影响性之后尽快修复。 “可延后修复”以及“暂可不修复”的漏洞对操作系统安全性没有直接影响，建议用户评估漏洞影响性之后，根据主机操作系统或者软件版本的升级计划来安排漏洞修复计划。 “忽略”修复漏洞：某些漏洞只在特定条件下存在风险，如果评估后确认某些漏洞无害，可以忽略该漏洞，无需修复。 例如：某漏洞必须通过开放端口进行入侵，如果主机系统并未开放该端口，则该漏洞不存在威胁，则忽略该漏洞。 修复漏洞 您可以根据漏洞信息判断该漏洞是否存在威胁，并确定该漏洞是否需要修复或者忽略。 若需要修复漏洞，请根据“解决方案”提供的修复建议，进行控制台一键修复漏洞，或者手动修复漏洞，如图5所示。 关于漏洞修复的详细操作请参见漏洞修复。 为了避免漏洞修复失败导致数据丢失，请在执行漏洞修复前备份主机中的数据和配置信息。 若需要忽略漏洞，请单击“影响服务器”页签，查看该漏洞影响的服务器，在受影响服务器所在行单击“忽略”，忽略该漏洞，如图6所示。 图6 影响的服务器 处理高危配置风险，进入“基线检查”页面，根据修复建议，逐个对主机进行“口令风险”和“配置风险”修复，如图7所示。 图7 处理高危配置风险 检测高危配置风险 企业主机安全提供的基线检测功能将检测主机中的口令复杂度策略，主机系统和关键软件中含有风险的配置信息，并针对所发现的风险为您提供修复建议，帮助您正确地处理服务器内的各种风险配置信息。 关于基线检查的详细说明请参见基线检查功能介绍。 处理高危配置风险 表4 解决高危配置风险 风险项 风险说明 解决方法 存在弱口令 使用弱口令的账户被破解成功的风险非常高，需要高度重视。弱口令检测可检测出主机系统中使用弱口令的账户，您可以在控制台查看主机中的口令风险。 弱口令并没有严格和准确的定义，从安全领域来看，容易被猜到或者被暴力破解的口令都是弱口令。 弱口令通常具有以下特征： 口令长度太短、太简洁 口令全部或大部分字符串已经出现在网络中的密码字典中或相关列表中 口令中携带了个人信息 如果您的主机被检测出弱口令风险，建议您立即修改为安全性更高的口令。 详细操作请参见如何设置安全的口令。 口令复杂度策略太简单 如需监测Linux主机中的口令复杂度策略，请先在主机中安装PAM（Pluggable Authentication Modules），详细操作请参见如何为Linux主机安装PAM？。 修改Linux主机中口令复杂度策略的详细操作请参见如何在Linux主机上设置口令复杂度策略。 修改Windows主机中口令复杂度策略的详细操作请参见如何在Windows主机上设置口令复杂度策略。 建议用户按照提示修改口令复杂度策略。 采用更安全的复杂度策略之后，新增或者修改账户的口令时，口令复杂度会按照策略要求执行限制，提高新口令的安全性。 存在不安全配置项 系统中的关键应用如果采用不安全配置，有可能被黑客利用作为入侵主机系统的手段。 例如：SSH采用了不安全的加密算法；Tomcat服务采用root权限启动。 请根据“修改建议”处理主机中的异常信息。 详细操作请参见处理关键配置项。 清点资产，如图8所示。 每日凌晨定期收集并展示服务器的各项资产信息，包括：账号信息、对外端口监听、进程运行、Web目录、软件信息、自启动项，并对变动信息进行记录，便于用户对资产风险、资产变动进行排查，降低安全风险。 图8 清点资产 表5 资产管理 资产管理项 解决方法 账号信息 根据实时账号数据和历史变动记录，您可以统一管理所有主机中的账号信息。若发现系统中有不必要的多余账号，或者发现有超级权限的账号（拥有root权限），需要排查这些账号是否是正常业务使用，如果不是则建议删除多余账号或者修改账号的权限，避免账号被黑客利用。 开放端口 手动关闭风险端口 如果检测到开放了危险端口或者开放了不必要的端口，需要排查这些端口是否是正常业务使用，如果不是正常业务端口，建议关闭端口。对于危险端口建议进一步检查程序文件，如果存在风险建议删除或者隔离源文件。 建议您及时优先处理危险程度为“危险”的端口，根据业务实际情况处理危险程度为“未知”的端口。 忽略风险：如果检测出的危险端口是业务正在使用的正常端口，您可以忽略该条告警。忽略之后将不再作为危险项进行记录，也不再发送告警。 进程信息 根据进程检测结果中的详细信息，您可以快速查看主机中可疑的应用进程，并及时终止可疑的应用进程。 Web目录 HSS能够检测出主机中存在的Web目录，您可以根据检测结果及时发现主机中可能含有风险的Web目录，及时删除可疑的Web目录并终止可疑的进程。 软件信息 根据实时软件数据和历史变动记录，您可以统一管理所有主机中的软件信息。若发现主机中的软件版本过低或存在可疑的软件，您可以及时升级低版本的软件或删除可疑和无需使用的软件。 自启动 您可以查看自启动项对应的服务器名称、路径、文件HASH和最后修改时间，及时发现并清除木马程序问题。

立即购买 登录管理控制台。 在页面上方选择“区域”后，单击，选择“安全与合规 > 管理检测与响应服务”。 在“等保套餐”下方，单击“立即购买”，进入“购买MDR服务”页面。 图1 选择等保套餐 选择区域。 请就近选择靠近您业务的区域，可减少网络时延，提高访问速度 。 选择“推荐套餐”。支持的套餐有“等保二级方案”、“等保三级方案基础版”、“等保三级方案高级版”或“多云安全方案套餐”。 图2 选择套餐 表1 套餐内容 - 服务说明 推荐产品 等保二级 等保三级基础版 等保三级高级版 多云模式 安全通信网络 网络区域隔离 云防火墙 √ √ √ - 安全区域边界 检测、防止或限制网络攻击行为 DDoS高防 - - √ √ 访问控制、边界防护、入侵防范 Web应用防火墙 √ √ √ √ 安全计算环境 分析识别、报警各类安全事件和新型攻击提供恶意代码防护机制 企业主机安全 √ √ √ √ 网页防篡改 - - √ √ 威胁检测服务 √ √ √ - 数据安全审计 数据库审计 - √ √ - 满足数据完整性和数据保密性 SSL证书 √ √ √ √ 发现漏洞，提供漏洞修补建议 漏洞扫描 - - √ √ 数据加密防护 数据加密 - - √ - 安全管理中心 敏感数据识别、防护 数据安全中心 - - √ - 安全体检、安全加固、安全检测等 管理监测与响应 - - √ √ 对分布在网络中的安全设备安全设备进行集中管控 态势感知 √ √ √ - 对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测 云监控 √ √ √ - 身份鉴别、访问控制、运维审计 云堡垒机 - √ √ - 云审计 - √ √ - 云日志 - √ √ - 数据灾备服务 本地&异地（跨Region）数据家备份与恢复 CBR - √ √ - 异地（跨云）数据备份功能 OBS √ √ √ √ 数据实时备份 SDRS容灾备份 - - √ - 根据选择的套餐（需要选择的服务请勾选后再进行配置），配置套餐商品信息。购买时长默认是“1年”。 配置Web应用防火墙。 请根据您的业务情况购买“域名扩展包”或“带宽扩展包”以及选择“购买时长”。 图3 配置Web应用防火墙 一个域名包支持10个域名，限制仅支持1个一级域名和与一级域名相关的子域名或泛域名。 一个带宽扩展包包含20Mbit/s/50Mbit/s（华为云外/华为云内）或者1,000QPS（Query Per Second，即每秒钟的请求量，例如一个HTTP GET请求就是一个Query）。 配置企业主机安全。 请根据您的业务情况购买“防护主机数量”和选择“购买时长”。 图4 配置企业主机安全 配属数据库安全审计。 请根据您的业务情况选择“可用区”、“规格”、“实例名称”、“虚拟私有云”、“安全组”、“子网”以及选择“购买时长”。 图5 配置数据库安全审计 表2 数据库安全审计实例参数说明 参数名称 说明 取值样例 虚拟私有云 可以选择使用已有的虚拟私有云（Virtual Private Cloud，VPC）网络，或者单击“查看虚拟私有云”创建新的虚拟私有云。 说明： 请选择Agent安装节点（应用端或数据库端）所在的VPC。 不支持修改VPC。若要修改，请退订后重新申请。 更多有关虚拟私有云的信息，请参见虚拟私有云用户指南。 vpc-sec 安全组 界面显示实例已配置的安全组。选择实例的安全组后，该实例将受到该安全组访问规则的保护。 更多有关安全组的信息，请参见虚拟私有云用户指南。 sg 子网 界面显示所有可选择的子网。 更多有关子网的信息，请参见虚拟私有云用户指南。 public_sunnet 实例名称 您可以自定义实例的名称。 DBSS-test 配置态势感知。 请根据您的业务情况设置“最大配额数”和勾选“使用态势大屏”以及选择“购买时长”。 图6 配置态势感知 配置云堡垒机。 请根据您的业务情况选择“可用区”、“性能规格”、“实例名称”、“虚拟私有云”、“安全组”、“子网”、“弹性IP”以及选择“购买时长”。 若在当前区域无可选EIP，可单击“购买弹性IP”创建弹性IP。 图7 配置云堡垒机 配置漏洞扫描服务。 请根据您的业务情况选择“规格”、“扫描配额包”和“购买时长”。 图8 配置漏洞扫描服务 配置SSL证书。 请根据您的业务情况选择“域名类型”、“域名数量”和“有效期”。 图9 配置SSL证书 配置专属加密服务。 请根据您的业务情况选择“购买数量”和“购买时长”。 图10 配置专属加密服务 配置数据安全中心。 请根据您的业务情况选择“规格”、“数据库扩展包”、“OBS扩展包”和“购买时长”。 图11 配置数据安全中心 在页面右下方，单击“下一步”。 确认订单无误并阅读《管理检测与响应免责声明》和《隐私政策声明》后，勾选“我已阅读并同意《管理检测与响应免责声明》和《隐私政策声明》”，单击“去支付”。 在“支付”页面，请选择付款方式进行付款。 付款成功后，单击“返回管理检测与响应控制台”，返回到“管理检测与响应”界面。

移动应用安全扫描报告模板说明 下载扫描报告后，您可以根据扫描结果，对漏洞进行修复，报告模板主要内容说明如下：（以下截图中的数据仅供参考，请以实际扫描报告为准） 应用基本信息检测 包括基本信息、应用检测风险项汇总、漏洞风险项统计、漏洞风险检测项分布和检测情况汇总，如图2所示展示了检测汇总信息。 图2 检测情况汇总 应用漏洞检测 包括配置安全、加密安全、组件安全、签名证书安全、存储安全、权限安全和网络安全等，可以参考扫描出的漏洞详细信息修复漏洞，以配置安全为例，如图3所示。 图3 应用漏洞信息-配置安全 应用隐私合规检测 图4 应用隐私合规检测 应用权限信息检测 图5 应用权限信息 应用组件信息检测 查看软件的所有组件信息，包括Activity信息、Service信息、Provider信息和Receiver信息，以Activity信息为例，如图6所示。 图6 应用组件信息-Activity信息 移动应用安全评测依据 图7 移动应用安全评测信息

漏洞规避方案 请根据MRS集群版本，从如下链接中选择相应的漏洞规避方案。 MRS 3.1.1：MRS 3.1.1版本Log4j2远程执行漏洞（CVE-2021-44228）缓解措施 MRS 3.1.0：MRS 3.1.0版本Log4j2远程执行漏洞（CVE-2021-44228）缓解措施 MRS 3.0.5：MRS 3.0.5版本Log4j2远程执行漏洞（CVE-2021-44228）缓解措施 MRS 3.0.2：MRS 3.0.2版本Log4j2远程执行漏洞（CVE-2021-44228）缓解措施 MRS 2.1.1：MRS 2.1.1版本Log4j2远程执行漏洞（CVE-2021-44228）缓解措施 MRS 2.1.0：MRS 2.1.0版本Log4j2远程执行漏洞（CVE-2021-44228）缓解措施 MRS 1.9.3：MRS 1.9.3版本Log4j2远程执行漏洞（CVE-2021-44228）缓解措施 MRS 1.9.2：MRS 1.9.2版本Log4j2远程执行漏洞（CVE-2021-44228）缓解措施 MRS 1.9.0：MRS 1.9.0版本Log4j2远程执行漏洞（CVE-2021-44228）缓解措施 MRS 1.8.10：MRS 1.8.10版本Log4j2远程执行漏洞（CVE-2021-44228）缓解措施 MRS 1.7.1：MRS 1.7.1版本Log4j2远程执行漏洞（CVE-2021-44228）缓解措施

查看本地镜像的漏洞 扫描完成后，可查看漏洞报告。 登录管理控制台。 选择导航树“镜像列表 > 本地镜像 ”，单击目标镜像“操作”列的“漏洞报告”，查看本地镜像的漏洞报告。 在“漏洞报告”页签下查看扫描出的镜像漏洞。 您可执行以下操作: 查看漏洞概览：按“漏洞修复紧急度”进行统计的漏洞数量及占比。 您可以查看漏洞整体个数、需尽快修复、可延后修复和暂可不修复个数。 查看漏洞列表信息 您可以查看漏洞名称、修复紧急度、软件信息、漏洞位置以及解决方案。 搜索漏洞 您可在漏洞列表上方，通过筛选漏洞修复紧急度（需尽快修复、可延后修复、暂可不修复、所有修复紧急度），搜索漏洞名称、软件名称定位到相关的漏洞。 漏洞名称和软件名称都支持模糊搜索。 查看漏洞基本信息和受漏洞影响的镜像 单击漏洞名称进入漏洞基本信息页面，查看漏洞更加详细的信息及受漏洞影响的镜像详细信息。 图3 漏洞报告

手动修复系统软件漏洞 根据漏洞列表右侧“解决方案”列中的修复建议修复主机中已经被识别出的漏洞，漏洞修复命令可参见表1。 不同的漏洞请根据修复建议依次进行修复。 若同一主机上的多个软件包存在同一漏洞，您只需修复一次即可。 “Windows系统漏洞”和“Linux系统Kernel类的漏洞”修复完成后需要手动重启，否则HSS仍可能为您推送漏洞消息。 表1 漏洞修复命令 操作系统 修复命令 CentOS/Fedora /Euler/Redhat/Oracle yum update 软件名称 Debian/Ubuntu apt-get update && apt-get install 软件名称 --only-upgrade Gentoo、SUSE 请参见漏洞修复建议。 漏洞修复有可能影响业务的稳定性，为了防止在修复漏洞过程影响当前业务，建议参考以下两种方案，选择其中一种执行漏洞修复： 方案一：创建新的虚拟机执行漏洞修复 为需要修复漏洞的ECS主机创建镜像，详细操作请参见通过云服务器创建整机镜像。 使用该镜像创建新的ECS主机，详细操作请参见通过镜像创建云服务器。 在新启动的主机上执行漏洞修复并验证修复结果。 确认修复完成之后将业务切换到新主机。 确定切换完成并且业务运行稳定无故障后，可以释放旧的主机。如果业务切换后出现问题且无法修复，可以将业务立即切换回原来的主机以恢复功能。 方案二：在当前主机执行修复 为需要修复漏洞的ECS主机创建备份，详细操作请参见创建云服务器备份。 在当前主机上直接进行漏洞修复。 如果漏洞修复后出现业务功能问题且无法及时修复，立即使用备份恢复功能将主机恢复到修复前的状态，详细操作请参见使用备份恢复服务器。

VSS与HSS、WAF有什么区别？ VSS支持主机和Web漏洞扫描，从攻击者的视角扫描漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。HSS是提升主机整体安全性的服务，通过安装在主机上的Agent守护主机安全，全面识别并管理主机中的信息资产。 WAF是对网站业务流量进行多维度检测和防护，降低数据被篡改、失窃的风险。 华为云提供的VSS、HSS、WAF服务，帮助您全面从网站、主机、Web应用等层面防御风险和威胁，提升系统安全指数。建议三个服务搭配使用。 表1 VSS、HSS、WAF的区别 服务名称 所属分类 防护对象 功能差异 漏洞扫描服务（VSS） 应用安全、主机安全 提升网站、主机整体安全性。 多元漏洞检测 网页内容检测 网站健康检测 基线合规检测 主机漏洞扫描 企业主机安全（HSS） 主机安全 提升主机整体安全性。 资产管理 漏洞管理 入侵检测 基线检查 网页防篡改 Web应用防火墙（WAF） 应用安全 保护Web应用程序的可用性、安全性。 Web基础防护 CC攻击防护 精准访问防护

操作步骤 配置接口对。 选择“网络 > 接口”。 单击上行接口GE0/0/21对应的，按照下图所示配置接口。 单击下行接口GE0/0/20对应的，按照下图所示配置接口。 选择“系统 > 高可靠性 > Link-Group”。 配置Link-Group，添加GE0/0/21、GE0/0/20。 配置路由。 选择“网络 > 路由 > 静态路由”。 配置数据流量出场景的静态路由。 配置数据流量入场景的静态路由。 目的地址/掩码需要覆盖租户内网资产IP地址所在网段，如果涉及多个网段，则需要配置多条入场景的静态路由。本示例以配置区域1网段静态路由为例。 选择“系统 > 配置 > 时钟配置”，检查设备系统时间是否与当前时间一致，如果不一致，请调整设备系统时间，以保证云端能够精确掌握威胁事件的发生时间。 配置业务参数（边界防护与响应服务）。 加载License。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 选择“系统 > License管理”，“License激活方式”设置为“本地手动激活”。 单击“浏览”，选择本地PC中的的License文件，并单击“激活”。 选择“策略 > 安全策略 > 安全策略”，检查default策略的动作是否为“允许”，如果不是，单击策略名称default进入修改安全策略界面，将动作修改为“允许”。 确认安全策略已成功下发。 设备上线后，云端会部署套餐，需要2分钟左右，部署成功后安全策略会自动下发。 安全策略下发后，如图1所示。共有5条安全策略，其中default安全策略建议改回禁止，默认安全需要。 如果设备上只有“default”和“rule_iss_dns”安全策略，或只有“default”安全策略时，由云端自动下发安全策略。 如果设备上存在其他安全策略时，云端不会自动下发安全策略，此时请参考如何配置边界防护与响应服务需要的安全策略（USG6000E-C天关、USG6000E防火墙）自行完成配置。 图1 安全策略 选择“系统 > 升级中心”，单击下图所示的立即升级，升级“入侵防御特征库”和“反病毒特征库”。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（漏洞扫描服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表1 安全策略 服务 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 漏洞扫描服务 untrust-local untrust local any any udp：云端与防火墙之间建立VPN隧道。 tcp：对资产进行漏洞扫描。 允许 local-untrust local untrust any any any 允许 local-trust local trust any any tcp：对资产进行漏洞扫描。 允许 trust-local trust local any any tcp：对资产进行漏洞扫描。 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（云日志审计服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表2 安全策略 服务类型 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 云日志审计服务 trust-local trust local any any udp：资产上传日志到防火墙。 允许 local-untrust local untrust any any any 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。

网站扫描类 使用“一键认证”有什么要求？ 如何快速发现网站漏洞？ 如果网站登录需要动态验证码可以使用VSS的自动登录功能吗？ 为什么扫描任务自动登录失败了？ 创建网站扫描任务或重启任务不成功时如何处理？ 网站漏洞扫描一次需要多久？ 为什么任务扫描中途就自动取消了？ 如何设置定时扫描？ 域名认证完成后网站根目录下面的认证文件可以删除吗？ 为什么执行下载认证文件操作后没有看到下载的认证文件？ 创建任务时为什么总是提示域名格式错误？ 认证文件有什么用途？ 为什么域名认证失败？ 如何将认证文件上传到网站根目录？ 如何对网站进行域名认证？ 如何修改VSS已添加的域名？ 如何解决网站扫描失败，报连接超时的问题？ 漏洞扫描服务支持web_CMS漏洞吗？ 标准扫描、快速扫描和深度扫描有哪些区别？ 已添加的域名是否可以删除？ 如何查看漏洞扫描服务扫描出的网站结构？ 如何获取网站cookie值？ 网站cookie值发生变化时，如何进行网站漏洞扫描？ 如何处理域名认证时提示“域名已被其他人使用”？ 漏洞扫描服务可以扫描域名下的项目吗？ 如何扫描弱密码？ 网站扫描是否可以加/web访问？ 可以扫描产品上线前的局域网站点吗？ 可以在弱密码库中添加弱密码吗？ 为什么漏洞发现时间早于扫描开始时间？ 使用了Web应用防火墙，对网站扫描时SSL/TLS存在bar mitzvah attack漏洞？ 专业版是否支持一级域名的扫描？ 如何修复TLS弱加密套件？ 为什么VSS多次扫描结果不一致？

RDS for MySQL 5.7 表2 云数据库 RDS for MySQL 5.7版本说明 日期 特性描述 2022-06-01 新特性及性能优化 内核版本升级到5.7.37。 升级编译器到GCC 9.3。 升级openssl、curl开源组件。 修复问题 修复单个超大Binlog可能导致的复制中断问题。 修复slave并发回放grant可能导致的异常重启的问题。 修复隐藏自增键可能导致的复制中断问题。 修复虚拟字段表在ROLLBACK时可能异常重启的问题。 修复加密表在recovery异常重启问题。 修复Seconds Behind Master特定场景不准确问题。 安全加固 解决安全漏洞：CVE-2022-21367、CVE-2022-21304、CVE-2022-21344。 2022-01-26 新特性及性能优化 支持隐藏自增键特性。 修复问题 修复XA事务重复提交可能导致复制异常问题。 修复社区innodb_row_lock_current_waits统计不准确的问题。 2021-11-26 新特性及性能优化 全量SQL放开单条记录长度限制。 RDS for MySQL透明应用连续性(ALT)特性第一期。 修复问题 修复线程池极端场景的内存问题。 修复XA事务备机回放概率性卡住。 2021-08-07 新特性及性能优化 线程池静态链接，提高性能。 开启PGO（Profile-Guided Optimization）编译优化。 优化MySQL HASH算法。 支持数据库添加备注功能。 系统库防止被DDL修改。 在errlog中提供IO延迟信息。 支持minidump。 内核版本升级到5.7.33。 升级openssl，jemalloc，curl开源组件。 修复问题 修复由于回放保序导致备机小概率复制中断的问题。 修复XA事务在binlog rotate后可能异常重启的问题。 修复全量SQL可能存在未记录预编译SQL操作类型的问题。 修复flush privieges操作的executed time统计错误的问题。 修复审计日志错误写入其他文件的问题。 安全加固 解决安全漏洞：CVE-2021-2011、CVE-2021-2178、CVE-2021-2202。 2021-04-13 修复XA事务在数据库异常重启后可能发生丢失的问题。 优化自适应HASH分割算法。 内核版本升级到5.7.32。 2021-01-26 新特性 支持在代理情况下显示真实的客户端地址。 修复问题 全量SQL采集性能优化。 修复revoke权限可能导致主备权限不一致的问题。 回合8.0中对Instant add column的优化。 2020-12-31 性能优化 优化慢日志额外信息的采集效率。 升级编译器至GCC 9。 修复问题 修复XA事务回滚可能会导致备机复制中断问题。 2020-12-01 减少fil_sys互斥锁之间的冲突频率。 2020-11-06 新特性 内存申请编译器优化。 添加utf8优化对非ARM平台的支持。 修复问题 修复微秒计时器中gettimeofday多线程导致计时错误问题。 2020-09-21 内核版本升级到5.7.31。 支持SQL限流，业务高峰期可以限制特定SQL的执行频率。 2020-08-03 优化内核性能。 支持回收站。 增强本地盘清理数据可靠性。 2020-07-09 优化内核性能。 支持在错误日志中记录用户的操作历史。 提高XA事务的稳定性。 2020-06-30 优化内核性能。 支持本地盘磁盘日志切换。 bufferpool内存初始化模块优化，提高初始化效率。 提升ARM上部分操作的线程安全性。 2020-05-30 新特性 支持index hint功能。 支持抓取全量SQL日志。 修复以下问题 修复用户低概率连接数据库失败问题。 2020-04-30 优化内核性能。 2020-03-30 内核版本升级到5.7.29。 优化内核性能。 支持线程池统计IO waits事件。 2020-02-15 复制双通道：新增复制状态通道，准确判断主库崩溃时的复制状态，确保事务不丢失。 Optimized ROW_IMAGE模式：缩减binlog大小，同时支持迁移，SQL闪回等场景。 2019-12-15 DDL操作进度：通过“information_schema.innodb_alter_table_progress”获取添加列或添加索引操作的进度信息。 长事务：通过show processlist获取事务的执行时间Trx_Executed_Time。 Online扩展string字段长度：扩展varchar类型字段长度从COPY模式默认变为INPLACE模式。 InnoDB死锁信息丰富：通过show engine innodb status可以观察到InnoDB层发生死锁情况时完整的现场信息。 2019-10-15 性能优化 ARM内核版本上线，该内核基于华为云鲲鹏服务器。 新特性 内核版本升级到5.7.27。 快速加列：表可以快速添加列，不拷贝数据，不占用磁盘空间和磁盘IO，业务高峰期可以实时变更。 MDL锁视图：通过“information_schema.metadata_lock_info”获取线程持有或等待的MDL锁信息。 2019-08-15 Jemalloc内存管理：替换Glibc内存管理模块，降低内存占用，内存分配效率更高效。 2019-06-15 内核版本升级到5.7.25。 2019-05-15 新特性 备库安全极速模式：在备库“sync_binlog”和“innodb_flush_log_at_trx_commit”为非1配置下，保证备库crash safe数据安全。sysbench高并发纯写模式下，主备复制延迟一直基本为0。 修复以下问题 修复“relay_log_recovery ”=“ON”时，特定场景Kill备库后无法重启的问题。 修复“SQL_MODE”为“PAD_CHAR_TO_FULL_LENGTH”时，主备复制异常的问题。 修复“performance_schema”重复统计错误的问题。 修复对“Performance_schema”中关于复制信息的表进行order by查询时，返回为空的问题。 2019-01-15 修复只读执行flush操作后导致主备不一致，复制中断的问题。 修复REPAIR，OPTIMIZE等语句导致备机复制线程卡住问题。 2018-11-15 内核版本升级到5.7.23。 GTID开启时支持事务中创建和删除临时表。 支持表级别MTS并行回放。 2018-07-15 内核版本升级到5.7.22。 支持线程池。 支持CTS语法：支持create table xx select语法。 算子下推：聚合算子下推到存储引擎层，提升count()，sum()执行速度。 KILL空闲事务：通过设置超时时间，自动KILL长时间空闲事务。 用户线程内存使用信息、CPU时间使用信息，用户通过show full processlist进行查询。

漏洞原理分析 本次漏洞典型的攻击方式是通过恶意镜像：在恶意镜像中，将攻击函数隐藏在恶意动态库如（libseccomp.so.2）中，并使执行命令指向/proc/self/exe。 当runc动态编译时，会从容器镜像中载入动态链接库，导致加载恶意动态库；当打开/prco/self/exe即runc时，会执行恶意动态链接库中的恶意程序，由于恶意程序继承runc打开的文件句柄，可以通过该文件句柄替换host上的runc。 此后，再次执行runc相关的命令，则会产生逃逸。

移动应用安全扫描报告模板说明 下载扫描报告后，您可以根据扫描结果，对漏洞进行修复，报告模板主要内容说明如下：（以下截图中的数据仅供参考，请以实际扫描报告为准） 应用基本信息检测 应用检测的基本信息和检测概况。 图2 应用基本信息 应用权限信息检测 图3 应用权限信息 应用组件信息检测 查看软件的所有组件信息。 图4 应用组件信息 应用漏洞检测 您可以参考每个组件扫描出的漏洞详细信息修复漏洞。 图5 应用漏洞信息 应用隐私合规检测 图6 应用隐私合规信息 移动应用安全评测依据 图7 移动应用安全评测信息

配置天关1 在管理PC上配置网口的IP地址为192.168.0.2（可以是192.168.0.2～192.168.0.254中的任何一个），子网掩码为255.255.255.0，然后打开Web浏览器访问设备的标准界面https://192.168.0.1:8443/。 配置Bypass接口对。 选择“网络 > 接口”。 单击GE0/0/20对应的，按照下图所示配置接口。 单击GE0/0/21对应的，按照下图所示配置接口。 选择“网络 > 接口对”。 单击“新建”，按照下图所示配置接口对，并单击“确定”。 配置云端管理接口。 GE0/0/3默认为二层接口，请按照如下方式配置成三层接口。 选择“网络 > 接口”。 单击GE0/0/3对应的，按照如下参数配置接口。 安全区域 untrust 模式 路由 IP地址（IPv4） 192.168.55.1/24 配置云管理接口的静态路由。 选择“网络 > 路由 > 静态路由”。 单击“静态路由列表”区域下的“新建”，添加静态路由。下一跳配置为网关地址。 配置漏洞扫描服务和云日志审计的业务接口。 已购买漏洞扫描服务或云日志审计服务时需要执行本步骤。 GE0/0/2默认为二层接口，请按照如下方式配置成三层接口。请保证所有上报日志的资产与此IP地址路由可达。 选择“网络 > 接口”。 单击GE0/0/2对应的，按照如下参数配置接口。 安全区域 trust 模式 路由 IP地址 192.168.56.1/24 选择“系统 > 配置 > 时钟配置”，检查设备系统时间是否与当前时间一致，如果不一致，请调整设备系统时间，以保证云端能够精确掌握威胁事件的发生时间。 配置业务参数（边界防护与响应服务）。 加载License。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 选择“系统 > License管理”，“License激活方式”设置为“本地手动激活”。 单击“浏览”，选择本地PC中的的License文件，并单击“激活”。 选择“策略 > 安全策略 > 安全策略”，检查default策略的动作是否为“允许”，如果不是，单击策略名称default进入修改安全策略界面，将动作修改为“允许”。 确认安全策略已成功下发。 设备上线后，云端会部署套餐，需要2分钟左右，部署成功后安全策略会自动下发。 安全策略下发后，如图1所示。共有5条安全策略，其中default安全策略建议改回禁止，默认安全需要。 如果设备上只有“default”和“rule_iss_dns”安全策略，或只有“default”安全策略时，由云端自动下发安全策略。 如果设备上存在其他安全策略时，云端不会自动下发安全策略，此时请参考如何配置边界防护与响应服务需要的安全策略（USG6000E-C天关、USG6000E防火墙）自行完成配置。 图1 安全策略 选择“系统 > 升级中心”，单击下图所示的立即升级，升级“入侵防御特征库”和“反病毒特征库”。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（漏洞扫描服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表1 安全策略 服务 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 漏洞扫描服务 untrust-local untrust local any any udp：云端与防火墙之间建立VPN隧道。 tcp：对资产进行漏洞扫描。 允许 local-untrust local untrust any any any 允许 local-trust local trust any any tcp：对资产进行漏洞扫描。 允许 trust-local trust local any any tcp：对资产进行漏洞扫描。 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（云日志审计服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表2 安全策略 服务类型 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 云日志审计服务 trust-local trust local any any udp：资产上传日志到防火墙。 允许 local-untrust local untrust any any any 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。

操作步骤 在管理PC上配置网口的IP地址为192.168.0.2（可以是192.168.0.2～192.168.0.254中的任何一个），子网掩码为255.255.255.0，然后打开Web浏览器访问设备的标准界面https://192.168.0.1:8443/。 配置云端管理接口。 GE0/0/3默认为二层接口，请按照如下方式配置成三层接口。 选择“网络 > 接口”。 单击GE0/0/3对应的，按照如下参数配置接口。 安全区域 untrust 模式 路由 IPv4 IP地址 172.16.10.10/24 配置云端管理接口的静态路由。 选择“网络 > 路由 > 静态路由”。 单击“静态路由列表”区域下的“新建”，添加静态路由。下一跳配置为网关地址。 配置检测接口GE0/0/1为旁路检测模式，该二层接口与Switch的观察端口直连。 选择“网络 > 接口”。 单击GE0/0/1对应的，按照下图所示配置接口，注意“模式”需要选择“旁路检测”。 选择“系统 > 配置 > 时钟配置”，检查设备系统时间是否与当前时间一致，如果不一致，请调整设备系统时间，以保证云端能够精确掌握威胁事件的发生时间。 配置业务参数（边界防护与响应服务）。 加载License。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 选择“系统 > License管理”，“License激活方式”设置为“本地手动激活”。 单击“浏览”，选择本地PC中的的License文件，并单击“激活”。 选择“策略 > 安全策略 > 安全策略”，检查default策略的动作是否为“允许”，如果不是，单击策略名称default进入修改安全策略界面，将动作修改为“允许”。 确认安全策略已成功下发。 设备上线后，云端会部署套餐，需要2分钟左右，部署成功后安全策略会自动下发。 安全策略下发后，如图1所示。共有5条安全策略，其中default安全策略建议改回禁止，默认安全需要。 如果设备上只有“default”和“rule_iss_dns”安全策略，或只有“default”安全策略时，由云端自动下发安全策略。 如果设备上存在其他安全策略时，云端不会自动下发安全策略，此时请参考如何配置边界防护与响应服务需要的安全策略（USG6000E-C天关、USG6000E防火墙）自行完成配置。 图1 安全策略 选择“系统 > 升级中心”，单击下图所示的立即升级，升级“入侵防御特征库”和“反病毒特征库”。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置旁路检测所需要的安全策略。 选择“网络 > 安全区域”。将GE0/0/1和对应VLAN都加入trust安全区域。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，配置名称为“trust-trust”的安全策略，源安全区域为trust，目的安全区域为trust，反病毒采用新建的AV_default，入侵防御采用新建的IPS_default，动作为“允许”。 配置漏洞扫描和云日志审计接口。 已购买漏洞扫描服务或云日志审计服务时需要执行本步骤。 GE0/0/2默认为二层接口，请按照如下方式配置成三层接口。请保证上报日志的资产与此IP地址路由可达。 选择“网络 > 接口”。 单击GE0/0/2对应的，按照如下参数配置接口。 安全区域 trust 模式 路由 IPv4 IP地址 192.168.56.10/24 配置业务参数（漏洞扫描服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表1 安全策略 服务 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 漏洞扫描服务 untrust-local untrust local any any udp：云端与防火墙之间建立VPN隧道。 tcp：对资产进行漏洞扫描。 允许 local-untrust local untrust any any any 允许 local-trust local trust any any tcp：对资产进行漏洞扫描。 允许 trust-local trust local any any tcp：对资产进行漏洞扫描。 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（云日志审计服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表2 安全策略 服务类型 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 云日志审计服务 trust-local trust local any any udp：资产上传日志到防火墙。 允许 local-untrust local untrust any any any 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。

配置天关2 在管理PC上配置网口的IP地址为192.168.0.2（可以是192.168.0.2～192.168.0.254中的任何一个），子网掩码为255.255.255.0，然后打开Web浏览器访问设备的标准界面https://192.168.0.1:8443/。 配置Bypass接口对。 选择“网络 > 接口”。 单击GE0/0/20对应的，按照下图所示配置接口。 单击GE0/0/21对应的，按照下图所示配置接口。 选择“网络 > 接口对”。 单击“新建”，按照下图所示配置接口对，并单击“确定”。 配置云端管理接口。 GE0/0/3默认为二层接口，请按照如下方式配置成三层接口。 选择“网络 > 接口”。 单击GE0/0/3对应的，按照如下参数配置接口。 安全区域 untrust 模式 路由 IPv4 IP地址 172.16.10.10/24 配置云端管理接口的静态路由。 选择“网络 > 路由 > 静态路由”。 单击“静态路由列表”区域下的“新建”，添加静态路由。下一跳配置为网关地址。 配置漏洞扫描和云日志审计接口。 已购买漏洞扫描服务或云日志审计服务时需要执行本步骤。 GE0/0/2默认为二层接口，请按照如下方式配置成三层接口。请保证区域2中上报日志的资产与此IP地址路由可达。 选择“网络 > 接口”。 单击GE0/0/2对应的，按照如下参数配置接口。 安全区域 trust 模式 路由 IPv4 IP地址 172.16.11.10/24 选择“系统 > 配置 > 时钟配置”，检查设备系统时间是否与当前时间一致，如果不一致，请调整设备系统时间，以保证云端能够精确掌握威胁事件的发生时间。 配置业务参数（边界防护与响应服务）。 加载License。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 选择“系统 > License管理”，“License激活方式”设置为“本地手动激活”。 单击“浏览”，选择本地PC中的的License文件，并单击“激活”。 选择“策略 > 安全策略 > 安全策略”，检查default策略的动作是否为“允许”，如果不是，单击策略名称default进入修改安全策略界面，将动作修改为“允许”。 确认安全策略已成功下发。 设备上线后，云端会部署套餐，需要2分钟左右，部署成功后安全策略会自动下发。 安全策略下发后，如图1所示。共有5条安全策略，其中default安全策略建议改回禁止，默认安全需要。 如果设备上只有“default”和“rule_iss_dns”安全策略，或只有“default”安全策略时，由云端自动下发安全策略。 如果设备上存在其他安全策略时，云端不会自动下发安全策略，此时请参考如何配置边界防护与响应服务需要的安全策略（USG6000E-C天关、USG6000E防火墙）自行完成配置。 图1 安全策略 选择“系统 > 升级中心”，单击下图所示的立即升级，升级“入侵防御特征库”和“反病毒特征库”。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（漏洞扫描服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表1 安全策略 服务 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 漏洞扫描服务 untrust-local untrust local any any udp：云端与防火墙之间建立VPN隧道。 tcp：对资产进行漏洞扫描。 允许 local-untrust local untrust any any any 允许 local-trust local trust any any tcp：对资产进行漏洞扫描。 允许 trust-local trust local any any tcp：对资产进行漏洞扫描。 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（云日志审计服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表2 安全策略 服务类型 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 云日志审计服务 trust-local trust local any any udp：资产上传日志到防火墙。 允许 local-untrust local untrust any any any 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。

漏洞影响 由于kube-apiserver中在升级请求的代理后端中允许将请求传播回源客户端，攻击者可以通过截取某些发送至节点kubelet的升级请求，通过请求中原有的访问凭据转发请求至其他目标节点，从而造成被攻击节点的权限提升漏洞。该漏洞为中危漏洞，CVSS评分为6.4。 如果有多个集群共享使用了相同的CA和认证凭证，攻击者可以利用此漏洞攻击其他集群，这种情况下该漏洞为高危漏洞。 对于此次漏洞的跨集群攻击场景，CCE集群使用了独立签发的CA，同时不同集群间认证凭据完全隔离，跨集群场景不受影响。

背景信息 在使用态势感知的主机漏洞扫描功能时，请参考如下使用流程： 添加主机：请在“漏洞扫描服务 > 资产列表”中完成。 主机授权：请在“态势感知 > 设置 > 通知设置 > 授权设置 > 主机授权”中完成。 启动扫描任务：请在“态势感知 > 设置 > 通知设置 > 扫描任务”中执行。请参考本章节执行。 查看主机漏洞扫描结果：请在“态势感知 > 漏洞管理 > 主机漏洞”中查看。 查看主机基线数据：请在“态势感知 > 检测结果”中查看。

Web-CMS漏洞 登录管理控制台。 在页面左上角选择“区域”，单击，选择“安全与合规 > 企业主机安全”，进入企业主机安全页面。 图5 企业主机安全 进入“Web-CMS漏洞管理”页面，如图6所示。 图6 查看Web-CMS漏洞检测结果 单击“漏洞名称”查看漏洞详情和受影响的服务器。 Web-CMS漏洞不支持一键修复功能，请根据界面提供的修复建议进行手动修复。 漏洞修复后，请手动执行漏洞检测查看漏洞修复结果。若您未进行手动验证，主机防护每日凌晨进行全量检测，您修复后需要等到次日凌晨检测后才能查看修复结果。 单击“忽略”，您可忽略该漏洞，HSS将不再上报并告警此服务器上的这个漏洞。 图7 漏洞详细信息 图8 受影响的服务器

修订记录 发布日期 修改说明 2022-06-30 第十三次正式发布。 下线主机安全“基础版（免费）”最佳实践。 2022-05-16 第十二次正式发布。 下线防御勒索病毒最佳实践。 2021-07-08 第十一次正式发布。 服务入口刷新。 2021-05-17 第十次正式发布。 新增6-主机安全“基础版（免费）”最佳实践。 2020-12-30 第九次正式发布。 5-防御勒索病毒最佳实践，新增Linux系统勒索病毒防护。 2020-10-15 第八次正式发布。 新增Git用户凭证泄露漏洞（CVE-2020-5260）。 新增5-防御勒索病毒最佳实践。 2020-06-19 第七次正式发布。 优化快速提升主机安全性。 删除“精准定位非法进程”，功能重构。 2020-05-08 第六次正式发布。 新增SaltStack远程命令执行漏洞（CVE-2020-11651/CVE-2020-11652）。 2020-04-26 第五次正式发布。 新增OpenSSL高危漏洞（CVE-2020-1967）。 新增Adobe Font Manager库远程代码执行漏洞（CVE-2020-1020/CVE-2020-0938）。 新增Windows内核特权提升漏洞（CVE-2020-1027）。 2020-04-09 第四次正式发布。 新增“精准定位非法进程”。 2020-02-12 第三次正式发布。 新增Windows CryptoAPI欺骗漏洞（CVE-2020-0601）。 2020-01-22 第二次正式发布。 2019-11-25 第一次正式发布。

None 如何使用漏洞扫描服务 漏洞扫描服务（Vulnerability Scan Service，简称VSS）是针对网站进行漏洞扫描的一种安全检测服务，目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。 用户新建任务后，即可人工触发扫描任务，检测出网站的漏洞并给出漏洞修复建议。 本指南指导您快速上手漏洞扫描服务。 Step1 购买漏洞扫描服务 步骤 ① 登录华为云控制台。在控制台页面中选择“安全> 漏洞扫描服务”。 ② 单击“升级规格”，进入购买页面，选择计费模式、服务版本、购买时长和扫描包数量。 说明 漏洞扫描服务提供基础版、专业版、高级版和企业版扫描服务，基础版可免费使用，但是功能和规格受限，专业版、高级版和企业版需付费，具体功能和规格对比参见版本功能规格说明了解详情。 了解详细步骤 1 选择漏洞扫描服务 2 购买漏洞扫描服务 单击图片可查看原图 Step2 新增域名 步骤 ① 在左侧导航树中，选择“资产列表”，在域名列表的左上角，单击“新增域名”。 ② 域名信息配置，填写域名名称和“域名/IP地址”。 ③ 按照界面提示完成域名认证，域名认证成功后，单击“完成认证”，完成网站设置。 说明 ① 可添加的域名个数，由您购买的域名配额数决定，若域名配额数不够，可域名配额扩容。 ② 如果待检测站点的服务器搭建在华为云上，且该服务器是您当前登录账号的资产，您可以选择“一键认证”按钮进行快速认证。 了解详细步骤 1 新增域名 2 编辑域名信息 3 域名认证 单击图片可查看原图 Step3 创建扫描任务 步骤 ① 域名认证成功后，在目标域名的“操作”列，单击“扫描”。 ② 填写域名信息，设置开始扫描时间，选择扫描模式。 ③ 扫描项设置。根据需要，打开需要扫描的检测项。 说明 如果您目前为基础版，只是需要享受单次专业版扫描服务，请打开“是否将本次扫描升级为专业版规格”开关。 了解详细步骤 1 单击扫描 2 填写扫描信息 3 扫描项设置 单击图片可查看原图 Step4 查看扫描结果 步骤 ① 在目标域名所在行的“上一次扫描结果”列，单击分数，进入扫描结果界面。 ② 单击“下载报告”，查看详细的检测报告。 ③ 分别查看扫描项总览、漏洞列表、内容风险列表、端口列表、站点结构。 说明 基础版不支持下载报告功能，为了更好的防护您的资产，建议您购买专业版或者企业版漏洞扫描服务。 了解详细步骤 1 单击分数 2 下载报告 3 分别查看扫描结果 单击图片可查看原图 相关操作指导 视频小图标 Created with Sketch. 域名认证

背景信息 在使用态势感知的主机漏洞扫描功能时，请参考如下使用流程： 添加主机：请在“漏洞扫描服务 > 资产列表”中完成。 主机授权：请在“态势感知 > 设置 > 通知设置 > 授权设置 > 主机授权”中完成。 启动扫描任务：请在“态势感知 > 设置 > 通知设置 > 扫描任务”中执行。请参考本章节执行。 查看主机漏洞扫描结果：请在“态势感知 > 漏洞管理 > 主机漏洞”中查看。 查看主机基线数据：请在“态势感知 > 检测结果”中查看。

文档数据库服务与自建数据库的对比优势 与自建数据库相比，文档数据库服务 DDS具有高可用、高可靠、高安全、低成本等优势。 表1 对比优势 对比项 文档数据库服务 自建数据库 服务可用性 99.95% 自行保障，自行搭建主从复制，部署高可用环境等。 数据持久性 99.9999999% 自行保障，自行搭建主从复制，自建RAID等。 系统安全性 防DDoS攻击，及时自动修复各种数据库安全漏洞。 支持审计日志。 需要购买昂贵的硬件设备和软件服务，自行检测和修复安全漏洞等。 需要购买额外审计系统。 数据库备份 支持自动备份，根据业务运行周期设置自动备份策略。 支持随时手动备份数据，手动备份支持物理备份，备份效率提升3倍。 备份文件自动上传到对象存储服务（Object Storage Service，简称OBS）保存。 自行搭建设置和后期维护。 开源版本仅支持逻辑备份，备份效率低。 监控告警 已对接云监控服务（Cloud Eye），监控可视化，可在Cloud Eye上查看一段时间内的监控指标，以及设置阈值告警。 自行编写监控脚本和告警脚本，保存监控数据和绘制图表。 主机托管 无主机托管费用，即买即用。 自行购买3台服务器设备，托管费用昂贵。 维护成本 无额外运维成本，支持秒级性能监控和设置阈值告警、事件告警。 需要投入大量人力成本，招聘专业的DBA进行维护。 部署扩容 快速部署，灵活应用，支持弹性扩容，一键规格变更。 需要购买和原设备匹配的硬件，需托管机房的配合，需部署设备，整体周期较长。 日志转储 支持保留1个月的慢日志和错误日志。 自行转储日志文件，自行导出和查询日志信息。 高可用监控 具备高可用能力，支持秒级Switchover和Failover。 自行部署高可用监控，手工命令行执行主备切换，可能会有数据丢失。

功能总览 功能总览 全部 主机安全服务 资产指纹管理 基线检查 漏洞管理 容器镜像安全 应用防护 入侵检测 未防护资产的免费体检 恶意程序隔离查杀 勒索病毒防护 文件隔离箱管理 文件完整性管理 自定义安全策略 动静态网页防篡改 特权进程可修改防篡改文件 双因子认证 SSH登录IP白名单 常用登录地/IP 告警白名单管理 告警通知 主机分类管理 订阅安全报告 Agent批量安装 主机安全服务 主机安全服务（Host Security Service，HSS）是以工作负载为中心的安全产品，旨在解决现代混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。它集成了主机安全、容器安全和网页防篡改。 发布区域：全部。 HSS版本功能特性 应用场景 资产指纹管理 可深度扫描出主机中的账号、端口、进程、Web目录、软件信息和自启动任务，在“资产管理”界面，您可以统一管理主机中的信息资产。 发布区域：全部。 查看资产指纹详情 历史变动记录 基线检查 HSS提供基线检查功能，主动检测主机中的口令复杂度策略，关键软件中含有风险的配置信息，并针对所发现的风险为您提供修复建议，帮助您正确地处理服务器内的各种风险配置信息。 发布区域：全部。 查看基线检查详情 管理基线检查策略 基线检查风险修复建议 漏洞管理 HSS提供漏洞管理功能，检测Linux漏洞、Windows漏洞、Web-CMS漏洞、应用漏洞，提供漏洞概览，包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5，帮助您实时了解主机漏洞情况。 发布区域：全部。 查看漏洞详情 漏洞修复与验证 容器镜像安全 扫描镜像仓库与正在运行的容器镜像，发现镜像中的漏洞、恶意文件等并给出修复建议，帮助您得到一个安全的镜像。 发布区域：全部。 容器镜像漏洞 镜像恶意文件 镜像基线检查 应用防护 为运行时的应用提供安全防御。您无需修改应用程序文件，只需将探针注入到应用程序，即可为应用提供强大的安全防护能力。 当前只支持操作系统为Linux的服务器，且仅支持Java应用接入。 发布区域：全部。 开启应用防护 应用防护管理 关闭应用防护 入侵检测 HSS支持账户暴力破解、进程异常、网站后门、异常登录、恶意进程等入侵检测能力，用户可通过事件管理全面了解入侵检测告警事件，帮助用户及时发现资产中的安全威胁、实时掌握资产的安全状态。 企业主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况，包括存在告警的服务器、待处理告警事件、未处理告警事件、已拦截IP和已隔离文件。 事件管理列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，对告警进行“手动处理”、“忽略”、”加入告警白名单”或者“隔离查杀”，自行判断并处理告警，快速清除资产中的安全威胁。 发布区域：全部。 查看和处理入侵告警事件 主机安全告警事件概述 容器安全告警事件概述 查看和处理容器告警事件 未防护资产的免费体检 对未开启防护的主机提供每周一次的免费扫描体检，针对频繁出现的漏洞、口令、资产风险生成安全报告供查看。 发布区域：全部。 未防护资产的免费体检 恶意程序隔离查杀 HSS采用先进的AI、机器学习等技术，并集成多种杀毒引擎，深度查杀主机中的恶意程序。 开启“恶意程序隔离查杀”后，HSS对识别出的后门、木马、蠕虫等恶意程序，提供自动隔离查杀功能，帮助用户自动识别处理系统存在的安全风险。 若未开启“恶意程序隔离查杀”功能，则HSS检测到恶意程序时，不会自动隔离查杀，仅会触发告警。您可以在“入侵检测”的“事件管理”中，查看“恶意程序（云查杀）”中的告警信息，并对恶意程序手动执行“隔离查杀”。 发布区域：全部。 开启恶意程序隔离查杀 仅旗舰版支持 勒索病毒防护 实时监控全盘新增文件及运行中的进程，有效把控新增文件的风险，动态生成诱饵文件进行主动诱捕，精准识别勒索软件，同时可自定义策略对服务器进行定期备份。 发布区域：全部。 开启勒索病毒防护 防护策略管理 关闭防护管理 仅旗舰版支持 文件隔离箱管理 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中，无法对主机造成威胁。被成功隔离的文件一直保留在文件隔离箱中，您也可以根据自己的需要进行一键恢复。 发布区域：全部。 管理文件隔离箱 仅旗舰版支持 文件完整性管理 文件完整性管理可以检查操作系统、应用程序软件和其他组件的文件，确定它们是否发生了可能遭受攻击的更改，同时，能够帮助用户通过PCI-DSS等安全认证。文件完整性管理功能是使用对比的方法来确定当前文件状态是否不同于上次扫描该文件时的状态，利用这种对比来确定文件是否发生了有效或可疑的修改。 文件完整性管理会验证Linux文件的完整性，并管理针对文件执行的活动，包括： 1、文件的创建与删除。 2、文件的修改（文件大小、访问控制列表和内容哈希的更改）。 发布区域：全部。 查看云服务器变更详情 查看历史变更文件 仅旗舰版支持 自定义安全策略 HSS旗舰版提供灵活的策略管理能力，用户可以根据需要自定义安全检测规则，并可以为不同的主机组或主机应用不同的策略，以满足不同应用场景的主机安全需求。 发布区域：全部。 查看策略组 创建策略组 修改策略内容 仅网页防篡改版支持 动静态网页防篡改 静态网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 支持对Windows和Linux进程添加白名单。网页防篡改功能将不对加入白名单的进程进行拦截。 动态网页防篡改提供tomcat应用运行时自我保护，能够检测针对数据库等动态数据的篡改行为。 发布区域：全部。 定时开启网页防篡改 开启动态网页防篡改 查看网页防篡改报告 仅网页防篡改版支持 特权进程可修改防篡改文件 开启网页防篡改防护后，防护目录中的内容是只读状态，如果您需要修改防护目录中的文件或更新网站，可以添加特权进程。 通过这个特权进程去修改防护目录里的文件或者更新网站，修改才会生效。若没有添加特权进程 ，网页防篡改仅防护原来的文件或者网站，即使修改了内容，文件或者网站也会恢复到原来的状态，修改不会生效。 特权进程可以访问被防护的目录，请确保特权进程安全可靠。 发布区域：全部。 添加防护目录 双因子认证 双因子认证功能是一种双因素身份验证机制，结合短信/邮箱验证码，对云服务器登录行为进行二次认证，极大地增强云服务器账户安全性。 开启双因子认证功能后，登录弹性云服务器时，主机安全服务将根据绑定的“消息通知服务主题”验证登录者的身份信息。 发布区域：全部。 开启双因子认证 SSH登录IP白名单 SSH登录IP白名单功能是防护账户爆破的一个重要方式，主要是限制需要通过SSH登录的服务器。 配置了白名单的服务器，只允许白名单内的IP通过SSH登录到服务器，拒绝白名单以外的IP： 1、启用该功能时请确保将所有需要发起SSH登录的IP地址都加入白名单中，否则您将无法SSH远程登录您的服务器。 若您的业务需要访问主机，但不需要SSH登录，则可以不用添加到白名单。 2、IP加入白名单后，账户破解防护功能将不再对来自白名单中的IP登录行为进行拦截，该IP对您加入白名单的服务器登录访问将不受任何限制，请谨慎操作。 发布区域：全部。 配置SSH登录IP白名单 常用登录地/IP 配置常用登录地/IP后，企业主机安全服务将对非常用地/IP登录主机的行为进行告警。每个主机可被添加在多个登录地中。 发布区域：全部。 配置常用登录地 配置常用登录IP 告警白名单管理 可以通过加入告警白名单避免大量告警误报的发生，提升安全事件告警质量。将当前告警事件加入告警白名单后，当再次发生相同的告警时不再进行告警。 发布区域：全部。 配置登录白名单 管理告警白名单 告警通知 开启告警通知功能后，您能接收到企业主机安全服务发送的告警通知，及时了解主机/网页内的安全风险。否则，无论是否有风险，您都只能登录管理控制台自行查看，无法收到报警信息。 告警通知设置仅在当前区域生效，若需要接收其他区域的告警通知，请切换到对应区域后进行设置。 发布区域：全部。 开启告警通知 主机分类管理 您可以创建服务器组，并将主机分配到服务器组，将主机进行分类管理。 您户可以根据创建的服务器组，查看该服务器组内的服务器数量、有风险服务器的数量、以及未防护的服务器数量。 发布区域：全部。 管理服务器组 订阅安全报告 主机安全支持订阅日报、周报、月报和自定义，展现不同周期主机安全趋势以及关键安全事件与风险，订阅报告将为您保存6个月，以满足等保测评以及审计的需要。 订阅主机安全报告 创建安全报告 Agent批量安装 指导您完成服务器Agent的批量安装操作，创建批量安装后系统将自动执行Agent安装操作，安装后才可以对目标服务器开启防护。 发布区域：全部。 批量安装Agent

检测与修复建议 华为云企业主机安全服务提供了对该漏洞的便捷检测与修复。 在需要检测与修复的云主机上，已安装企业主机安全客户端（Agent），并开启防护。 登录管理控制台。 在页面左上角选择“区域”，单击，选择“安全与合规 > 企业主机安全”，进入企业主机安全页面。 图1 企业主机安全 单击左侧“主机管理”，在云服务器列表中，单击Windows操作系统主机所在行的“查看详情”，如图2所示。 图2 查看详情 在详情页面，单击“漏洞管理 > Windows系统漏洞 > 手动检测”检测主机存在的漏洞，如图3所示。 图3 手动检测漏洞 检测完成后，可查看“解决方案”所在列的修复建议，根据修复建议修复漏洞。 修复过程需要花费一段时间，修复完成后，请重启云主机使补丁生效。 重启云主机后，再次单击“手动检测”，验证该漏洞是否修复成功。 您也可以通过在企业主机安全服务中，选择“漏洞管理 > Windows系统漏洞管理”页签，进入漏洞管理页面，在漏洞列表右上角，输入漏洞名称。查看并修复该漏洞。 Windows Server 2019：KB4534273 Windows Server 2016：KB4534271

注意事项 当有对应的小版本更新时（定期同步开源社区问题、漏洞修复），请及时手动立即升级或者设置可维护时间段升级小版本。 升级数据库内核小版本会重启RDS for MySQL实例，服务可能会出现闪断，请您尽量在业务低峰期执行该操作，或确保您的应用有自动重连机制。 如果主备实例在同一个AZ，升级内核小版本会触发一次主备倒换；如果主备实例在不同AZ，则会触发两次主备倒换。 升级主实例小版本时，如有只读实例，也会同步升级只读实例的小版本，升级完成会重启实例，请您选择合适的时间升级（不支持单独升级只读实例的小版本）。 升级内核小版本时，如果RDS实例为DRS任务的源端，DRS可能会拉取不到RDS实例的日志；如果RDS实例为DRS任务的目标端，DRS可能会写不进目标库。 建议您在升级内核小版本前先确认RDS实例Binlog的保留时间： 如果Binlog在保留时间内，待内核小版本升级完成后，DRS任务会自动重启。 如果Binlog不在保留时间内，您需要重新配置或创建DRS任务。 升级内核小版本后，实例会升级到新的内核小版本，无法降级。如果升级失败，将会自动回退到原版本。 小版本升级过程中禁止event的ddl操作，如create event、drop event和alter event。

操作步骤 登录华为乾坤云服务控制台，选择“ > 我的服务 > 漏洞扫描服务”。 在右上角菜单栏选择“漏洞扫描”。 单击漏洞名称，查看漏洞详情。漏洞详情包括但不限于漏洞优先级评分、漏洞处置建议和关联资产。漏洞优先级评分越高的漏洞，请优先修复。 支持按照漏洞名称、漏洞编号、资产IP或URL等参数进行搜索，其中资产IP支持模糊匹配。 图1 漏洞详情 您可以将鼠标悬停在关键参数旁图标上查看对应说明。 您可以参考漏洞处置中的修复建议，手动修复漏洞。 您可以了解到哪些资产与该漏洞存在关联。

功能特性说明 主机安全服务包含了资产管理、基线检查、勒索防护、入侵检测等功能特性，每一个功能都从不同维度提升主机的安全性，全方位保证主机的安全可靠，不同版本支持的功能详情请参见版本功能差异说明。 表1 主机安全服务功能特性说明 功能名称 功能描述 资产管理 可深度扫描出主机中的账号、端口、进程、Web目录、软件信息和自启动任务，在“资产管理”界面，您可以统一管理主机中的信息资产。 漏洞管理 提供检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞、应用漏洞，帮助用户识别潜在风险。 基线检查 扫描主机系统和关键软件含有风险的配置、弱口令、口令复杂度策略。 支持的检测基线包含安全实践和等保合规基线。 容器镜像安全 扫描镜像仓库与正在运行的容器镜像，发现镜像中的漏洞、恶意文件等并给出修复建议，帮助用户得到一个安全的镜像。 应用防护 为运行时的应用提供安全防御。您无需修改应用程序文件，只需将探针注入到应用程序，即可为应用提供强大的安全防护能力。 应用防护目前仅支持Java应用接入。 网页防篡改 实时发现并拦截篡改指定目录下文件的行为，并快速获取备份的合法文件恢复被篡改的文件，从而保护网站的网页、电子文档、图片等文件不被黑客篡改和破坏。 勒索病毒防护 实时监控全盘新增文件及运行中的进程，有效把控新增文件的风险，动态生成诱饵文件进行主动诱捕，精准识别勒索软件，同时可自定义策略对服务器进行定期备份。 文件完整性管理 检查Linux系统、应用程序软件和其他组件的文件，帮助用户及时发现发生了可能遭受攻击的更改。 主机入侵检测 识别并阻止入侵主机的行为，实时检测主机内部的风险异变，检测并查杀主机中的恶意程序，识别主机中的网站后门等。 容器入侵检测 实时监控容器节点运行状态，发现挖矿、勒索等恶意程序，发现违反容器安全策略的进程运行和文件修改，以及容器逃逸等行为并给出解决方案。 白名单管理 可以通过加入告警白名单避免大量告警误报的发生，提升安全事件告警质量。将当前告警事件加入告警白名单后，当再次发生相同的告警时不再进行告警。 策略管理 提供灵活的策略管理能力，可以根据需要自定义安全检测规则，并可以为不同的主机组或主机/容器应用不同的策略，以满足不同应用场景的主机/容器安全需求。 安全配置 提供配置常用登录地、常用登录IP、SSH登录IP白名单，恶意程序自动隔离查杀功能，满足不同应用场景的主机/容器安全需求。 漏洞类告警详情请参见漏洞管理。 资产类风险告警详情请参见基线检查。 容器镜像类漏洞、告警详情请参见容器镜像安全。 主机及容器防护、防御类告警详情请参见安全告警事件。

漏洞公告 漏洞修复策略 Kubernetes安全漏洞公告（CVE-2022-3172） Linux Kernel openvswitch 模块权限提升漏洞预警（CVE-2022-2639） ingress-nginx插件安全漏洞预警公告（CVE-2021-25748） nginx-ingress插件安全漏洞预警公告（CVE-2021-25745，CVE-2021-25746） ContainerD 容器进程权限提升漏洞公告（CVE-2022-24769） CRI-O容器运行时引擎任意代码执行漏洞（CVE-2022-0811） linux内核导致的容器逃逸漏洞公告（CVE-2022-0492） containerd镜像Volume非安全处理漏洞公告（CVE-2022-23648） Linux内核整数溢出漏洞（CVE-2022-0185） Linux Polkit 权限提升漏洞预警（CVE-2021-4034） kubernetes subpath符号链接交换安全漏洞（CVE-2021- 25741） runc符号链接挂载与容器逃逸漏洞预警公告（CVE-2021-30465） Docker资源管理错误漏洞公告（CVE-2021-21285） NVIDIA GPU驱动漏洞公告（CVE-2021-1056） Sudo缓冲区错误漏洞公告（CVE-2021-3156） Kubernetes安全漏洞公告（CVE-2020-8554） Apache containerd安全漏洞公告（CVE-2020-15257） Docker Engine输入验证错误漏洞公告（CVE-2020-13401） Kubernetes kube-apiserver输入验证错误漏洞公告（CVE-2020-8559） Kubernetes kubelet资源管理错误漏洞公告（CVE-2020-8557） Kubernetes kubelet和kube-proxy授权问题漏洞公告（CVE-2020-8558） 修复Kubernetes HTTP/2漏洞公告 修复Linux内核SACK漏洞公告 修复Docker操作系统命令注入漏洞公告（CVE-2019-5736） 全面修复Kubernetes权限许可和访问控制漏洞公告（CVE-2018-1002105） 修复Kubernetes Dashboard安全漏洞公告（CVE-2018-18264）

漏洞扫描服务-成长地图 | 华为云 漏洞扫描服务 漏洞扫描服务（Vulnerability Scan Service）是针对网站进行漏洞扫描的一种安全检测服务，目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。用户新建任务后，即可人工触发扫描任务，检测出网站的漏洞并给出漏洞修复建议。 产品介绍 图说VSS 立即使用 成长地图 由浅入深，带您玩转VSS 01 了解 了解华为云漏洞扫描服务的功能特性和应用场景，有助于您更准确地匹配实际业务，更快速地使用VSS。 产品介绍 什么是VSS 功能特性 产品优势 应用场景 03 入门 您可以参照VSS操作指引，快速使用VSS。 快速上手 操作指引 如何使用漏洞扫描服务 05 实践 如果您的网站除了需要账号密码登录，还有其他的访问机制（例如，需要输入动态验证码），请您设置“cookie登录”方式进行网站漏洞扫描，以便VSS能为您发现更多安全问题。 网站漏洞扫描 扫描具有复杂访问机制的网站漏洞 02 购买 漏洞扫描服务提供了基础版、专业版、高级版和企业版四种服务版本。其中，基础版配额内的服务免费，部分功能按需计费；专业版、高级版和企业版需要收费。 服务规格 服务版本 计费方式 价格详情 快速购买 购买漏洞扫描服务 域名配额扩容 04 使用 根据业务发展需要，您可以随时添加域名、创建扫描任务。除此之外，您还可以根据VSS的漏洞修复意见修复漏洞，更好的保护您的网站和服务器安全。 常用操作 添加域名 域名认证 新增监测任务 下载扫描报告 网站扫描 网站登录设置 创建扫描任务 查看网站扫描详情 安全监测 查看安全监测列表 查看安全监测任务详情 通知设置 常见问题 了解更多常见问题、案例和解决方案 热门案例 漏洞扫描服务能修复扫描出来的漏洞吗？ 创建网站扫描任务或重启任务不成功时如何处理？ 漏洞扫描服务和传统的漏洞扫描器有什么区别？ 漏洞扫描服务如何收费？ 漏洞扫描服务支持扫描哪些漏洞？ 主机扫描支持哪些区域？ 对扫描出的漏洞执行“忽略”操作有什么影响？ 漏洞扫描报告模板包括哪些内容？ 使用“一键认证”有什么要求？ 物理服务器可以使用漏洞扫描服务吗？ 更多 网站扫描 使用“一键认证”有什么要求？ 创建任务时为什么总是提示域名格式错误？ 为什么域名认证失败？ 为什么执行下载认证文件操作后没有看到下载的认证文件？ 为什么任务扫描中途就自动取消了？ 如何将认证文件上传到网站根目录？ 更多 扫描任务 扫描任务有哪些状态？ 扫描任务的得分是如何计算的？ 为什么扫描任务自动登录失败了？ 更多 故障案例 创建网站扫描任务或重启任务不成功时如何处理？ 如何解决网站扫描失败报连接超时的问题？ 更多 技术专题 技术、观点、课程专题呈现 云享专家知识推荐 分享技术书籍、常用工具等，帮助您了解技术，提升能力 漏洞扫描服务课程学习 通过本课程的学习，了解企业版漏洞扫描的特性、解决方案等，并掌握其使用方法 跟唐老师学习云网络 唐老师将自己对网络的理解分享给大家 智能客服 您好！我是有问必答知识渊博的的智能问答机器人，有问题欢迎随时求助哦！ 社区求助 华为云社区是华为云用户的聚集地。这里有来自容器服务的技术牛人，为您解决技术难题。

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 total_num Long 总数 data_list Array of VulInfo objects 软件漏洞列表 表5 VulInfo 参数 参数类型 描述 vul_name String 漏洞名称 vul_id String 漏洞ID label_list Array of strings 漏洞标签 repair_necessity String 修复必要性 severity_level String 漏洞级别 host_num Integer 受影响服务器台数 unhandle_host_num Integer 未处理服务器台数 scan_time Long 最近扫描时间 solution_detail String 解决方案 url String URL链接 description String 漏洞描述 type String 漏洞类型，包含如下： -linux_vul : linux漏洞 -windows_vul : windows漏洞 -web_cms : Web-CMS漏洞 host_id_list Array of strings 主机列表

2022年3月 序号 功能名称 功能描述 阶段 相关文档 1 漏洞扫描服务 漏洞扫描 资产评估 商用 漏洞扫描 2 云日志审计服务 日志采集/解析/存储 日志查询 审计资产管理 日志审计统计数据可视化 商用 云日志审计 3 安全重保解决方案 边界防护与响应服务 漏洞扫描服务 重保威胁信息 商用 安全重保解决方案 4 等保合规解决方案 边界防护与响应服务 漏洞扫描服务 云日志审计服务 商用 等保合规解决方案 5 云管理网络 网络规划与设计 站点管理 网络健康360 用户体验360 智能调优360 公测 云管理网络

文档数据库服务与自建数据库的对比优势 与自建数据库相比，文档数据库服务 DDS具有高可用、高可靠、高安全、低成本等优势。 表1 对比优势 对比项 文档数据库服务 自建数据库 服务可用性 99.95% 自行保障，自行搭建主从复制，部署高可用环境等。 数据持久性 99.99999999% 自行保障，自行搭建主从复制，自建RAID等。 系统安全性 防DDoS攻击，及时自动修复各种数据库安全漏洞。 支持审计日志。 需要购买昂贵的硬件设备和软件服务，自行检测和修复安全漏洞等。 需要购买额外审计系统。 数据库备份 支持自动备份，根据业务运行周期设置自动备份策略。 支持随时手动备份数据，手动备份支持物理备份，备份效率提升3倍。 备份文件自动上传到对象存储服务（Object Storage Service，简称OBS）保存。 自行搭建设置和后期维护。 开源版本仅支持逻辑备份，备份效率低。 监控告警 已对接云监控服务（Cloud Eye），监控可视化，可在Cloud Eye上查看一段时间内的监控指标，以及设置阈值告警。 自行编写监控脚本和告警脚本，保存监控数据和绘制图表。 主机托管 无主机托管费用，即买即用。 自行购买3台服务器设备，托管费用昂贵。 维护成本 无额外运维成本，支持秒级性能监控和设置阈值告警、事件告警。 需要投入大量人力成本，招聘专业的DBA进行维护。 部署扩容 快速部署，灵活应用，支持弹性扩容，一键规格变更。 需要购买和原设备匹配的硬件，需托管机房的配合，需部署设备，整体周期较长。 日志转储 支持保留1个月的慢日志和错误日志。 自行转储日志文件，自行导出和查询日志信息。 高可用监控 具备高可用能力，支持秒级Switchover和Failover。 自行部署高可用监控，手工命令行执行主备切换，可能会有数据丢失。

修订记录 发布日期 修改说明 2022-09-09 第五十五次正式发布。 优化DBA智能运维-MySQL实例的全量SQL洞察章节。 2022-08-16 第五十四次正式发布。 DBA智能运维-MySQL实例的全量SQL洞察章节新增全量SQL审计内容。 2022-08-05 第五十三次正式发布。 优化Microsoft SQL Server数据库管理的账号管理内容。 2022-07-29 第五十二次正式发布。 新增支持审计的关键操作列表。 新增查看追踪事件。 优化MySQL数据库管理的账号管理内容。 2022-07-11 第五十一次正式发布。 TOP SQL页签新增按时间段查看SQL列表等内容。 2022-07-04 第五十次正式发布。 优化DBA智能运维-GaussDB(for openGauss)实例的功能面介绍章节。 2022-06-29 第四十九次正式发布。 全量SQL洞察章节新增TOP SQL等内容。 2022-06-7 第四十八次正式发布。 SQL限流章节优化前提条件，新增使用须知。 2022-03-11 第四十六次正式发布。 全量SQL洞察增加导出功能的说明内容。 2022-02-22 第四十五次正式发布。 DBA智能运维-MySQL实例的SQL限流章节新增前提条件。 2022-02-07 第四十四次正式发布。 导入章节增加约束限制。 2021-11-22 第四十二次正式发布。 新增全量SQL洞察的使用须知。 2021-11-19 第四十一次正式发布。 优化慢SQL和全量SQL的计费说明。 2021-11-08 第四十次正式发布。 开发工具模块中的表结构对比与同步、数据追踪与回滚、测试数据生成、DBA智能运维服务功能以及DBA智能运维模块中的空间、参数智能推荐、SQL诊断、历史事务、Binlog解析功能变为存量运营。 2021-06-08 第三十九次正式发布。 新增新建索引、修改索引、删除索引三个章节。 新建索引增加未勾选background选项警告功能。 2021-5-25 第三十八次正式发布。 修改数据库安全设置，新增账户。 新增账号管理章节。 2021-04-19 第三十七次正式发布。 刷新创建用户并授权使用DAS相关描述。 2021-04-12 第三十六次正式发布。 版本变更，更换名称。 2021-02-02 第三十五次正式发布。 企业流程审批刷新关于企业流程审批用户的说明。 2020-12-30 第三十四次正式发布。 MySQL和GaussDB(for MySQL)新增定时备份特性。 DBA智能运维新增SQL限流特性。 企业流程审批刷新SQL变更章节。 2020-11-17 第三十三次正式发布。 GaussDB(for openGauss)支持结果集导出、GaussDB(for openGauss)管控面支持逻辑导入导出。 2020-11-02 第三十二次正式发布。 企业流程审批新增支持DDM实例的说明。 2020-10-13 第三十一次正式发布。 增加控制台中有关登录数据库实例列表的说明。 2020-09-27 第三十次正式发布。 刷新权限管理内容、优化GaussDB(for MySQL)数据库章节DBA智能运维内容。 2020-07-27 第二十九次正式发布。 DAS新增企业流程审批大数据导入、数据导出特性，支持GaussDB(for MySQL)实例。 2020-05-30 第二十八次正式发布。 DAS提供企业流程审批，为您提供数据保护、变更审核、操作审计、研发自助化等数据库DevOPS平台，帮助企业实现大规模数据库下的标准化、规范化、高效率、超安全的管理手段。 2020-05-15 第二十七次正式发布。 DAS提供细粒度权限，添加相关内容介绍及操作指导。 2020-04-26 第二十六次正式发布。 DAS为您提供可视化的GeminiDB for cassandra 3.11实例管理界面，方便进行GeminiDB for cassandra 3.11数据库数据管理。 2020-04-24 第二十五次正式发布。 DAS支持对GaussDB(for MySQL)版本的实例进行DBA智能运维运维管控。 2020-04-21 第二十四次正式发布。 DAS对于MySQL和GaussDB(for MySQL)数据库引擎，主备库均支持导出数据库和导出SQL结果集。 2020-04-10 第二十三次正式发布。 DAS为您提供可视化的DDM实例管理界面，方便进行DDM数据库数据管理。 2020-03-20 第二十二次正式发布。 丰富DBA智能运维运维功能，够快速定位出数据库运行中的每一个问题、提前发现潜在风险点。 提高新增支持全量SQL洞察、内存参数设置诊断等特性。 2020-03-18 第二十一次正式发布。 优化控制台DBA智能运维慢SQL、实时会话&性能等特性。 2020-03-09 第十九次正式发布。 DAS全面升级为2.0界面，详见命令操作、命令执行记录、集合管理、视图管理、用户管理等。 2020-03-02 第十八次正式发布。 优化实时会话&性能、全量SQL、慢SQL内容。 2020-02-20 第十七次正式发布。 DAS支持GaussDB(for MySQL)数据库管理。 2020-01-16 第十六次正式发布。 在数据管理服务信息页面，新增DBA智能运维会话管理、实时性能等特性入口。 2020-01-03 第十五次正式发布。 Microsoft SQL Server数据管理新版升级。 2019-12-19 第十四次正式发布。 MySQL支持部分实例进行最优智能参数推荐功能，以及适配优化项。 2019-10-30 第十三次正式发布。 DAS支持开通高级版。 2019-10-10 第十二次正式发布。 支持MySQL8.0版本。 2019-09-10 第十一次正式发布。 新增支持GaussDB引擎数据管理。 2019-08-23 第十次正式发布。 MySQL引擎新版本支持数据追踪与回滚特性。 新增支持数据结构对比与同步。 新增任务调度。 2019-08-05 第九次正式发布。 数据管理服务支持PostgreSQL。 2019-07-02 第八次正式发布。 数据管理服务MySQL引擎支持2.0新版本。 2019-04-02 第七次正式发布。 数据管理服务支持管理文档数据库服务。 支持数据库管理、集合管理、视图管理。 MySQL类型数据库管理方面新增特性： 支持SQL诊断DDL语句查看和反馈功能，自动生成测试数据支持100W级。 Microsoft SQL Server类型数据库管理方面新增特性： 支持会话管理功能、批量导出功能。 以及其他数据管理服务优化点。 2019-02-18 第六次正式发布。 ECS自建库管理新增支持Microsoft SQL Server类型数据库。 MySQL类型数据管理新增功能点： 支持表维护、支持SQL模板、支持InnoDB锁状态查询。 以及其他小的优化项。 2018-12-21 第五次正式发布。 数据管理服务新增支持ECS自建库管理。 数据管理服务首页新增数据库总体状态信息。 MySQL类型数据库新增功能点： 支持Binlog查询功能。 Microsoft SQL Server类型数据库新增功能点： 支持存储过程管理、函数管理、触发器管理。 2018-11-13 第四次正式发布。 MySQL类型数据库新增功能点： 事件管理功能。 存储过程管理功能。 函数管理功能。 查看已保存的SQL。 Microsoft SQL Server类型数据库新增功能点： 用户管理功能。 查看已保存的SQL。 以及其他小的优化项。 2018-09-14 第三次正式发布。 MySQL类型数据库新增触发器管理功能。 增加导出数据库结构功能。 增加导出表结构。 增加导出视图结构。 增加导出MySQL类型数据库的触发器结构。 增加查看表详情信息。 以及修改连接信息时，新增“设置密码为空”、SQL窗口首次执行SQL语句后，自动创建SQL连接等功能。 2018-08-07 第二次正式发布。 数据管理服务新增支持Microsoft SQL Server引擎。 数据管理服务新增执行计划业务功能。 MySQL引擎支持数据导入与导出功能。 2018-06-25 第一次正式发布。

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 total_num Long 总数 data_list Array of VulInfo objects 软件漏洞列表 表5 VulInfo 参数 参数类型 描述 vul_name String 漏洞名称 vul_id String 漏洞ID label_list Array of strings 漏洞标签 repair_necessity Integer 修复必要性 host_num Integer 受影响服务器台数 unhandle_host_num Integer 未处理服务器台数 scan_time Long 最近扫描时间 solution_detail String 解决方案 url String URL链接 description String 漏洞描述 type String 漏洞类型，包含如下： -linux_vul : linux漏洞 -windows_vul : windows漏洞 -web_cms : Web-CMS漏洞 host_id_list Array of strings 主机列表

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 total Integer 漏洞总数 最小值：0 最大值：100000 data Array of VulnItem objects 漏洞信息列表 statistics VulnsLevel object 漏洞风险等级统计 表5 VulnItem 参数 参数类型 描述 vuln_id String 漏洞ID 最小长度：32 最大长度：32 domain_id String 域名ID 最小长度：32 最大长度：32 url String 目标网址 最小长度：1 最大长度：256 severity String 漏洞风险等级: high - 高风险 middle - 中风险 low - 低风险 hint - 提示 枚举值： high middle low hint vuln_status String 漏洞状态: repairing - 未修复 repaired - 已修复 false_report - 误报，已忽略 枚举值： repairing repaired false_report vuln_class String 漏洞类别 最小长度：0 最大长度：64 vuln_type String 漏洞名称 最小长度：0 最大长度：64 description String 漏洞描述 最小长度：0 最大长度：1000 advice String 修复建议 最小长度：0 最大长度：1000 hit_details String 命中详情 最小长度：0 最大长度：1000000 request String 请求详情 最小长度：0 最大长度：1000000 response String 响应详情 最小长度：0 最大长度：1000000 provider String 漏洞确认人 最小长度：0 最大长度：32 reason String 漏洞忽略理由 最小长度：0 最大长度：1000 find_time String 漏洞发现时间 最小长度：0 最大长度：19 表6 VulnsLevel 参数 参数类型 描述 high Integer 高危漏洞数 最小值：0 最大值：1000 middle Integer 中危漏洞数 最小值：0 最大值：1000 low Integer 低危漏洞数 最小值：0 最大值：1000 hint Integer 提示危漏洞数 最小值：0 最大值：1000 状态码： 400 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码 最小长度：0 最大长度：50 error_msg String 错误描述 最小长度：0 最大长度：256 状态码： 401 表8 响应Body参数 参数 参数类型 描述 error_code String 错误码 最小长度：0 最大长度：50 error_msg String 错误描述 最小长度：0 最大长度：256 状态码： 418 表9 响应Body参数 参数 参数类型 描述 error_code String 错误码 最小长度：0 最大长度：50 error_msg String 错误描述 最小长度：0 最大长度：256

配置天关（USG6502E-C/USG6503E-C） 在管理PC上配置网口的IP地址为192.168.0.2（可以是192.168.0.2～192.168.0.254中的任何一个），子网掩码为255.255.255.0，然后打开Web浏览器访问设备的标准界面https://192.168.0.1:8443/。 配置云端管理接口。 GE0/0/3默认为二层接口，请按照如下方式配置成三层接口。 选择“网络 > 接口”。 单击GE0/0/3对应的，按照如下参数配置接口。 安全区域 untrust 模式 路由 IPv4 IP地址 172.16.10.10/24 配置云端管理接口的静态路由。 选择“网络 > 路由 > 静态路由”。 单击“静态路由列表”区域下的“新建”，添加静态路由。下一跳配置为网关地址。 配置漏洞扫描和云日志审计接口。 选择“网络 > 接口”。 单击“VLAN”对应的，配置其IP地址为192.168.56.10/24，其他保持默认。请保证上报日志的资产与此IP地址路由可达。 配置漏洞扫描和云日志审计接口的备份路由。 选择“网络 > 路由 > 静态路由”。 单击“静态路由列表”区域下的“新建”，添加静态路由。下一跳配置为网关地址。请保证优先级数值高于配置云端管理接口的静态路由中设置的优先级数值，确保上报的日志优先通过云端管理通道到达云端。 配置业务接口。 选择“网络 > 接口”。 单击GE0/0/20，按如下参数配置，单击“确定”。 安全区域 trust 模式 接口对 参考上述步骤按如下参数配置GE0/0/21接口。 安全区域 untrust 模式 接口对 单击GE0/0/22，按如下参数配置，单击“确定”。 安全区域 trust 模式 接口对 参考上述步骤按如下参数配置GE0/0/23接口。 安全区域 untrust 模式 接口对 配置业务接口对。 选择“网络 > 接口”。 单击“新建”，按如下参数创建接口对，单击“确定”。 名称 interface_bypass1 工作模式 不同口进出 成员 接口一 GE0/0/20 接口二 GE0/0/21 允许的VLAN 1-4094 接口对状态同步 不开启 参考上述步骤按如下参数再次创建interface_bypass2接口对。 名称 interface_bypass2 工作模式 不同口进出 成员 接口一 GE0/0/22 接口二 GE0/0/23 允许的VLAN 1-4094 接口对状态同步 不开启 创建Link-Group1、Link-Group2，分别添加bypass接口对。 创建Link-Group-Monitor，并添加Link-Group1、Link-Group2。 选择“系统 > 配置 > 时钟配置”，检查设备系统时间是否与当前时间一致，如果不一致，请调整设备系统时间，以保证云端能够精确掌握威胁事件的发生时间。 配置业务参数（边界防护与响应服务）。 加载License。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 选择“系统 > License管理”，“License激活方式”设置为“本地手动激活”。 单击“浏览”，选择本地PC中的的License文件，并单击“激活”。 选择“策略 > 安全策略 > 安全策略”，检查default策略的动作是否为“允许”，如果不是，单击策略名称default进入修改安全策略界面，将动作修改为“允许”。 确认安全策略已成功下发。 设备上线后，云端会部署套餐，需要2分钟左右，部署成功后安全策略会自动下发。 安全策略下发后，如图1所示。共有5条安全策略，其中default安全策略建议改回禁止，默认安全需要。 如果设备上只有“default”和“rule_iss_dns”安全策略，或只有“default”安全策略时，由云端自动下发安全策略。 如果设备上存在其他安全策略时，云端不会自动下发安全策略，此时请参考如何配置边界防护与响应服务需要的安全策略（USG6000E-C天关、USG6000E防火墙）自行完成配置。 图1 安全策略 选择“系统 > 升级中心”，单击下图所示的立即升级，升级“入侵防御特征库”和“反病毒特征库”。 如果设备为V600R007C20SPC500之前的版本，需要执行本步骤。 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（漏洞扫描服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表1 安全策略 服务 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 漏洞扫描服务 untrust-local untrust local any any udp：云端与防火墙之间建立VPN隧道。 tcp：对资产进行漏洞扫描。 允许 local-untrust local untrust any any any 允许 local-trust local trust any any tcp：对资产进行漏洞扫描。 允许 trust-local trust local any any tcp：对资产进行漏洞扫描。 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（云日志审计服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表2 安全策略 服务类型 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 云日志审计服务 untrust-local untrust local any any udp：资产上传日志到防火墙。 允许 local-untrust local untrust any any any 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。

产品规格差异 漏洞扫描服务提供了基础版、专业版、高级版和企业版四种服务版本。其中，基础版配额内的服务免费，部分功能按需计费；专业版、高级版和企业版需要收费。 VSS各服务版本支持的计费方式、功能和规格说明如下所示，您可以根据业务需求选择相应的服务版本。 表1 VSS各服务版本计费方式 服务版本 支持的计费方式 说明 价格详情 基础版 配额内的服务免费 按需计费 基础版配额内仅支持Web网站漏洞扫描（域名个数：5个，扫描次数：5个域名每日总共可以扫描5次）是免费的。 基础版提供的以下功能按需计费： 可以将Web漏洞扫描或主机漏洞扫描任务升级为专业版规格进行扫描，扫描完成后进行一次性扣费。 主机扫描一次最多支持20台主机。 产品价格详情 专业版 包年/包月 相对于按需付费，包年/包月购买方式能够提供更大的折扣，对于长期使用者，推荐该方式。包周期计费为按照订单的购买周期来进行结算。 高级版 企业版 表2 VSS各服务版本功能说明 功能 基础版 专业版 高级版 企业版 常见Web漏洞检测 √ √ √ √ 端口扫描 √ √ √ √ CVE漏洞扫描 √ √ √ √ 自定义登录方式 √ √ √ √ Web 2.0高级爬虫 √ √ √ √ 网站指纹识别 √ √ √ √ 扫描任务管理 √ √ √ √ 漏洞查看及管理 √ √ √ √ 弱密码检测 × √ √ √ 网页内容合规检测（文字） × √ √ √ 操作系统漏洞扫描 × √ √ √ 操作系统基线检查 × √ √ √ 中间件基线检查 × √ √ √ 扫描完毕短信通知 × √ √ √ 查看漏洞修复建议 × √ √ √ 下载扫描报告 × √ √ √ 安全监测（定时扫描） × √ √ √ 网页内容合规检测（图片） × × × √ 网站挂马检测 × × × √ 链接健康检测（死链、暗链、恶意外链） × × × √ 操作系统等保合规检查 × × × √ 支持手动探索文件导入 × × × √ 表3 VSS各服务版本支持的扫描配额说明 版本 域名/IP个数 单个任务时长 任务优先级 单用户并发扫描数 基础版 Web漏扫：包含5个二级域名或IP:端口。 Web漏扫：5个域名每日总共可以扫描5次。 2小时 低 默认Web漏扫最大并发为1个域名。 专业版 Web漏扫：包含1个二级域名或IP:端口。 主机漏扫：包含20个IP地址。 无限制 高 默认Web漏扫最大并发为3个域名。 默认主机漏扫最大并发为5个IP。 高级版 Web漏扫：默认包含1个一级域名（不限制下属二级域名个数）/IP（不限制端口个数）。 主机漏扫：不限制IP地址个数。 无限制 高 默认Web漏扫最大并发为5个域名。 默认主机漏扫最大并发为10个IP。 企业版 Web漏扫：默认包含5个一级域名（不限制下属二级域名个数）/IP（不限制端口个数）。 主机漏扫：不限制IP地址个数。 说明： 当默认的扫描配额不能满足您的需求时，您可以通过购买扫描配额包增加扫描配额（一个扫描配额包中包含一个一级域名扫描配额）。 无限制 高 默认Web漏扫最大并发为10个域名。 默认主机漏扫最大并发为20个IP。 说明： 更高并发需要，请提交工单联系专业工程师为您服务。

新建安全自动化用例 概述：支持用例设计人新建安全自动化用例。 用例管理页面点击【安全自动化】，选择安全测试的某个需求描述，点击【新建】 图4 进入到新建安全自动化用例页面，并填写相关信息 图5 新建安全自动化用例页面 用例名称：该用例的名称 部署环境：该用例部署的底座环境 优先级：该用例的优先程度 漏洞扫描：该用例扫面的对象，可以为网站、主机和二进制 描述：该用例的相关信息阐述 前提条件：执行该用例的前提条件 步骤描述：该用例的执行步骤 预期结果：每个步骤的预期结果 根据扫描对象填写其信息： （1）网站漏洞扫描 漏洞扫描选择网站，填写相关信息 图6 新建安全自动化用例页面 域名/IP地址：网址扫描的域名/IP地址 域名别称：自定义填写 目标网址：前段框为域名，是自动获取的，只需在后段框内填写目标地址 扫描模式：快速扫描、标准扫描、深度扫描，根据需要选择模式 完成后点击【确认并认证域名】->进入到用例的详情页面，点击【去认证】按钮，在弹窗中阅读并勾选相关声明，点击【完成认证 图7 】域名认证弹窗 （2）主机漏洞扫描 漏洞扫描选择主机，填写主机相关信息 图8 新建安全自动化用例页面 主机名称：自定义填写 IP地址：被扫描主机的IP地址，完成后点击【确定并配置主机】 （3）二进制漏洞扫描 漏洞扫描选择二进制，上传需要被扫描的文件压缩包，选择指标参数 图9 新建安全自动化用例页面 完成后点击【确定并执行用例】，即新建并直接执行用例 二进制漏洞扫描自动化用例在新建后点击【确定并执行用例】就会被执行，和其他类型用例不同。

总览页 研发安全服务控制台总览页主要展示：资产信息和各服务最近一次检测情况。 我的资产 包括移动应用安全、代码检查以及漏洞扫描，如图3所示，资产信息说明如表1所示。 图3 我的资产 表1 资产信息说明 服务名称 说明 移动应用安全 显示最近30天被扫描的移动应用个数，以及高风险、中低风险和无风险的应用个数。 漏洞扫描 显示最近30天被扫描的主机和网站的个数，以及高风险、中低风险和无风险的主机或网站个数。 最近一次移动应用安全扫描 显示最近一次扫描详细情况，如图4所示，参数说明如表2所示。 图4 最近一次移动应用安全扫描 表2 移动应用应安全扫描参数说明 参数 说明 扫描对象 被扫描的应用，单击可进入本次任务的扫描详情。 文件大小 被扫描的文件的大小。 应用包名 应用的包名。 应用版本 应用的版本号。 SDK版本 最低支持SDK版本8，目标SDK版本为实际应用的SDK版本。 开始时间 开始扫描的时间。 完成时间 扫描结束的时间。 任务状态 任务扫描状态，包括：排队中、分析中、完成、失败。 安全漏洞风险项 显示不同风险等级的漏洞个数，风险等级包括：超危、高危、中危、低危。 隐私合规风险项 显示隐私合规风险问题数。 最近一次Web扫描任务 显示最近一次Web扫描详细情况，如图5所示，参数说明如表3所示。 图5 最近一次Web扫描任务 表3 Web扫描任务参数说明 参数 说明 扫描对象 被扫描的网站，单击可进入本次任务的扫描详情。 开始时间 开始扫描的时间。 扫描耗时 扫描花费的时间。 任务状态 任务扫描状态，包括：已完成、进行中，等待中，已取消。 漏洞总数 显示不同风险等级的漏洞个数，风险等级包括：高危、中危、低危、提示。 TOP风险 根据扫描项的漏洞数量排序而来。 最近一次主机扫描 显示最近一次Web扫描详细情况，如图5所示，参数说明如表3所示。 图6 最近一次主机扫描 表4 主机扫描参数说明 参数 说明 扫描对象 被扫描的主机，单击可进入本次任务的扫描详情。 开始时间 开始扫描的时间。 扫描耗时 扫描花费的时间。 任务状态 任务扫描状态，包括：已完成、进行中，等待中，已取消。 漏洞总数 显示不同风险等级的漏洞个数，风险等级包括：高危、中危、低危、提示。

产品规格差异 漏洞扫描服务提供了基础版、专业版、高级版和企业版四种服务版本。其中，基础版配额内的服务免费，部分功能按需计费；专业版、高级版和企业版需要收费。 VSS各服务版本支持的计费方式、功能和规格说明如下所示，您可以根据业务需求选择相应的服务版本。 表1 VSS各服务版本计费方式 服务版本 支持的计费方式 说明 价格详情 基础版 配额内的服务免费 按需计费 基础版配额内仅支持Web网站漏洞扫描（域名个数：5个，扫描次数：5个域名每日总共可以扫描5次）是免费的。 基础版提供的以下功能按需计费： 可以将Web漏洞扫描或主机漏洞扫描任务升级为专业版规格进行扫描，扫描完成后进行一次性扣费。 主机扫描一次最多支持20台主机。 产品价格详情 专业版 包年/包月 相对于按需付费，包年/包月购买方式能够提供更大的折扣，对于长期使用者，推荐该方式。包周期计费为按照订单的购买周期来进行结算。 高级版 包年/包月 企业版 包年/包月 表2 VSS各服务版本功能说明 功能 基础版 专业版 高级版 企业版 常见Web漏洞检测 √ √ √ √ 端口扫描 √ √ √ √ 自定义登录方式 √ √ √ √ Web 2.0高级爬虫 √ √ √ √ 网站指纹识别 √ √ √ √ 扫描任务管理 √ √ √ √ 漏洞查看及管理 √ √ √ √ CVE漏洞扫描 × √ √ √ 弱密码检测 × √ √ √ 网页内容合规检测（文字） × √ √ √ 操作系统漏洞扫描 × √ √ √ 操作系统基线检查 × √ √ √ 中间件基线检查 × √ √ √ 扫描完毕短信通知 × √ √ √ 查看漏洞修复建议 × √ √ √ 下载扫描报告 × √ √ √ 安全监测（定时扫描） × √ √ √ 网页内容合规检测（图片） × × × √ 网站挂马检测 × × × √ 链接健康检测（死链、暗链、恶意外链） × × × √ 操作系统等保合规检查 × × × √ 支持手动探索文件导入 × × × √ 表3 VSS各服务版本支持的扫描配额说明 版本 域名/IP个数 扫描次数 单个任务时长 任务优先级 单用户并发扫描数 基础版 Web漏扫：包含5个二级域名或IP:端口。 Web漏扫：5个域名每日总共可以扫描5次 2小时 低 默认Web漏扫最大并发为1个域名。 专业版 Web漏扫：包含1个二级域名或IP:端口。 主机漏扫：包含20个IP地址。 无限制 高 默认Web漏扫最大并发为3个域名。 默认主机漏扫最大并发为5个IP。 高级版 Web漏扫：默认包含1个一级域名（不限制下属二级域名个数）/IP（不限制端口个数）。 主机漏扫：不限制IP地址个数。 无限制 高 默认Web漏扫最大并发为5个域名。 默认主机漏扫最大并发为10个IP。 企业版 Web漏扫：默认包含5个一级域名（不限制下属二级域名个数）/IP（不限制端口个数）。 主机漏扫：不限制IP地址个数。 说明： 当默认的扫描配额不能满足您的需求时，您可以通过购买扫描配额包增加扫描配额（一个扫描配额包中包含一个一级域名扫描配额）。 无限制 高 默认Web漏扫最大并发为10个域名。 默认主机漏扫最大并发为20个IP。 说明： 更高并发需要，请提交工单联系专业工程师为您服务。 一级域名指用户通过华为云或者第三方域名注册商，购买注册的域名。 二级域名指无需购买注册，可直接在一级域名下添加的子域名。 例如：一级域名：example.com, example.com.cn，二级域名：test.example.com, test.example.com.cn，详细请参考域名注册。

漏洞详情 Kubernetes官方发布安全漏洞CVE-2020-13401，CVSS Rating: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:L/I:L/A:L (6.0 Medium)。 漏洞源于IPv6动态分配除提供了IPv6的DHCP技术外，还支持Router Advertisement技术。路由器会定期向节点通告网络状态，包括路由记录。客户端会通过NDP进行自身网络配置。 恶意攻击者可以篡改主机上其他容器或主机本身的IPv6路由记录，实现中间人攻击。即使现在系统或者服务上没有直接使用IPv6地址进行网络请求通知，但是如果DNS返回了A(IPv4)和AAAA(IPv6)记录，许多HTTP库都会尝试IPv6进行连接，如果再回退到IPv4，这为攻击者提供了响应的机会。 参考链接：https://github.com/kubernetes/kubernetes/issues/91507

修订记录 发布日期 修改说明 2022-08-30 第四十九次正式发布。 新增常见问题：Agent安装成功后显示未安装怎么处理？。 修改内容：如何批量安装Agent？，补充Agent支持的操作系统描述。 2022-08-10 第四十八次正式发布。 新增常见问题：漏洞修复失败如何处理？ 2022-07-30 第四十七次正式发布。 补充说明升级Agent全过程均为免费。 补充说明退订配额不支持批量退定。 2022-07-15 第四十六次正式发布。 下线支持centos 6系统版本的说明。 2022-06-30 第四十五次正式发布。 修改基础版免费使用的说明。 2022-05-31 第四十四次正式发布。 新增常见问题如下： Agent安装后控制台不显示怎么处理？ 如何防御勒索病毒攻击？ 2022-05-26 第四十三次正式发布。 新增Agent升级失败如何处理？ 2022-04-25 第四十二次正式发布。 优化、新增内容如下： 基础版使用及能力的说明。 收到告警信息不代表已被破解入侵的说明。 2022-04-20 第四十一次正式发布 新增常见问题如下： HSS拦截的IP是否需要处理？ 修改常见问题如下： 每台云服务器都需要配置部署主机安全服务吗？ 2022-04-11 第四十次正式发布。 新增常见问题如下： 修复漏洞时服务器内容被清空是否可以恢复？ 2022-03-18 第三十九次正式发布。 完善优化章节如下： 购买云服务器时，为什么无法选择免费的企业主机安全防护？ 如何扩充HSS防护配额？ 2022-01-29 第三十八次正式发布。 新增如下常见问题： 开启HSS基础版防护及说明 HSS的数据传输实现原理是什么？ 2022-01-13 第三十七次正式发布。 完善优化章节如下： 如何预防账户暴力破解攻击？ 收到来自华为云IP的暴力破解告警如何处理？ 2021-10-22 第三十六次正式发布。 新增如下常见问题： 收到来自华为云IP的暴力破解告警如何处理？ HSS如何查询漏洞、基线已修复记录？ 2021-10-18 第三十五次正式发布。 新增如下常见问题： 如何切换主机之间已绑定的防护配额？ HSS的恶意程序检测周期、隔离查杀是多久一次？ HSS的病毒库、漏洞库多久更新一次？ 每台云服务器都需要配置部署主机安全服务吗？ 频繁收到HSS暴力破解告警如何处理？ HSS怎么区分高危漏洞和低危漏洞？ 优化如下常见问题： Agent安装失败应如何处理？ 2021-08-03 第三十四次正式发布。 新增如下常见问题： 主机重装系统后，HSS防护功能是否需要手动开启？ 修改如下常见问题： Agent状态异常应如何处理？ 如何扩充HSS防护配额？ 2021-07-14 第三十三次正式发布。 新增如下常见问题： 如何修改告警通知的通知项？ 防护的主机切换操作系统，HSS配额会发生变化吗？ 如何筛选未绑定配额的主机？ HSS可以添加黑名单IP吗？ HSS与SA的基线检查有什么区别？ 如何扩充HSS防护配额？ 修改如下常见问题： Agent安装失败应如何处理？ 漏洞修复后，为什么仍然提示漏洞存在？ 2021-07-08 第三十二次正式发布。 Agent状态异常应如何处理？，增加“卸载Agent”和“安装Agent”链接。 2021-06-08 第三十一次正式发布。 新增如下常见问题： 安装HSS Agent有什么影响？ 如何手动解除误拦截IP？ “内核漏洞升级修复后，为什么仍然提示漏洞存在？” 漏洞修复后，为什么仍然提示漏洞存在？ HSS支持告警日志转存OBS吗？ 修改如下常见问题： HSS如何拦截账户暴力破解？ 账户被暴力破解，怎么办？ 如何预防账户暴力破解攻击？ 漏洞修复完毕后是否需要重启主机？ 2021-04-28 第三十次正式发布。 新增如下常见问题： 如何使用命令行方式安装Agent（Windows操作系统）？ 关闭弱口令策略后，之前扫描的弱口令事件为什么还会重复出现？。 修改如下常见问题： Agent状态异常应如何处理？ 添加登录白名单后，为什么还有异地登录告警？ 2021-02-25 第二十九次正式发布。 是否可以不开启HSS告警通知？修改问题内容，可以不设置告警通知，开启主机安全防护。 2021-02-01 第二十八次正式发布。 新增如下常见问题： HSS是否支持线下多台服务器共用一个公网IP？ 防护配额与主机不在同一企业项目，是否可以相互绑定？ 购买云服务器时，为什么无法选择免费的企业主机安全防护？ 2020-11-16 第二十七次正式发布。 HSS可以跨区域使用吗？将支持跨区域使用修改为“不支持跨区域使用”。 2020-11-10 第二十六次正式发布。 新增如下常见问题： 账户被暴力破解，怎么办？ 出现弱口令告警，怎么办？ 主机被挖矿攻击，怎么办？ 添加告警白名单后，为什么进程还是被隔离？ 添加登录白名单后，为什么还有异地登录告警？ 如何修改接收告警通知的手机号或邮箱？ 2020-06-20 第二十五次正式发布。 新增HSS支持企业项目后，如何同步配置数据？。 2020-05-18 第二十四次正式发布。 新增如下常见问题： HSS与WAF的网页防篡改有什么区别？ 如何查看HSS的日志文件？ 2020-03-09 第二十三次正式发布。 新增如下常见问题： 如何筛选未安装Agent的主机？ 为什么开启双因子认证后登录主机失败？ 开启双因子认证时，如何添加手机号？ 双因子认证中，验证码是一个固定的验证码吗？ 开启动态网页防篡改后，状态是“已开启未生效”，怎么办？ 如何清除HSS中配置的SSH登录IP白名单？ 2020-01-14 第二十二次正式发布。 新增如下常见问题： 什么是HSS的Agent？ 是否可以不开启HSS告警通知？ 2019-12-26 第二十一次正式发布。 新增如下常见问题： HSS可以跨账号使用吗？ 购买HSS后会自动安装Agent吗？ 2019-12-18 第二十次正式发布。 删除以下常见问题： 华为云主机安全是否支持订阅周报功能？ 2019-11-27 第十九次正式发布。 新增如下常见问题： HSS到期后不续费，对主机和业务有影响吗？ 开启网页防篡改后，如何修改文件？ 配置告警通知时选不到消息主题？ 如何避免账户破解攻击？ 开启防护时显示没有配额？ 2019-10-12 第十八次正式发布。 新增以下常见问题： 如何处理漏洞？ 2019-09-23 第十七次正式发布。 新增以下常见问题： 基础版能够升级为企业版吗？ 没有手动解除的IP拦截记录为什么会显示已解除？ 主机安全基线检测检查出配置风险项怎么办？ 为什么要添加防护目录？ 无法开启网页防篡改怎么办？ 2019-04-25 第十三次正式发布。 新增以下常见问题： 企业版能升级为网页防篡改版吗？ 2019-04-08 第十六次正式发布。 如何使用双因子认证？更新了截图和相关描述。 2019-03-18 第十五次正式发布。 新增以下常见问题： 企业主机安全是否支持对裸金属机器提供防护？ 2018-11-06 第十四次正式发布。 新增以下常见问题： 在Windows中文系统中输入数字卡顿或需要数字连输怎么办？ 如何批量安装Agent？ 2018-10-25 第十三次正式发布。 修改以下常见问题： 如何批量安装Agent？ 2018-09-15 第十二次正式发布。 新增以下常见问题： 如何开启登录失败日志开关？ 如何开启filezilla的登录失败日志开关？ 如何开启vsftp的登录失败日志开关？ 2018-08-02 第十一次正式发布。 修改以下常见问题： 如何解决Linux系统的账户破解防护功能未生效的问题？ 2018-07-19 第十次正式发布。 新增以下常见问题： 如何解决SUSE12 SP2（包含SAP）、Gentoo系统设置账户破解防护拦截IP后未生效？ 2018-06-28 第九次正式发布。 新增以下常见问题： Windows系统如何设置安全的口令复杂度策略？ 2018-06-13 第八次正式发布。 新增以下常见问题： 如何批量安装Agent？ 2018-05-17 第七次正式发布。 优化常见问题标题。 2018-05-07 第六次正式发布。 修改以下常见问题： 企业主机安全是否收费？ 2018-04-19 第五次正式发布。 修改以下常见问题： 更新“如何安装Agent？”的截图。 2018-03-15 第四次正式发布。 删除以下常见问题： 安装Windows版本Agent报错应该如何处理？ 2018-01-09 第三次正式发布。 新增以下常见问题： 如何安装Agent？ 2017-11-17 第二次正式发布。 新增以下常见问题： 如何安装PAM并设置安全的口令复杂度策略？ 2017-09-30 第一次正式发布。

Linux系统服务器 无yum源配置 您的服务器可能未配置yum源，请根据您的Linux系统选择yum源进行配置。配置完成后，重新执行漏洞修复操作。 yum源没有相应软件的最新升级包 切换到有相应软件包的yum源，配置完成后，重新执行漏洞修复操作。 内网环境连接不上公网 在线修复漏洞时，需要连接Internet，通过外部yum源提供漏洞修复服务。如果服务器无法访问Internet，或者外部yum源提供的服务不稳定时，可以使用华为云提供的镜像源进行漏洞修复。 内核老版本存留 由于内核升级比较特殊，一般都会有老版本存留的问题。您可通过执行修复命令查看当前使用的内核版本是否已符合漏洞要求的版本。确认无误后，对于该漏洞告警，您可以在企业主机安全管理控制台的“漏洞管理 > Linux软件漏洞管理”页面进行忽略。同时，不建议您删除老版本内核。 表1 验证修复命令 操作系统 修复命令 CentOS/Fedora /Euler/Redhat/Oracle rpm -qa | grep 软件名称 Debian/Ubuntu dpkg -l | grep 软件名称 Gentoo emerge --search 软件名称 SUSE zypper search -dC --match-words 软件名称

URI GET /v5/{project_id}/vulnerability/vulnerabilities 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 租户项目ID 表2 Query参数 参数 是否必选 参数类型 描述 enterprise_project_id 否 String 企业租户ID，查询所有企业项目时填写：all_granted_eps type 否 String 漏洞类型，包含如下： -linux_vul : linux漏洞 -windows_vul : windows漏洞 -web_cms : Web-CMS漏洞 vul_id 是 String 漏洞ID vul_name 否 String 漏洞名称 limit 否 Integer 每页显示个数 offset 否 Integer 偏移量：指定返回记录的开始位置，必须为数字，取值范围为大于或等于0，默认0

产品概述 华为乾坤面向等保2.0推出的等保合规解决方案采用云边一体创新架构，打造简单高效、安全可靠的云化安全解决方案。如图1所示，等保合规解决方案由部署在华为公有云上的云服务和部署在客户网络边界的天关/防火墙构成。 图1 产品架构图 表1 主要服务/模块介绍 部署位置 设备/模块名称 功能介绍 云端 边界防护与响应服务 边界防护与响应服务包括智能分析和处置、安全专家服务两大核心能力，其采用智能大数据分析技术对安全日志进行智能分析和处置，同时安全专家深入分析威胁并结合自身经验准确识别复杂威胁并快速响应。 漏洞扫描服务 漏洞扫描服务是一种针对客户内部资产提供的在线漏洞检测服务。该服务从风险管理角度出发，基于AI算法，结合资产的漏洞扫描结果、资产面临的威胁事件、威胁信息等，整体评估出风险值，帮助客户全面了解资产存在的风险。 云日志审计服务 云日志审计服务是一站式日志数据云端统一管理平台，主要致力于提供事后溯源取证的安全能力。通过对日志数据的全面解析、管理，对各种安全威胁和异常行为事件进行溯源取证，为管理人员提供全局的视角，确保客户业务的不间断运营安全。 企业边界 天关/防火墙 天关/防火墙与云端协同工作，其功能如下： 作为安全防御节点，既对进出流量进行反病毒、IPS等深度安全检测，为租户本地网络提供边界防护，同时向边界防护与响应服务提供日志，并执行边界防护与响应服务下发的防护策略。 作为漏洞扫描服务与企业内部网络的通信桥梁。在执行漏洞扫描任务前，云端会在云端服务和天关/防火墙之间建立VPN隧道，以便云端服务能扫描到企业内部资产。 作为云日志审计服务与企业内部网络的通信桥梁，用户资产的日志数据通过其上传到云端。

忽略漏洞 针对已判断无风险或风险较小的漏洞，可以“忽略”该漏洞。忽略漏洞后，镜像将不再统计该漏洞，但漏洞列表中仍可见。 登录管理控制台。 在左侧导航树中，选择“镜像安全”，进入“镜像安全”界面。 选择“镜像漏洞 > 本地镜像漏洞”页签。 忽略漏洞在所有镜像上的影响，或忽略漏洞在某一镜像上的影响，具体操作请参见表2。 表2 忽略漏洞 忽略漏洞 操作步骤 忽略漏洞在所有镜像上的影响 在漏洞列表中，勾选需要忽略的漏洞，单击漏洞列表左上角的“忽略”。 在弹出的对话框中，单击“确定”，忽略选中的漏洞。 忽略漏洞在某一镜像上的影响 方式一： 在漏洞列表中，单击漏洞名称，查看受该漏洞影响的镜像列表，在镜像所在行的操作列，单击“忽略”。 在弹出的对话框中，单击“确定”，忽略该漏洞。 方式二： 单击镜像名称，查看该镜像上存在的漏洞及处理情况，在漏洞所在行的操作列，单击“忽略”。 在弹出的对话框中，单击“确定”，忽略该漏洞。

成分分析的开源软件风险如何分析？ 成分分析基于静态风险检测，会对用户上传的软件包/固件进行解压并分析其中的文件，识别包中文件包含的开源软件清单，并分析是否存在已知漏洞、License合规等风险。用户扫描完成后，建议按照以下步骤进行分析排查： 开源软件分析，分析开源软件是否存在以及软件版本是否准确。 基于报告详情页面或导出的报告中开源软件所在文件全路径找到对应文件，然后分析该文件中开源软件是否存在或准确（可由相关文件的开发或提供人员协助分析），如果否，则无需后续分析。 已知漏洞分析，分析已知漏洞是否准确。 通过NVD、CVE、CNVD等社区搜索相关CVE已知漏洞编号，获取漏洞详情 概要分析：查看影响的软件范围，如CVE-2021-3711在NVD社区中的Known Affected Software Configurations，如下图，确认漏洞是否影响当前使用的软件版本，如果当前使用的软件版本不在影响范围内，则初步说明漏洞可能不涉及/影响。 精细化分析：漏洞通常存在于某些函数中，可以通过社区中的漏洞修复补丁确认漏洞详情、涉及函数以及修复方式，如下图，用户可以结合自身软件对于相关开源软件功能的使用是否涉及相关漏洞 License合规分析。基于报告中开源软件及对应的License分析软件是否合规，满足公司或准入要求。 风险解决方式： 已知漏洞：如果当前使用的软件版本存在漏洞，可通过升级软件版本至社区推荐版本解决。紧急情况下也可以通过社区推荐的patch修复方式临时解决。 License合规：如果使用的软件存在合规风险，则需要寻找相似功能且合规的开源软件进行替代。

URI GET /v5/{project_id}/vulnerability/vulnerabilities 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 租户项目ID 表2 Query参数 参数 是否必选 参数类型 描述 enterprise_project_id 否 String 企业租户ID type 否 String 漏洞类型，包含如下： -linux_vul : linux漏洞 -windows_vul : windows漏洞 -web_cms : Web-CMS漏洞 vul_id 是 String 漏洞ID vul_name 否 String 漏洞名称 limit 否 Integer 每页显示个数 offset 否 Integer 偏移量：指定返回记录的开始位置，必须为数字，取值范围为大于或等于0，默认0

HSS怎么区分高危漏洞和低危漏洞？ 您可通过漏洞管理页的“修复紧急度”来区分高危漏洞和低危漏洞。 “修复紧急度”分为如下三种类型： 需尽快修复：属高危漏洞，您必须立即修复的漏洞，攻击者利用该类型的漏洞会对主机造成较大的破坏。 可延后修复：属中危漏洞，您需要修复的漏洞，为提高您主机的安全能力，建议您修复该类型的漏洞。 暂可不修复：属低危漏洞，该类型的漏洞对主机安全的威胁较小，您可以选择修复或忽略。 您可在漏洞管理页面查看漏洞详情，参照漏洞修复与验证对漏洞进行修复和验证。

修订记录 发布日期 修改说明 2021-07-09 第二十七次正式发布。 服务入口刷新。 2020-01-26 第二十六次正式发布。 查看运行时安全详情，新增检测说明。 2020-10-20 第二十五次正式发布。 购买容器安全配额，新增背景信息。 2020-06-22 第二十四次正式发布。 查看基线检查详情，优化相关内容描述。 2020-05-26 第二十三次正式发布。 新增设置告警通知。 修改（可选）策略配置，更新界面截图。 2020-04-20 第二十二次正式发布。 “服务版本”，优化相关内容描述。 2020-04-07 第二十一次正式发布。 修改创建用户并授权使用CGS，优化相关内容描述。 2020-04-01 第二十次正式发布。 更新界面截图。 2020-02-28 第十九次正式发布。 新增“服务版本”。 修改服务授权，优化相关内容描述。 修改管理本地镜像漏洞，新增前提条件。 修改管理私有镜像仓库漏洞，新增检测说明。 2020-02-21 第十八次正式发布。 新增CGS自定义策略。 新增CGS权限及授权项。 创建用户并授权使用CGS，添加细粒度策略。 2020-01-20 第十七次正式发布。 修改创建用户并授权使用CGS，优化相关内容描述。 删除用户指南以下章节： 权限管理 > 权限管理基本概念 权限管理 > 策略语法：RBAC 2020-01-03 第十六次正式发布。 修改创建用户并授权使用CGS，更新界面截图。 修改“策略语法：RBAC”章节，更新界面截图和优化相关内容。 2019-12-27 第十五次正式发布。 新增查看基线检查详情。 管理私有镜像仓库新增查看私有镜像的基线检查详情。 2019-12-18 第十四次正式发布。 新增审计。 修改购买容器安全配额，优化相关内容描述。 修改创建用户并授权使用CGS，更细界面截图和优化相关内容描述。 “查看容器异常监控结果”修改为查看运行时安全，并优化相关内容描述。 2019-11-29 第十三次正式发布。 创建用户并授权使用CGS，更新界面截图和优化相关内容。 2019-11-26 第十二次正式发布。 开启集群防护，增加按需计费说明。 查看防护列表，优化相关内容描述。 购买容器安全配额，增加区域使用说明。 2019-11-12 第十一次正式发布。 开启集群防护，优化相关内容描述。 （可选）策略配置，优化相关内容描述。 查看恶意文件检测详情，优化相关内容描述。 查看防护列表，优化相关内容描述。 关闭集群防护，优化相关内容描述。 2019-10-21 第十次正式发布。 新增查看恶意文件检测详情。 修改管理本地镜像漏洞。 修改管理私有镜像仓库漏洞。 修改管理官方镜像仓库漏洞。 2019-09-25 第九次正式发布。 管理私有镜像仓库，增加查看私有镜像的恶意文件、查看私有镜像的软件信息、查看私有镜像的文件信息。 2019-08-30 第八次正式发布。 优化操作入口描述。 2019-08-23 第七次正式发布。 服务授权，更新界面截图和优化相关内容描述。 开启集群防护，更新界面截图和优化相关内容描述。 查看防护列表，增加防护配额说明。 关闭集群防护，更新界面截图和优化相关内容描述。 “安装Shield插件”，更新界面截图和优化相关内容描述。 “卸载Shield插件”章节，更新界面截图和优化相关内容描述。 2019-08-13 第六次正式发布。 新增服务授权。 新增购买容器安全配额。 修改以下章节： 开启集群防护 镜像安全 管理镜像信息 查看防护列表 关闭集群防护 2019-06-14 第五次正式发布。 查看防护列表，优化相关内容描述。 2019-05-30 第四次正式发布。 开启集群防护，删除节点开启防护相关内容描述。 镜像安全，更新界面截图以及相关内容描述。 管理镜像信息，更新界面截图以及相关内容描述。 查看防护列表，更新界面截图以及相关内容描述。 关闭集群防护，更新界面截图以及相关内容描述。 “卸载Shield插件”，更新界面截图以及相关内容描述。 2019-05-27 第三次正式发布。 新增如下章节： 创建用户并授权使用CGS。 “权限管理基本概念”。 “策略语法：RBAC”。 2019-01-3 第二次正式发布。 新增如下章节： 管理私有镜像仓库。 管理官方镜像仓库。 管理私有镜像仓库漏洞。 管理官方镜像仓库漏洞。 2018-10-18 第一次正式发布。

扫描的安全漏洞告警如何分析定位? 针对移动扫描的安全漏洞，如何通过报告提供的信息进行分析、定位、修复？检测结果提供了如下信息： 报告提供了问题代码信息，包括文件名及其路径，可以通过该信息快速定位到问题文件。 针对部分检测问题，如签名安全检测告警，无具体问题文件显示。 漏洞特征信息，主要为安全漏洞所涉及的函数代码。 安全漏洞修复建议，结合上述代码信息确定具体告警位置，分析漏洞告警是否确认为安全漏洞。

查看扫描概况 登录管理控制台。 在左侧导航树中，单击，选择“安全与合规 > 漏洞扫描服务”，进入“总览”界面。 查看扫描概况。 查看资产信息，如图1所示，资产信息参数说明如表1所示。 图1 资产信息 表1 资产信息参数说明 参数 说明 操作 网站数量 显示网站、已认证、未认证的网站个数。 说明： 当网站的个数为0时，单击“添加资产”，进入到资产列表界面添加网站。 单击个数可以进入到相应的资产列表。 显示已认证和未认证的网站个数。 网站风险统计 统计所有网站的风险详情。 -- 最危险网站 得分最低的网站为最危险的网站，如果得分一样，则比较高危漏洞个数、中危漏洞个数......依次类推。 如果用户添加了网站且所有网站的扫描得分是100分，则没有最危险网站，展示“--”。 显示网站不同等级的风险个数。 单击最危险网站，可以进入到该网站的最近一次扫描任务详情。 风险等级有：高危、中危、低危和提示。 最近一次扫描情况，如图2所示，参数说明如表2说明。 图2 最近一次扫描情况 当扫描未完成的时候，不展示分数，而是展示扫描状态，未完成的扫描状态有“等待中”、“进行中”。 如果扫描任务是失败的，则展示上一次扫描成功的任务详情。 表2 扫描情况参数说明 参数 说明 操作 扫描对象 扫描的网站。 单击网站可进入本次任务的扫描详情。 开始时间 开始扫描的时间。 -- 扫描耗时 扫描全过程所耗的时间。 -- 任务状态 已完成 进行中 等待中 -- 漏洞总数 显示网站不同等级的风险个数。 风险等级有：高危、中危、低危、和提示。 TOP风险 根据扫描项的漏洞数量排序而来。 -- 最近扫描任务列表，如图3所示，参数说明如表3说明。 图3 最近扫描任务列表 表3 任务列表参数说明 参数 说明 操作 扫描对象 扫描的网站。 单击网站可进入本次任务的扫描详情。 漏洞总数 显示网站的风险漏洞总数。 -- 任务状态 三个状态：“等待中”、“进行中”、“已完成”。 -- 开始时间 开始扫描的时间。 -- 扫描耗时 扫描全过程所耗的时间。 --

扫描的安全漏洞告警如何分析定位? 针对移动扫描的安全漏洞，如何通过报告提供的信息进行分析、定位、修复？检测结果提供了如下信息： 报告提供了问题代码信息，包括文件名及其路径，可以通过该信息快速定位到问题文件。 针对部分检测问题，如签名安全检测告警，无具体问题文件显示。 漏洞特征信息，主要为安全漏洞所涉及的函数代码。 安全漏洞修复建议，结合上述代码信息确定具体告警位置，分析漏洞告警是否确认为安全漏洞。

资产管理 态势感知24小时全方位防护云上主机和网站安全，呈现云上资产实时安全状态。 表1 资产安全功能说明 功能模块 功能详情 主机资产 同步主机资产信息，列表统计主机整体安全状况的信息。 支持查看主机资产的防护状态、当前安全状况、风险值和被攻击次数等。 网站资产 通过添加目标网站，并一键扫描任务，检查网站安全状态和所有漏洞项目，列表呈现各网站资产的总体安全状况统计信息。 支持查看网站扫描结果详情，包括“扫描项总览”、“漏洞列表”和“站点结构”，并支持下载网站漏洞安全报告。 扫描项总览 呈现当前网站漏洞扫描检查的所有项目和检测结果。呈现的检查项包括“恶意内容”、“潜在风险”和“网站安全漏洞”。 恶意内容包括检测恶意外链、挖矿后门和网页木马。 潜在风险包括检测网站请求头、https协议。 网站安全漏洞包括检测跨站请求伪造、应急漏洞、信息泄露、注入攻击、跨站脚本攻击等。 漏洞列表 扫描出的漏洞详细列表信息。 站点结构 显示网站扫描监测出的漏洞，以及漏洞的具体站点位置。

使用场景 合作伙伴登录云原生服务中心控制台将开发好的服务发布到云原生服务中心，触发服务包扫描后出现初始化失败错误，提示镜像存在安全漏洞需要处理。 安全扫描失败常见错误提示是以"get scan image vulnerability result failed"开头，表示此次上架的服务中镜像存在漏洞，错误信息后面是扫描出的漏洞信息，由于长度限制，一般提示只会展示10个以内漏洞的相关信息，如果此镜像存在更多漏洞，需要用户参考下面方式单独进行镜像扫描并根据修复建议进行修复。

等保套餐 等保2.0产品优惠套餐，为您提供一站式的安全解决方案，帮助您快速、低成本完成安全整改，轻松满足等保合规要求。提供等保二级方案、等保三级方案基础版、等保三级方案高级版及多云安全方案套餐。各套餐内容和典型应用场景如表2所示。您可根据实际业务系统情况，选择购买套餐类型。 表2 等保套餐说明 套餐类型 套餐内容 典型应用场景 等保二级方案 云防火墙 企业主机安全 Web应用防火墙（WAF） SSL证书 态势感知 威胁检测服务 适用于用户量较少的系统和敏感数据较少的行业，如果发生安全问题，不会对企业自身及用户造成特别严重影响的。如普通企业的门户网站，企业内部用的OA系统。 等保三级方案基础版 云防火墙 企业主机安全 Web应用防火墙（WAF） 云堡垒机 数据库安全审计 态势感知 SSL证书 威胁检测服务 适用于存有用户敏感信息的行业，因为信息外泄会造成特别严重影响，甚至会对社会秩序和公共利益造成损失。 等保三级方案高级版 云防火墙 企业主机安全 漏洞扫描服务 Web应用防火墙（WAF） 云堡垒机 数据库安全审计 态势感知 SSL证书 DDoS高防 加密服务 数据安全中心 威胁检测服务 适用于存有用户敏感信息的行业，这种行业信息外泄会造成特别严重影响，甚至会对社会秩序和公共利益造成损失。如政务、教育、医疗、物流、金融等相关行业。 多云安全方案套餐 根据业务系统的情况，自定义购买以下安全方服务： 企业主机安全 漏洞扫描服务 Web应用防火墙（WAF） SSL证书 DDoS高防 -

查看任务 登录管理控制台。 选择“服务列表 >安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务管理控制台。 在左侧导航栏，单击二进制成分分析。 在“二进制成分分析”页面，查看成分分析任务列表，相关参数说明如图1所示。 图1 成分分析任务列表 表1 成分分析任务列表参数说明 参数 参数说明 文件名 软件包名称。 任务描述 自定义描述。 任务状态 “等待中” 导入扫描对象后开始等待扫描。 “进行中” 任务正在进行扫描。 “已完成” 任务已完成扫描。 “已停止” 任务扫描中单击了操作栏的“停止”。 “已失败” 任务扫描失败。 安全漏洞 成分分析扫描出的漏洞分布情况。 开始时间 成分分析开始的时间。 任务时长 成分分析扫描完成、失败或停止的所用时长。 操作 查看报告、停止、删除按钮。 在下拉框下拉选择任务状态，可根据任务状态筛选查看任务。 在输入框中输入文件名关键字或任务描述，可根据文件名关键字或任务描述筛选查看，可以和任务状态联合使用。 单击刷新任务列表。

配置思路 登录华为乾坤云服务控制台，根据租户内网资产IP地址配置全局白名单，提升安全状态检测的准确性。 配置交换机： 配置Switch的GigabitEthernet0/0/2为观察端口，该端口直连天关，Switch将通过镜像将流量上送到天关进行检测。 配置Switch的GigabitEthernet0/0/1为镜像端口，开启端口镜像功能。 配置Switch的GigabitEthernet0/0/3为三层端口，与天关上漏洞扫描和云日志审计接口直连。 配置天关： 配置云端管理接口，用于天关与云端对接，包括设备向云端注册、向云端提供日志、接收云端下发配置等。 配置检测接口GE0/0/1为旁路检测模式，该二层接口与Switch的观察端口直连。 配置边界防护与响应服务的业务参数。 将GE0/0/1和对应VLAN都加入trust安全域，并配置旁路检测所需要的安全策略。 对于USG6603F-C，仅需要配置安全域，不需要配置安全策略。 配置漏洞扫描和云日志审计接口GE0/0/2为三层接口，并加入trust安全域，已购买漏洞扫描服务或云日志审计服务时需要配置。 分别配置漏洞扫描服务和云日志审计服务的业务参数，已购买漏洞扫描服务或云日志审计服务时需要配置。

漏洞详情 Kubernetes官方发布安全漏洞CVE-2020-8557，CVSS Rating: Medium (5.5) CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H/CR:H/IR:H/AR:M。 漏洞源于kubelet的驱逐管理器（eviction manager）中没有包含对Pod中挂载的/etc/hosts文件的临时存储占用量管理，因此在特定的攻击场景下，一个挂载了/etc/hosts的Pod可以通过对该文件的大量数据写入占满节点的存储空间，从而造成节点的拒绝访问（Denial of Service）。 参考链接：https://github.com/kubernetes/kubernetes/issues/93032