全部產品
Search

搜尋本產品

    Security Center:掃描漏洞

    文件中心

    Security Center:掃描漏洞

    更新時間:Mar 04, 2026

    安全性漏洞是網路攻擊者入侵的主要途徑,可能導致資料泄露或業務中斷。Security Center提供漏洞掃描能力,可發現資產中的Linux軟體漏洞Windows系統漏洞Web-CMS漏洞應用漏洞應急漏洞,用於在攻擊發生前識別並修複風險,提升系統安全性。

    漏洞掃描機制

    Security Center採用以下兩種手段進行漏洞檢測:

    • 軟體成分分析(被動檢測):通過Security Center用戶端採集伺服器上的軟體版本、依賴庫等資訊,與漏洞庫進行比對。此過程僅分析軟體中繼資料,不會對業務系統造成效能影響。

    • Web掃描器(主動驗證):通過公網嚮應用服務發送特定的驗證請求(POC),類比攻擊行為以確認漏洞是否存在。此方式可用於檢測遠程命令執行、SQL注入等高風險漏洞。所有請求均為無害化探測,不會對系統造成實際破壞。

      說明

      位於新加坡資料中心的全球(不含中國)地區資產暫不支援使用 Web 掃描器功能。

    適用範圍

    • 訂用帳戶服務

      版本

      手動掃描漏洞

      自動掃描漏洞(周期性)

      企業版旗艦版

      全部

      進階版

      應用漏洞外的所有漏洞。

      免费版增值服务版防病毒版

      應急漏洞

      Linux軟體漏洞Windows系統漏洞Web-CMS漏洞

    • 隨用隨付服務

      防護等級

      手動掃描漏洞

      自動掃描漏洞(周期性)

      主機全面防護主機及容器全面防護

      全部

      未防護病毒防護

      應急漏洞

      Linux軟體漏洞Windows系統漏洞Web-CMS漏洞

    配置網路白名單

    為確保Web掃描器能夠正常訪問伺服器並執行主動驗證(POC),需將Security Center的掃描IP位址區段47.110.180.32/27(即47.110.180.32~47.110.180.63)加入安全性群組和網路防火牆的白名單中。

    重要

    • 如果未將Security Center的掃描IP地址添加至白名單,Web掃描器的主動驗證請求可能會被攔截,導致應用漏洞和應急漏洞無法被檢出,或被誤判為攻擊行為。

    • POC驗證請求中可能包含輔助網域名稱s0x.cn(用於應用漏洞和應急漏洞檢測),若因此產生警示,請直接忽略本次警示或設定警示加白規則

    配置安全性群組

    如果伺服器為阿里雲ECS,具體步驟請參見管理安全性群組。配置參數如下:

    • 方向:入方向

    • 授權策略:允許

    • 協議類型:TCP

    • 連接埠範圍:1-65535

    • 授權對象:47.110.180.32/27

    配置防火牆白名單

    若伺服器使用的是阿里雲Web Application Firewall,具體步驟請參見白名單。配置參數如下:

    • 匹配欄位:IP

    • 邏輯符:屬於

    • 匹配內容:47.110.180.32/27

    • 不檢測模組:全部

    執行漏洞掃描

    Security Center提供兩種掃描方式:

    • 手動掃描:用於立即評估伺服器的漏洞狀況。

    • 自動掃描(周期性):通過設定週期性任務,實現對漏洞的自動化、常態化監控。

    說明

    啟動掃描後,系統將產生掃描任務,並在後台運行,可在任務管理中查看掃描進度及結果報告。

    手動掃描

    1. 登入控制台

      登入Security Center控制台在左側導覽列,選擇風險治理 > 漏洞管理。在控制台左上方,選擇需防護資產所在的地區:中國內地非中國內地

    2. 執行掃描

      漏洞管理頁面,單擊一鍵掃描(全量伺服器)。在彈出的漏洞掃描對話方塊中,勾選需要掃描的漏洞類型,然後單擊確定

      說明

      若需要指定伺服器進行掃描,請前往主機資產功能頁面,勾選相應伺服器。選擇下方安全檢查,在彈框中選擇漏洞檢查

    自動掃描(周期性)

    自動掃描採用兩種不同的周期機制:

    • 系統預設周期(不可配置)

      • 適用漏洞:Linux軟體漏洞Windows系統漏洞Web-CMS漏洞

      • 預設掃描周期:

        • 訂用帳戶服務

          • 進階版企業版旗艦版:每天掃描一次。

          • 免费版增值服务版防病毒版:每兩天掃描一次。

        • 隨用隨付服務

          • 主機全面防護主機及容器全面防護:每天掃描一次。

          • 未防護病毒防護:每兩天掃描一次。

    • 使用者自訂周期:

      • 適用漏洞:應用漏洞應急漏洞

      • 適用版本:

        • 訂用帳戶服務進階版企業版旗艦版

        • 隨用隨付服務主機全面防護主機及容器全面防護

    配置步驟如下:

    1. 登入控制台

      登入Security Center控制台在左側導覽列,選擇風險治理 > 漏洞管理。在控制台左上方,選擇需防護資產所在的地區:中國內地非中國內地

    2. 漏洞管理頁面右上方,單擊漏洞管理設定。根據需求進行配置:

      配置項

      功能說明

      漏洞掃描開關

      控制各類漏洞Linux軟體漏洞Windows系統漏洞Web-CMS漏洞應用漏洞應急漏洞掃描是否啟用,開啟後,可單擊右側管理,指定該類型漏洞的掃描範圍(生效伺服器)。

      YUM/APT源配置

      開啟後,修複Linux 漏洞時將優先使用阿里雲官方 YUM/APT 源,顯著提升修複成功率。

      应急漏洞扫描周期

      設定應急漏洞掃描任務的執行頻率。

      • 預設掃描時段:

        • 中國地區 00:00:00(UTC+8) 至 07:00:00(UTC+8)

        • 全球(不含中國)地區: 00:00:00(UTC+7) 至 07:00:00(UTC+7)

      • 適用版本/防護等級:

        • 訂用帳戶:進階版企業版旗艦版

        • 隨用隨付:主機全面防護主機及容器全面防護

      应用漏洞扫描周期

      設定應用漏洞掃描任務的執行頻率。

      • 預設掃描時段:

        • 中國地區 00:00:00(UTC+8) 至 07:00:00(UTC+8)

        • 全球(不含中國)地區:採用錯峰調度機制,在24小時內分時段執行。

      • 適用版本/防護等級

        • 訂用帳戶:企業版旗艦版

        • 隨用隨付:主機全面防護主機及容器全面防護

      系統漏洞掃描時間

      設定Linux軟體漏洞和Windows系統漏洞掃描任務的具體時間。

      保留無效 Vul

      設定失效漏洞的資料清理周期。

      系統會將長期未複現且未處理的漏洞置為“失效”,並自動歸檔至“已處理”列表。在達到設定的保留無效 Vul清理周期後將其永久刪除,以減少資訊幹擾。

      說明

      後續當Security Center再次檢測出同類漏洞時,仍會產生警示。

      Vul 掃描級別

      設定關注的漏洞風險等級,系統將僅掃描並警示符合所選等級的漏洞。

      漏洞白名單配置

      將確認無需處理的特定漏洞(例如,業務特殊需要或風險可接受)加入白名單,使其在後續掃描中被自動忽略。

      說明

      添加漏洞白名單規則後,可以在漏洞管理設定漏洞白名單配置進行管理(編輯和刪除)。

    查看掃描任務

    1. 漏洞管理頁面右上方單擊任務管理

    2. 單擊任務操作列的詳情按鈕,可查看本次掃描任務的影響資料(影響主機台數執行成功主機數執行失敗主機數)。

    3. 若伺服器掃描成功,可在狀態列查看掃描的漏洞範圍。若掃描失敗,可在狀態列查看失敗原因。

    查看和處理漏洞

    漏洞管理相應漏洞頁簽下,進入目標漏洞詳情頁並根據指引進行修複。修複步驟請參見查看和處理漏洞

    警告

    應用漏洞應急漏洞不支援通過控制台一鍵修複,需根據漏洞詳情中提供的修複建議,登入伺服器進行手動修複。

    服務模式

    服務版本 / 防護等級

    說明

    訂用帳戶服務

    企業版旗艦版

    支援修複Linux軟體漏洞Windows系統漏洞Web-CMS漏洞

    進階版

    支援修複Linux軟體漏洞Windows系統漏洞

    免费版增值服务版防病毒版

    重要

    需單獨購買的漏洞修複增值服務功能,才能開通一鍵修複功能。開通步驟請參見購買Security Center

    支援修複Linux軟體漏洞Windows系統漏洞

    隨用隨付服務

    所有防護等級

    配額與限制

    • 任務管理:手動掃描任務建立後,需等待15分鐘才能在任務管理中手動停止扫描

    • 掃描耗時:掃描任務的完成時間取決於資產數量和漏洞複雜度,通常可在30分鐘內完成。

    常見問題

    掃描行為與結果問題

    • 為何同一台機器報告多個相同漏洞?

      應用漏洞檢測以具體啟動並執行進程執行個體為檢測對象,如果伺服器上運行了多個存在相同漏洞的進程執行個體(例如,在不同連接埠上啟動了兩個相同的 Tomcat 服務),系統將為每個進程執行個體分別報告一個漏洞。如果伺服器上僅安裝了含漏洞的軟體但其對應進程未運行,則不會檢測出該漏洞。

    • 為何Fastjson 這類漏洞掃描結果可能不一致?

      此類漏洞的檢測依賴於其組件(如 JAR 包)是否在掃描期間被載入至運行時狀態。在動態載入模式下,只有當包含漏洞的組件被商務邏輯實際調用時,漏洞才能被有效識別。因此,不同時間點的掃描結果可能存在差異。

      說明

      為提升此類漏洞的檢測準確率,建議執行循環性或多次掃描。

    • 用戶端離線後,為何控制台仍然顯示該主機的漏洞記錄?

      用戶端離線後,已檢測出的漏洞記錄會保留在雲端控制台,但這些記錄會自動失效且無法進行相關操作(如修複、驗證或清除記錄)。漏洞自動失效周期如下:

      重要

      所有資料僅在Security Center服務到期且超過7天未續約的情況下才會被徹底清除。

      • Linux軟體漏洞Windows系統漏洞:3天后失效。

      • Web-CMS漏洞:7天后失效。

      • 應用漏洞:30天后失效。

      • 應急漏洞:90天后失效。

    效能影響與安全性問題

    • 漏洞掃描或應急漏洞的主動驗證(POC)會影響業務系統嗎?

      通常無影響。Security Center的主動驗證(POC)僅發送極少量(1-2個)的無害化探測請求,不執行任何形式的攻擊或破壞性行為。若目標應用對非預期輸入的處理邏輯極其脆弱,極端情況下存在微小的未知風險。

    • 漏洞掃描為何會觸發記憶體超限(OOM)?

      Security Center用戶端設定記憶體限制(預設200MB)。掃描佔用超過限制值時,系統OOM機制會主動終止檢測進程(ALiSecCheck),以節省資源。

      說明

      • 此限制通常是由名為aegisRtap0 的控制組 (cgroup)管理,相關OOM資訊可於 dmesg 日誌中查詢。

      • 此現象屬於正常行為,與系統記憶體不足無關,無需使用者幹預。

      • 這種 OOM 是由控制組的記憶體限制導致的,並不意味著整個系統的記憶體不足。

    掃描範圍與能力問題

    1. 漏洞掃描覆蓋哪些範圍?

      掃描同時覆蓋系統和應用兩個層面:

      • 系統層面:Linux 軟體漏洞、Windows 系統漏洞。

        重要

        Windows 系統漏洞僅支援掃描月度安全更新補丁。

      • 應用程式層面:Web-CMS 漏洞、應用漏洞、應急漏洞。

    2. 如何查看Security Center支援檢測的漏洞列表?

      1. 登入Security Center控制台

      2. 在左側導覽列,單擊漏洞管理,進入漏洞掃描頁面。在概覽部分,找到 已支援漏洞 的統計卡片。

      3. 單擊該卡片上顯示的漏洞總數,即可進入列表頁面,查看所有支援檢測的漏洞及其詳細資料。

    3. 是否支援 Elasticsearch 等特定漏洞的檢測?

      支援 可以在控制台的應用漏洞頁面查看 Elasticsearch 等服務的漏洞檢測結果。

      說明

      此功能僅支援訂用帳戶服務企業版旗艦版)和隨用隨付服務主機全面防護主機及容器全面防護)。如果當前的版本不支援此功能,請先升級