文档首页/ 企业主机安全 HSS/ 最佳实践/ 使用HSS扫描和修复漏洞
更新时间:2024-10-28 GMT+08:00

使用HSS扫描和修复漏洞

应用场景

HSS漏洞管理支持扫描Linux漏洞、Windows漏洞、Web-CMS漏洞、应用漏洞和应急漏洞,并提供多种漏洞处理方式,帮助您全面掌握和及时修复资产中的漏洞,规避可能的风险。

本文介绍通过HSS发现并修复漏洞的实践教程。

前提条件

主机已开启HSS专业版/企业版/旗舰版/网页防篡改版/容器版防护。详细操作请参见HSS接入概述

判定漏洞修复的紧急程度

如果您的资产中,检测出多个漏洞时,您可以通过如下方式综合判断漏洞修复的紧急程度,优先修复紧急程度高、会对服务器造成影响的漏洞。

  • 通过漏洞修复优先级判定

    您可以通过漏洞修复优先级过滤出需要尽快修复的漏洞。一般来讲,“修复优先级”“紧急”的漏洞需立即修复。

    漏洞修复优先级是由漏洞最高CVSS分值、漏洞发布时间和漏洞影响的资产重要性进行加权计算得出,反映了漏洞修复的紧急程度。

    默认情况下资产重要性为“一般资产”,您可以为服务器关联匹配的重要等级,详细操作请参考管理服务器重要性

    漏洞修复优先级主要分为紧急、高、中、低四个等级,您可以参考修复优先级优先修复对您的服务器影响较大的漏洞。

    • 紧急:您必须立即修复的漏洞,攻击者利用该漏洞会对主机造成较大的破坏。
    • 高:您需要尽快修复的漏洞,攻击者利用该漏洞会对主机造成损害。
    • 中:您需要修复的漏洞,为提高您主机的安全能力,建议您修复该类型的漏洞。
    • 低:该类型的漏洞对主机安全的威胁较小,您可以选择修复或忽略。
  • 通过实际业务情况判定

    您可以查看漏洞详情,结合实际业务和受影响的服务器情况,来判定是否需要尽快修复漏洞。

扫描和修复漏洞

  1. 扫描漏洞。

    1. 登录管理控制台
    2. 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台页面。
    3. 在左侧导航树,选择“风险预防 > 漏洞管理”,进入漏洞管理页面。
    4. “漏洞管理”页面右上角,单击“手动扫描”
    5. “漏洞扫描”对话框,选中所有“漏洞类型”,并选择“扫描范围”“全部服务器”,确保能扫描到所有服务器可能存在的各类漏洞。
      图1 配置手动扫描参数
    6. “漏洞管理”页面右上角,单击“任务管理”。在“扫描任务”页签,确认手动扫描任务已完成,确保所检测的漏洞信息是即时的。

  2. 修复漏洞。

    • 执行主机漏洞修复可能存在漏洞修复失败导致业务中断,或者中间件及上层应用出现不兼容等风险,并且无法进行回滚。为了防止出现不可预料的严重后果,建议您通过云备份(CBR)为ECS创建备份,详细操作请参见创建云服务器备份。然后,使用空闲主机搭建环境充分测试,确认不影响业务正常运行后,再对主机执行漏洞修复。
    • 在线修复主机漏洞时,需要连接Internet,通过外部镜像源提供漏洞修复服务。
      • Linux系统:如果主机无法访问Internet,或者外部镜像源提供的服务不稳定时,可以使用华为云提供的镜像源进行漏洞修复。为了保证漏洞修复成功,请在执行在线升级漏洞前,确认主机中已配置华为云提供的对应操作系统的镜像源,详细的配置操作请参见配置镜像源
      • Windows系统:如果主机无法访问Internet,请确保拥有自建的补丁服务器。
    1. 筛选需要修复的漏洞。
      • 单击“需紧急修复漏洞”上的数字,筛选各类需紧急修复的漏洞。
      • 在扫描出的漏洞列表,筛选出修复优先级高的漏洞,例如“漏洞视图”下,设置“修复优先级”“紧急”“高”“主机视图”下,设置“主机风险等级”“高危”“中危”
    2. 修复漏洞。
      • 自动修复漏洞:仅Linux漏洞、Windows漏洞支持。此处以漏洞视角下,修复Linux漏洞为例,进行介绍。
        1. “漏洞管理”页面,单击目标漏洞“操作”“修复”
        2. 在修复对话框,确认待修复的漏洞数量和影响资产数量,单击,开启备份。
          图2 确认漏洞和创建备份
        3. 单击“管理”,在创建备份弹窗,编辑服务器本次备份文件的名称后,单击“确认”
        4. 在修复对话框,勾选知晓风险后,单击“自动修复”
        5. 单击漏洞名称,在漏洞详情页,选择“历史处置记录”页签,在目标漏洞“状态”列,查看漏洞修复状态。
          • “修复成功”表示该漏洞已被成功修复。更多状态说明,请参见表 漏洞修复状态说明
          • “修复失败”表示该漏洞修复失败,可能因为漏洞已不存在或漏洞已经被更改。您可以查看修复失败原因,参考HSS提供的方法,修复漏洞。具体操作,请参见漏洞修复失败怎么办?
      • 手动修复漏洞:Web-CMS漏洞、应用漏洞和应急漏洞不支持自动修复,需参考漏洞修复建议手动修复。
        1. “漏洞管理”页面,单击目标漏洞名称,在漏洞详情页面,查看修复建议。
        2. 参考漏洞修复方案,根据业务情况选择一个方案修复漏洞。
          方案一:创建新的虚拟机执行漏洞修复
          1. 为需要修复漏洞的ECS主机创建镜像,详细操作请参见通过云服务器创建整机镜像
          2. 使用该镜像创建新的ECS主机,详细操作请参见通过镜像创建云服务器
          3. 在新启动的主机上执行漏洞修复并验证修复结果。
          4. 确认修复完成之后将业务切换到新主机。
          5. 确定切换完成并且业务运行稳定无故障后,可以释放旧的主机。如果业务切换后出现问题且无法修复,可以将业务立即切换回原来的主机以恢复功能。
          方案二:在当前主机执行修复
          1. 为需要修复漏洞的ECS主机创建备份,详细操作请参见创建云服务器备份
          2. 在当前主机上直接进行漏洞修复。
          3. 如果漏洞修复后出现业务功能问题且无法及时修复,立即使用备份恢复功能将主机恢复到修复前的状态,详细操作请参见使用备份恢复服务器
          • 方案一适用于第一次对主机漏洞执行修复,且不确定漏洞修复的影响。新创建的ECS主机建议采用按需计费的方式创建,待业务切换完成后可以根据需要转换为包周期计费模式。如果漏洞修复不成功可以随时释放以节省开销。
          • 方案二适用于已经有同类主机执行过修复,漏洞修复方案已经比较成熟可靠的场景。
      • 忽略漏洞漏洞添加白名单

        如果某漏洞暂时无害,您可以忽略该漏洞。忽略仅忽略当次告警,下一次漏洞扫描仍然上报该漏洞。如果某漏洞不会对业务产生影响,可将漏洞加入白名单。加入白名单后,已扫描出的漏洞会被处理为忽略,不再上报,且下一次扫描时不再扫描该漏洞。具体操作,请参见忽略漏洞漏洞添加白名单

  3. 重启主机。

    “Windows系统漏洞”“Linux系统Kernel类的漏洞”修复完成后,需要重启服务器,重启服务器后漏洞修复才会生效,否则企业主机安全仍认为您的漏洞未完成修复,将持续为您告警。其他类型的漏洞修复后,则无需重启服务器。

  4. 修复验证。

    在您手动修复漏洞完成后,建议您验证漏洞修复结果。具体操作,请参见修复验证

相关操作

  • HSS支持查看已处理漏洞的历史处置记录。您可以筛选“已处理”的漏洞,单击“漏洞名称”,在漏洞详情面板,查看“历史处置记录”。具体操作,请参见查看漏洞历史处置记录
  • HSS支持导出漏洞列表。具体操作,请参见导出漏洞列表