漏洞掃描與修複，什麼是漏洞管理 - Security Center

Security Center漏洞管理功能可以自動化地發現、評估並修複伺服器上的安全性漏洞，涵蓋作業系統、Web內容管理系統（Web-CMS）及各類應用，用於管理安全風險，收縮系統攻擊面。漏洞管理提供自動化的漏洞掃描與修複方案，替代傳統的手動補丁方式，適用於大規模伺服器叢集的安全營運。

應用情境

對核心商務服務器進行持續、自動化的漏洞管理

情境說明：核心商務服務器需要每日進行漏洞掃描並及時修複，以保障業務安全和穩定。
適用版本：進階版、企業版或旗艦版。
功能說明：支援每日一次自動漏洞掃描（周期性）且不限次數漏洞修複。同時支援手動掃描漏洞以應對突發安全事件。

為少量非核心伺服器或開發測試環境提供基礎防護

情境說明：對於伺服器數量較少（如<10台）或開發測試環境，在控製成本的同時，需要具備基礎的漏洞發現和修複能力。
適用版本：防病毒版，並按需購買漏洞修複次數。
功能說明：支援每2天一次自動周期性漏洞掃描，滿足基礎需求.需要修複漏洞時，可通過隨用隨付或購買修複包，靈活進行漏洞管理。

快速響應和排查新爆發的緊急漏洞

情境說明：當行業內爆發重大安全性漏洞（如Log4j2）時，需要立即確認所有伺服器資產是否受到影響。
適用版本：企業版或旗艦版。
功能說明：使用手動漏洞掃描功能，對全部或部分伺服器立刻發起全面漏洞掃描。掃描結果提供詳細的漏洞資訊和官方修複建議，用於指導手動處置。

核心功能介紹

漏洞掃描

漏洞掃描支援兩種掃描方式：手動掃描漏洞和自動掃描漏洞（周期性）。

對比維度	手動掃描漏洞	自動掃描漏洞（周期性）
觸發方式	使用者在控制台按需發起，立即執行。	系統根據預設策略定時自動執行。
掃描頻率	不固定，由使用者決定。	進階版、企業版、旗艦版：預設每天一次。免費版及其他版本：預設每2天一次。
適用情境	• 應急響應：快速排查新爆發的高危漏洞。 • 變更後驗證：在部署新應用或系統更新後，立即進行安全檢查。	• 日常巡檢：實現持續、自動化的漏洞監控，滿足合規性要求。 • 統一管理：無需人工幹預，定期擷取所有資產的漏洞報告。

漏洞修複

Security Center提供一鍵修複能力，自動下發補丁包，協助快速解決安全問題。

警告

應用漏洞和應急漏洞不支援通過控制台一鍵修複，需根據漏洞詳情中提供的修複建議，登入伺服器進行手動修複。

漏洞修複次數計算規則
- 最小計算單位：在單台伺服器上成功修複一個漏洞公告，計為 1 次。
  重要
  一個漏洞公告可能包含多個相關的 CVE。無論其內含多少個 CVE，修複該公告均只計為 1 次。
- 漏洞修複次數 = Σ（各伺服器上狀態為“已修複”的漏洞公告數量）
  重要
  重啟伺服器後，修複狀態顯示“已修複”，才計入修複次數，修複失敗不統計。
- 樣本：
  如果您有5台伺服器，每台伺服器均有10個不同的漏洞公告需要修複。如果所有伺服器上的所有漏洞公告都通過Security Center成功修複，則：
  漏洞修複總次數 = 5 台伺服器 * 10 個漏洞公告 = 50 次

漏洞修複優先順序

當存在多個漏洞時，阿里雲漏洞脆弱性評分系統（基於CVSS並結合雲上實際攻防情境）能協助您確定修複順序。該系統考慮漏洞的嚴重程度、利用成熟度等級、風險威脅以及受影響範圍。

漏洞修複緊急度得分 = 阿里雲漏洞脆弱性評分 × 時間因子 × 實際環境因子 × 資產重要性因子。
- 阿里雲漏洞脆弱性評分：評估漏洞自身嚴重程度。
- 時間因子：考慮漏洞公開時間、利用手段普及度等動態因素（取值0~1）。
- 實際環境因子：評估漏洞在伺服器環境中的可利用性（如是否串連公網，取值動態調整）。
- 資產重要性因子：根據資產重要性設定（重要1.5，一般1，測試0.5）調整優先順序。

修複優先順序與建議：

優先順序	修複緊急度得分	描述	修複建議
高	13.5分以上	未經身分識別驗證的遠程攻擊者可輕鬆利用，導致系統受損（如任意代碼執行），無需使用者互動。此類漏洞常被蠕蟲、勒索軟體利用。	儘快修複
中	7.1~13.5分	潛在可能危及資源機密性、完整性或可用性。通常是官方或互連網上披露的評級較高但暫無法真實可利用的漏洞。	可延後修複
低	7分以下	成功利用可能性極低或利用後無實際風險。常見於程式原始碼BUG，或僅對合規、業務效能有輕微影響的漏洞。	可暫不修複
特殊	-	應急漏洞和Web-CMS漏洞：阿里雲安全工程師確認後的高危漏洞，建議您儘快修複。當因網路問題無法擷取環境因子時，修複建議會顯示為“可暫不修複”。	儘快修複

檢測規則與資料管理策略

規則更新時間說明

Security Center會及時更新漏洞檢測規則，以支援作業系統供應商發布的資訊安全諮詢。

說明

在節假日期間漏洞更新可能會延遲。

Linux系統：
- 高危漏洞：作業系統供應商發布公告後 48小時內添加檢測規則。
- CVE漏洞：作業系統供應商發布公告後14天內添加檢測規則。
Windows系統：微軟發布公告後48小時內添加CVE漏洞檢測規則。

資料保留時間說明

為確保系統高效運行，Security Center會自動清理長時間未變化的漏洞資料。

未失效漏洞：
如果漏洞狀態（如：修複成功、修複失敗、已忽略、未修複、修複中、驗證中等）一年內未發生變化，系統將自動刪除該漏洞。
已失效漏洞：
漏洞狀態變成為漏洞已失效後，如果該狀態保持時間超過漏洞管理設定中設定的保留無效 Vul時間，系統將自動刪除該漏洞。

計費說明

Security Center提供兩種計費模式：訂用帳戶和隨用隨付，覆蓋漏洞掃描與修複功能。計費詳情，請參見計費概述。

說明

購買後需為伺服器綁定版本或/防護等級，才能對其進行漏洞掃描和修複。具體操作，請參見管理主機及容器安全授權數。

訂用帳戶：購買版本服務、漏洞修複增值服務。
隨用隨付：購買主機及容器安全、漏洞修複後付費功能。

不同模式支援的功能範圍有所不同，對比如下：

服務模式	服務版本 / 防護等級	手動掃描範圍	自動掃描範圍（周期性）	漏洞修複能力
訂用帳戶	企業版、旗艦版	全部。	全部。	支援修複 Linux、Windows、Web-CMS 漏洞。
	進階版	除應用漏洞外的所有漏洞。	除應用漏洞外的所有漏洞。	支援修複 Linux、Windows 漏洞。
	免費版、增值服務版、防病毒版	僅應急漏洞。	Linux軟體漏洞、Windows系統漏洞、Web-CMS漏洞。	重要需單獨購買的漏洞修複增值服務功能，才能開通一鍵修複功能。開通步驟請參見購買漏洞修複（訂用帳戶）、購買漏洞修複（隨用隨付）。購買後支援修複 Linux、Windows 漏洞。
隨用隨付	主機全面防護、主機及容器全面防護	全部。	全部。
隨用隨付	未防護、病毒防護	僅應急漏洞。	Linux軟體漏洞、Windows系統漏洞、Web-CMS漏洞。

從這裡開始

購買並開通漏洞管理：購買Security Center。
綁定伺服器版本或防護等級：管理主機及容器安全授權數。
掃描漏洞：掃描漏洞。
處理漏洞：查看和處理漏洞。
處理失敗問題排查：漏洞修複失敗原因排查。

常見問題

如何查看支援檢測的漏洞？

在漏洞管理頁，單擊已支援漏洞地區下方的數字，查看支援檢測的漏洞列表。

附錄

漏洞掃描和修複支援的作業系統

作業系統類型	版本
Windows Server	Windows Server 2008（EOL之前的漏洞） Windows Server 2012（EOL之前的漏洞） Windows Server 2016 Windows Server 2019 Windows Server 2022
CentOS	CentOS 7 CentOS 5（EOL之前的漏洞） CentOS 6（EOL之前的漏洞） CentOS 8（EOL之前的漏洞）
Redhat	Redhat 9 Redhat 7 Redhat 8 Redhat 5（EOL之前的漏洞） Redhat6（EOL之前的漏洞）
Ubuntu	Ubuntu 12（EOL之前的漏洞） Ubuntu 14（EOL之前的漏洞） Ubuntu 16（EOL之前的漏洞） Ubuntu 18（EOL之前的漏洞） Ubuntu 20 Ubuntu 21 Ubuntu 22.04
Alibaba Cloud Linux	Alibaba Cloud Linux 2.1903 Alibaba Cloud Linux 3
Anolis OS	Anolis OS 8 Anolis OS 7
Debian	Debian 8 Debian 9 Debian 10 說明僅支援掃描，不支援修複。
SUSE	openSUSE openSUSE 10.1（EOL之前的漏洞） openSUSE 10.2（EOL之前的漏洞） openSUSE 10.3（EOL之前的漏洞） openSUSE 11.0（EOL之前的漏洞） openSUSE 11.1（EOL之前的漏洞） openSUSE 11.2（EOL之前的漏洞） openSUSE 11.3（EOL之前的漏洞） openSUSE 11.4（EOL之前的漏洞） openSUSE 12.1（EOL之前的漏洞） openSUSE 12.2（EOL之前的漏洞） openSUSE 12.3（EOL之前的漏洞） openSUSE 13.1（EOL之前的漏洞） openSUSE 13.2（EOL之前的漏洞） openSUSE Leap 42.1（EOL之前的漏洞） openSUSE Leap 42.2（EOL之前的漏洞） openSUSE Leap 42.3（EOL之前的漏洞） openSUSE Leap 15.0（EOL之前的漏洞） openSUSE Leap 15.1（EOL之前的漏洞） openSUSE Leap 15.2（EOL之前的漏洞） openSUSE Leap 15.3（EOL之前的漏洞） openSUSE Leap 15.4 openSUSE Leap 15.5 SUSE Linux Enterprise SLES 6（EOL之前的漏洞） SLES 10（EOL之前的漏洞） SLES 10 SP2（EOL之前的漏洞） SLES 10 SP3（EOL之前的漏洞） SLES 10 SP4（EOL之前的漏洞） SLES 11 SP1（EOL之前的漏洞） SLES 11 SP2（EOL之前的漏洞） SLES 11 SP3（EOL之前的漏洞） SLES 11 SP4（EOL之前的漏洞） SLES 12（EOL之前的漏洞） SLES 12 SP1（EOL之前的漏洞） SLES 12 SP2（EOL之前的漏洞） SLES 12 SP3（EOL之前的漏洞） SLES 12 SP4（EOL之前的漏洞） SLES 12 SP5
麒麟	銀河麒麟進階伺服器作業系統 V10

終止維護的漏洞列表

對於已終止生命週期的作業系統，Security Center將不再支援掃描、檢測和修複其在EOL時間之後出現的 Linux軟體漏洞和Windows系統漏洞。

說明

Web-CMS漏洞、應用漏洞、應急漏洞的掃描和修複，以及Security Center支援的其他功能不受影響。

作業系統版本	官方終止生命週期（EOL）時間	Security Center支援漏洞補丁情況
Windows Server 2003	2015年07月14日	Security Center支援檢測和修複2015年07月14日之前出現的漏洞補丁。
Windows Server 2008	2020年01月14日	Security Center支援檢測和修複2020年01月14日之前出現的漏洞補丁。
Windows Server 2008 R2	2020年01月14日	Security Center支援檢測和修複2020年01月14日之前出現的漏洞補丁。
Windows Server 2008 SP2	2020年01月14日	Security Center支援檢測和修複2020年01月14日之前出現的漏洞補丁。
Windows Server 2012	2023年10月10日	Security Center支援檢測和修複2023年10月10日之前出現的漏洞補丁。
Windows Server 2012 R2	2023年10月10日	Security Center支援檢測和修複2023年10月10日之前出現的漏洞補丁。
Ubuntu 12.04 LTS	2017年04月28日	Security Center支援檢測和修複2017年04月28日之前出現的漏洞補丁。
Ubuntu 14.04 LTS	2019年04月	Security Center支援檢測和修複2019年04月之前出現的漏洞補丁。
Ubuntu 16.04 LTS	2021年04月	Security Center支援檢測和修複2021年04月之前出現的漏洞補丁。
Ubuntu 18.04 LTS	2023年04月	Security Center支援檢測和修複2023年04月之前出現的漏洞補丁。
CentOS 5	2017年03月31日	Security Center支援檢測和修複2017年03月31日之前出現的漏洞補丁。
CentOS 6	2020年11月30日	Security Center支援檢測和修複2020年11月30日之前出現的漏洞補丁。
CentOS 8	2021年12月31日	Security Center支援檢測和修複2021年12月31日之前出現的漏洞補丁。
Redhat 5	2017年03月31日	Security Center支援檢測和修複2017年03月31日之前出現的漏洞補丁。
Redhat 6	2020年11月30日	Security Center支援檢測和修複2020年11月30日之前出現的漏洞補丁。