全部產品
Search

搜尋本產品

    Security Center:漏洞修複最佳實務

    文件中心

    Security Center:漏洞修複最佳實務

    更新時間:Mar 10, 2025

    Security Center提供漏洞管理功能,支援掃描和修複常見漏洞類型,協助您更全面地瞭解並及時修複資產中的漏洞風險。本文介紹漏洞掃描修複的優先順序、流程及使用Security Center修複漏洞的最佳實務。

    漏洞修複優先順序

    漏洞修複的優先順序由以下因素決定:

    • 技術影響
    • 利用成熟度等級(PoC、EXP、蠕蟲或病毒工具化)
    • 風險威脅(伺服器許可權失陷與否)
    • 受影響數量級(互連網受影響IP量級決定漏洞被駭客關注程度)

    Security Center提供的漏洞修複緊急度得分計算模型可以評估漏洞修複的緊急程度,協助您決策漏洞修複的優先順序。關於該模型的更多資訊,請參見漏洞修複緊急度得分計算模型

    漏洞修複緊急度得分與修複優先順序對照表如下:

    優先順序

    描述

    修複緊急度得分

    修複建議

    該評級是針對未經身分識別驗證的遠程攻擊者可以輕鬆利用並導致系統受損(任意代碼執行)而無需使用者互動的漏洞。此類漏洞通常為蠕蟲、勒索軟體等利用的漏洞。

    13.5分以上

    該漏洞需儘快修複。

    該評級適用於潛在可能危及資源的機密性、完整性或可用性的缺陷。此類漏洞通常為暫無法真實可利用,但官方或互連網上披露的評級較高漏洞,建議持續關注。

    7.1~13.5分

    該漏洞可延後修複。

    該評級適用於能被成功利用可能性極低或者成功利用後無實際風險的漏洞。此類漏洞通常是程式原始碼中的BUG缺陷,以及對合規情境和業務效能有影響的漏洞。

    7分以下

    該漏洞可暫不修複。

    漏洞修複決策方案

    1. 當您的資產中檢測出存在多個漏洞時,可能無法確認優先修複哪個漏洞。針對這個問題,可以在漏洞管理頁面,開啟僅顯示真實風險漏洞開關,過濾出修複優先順序較高的漏洞。

      Security Center真實風險漏洞模型依據阿里雲漏洞脆弱性評分系統、時間因子、實際環境因子和資產重要性因子對漏洞進行評估,結合實際攻防情境下漏洞是否可被利用(PoC、EXP)及其危害嚴重性,協助您自動過濾出存在真實安全風險的漏洞。開啟該功能可以協助企業提高資產中可被駭客利用的風險漏洞的補救效率以及補救措施的有效性。

      僅顯示真實風險漏洞
    2. 對於不同類型的漏洞,Security Center建議您優先修複應急漏洞Web-CMS漏洞,這兩類漏洞均為阿里雲安全工程師確認的高危漏洞。接著再修複應用漏洞、Windows系統漏洞和Linux軟體漏洞。
    3. 您需要根據實際業務情況、伺服器的使用方式以及漏洞修複可能造成的影響來判定漏洞是否需要優先修複。

    漏洞修複流程

    為了確保在漏洞修複過程中目標伺服器系統的正常運行,降低異常情況發生的可能性,在漏洞修複過程中建議按照以下流程進行修複:

    1. 掃描漏洞。
      1. 登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)在左側導覽列,選擇風險治理 > 漏洞管理
      2. 漏洞管理頁面右上方,單擊漏洞管理設定
      3. 漏洞管理設定面板檢查漏洞管理設定,確保掃描範圍能夠覆蓋所有伺服器的各類漏洞。具體操作,請參見掃描漏洞
        漏洞管理設定頁面
      4. 返回漏洞管理頁面,單擊一鍵掃描
        檢查當前帳號下所有伺服器的漏洞狀態,確保所檢測的漏洞資訊是即時的。
    2. 修複前測試。
      在修複漏洞前,修複人員應在測試環境中部署待修複漏洞的相關補丁,從相容性和安全性方面進行測試,並在測試完成後編寫漏洞修複測試報告。漏洞修複測試報告應包含漏洞修複情況、漏洞修複的時間長度、補丁本身的相容性、漏洞修複可能造成的影響。
    3. 備份伺服器資料。
      為了避免出現不可預料的後果,在正式開始漏洞修複前,修複人員應使用備份恢複系統對待修複漏洞的伺服器資料進行備份。例如,使用ECS的快照功能備份目標ECS執行個體的資料。修複Windows系統漏洞和Linux軟體漏洞可以使用自動建立快照並修複功能,應急漏洞、應用漏洞需要您前往ECS管理主控台建立快照。建議您在匯出存在漏洞的ECS伺服器資訊清單後,使用自動快照功能備份資料。更多資訊,請參見自動快照概述
    4. 修複漏洞。
      在目標伺服器部署修複漏洞的相關補丁及執行修複操作時,應至少有兩名修複人員在場,一人負責操作,另一人負責記錄,防止出現誤操作的情況。
    5. 修複後驗證。
      修複人員驗證目標伺服器系統上的漏洞是否已被修複,確保漏洞已修複且目標伺服器沒有出現任何異常情況。

    漏洞修複說明

    應急漏洞、應用漏洞

    Security Center只支援檢測應急漏洞、應用漏洞並提供修複建議,不支援一鍵修複。您需要根據漏洞詳情中提供的修複建議,登入受影響伺服器手動修複漏洞。應急漏洞應用漏洞詳情
    重要
    • 由於Security Center漏洞修複在測試中無法覆蓋所有系統內容,漏洞補丁修複行為仍存在一定風險。為了防止出現不可預料的後果,建議您先通過ECS管理主控台建立快照並自行搭建環境充分測試修複方案。檢測出應急漏洞或應用漏洞的Elastic Compute Service可以在ECS控制台建立快照進行資料備份。推薦您在匯出所有存在漏洞的ECS伺服器列表後,使用自動快照策略建立快照。更多資訊,請參見自動快照概述
    • 對於部分因業務影響或未發布安全版本而不能修複的漏洞,建議根據官方提供的臨時緩解方法進行攻擊防禦。
    • 對於業務無影響並且有安全版本的漏洞,建議將軟體升級到安全版本進行修複。

    Linux軟體漏洞、Windows系統漏洞

    Security Center支援自動檢測和一鍵修複Linux軟體漏洞、Windows系統漏洞,建議您在Security Center控制台的漏洞詳情頁,處理對應漏洞。關於修複漏洞的更多資訊,請參見查看和處理漏洞

    資產中存在多個Linux軟體漏洞時,您可以使用批量修複功能。僅Linux軟體漏洞支援批量修複功能。批量修複功能會自動識別您選擇的漏洞公告對應的資產,並修複這些資產中您所選擇的漏洞。以下步驟介紹批量修複Linux軟體漏洞的具體操作。

    1. 登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)在左側導覽列,選擇風險治理 > 漏洞管理
    2. 漏洞管理頁面的Linux軟體漏洞頁簽,選中需要批量修複的漏洞並單擊批量修複
      說明 批量修複漏洞時,基於效能考慮建議一次修複的漏洞個數不超過100個。需要修複的漏洞超過100個時,可以分次建立快照並進行修複。
    3. 批量修複對話方塊,查看Security Center識別出的需要修複漏洞的資產列表,選擇自動建立快照並修複不建立快照備份直接修複,並單擊立即修複

    如果批量修複漏洞失敗,請檢查伺服器網路連接是否正常、磁碟空間是否已佔滿。具體操作,請參見Linux軟體漏洞、Windows系統漏洞修複失敗,是什麼原因?

    Web-CMS漏洞

    Security Center支援檢測並一鍵修複Web-CMS漏洞。Web-CMS漏洞檢測功能可監控網站目錄並識別通用建站軟體中存在的漏洞。修複Web-CMS漏洞的操作和Linux軟體漏洞類似。具體操作,請參見查看和處理漏洞