全部产品
Search

搜索本产品

    Security Center:Pemindaian kerentanan

    文档中心

    Security Center:Pemindaian kerentanan

    更新时间:Nov 13, 2025

    Kerentanan keamanan merupakan vektor serangan umum yang dapat menyebabkan pelanggaran data atau gangguan bisnis. Security Center melakukan pemindaian kerentanan untuk mendeteksi Linux Software Vulnerability, Windows System Vulnerability, Web-CMS Vulnerability, Application Vulnerability, dan Urgent Vulnerability pada aset Anda. Hal ini membantu Anda mengidentifikasi dan memperbaiki kerentanan tersebut sebelum terjadi serangan, sehingga meningkatkan keamanan sistem secara keseluruhan.

    Mekanisme pemindaian kerentanan

    Pusat Keamanan menggunakan dua metode deteksi:

    • Analisis komposisi perangkat lunak (deteksi pasif): Klien Security Center mengumpulkan informasi mengenai versi perangkat lunak dan pustaka dependensi dari server Anda, lalu membandingkannya dengan basis data kerentanan. Proses ini hanya menganalisis metadata perangkat lunak dan tidak memengaruhi kinerja sistem bisnis Anda.

    • Pemindai web (validasi aktif): Pemindai web mengirimkan permintaan proof of concept (POC) tertentu ke layanan aplikasi Anda untuk mensimulasikan perilaku serangan dan mengonfirmasi adanya kerentanan. Metode ini dapat mendeteksi kerentanan berisiko tinggi seperti eksekusi perintah jarak jauh dan injeksi SQL. Semua permintaan tersebut merupakan probe yang tidak berbahaya dan tidak merusak sistem Anda.

      Catatan

      Pemindai web saat ini tidak didukung untuk aset di wilayah Global (tidak termasuk Tiongkok) yang dihosting di pusat data Singapura.

    Cakupan

    • Subscription

      Edition

      Pemindaian kerentanan manual

      Pemindaian kerentanan otomatis (berkala)

      Enterprise, Ultimate

      Semua

      Advanced

      Semua kerentanan kecuali Application Vulnerability.

      Basic, Value-added Plan, Anti-virus

      Hanya Urgent Vulnerability.

      Linux Software Vulnerability, Windows System Vulnerability, Web-CMS Vulnerability

    • Pay-as-you-go

      Tingkat Perlindungan

      Pemindaian kerentanan manual

      Pemindaian kerentanan otomatis (berkala)

      Host Protection, Hosts and Container Protection

      Semua

      Unprotected, Antivirus

      Hanya Urgent Vulnerability.

      Linux Software Vulnerability, Windows System Vulnerability, Web-CMS Vulnerability

    Konfigurasi daftar putih jaringan

    Untuk memastikan pemindai web dapat mengakses server Anda dan melakukan validasi aktif (POC), tambahkan rentang alamat IP pemindaian Security Center 47.110.180.32/27 (yaitu 47.110.180.32 hingga 47.110.180.63) ke daftar putih grup keamanan dan firewall jaringan Anda.

    Penting

    • Jika Anda tidak menambahkan alamat IP pemindaian Security Center ke daftar putih Anda, permintaan validasi aktif dari pemindai web mungkin diblokir. Hal ini dapat mencegah deteksi kerentanan aplikasi dan kerentanan darurat atau menyebabkan permintaan salah ditandai sebagai serangan.

    • Permintaan validasi POC mungkin berisi nama domain bantu s0x.cn, yang digunakan untuk deteksi kerentanan aplikasi dan kerentanan darurat. Jika hal ini menghasilkan peringatan, Anda dapat mengabaikan peringatan tersebut atau membuat aturan daftar putih peringatan.

    Konfigurasi grup keamanan

    Jika server Anda adalah instance ECS Alibaba Cloud, konfigurasikan grup keamanan dengan parameter berikut. Untuk informasi selengkapnya, lihat Mengelola grup keamanan.

    • Arah: Masuk

    • Kebijakan Otorisasi: Izinkan

    • Jenis Protokol: TCP

    • Rentang Port: 1-65535

    • Sumber: 47.110.180.32/27

    Konfigurasi daftar putih firewall

    Jika server Anda menggunakan Web Application Firewall Alibaba Cloud, konfigurasikan daftar putih dengan parameter berikut. Untuk informasi selengkapnya, lihat Menetapkan aturan daftar putih untuk mengizinkan permintaan tertentu.

    • Bidang Pencocokan: IP

    • Operator Logika: Termasuk dalam

    • Konten Pencocokan: 47.110.180.32/27

    • Modul yang Dilewati: Semua

    Jalankan pemindaian kerentanan

    Pusat Keamanan menawarkan dua metode pemindaian:

    • Pemindaian Manual: Gunakan ini untuk segera menilai status kerentanan server Anda.

    • Pemindaian Otomatis (Berkala): Atur tugas berulang untuk pemantauan kerentanan otomatis dan berkelanjutan.

    Catatan

    Setelah Anda memulai pemindaian, sistem akan membuat tugas pemindaian dan menjalankannya di latar belakang. Anda dapat melihat progres dan hasil pemindaian di Manajemen Tugas.

    Pemindaian manual

    1. Masuk ke Konsol

      Login ke Konsol Security Center. Di panel navigasi sebelah kiri, pilih Risk Governance > Vulnerabilities. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.

    2. Jalankan Pemindaian

      Di halaman Vulnerabilities, klik Quick Scan untuk memindai semua server. Di kotak dialog Vulnerability Scan yang muncul, pilih jenis kerentanan yang akan dipindai, lalu klik OK.

      Catatan

      Untuk memindai server tertentu, buka halaman Host dan pilih server yang diinginkan. Di panel bagian bawah halaman, klik Security Check, lalu pilih Vulnerabilities.

    Pemindaian otomatis (berkala)

    Pemindaian otomatis menggunakan dua metode penjadwalan yang berbeda:

    • Siklus default sistem (tidak dapat dikonfigurasi)

      • Kerentanan yang Berlaku: Linux Software Vulnerability, Windows System Vulnerability, dan Web-CMS Vulnerability.

      • Siklus Pemindaian Default:

        • Subscription

          • Advanced, Enterprise, dan Ultimate: Sekali sehari.

          • Basic, Value-added Plan, dan Anti-virus: Sekali setiap dua hari.

        • Pay-as-you-go

          • Host Protection dan Hosts and Container Protection: Sekali sehari.

          • Unprotected dan Antivirus: Sekali setiap dua hari.

    • Siklus yang ditentukan pengguna:

      • Kerentanan yang Berlaku: Application Vulnerability dan Urgent Vulnerability.

      • Edisi yang Berlaku:

        • Subscription: Advanced, Enterprise, dan Ultimate.

        • Pay-as-you-go: Host Protection dan Hosts and Container Protection.

    Konfigurasikan pemindaian sebagai berikut:

    1. Masuk ke Konsol

      Login ke Konsol Security Center. Di panel navigasi sebelah kiri, pilih Risk Governance > Vulnerabilities. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.

    2. Di halaman Vulnerabilities, klik Vulnerability Settings di sudut kanan atas. Konfigurasikan pengaturan sesuai kebutuhan:

      Item Konfigurasi

      Deskripsi

      Vulnerability Scanning Switch

      Mengaktifkan atau menonaktifkan pemindaian untuk berbagai jenis kerentanan (Linux Software Vulnerability, Windows System Vulnerability, Web-CMS Vulnerability, Application Vulnerability, dan Urgent Vulnerability). Setelah Anda mengaktifkan sakelar, Anda dapat mengklik Manage di sebelah kanan untuk menentukan cakupan pemindaian (server yang efektif) untuk jenis kerentanan tersebut.

      YUM/APT Source Configuration

      Ketika diaktifkan, sumber resmi YUM/APT dari Alibaba Cloud diprioritaskan untuk memperbaiki kerentanan Linux, yang secara signifikan meningkatkan keberhasilan perbaikan.

      Urgent Vulnerability Scan Cycle

      Menetapkan frekuensi eksekusi tugas pemindaian kerentanan darurat.

      • Jendela pemindaian default:

        • Wilayah Tiongkok: 00:00:00 (UTC+8) hingga 07:00:00 (UTC+8).

        • Wilayah Global (tidak termasuk Tiongkok): 00:00:00 (UTC+7) hingga 07:00:00 (UTC+7).

      • Edisi/tingkat perlindungan yang berlaku:

        • Langganan: Advanced, Enterprise, dan Ultimate.

        • Bayar sesuai penggunaan: Host Protection dan Hosts and Container Protection.

      Application Vulnerability Scan Cycle

      Menetapkan frekuensi eksekusi untuk tugas pemindaian kerentanan aplikasi.

      • Jendela pemindaian default:

        • Wilayah Tiongkok: 00:00:00 (UTC+8) hingga 07:00:00 (UTC+8).

        • Wilayah Global (tidak termasuk Tiongkok): Menggunakan mekanisme penjadwalan bertahap untuk menjalankan pemindaian pada waktu berbeda dalam periode 24 jam.

      • Edisi/tingkat perlindungan yang berlaku:

        • Langganan: Enterprise dan Ultimate.

        • Bayar sesuai pemakaian: Host Protection dan Hosts and Container Protection.

      Retain Invalid Vulnerabilities For

      Menetapkan periode pembersihan data untuk kerentanan yang tidak valid.

      Sistem menandai kerentanan yang tidak muncul kembali dan belum ditangani dalam waktu lama sebagai "tidak valid" dan secara otomatis mengarsipkannya ke daftar "Ditangani". Setelah periode pembersihan yang dikonfigurasi Retain Invalid Vulnerabilities For, sistem akan menghapusnya secara permanen untuk mengurangi kebisingan informasi.

      Catatan

      Jika Pusat Keamanan mendeteksi jenis kerentanan yang sama di masa depan, peringatan baru masih akan dibuat.

      Vulnerability Scan Level

      Menetapkan tingkat risiko kerentanan yang akan dipindai. Sistem hanya akan memindai dan melaporkan kerentanan yang sesuai dengan tingkat yang dipilih.

      Vulnerability Whitelist Settings

      Tambahkan kerentanan tertentu yang telah Anda konfirmasi tidak perlu ditangani (misalnya, karena kebutuhan bisnis khusus atau risiko yang dapat diterima) ke daftar putih. Kerentanan ini akan diabaikan secara otomatis dalam pemindaian selanjutnya.

      Catatan

      Setelah Anda menambahkan aturan daftar putih kerentanan, Anda dapat mengelolanya (mengedit atau menghapus) di bawah Vulnerability Whitelist Settings di panel Vulnerability Settings.

    Lihat tugas pemindaian

    1. Di halaman Vulnerabilities, klik Task Management di sudut kanan atas.

    2. Di kolom Aksi suatu tugas, klik Details untuk melihat statistik pemindaian, termasuk Affected Servers, Successful Servers, dan Failed Servers.

    3. Untuk server yang berhasil dipindai, kolom Status menampilkan jenis kerentanan yang dipindai. Jika pemindaian gagal, kolom Status menunjukkan alasan kegagalannya.

    Lihat dan tangani kerentanan

    Di halaman Vulnerabilities, buka tab untuk jenis kerentanan yang diinginkan dan lihat detail kerentanan tertentu. Kemudian, ikuti petunjuk untuk memperbaikinya. Untuk informasi lebih lanjut tentang remediasi, lihat Lihat dan tangani kerentanan.

    Peringatan

    Application Vulnerability dan Urgent Vulnerability tidak mendukung remediasi satu klik di konsol. Anda harus login ke server dan memperbaikinya secara manual mengikuti saran dalam detail kerentanan.

    Model Layanan

    Edisi Layanan / Tingkat Perlindungan

    Deskripsi

    Subscription

    Enterprise, Ultimate

    Mendukung perbaikan Linux Software Vulnerability, Windows System Vulnerability, dan Web-CMS Vulnerability.

    Advanced

    Mendukung perbaikan Linux Software Vulnerability dan Windows System Vulnerability.

    Basic, Value-added Plan, Anti-virus

    Penting

    Untuk mengaktifkan fitur remediasi satu klik, Anda harus membeli layanan tambahan Vulnerability Fix. Untuk petunjuknya, lihat Beli Vulnerability Fix (Langganan) atau Beli Vulnerability Fix (Bayar sesuai pemakaian).

    Mendukung perbaikan Linux Software Vulnerability dan Windows System Vulnerability.

    Pay-as-you-go

    Semua tingkat perlindungan

    kuota dan batasan

    • Manajemen tugas: Setelah Anda membuat tugas pemindaian manual, Anda harus menunggu 15 menit sebelum dapat menghentikan pemindaian secara manual di halaman Task Management dengan mengklik Stop.

    • Durasi Pemindaian: Waktu yang diperlukan untuk menyelesaikan pemindaian tergantung pada jumlah aset dan kompleksitas kerentanan. Pemindaian biasanya selesai dalam waktu 30 menit.

    Tanya Jawab Umum

    Perilaku pemindaian dan hasil

    • Mengapa server yang sama melaporkan beberapa contoh kerentanan yang sama?

      Deteksi kerentanan aplikasi menargetkan instance proses berjalan tertentu. Jika server menjalankan beberapa instance proses dengan kerentanan yang sama (misalnya, dua layanan Tomcat identik yang dimulai pada port berbeda), sistem akan melaporkan kerentanan terpisah untuk setiap instance proses. Jika perangkat lunak yang rentan diinstal tetapi proses terkaitnya tidak berjalan, kerentanan tersebut tidak terdeteksi.

    • Mengapa hasil pemindaian untuk kerentanan seperti Fastjson kadang-kadang berbeda?

      Deteksi kerentanan semacam ini bergantung pada apakah komponennya (seperti paket JAR) dimuat ke dalam status waktu proses selama pemindaian. Dalam model pemuatan dinamis, kerentanan hanya dapat dideteksi ketika logika bisnis benar-benar memanggil komponen yang rentan. Oleh karena itu, hasil pemindaian mungkin berbeda pada waktu yang berbeda.

      Catatan

      Untuk meningkatkan akurasi deteksi untuk jenis kerentanan ini, jalankan pemindaian berkala atau beberapa kali.

    • Setelah klien offline, mengapa konsol masih menampilkan catatan kerentanan untuk host tersebut?

      Setelah klien offline, catatan kerentanan yang terdeteksi tetap disimpan di konsol Security Center. Namun, catatan ini secara otomatis menjadi tidak valid dan Anda tidak dapat melakukan tindakan apa pun terhadapnya, seperti memperbaiki, memverifikasi, atau menghapusnya. Periode invalidasi otomatis untuk kerentanan adalah sebagai berikut:

      Penting

      Semua data hanya akan dihapus secara permanen jika layanan Security Center kedaluwarsa dan tidak diperpanjang dalam waktu 7 hari.

      • Linux Software Vulnerability dan Windows System Vulnerability: Menjadi tidak valid setelah 3 hari.

      • Web-CMS Vulnerability: Menjadi tidak valid setelah 7 hari.

      • Application Vulnerability: Menjadi tidak valid setelah 30 hari.

      • Urgent Vulnerability: Menjadi tidak valid setelah 90 hari.

    Dampak kinerja dan keamanan

    • Apakah pemindaian kerentanan atau validasi aktif (POC) untuk kerentanan darurat memengaruhi sistem bisnis?

      Umumnya, tidak ada dampak. Validasi aktif (POC) Security Center hanya mengirimkan satu atau dua permintaan probe yang tidak berbahaya dan tidak melakukan bentuk serangan atau tindakan merusak apa pun. Dalam kasus langka, risiko minimal mungkin ada jika aplikasi target sangat rapuh dan tidak dapat menangani input yang tidak terduga.

    • Mengapa pemindaian kerentanan terkadang memicu kesalahan kehabisan memori (OOM)?

      Klien Security Center memiliki batas memori yang dikonfigurasi (200 MB secara default). Jika pemindaian melebihi batas ini, mekanisme OOM sistem secara proaktif menghentikan proses deteksi (ALiSecCheck) untuk menghemat sumber daya.

      Catatan

      • Batas ini biasanya dikelola oleh control group (cgroup) bernama aegisRtap0. Informasi OOM terkait dapat ditemukan di log dmesg.

      • Perilaku ini normal dan tidak menunjukkan kekurangan memori di seluruh sistem. Kesalahan OOM disebabkan oleh batas memori cgroup, dan tidak memerlukan intervensi pengguna.

      • Kesalahan OOM ini disebabkan oleh batas memori cgroup dan tidak menunjukkan bahwa seluruh sistem kehabisan memori.

    Ruang lingkup pemindaian dan kemampuan

    1. Apa ruang lingkup pemindaian kerentanan?

      Pemindaian mencakup lapisan sistem dan aplikasi:

      • Tingkat Sistem: Kerentanan perangkat lunak Linux dan kerentanan sistem Windows.

        Penting

        Pemindaian kerentanan sistem Windows hanya mendukung patch pembaruan keamanan bulanan.

      • Lapisan aplikasi: Kerentanan Web-CMS, kerentanan aplikasi, dan kerentanan darurat.

    2. Bagaimana cara melihat daftar kerentanan yang dapat dideteksi oleh Pusat Keamanan?

      1. Login ke Konsol Security Center.

      2. Di panel navigasi sebelah kiri, klik Vulnerability Scan. Di bagian ringkasan, temukan kartu statistik "Disclosed Vulnerabilities".

      3. Klik jumlah total kerentanan pada kartu untuk membuka halaman daftar, di mana Anda dapat melihat semua kerentanan yang didukung dan detailnya.

    3. Apakah Security Center mendukung deteksi untuk kerentanan tertentu seperti Elasticsearch?

      Ya. Anda dapat melihat hasil deteksi untuk kerentanan pada layanan seperti Elasticsearch di halaman Application Vulnerability di konsol.

      Catatan

      Fitur ini hanya tersedia untuk layanan Subscription (Enterprise dan Ultimate) dan layanan Pay-as-you-go (Host Protection dan Hosts and Container Protection). Jika edisi Anda saat ini tidak mendukung fitur ini, tingkatkan layanan Anda.