使用HSS扫描和修复漏洞

应用场景

HSS漏洞管理支持扫描Linux漏洞、Windows漏洞、Web-CMS漏洞、应用漏洞和应急漏洞，并提供多种漏洞处理方式，帮助您全面掌握和及时修复资产中的漏洞，规避可能的风险。

本文介绍通过HSS发现并修复漏洞的实践教程。

前提条件

主机已开启HSS专业版/企业版/旗舰版/网页防篡改版/容器版防护。详细操作请参见HSS接入概述。

判定漏洞修复的紧急程度

如果您的资产中，检测出多个漏洞时，您可以通过如下方式综合判断漏洞修复的紧急程度，优先修复紧急程度高、会对服务器造成影响的漏洞。

• 通过漏洞修复优先级判定

  您可以通过漏洞修复优先级过滤出需要尽快修复的漏洞。一般来讲，“修复优先级”为“紧急”的漏洞需立即修复。

  漏洞修复优先级是由漏洞最高CVSS分值、漏洞发布时间和漏洞影响的资产重要性进行加权计算得出，反映了漏洞修复的紧急程度。

  

  默认情况下资产重要性为“一般资产”，您可以为服务器关联匹配的重要等级，详细操作请参考管理服务器重要性。

  漏洞修复优先级主要分为紧急、高、中、低四个等级，您可以参考修复优先级优先修复对您的服务器影响较大的漏洞。

  • 紧急：您必须立即修复的漏洞，攻击者利用该漏洞会对主机造成较大的破坏。
  • 高：您需要尽快修复的漏洞，攻击者利用该漏洞会对主机造成损害。
  • 中：您需要修复的漏洞，为提高您主机的安全能力，建议您修复该类型的漏洞。
  • 低：该类型的漏洞对主机安全的威胁较小，您可以选择修复或忽略。
• 通过实际业务情况判定

  您可以查看漏洞详情，结合实际业务和受影响的服务器情况，来判定是否需要尽快修复漏洞。

扫描和修复漏洞

1. 扫描漏洞。
   1. 登录管理控制台。
   2. 在页面左上角选择“区域”，单击，选择“安全与合规 > 企业主机安全”，进入主机安全平台页面。
   3. 在左侧导航树，选择“风险预防 > 漏洞管理”，进入漏洞管理页面。
   4. 在“漏洞管理”页面右上角，单击“手动扫描”。
   5. 在“漏洞扫描”对话框，选中所有“漏洞类型”，并选择“扫描范围”为“全部服务器”，确保能扫描到所有服务器可能存在的各类漏洞。
      图1 配置手动扫描参数
      
   6. 在“漏洞管理”页面右上角，单击“任务管理”。在“扫描任务”页签，确认手动扫描任务已完成，确保所检测的漏洞信息是即时的。

2. 修复漏洞。
   

   • 执行主机漏洞修复可能存在漏洞修复失败导致业务中断，或者中间件及上层应用出现不兼容等风险，并且无法进行回滚。为了防止出现不可预料的严重后果，建议您通过云备份（CBR）为ECS创建备份，详细操作请参见创建云服务器备份。然后，使用空闲主机搭建环境充分测试，确认不影响业务正常运行后，再对主机执行漏洞修复。
   • 在线修复主机漏洞时，需要连接Internet，通过外部镜像源提供漏洞修复服务。
     • Linux系统：如果主机无法访问Internet，或者外部镜像源提供的服务不稳定时，可以使用华为云提供的镜像源进行漏洞修复。为了保证漏洞修复成功，请在执行在线升级漏洞前，确认主机中已配置华为云提供的对应操作系统的镜像源，详细的配置操作请参见配置镜像源。
     • Windows系统：如果主机无法访问Internet，请确保拥有自建的补丁服务器。
   1. 筛选需要修复的漏洞。
      • 单击“需紧急修复漏洞”上的数字，筛选各类需紧急修复的漏洞。
      • 在扫描出的漏洞列表，筛选出修复优先级高的漏洞，例如“漏洞视图”下，设置“修复优先级”为“紧急”、“高”，“主机视图”下，设置“主机风险等级”为“高危”、“中危”。
   2. 修复漏洞。
      • 自动修复漏洞：仅Linux漏洞、Windows漏洞支持。此处以漏洞视角下，修复Linux漏洞为例，进行介绍。
        1. 在“漏洞管理”页面，单击目标漏洞“操作”的“修复”。
        2. 在修复对话框，确认待修复的漏洞数量和影响资产数量，单击，开启备份。
           图2 确认漏洞和创建备份
           
        3. 单击“管理”，在创建备份弹窗，编辑服务器本次备份文件的名称后，单击“确定”。
        4. 在修复对话框，勾选知晓风险后，单击“自动修复”。
        5. 单击漏洞名称，在漏洞详情页，选择“历史处置记录”页签，在目标漏洞“状态”列，查看漏洞修复状态。
           • “修复成功”表示该漏洞已被成功修复。更多状态说明，请参见表 漏洞修复状态说明。
           • “修复失败”表示该漏洞修复失败，可能因为漏洞已不存在或漏洞已经被更改。您可以查看修复失败原因，参考HSS提供的方法，修复漏洞。具体操作，请参见漏洞修复失败怎么办？。
      • 手动修复漏洞：Web-CMS漏洞、应用漏洞和应急漏洞不支持自动修复，需参考漏洞修复建议手动修复。
        1. 在“漏洞管理”页面，单击目标漏洞名称，在漏洞详情页面，查看修复建议。
        2. 参考漏洞修复方案，根据业务情况选择一个方案修复漏洞。
           方案一：创建新的虚拟机执行漏洞修复

           1. 为需要修复漏洞的ECS主机创建镜像，详细操作请参见通过云服务器创建整机镜像。
           2. 使用该镜像创建新的ECS主机，详细操作请参见通过镜像创建云服务器。
           3. 在新启动的主机上执行漏洞修复并验证修复结果。
           4. 确认修复完成之后将业务切换到新主机。
           5. 确定切换完成并且业务运行稳定无故障后，可以释放旧的主机。如果业务切换后出现问题且无法修复，可以将业务立即切换回原来的主机以恢复功能。
           方案二：在当前主机执行修复

           1. 为需要修复漏洞的ECS主机创建备份，详细操作请参见创建云服务器备份。
           2. 在当前主机上直接进行漏洞修复。
           3. 如果漏洞修复后出现业务功能问题且无法及时修复，立即使用备份恢复功能将主机恢复到修复前的状态，详细操作请参见使用备份恢复服务器。

           

           • 方案一适用于第一次对主机漏洞执行修复，且不确定漏洞修复的影响。新创建的ECS主机建议采用按需计费的方式创建，待业务切换完成后可以根据需要转换为包周期计费模式。如果漏洞修复不成功可以随时释放以节省开销。
           • 方案二适用于已经有同类主机执行过修复，漏洞修复方案已经比较成熟可靠的场景。
      • 忽略漏洞、漏洞添加白名单

        如果某漏洞暂时无害，您可以忽略该漏洞。忽略仅忽略当次告警，下一次漏洞扫描仍然上报该漏洞。如果某漏洞不会对业务产生影响，可将漏洞加入白名单。加入白名单后，已扫描出的漏洞会被处理为忽略，不再上报，且下一次扫描时不再扫描该漏洞。具体操作，请参见忽略漏洞、漏洞添加白名单。

3. 重启主机。

   “Windows系统漏洞”和“Linux系统Kernel类的漏洞”修复完成后，需要重启服务器，重启服务器后漏洞修复才会生效，否则企业主机安全仍认为您的漏洞未完成修复，将持续为您告警。其他类型的漏洞修复后，则无需重启服务器。

4. 修复验证。

   在您手动修复漏洞完成后，建议您验证漏洞修复结果。具体操作，请参见修复验证。

相关操作

• HSS支持查看已处理漏洞的历史处置记录。您可以筛选“已处理”的漏洞，单击“漏洞名称”，在漏洞详情面板，查看“历史处置记录”。具体操作，请参见查看漏洞历史处置记录。
• HSS支持导出漏洞列表。具体操作，请参见导出漏洞列表。