全部產品
Search

搜尋本產品

    Security Center:掃描漏洞

    文件中心

    Security Center:掃描漏洞

    更新時間:Nov 26, 2025

    安全性漏洞是網路攻擊者入侵的主要途徑,可能導致資料泄露或業務中斷。Security Center提供漏洞掃描能力,可發現資產中的Linux軟體漏洞Windows系統漏洞Web-CMS漏洞應用漏洞應急漏洞,用於在攻擊發生前識別並修複風險,提升系統安全性。

    漏洞掃描機制

    Security Center採用以下兩種手段進行漏洞檢測:

    • 軟體成分分析(被動檢測):通過Security Center用戶端採集伺服器上的軟體版本、依賴庫等資訊,與漏洞庫進行比對。此過程僅分析軟體中繼資料,不會對業務系統造成效能影響。

    • Web掃描器(主動驗證):通過公網嚮應用服務發送特定的驗證請求(POC),類比攻擊行為以確認漏洞是否存在。此方式可用於檢測遠程命令執行、SQL注入等高風險漏洞。所有請求均為無害化探測,不會對系統造成實際破壞。

      說明

      位於新加坡資料中心的全球(不含中國)地區資產暫不支援使用 Web 掃描器功能。

    適用範圍

    • 訂用帳戶服務

      版本

      手動掃描漏洞

      自動掃描漏洞(周期性)

      企業版旗艦版

      全部

      進階版

      應用漏洞外的所有漏洞。

      免费版增值服务版防病毒版

      應急漏洞

      Linux軟體漏洞Windows系統漏洞Web-CMS漏洞

    • 隨用隨付服務

      防護等級

      手動掃描漏洞

      自動掃描漏洞(周期性)

      主機全面防護主機及容器全面防護

      全部

      未防護病毒防護

      應急漏洞

      Linux軟體漏洞Windows系統漏洞Web-CMS漏洞

    配置網路白名單

    為確保Web掃描器能夠正常訪問伺服器並執行主動驗證(POC),需將Security Center的掃描IP位址區段47.110.180.32/27(即47.110.180.32~47.110.180.63)加入安全性群組和網路防火牆的白名單中。

    重要

    • 如果未將Security Center的掃描IP地址添加至白名單,Web掃描器的主動驗證請求可能會被攔截,導致應用漏洞和應急漏洞無法被檢出,或被誤判為攻擊行為。

    • POC驗證請求中可能包含輔助網域名稱s0x.cn(用於應用漏洞和應急漏洞檢測),若因此產生警示,請直接忽略本次警示或設定警示加白規則

    配置安全性群組

    如果伺服器為阿里雲ECS,具體步驟請參見管理安全性群組。配置參數如下:

    • 方向:入方向

    • 授權策略:允許

    • 協議類型:TCP

    • 連接埠範圍:1-65535

    • 授權對象:47.110.180.32/27

    配置防火牆白名單

    若伺服器使用的是阿里雲Web Application Firewall,具體步驟請參見白名單。配置參數如下:

    • 匹配欄位:IP

    • 邏輯符:屬於

    • 匹配內容:47.110.180.32/27

    • 不檢測模組:全部

    執行漏洞掃描

    Security Center提供兩種掃描方式:

    • 手動掃描:用於立即評估伺服器的漏洞狀況。

    • 自動掃描(周期性):通過設定週期性任務,實現對漏洞的自動化、常態化監控。

    說明

    啟動掃描後,系統將產生掃描任務,並在後台運行,可在任務管理中查看掃描進度及結果報告。

    手動掃描

    1. 登入控制台

      登入Security Center控制台在左側導覽列,選擇風險治理 > 漏洞管理。在控制台左上方,選擇需防護資產所在的地區:中國內地非中國內地

    2. 執行掃描

      漏洞管理頁面,單擊一鍵掃描(全量伺服器)。在彈出的漏洞掃描對話方塊中,勾選需要掃描的漏洞類型,然後單擊確定

      說明

      若需要指定伺服器進行掃描,請前往主機資產功能頁面,勾選相應伺服器。選擇下方安全檢查,在彈框中選擇漏洞檢查

    自動掃描(周期性)

    自動掃描採用兩種不同的周期機制:

    • 系統預設周期(不可配置)

      • 適用漏洞:Linux軟體漏洞Windows系統漏洞Web-CMS漏洞

      • 預設掃描周期:

        • 訂用帳戶服務

          • 進階版企業版旗艦版:每天掃描一次。

          • 免费版增值服务版防病毒版:每兩天掃描一次。

        • 隨用隨付服務

          • 主機全面防護主機及容器全面防護:每天掃描一次。

          • 未防護病毒防護:每兩天掃描一次。

    • 使用者自訂周期:

      • 適用漏洞:應用漏洞應急漏洞

      • 適用版本:

        • 訂用帳戶服務進階版企業版旗艦版

        • 隨用隨付服務主機全面防護主機及容器全面防護

    配置步驟如下:

    1. 登入控制台

      登入Security Center控制台在左側導覽列,選擇風險治理 > 漏洞管理。在控制台左上方,選擇需防護資產所在的地區:中國內地非中國內地

    2. 漏洞管理頁面右上方,單擊漏洞管理設定。根據需求進行配置:

      配置項

      功能說明

      漏洞掃描開關

      控制各類漏洞Linux軟體漏洞Windows系統漏洞Web-CMS漏洞應用漏洞應急漏洞掃描是否啟用,開啟後,可單擊右側管理,指定該類型漏洞的掃描範圍(生效伺服器)。

      YUM/APT源配置

      開啟後,修複Linux 漏洞時將優先使用阿里雲官方 YUM/APT 源,顯著提升修複成功率。

      应急漏洞扫描周期

      設定應急漏洞掃描任務的執行頻率。

      • 預設掃描時段:

        • 中國地區 00:00:00(UTC+8) 至 07:00:00(UTC+8)

        • 全球(不含中國)地區: 00:00:00(UTC+7) 至 07:00:00(UTC+7)

      • 適用版本/防護等級:

        • 訂用帳戶:進階版企業版旗艦版

        • 隨用隨付:主機全面防護主機及容器全面防護

      应用漏洞扫描周期

      設定應用漏洞掃描任務的執行頻率。

      • 預設掃描時段:

        • 中國地區 00:00:00(UTC+8) 至 07:00:00(UTC+8)

        • 全球(不含中國)地區:採用錯峰調度機制,在24小時內分時段執行。

      • 適用版本/防護等級

        • 訂用帳戶:企業版旗艦版

        • 隨用隨付:主機全面防護主機及容器全面防護

      保留無效 Vul

      設定失效漏洞的資料清理周期。

      系統會將長期未複現且未處理的漏洞置為“失效”,並自動歸檔至“已處理”列表。在達到設定的保留無效 Vul清理周期後將其永久刪除,以減少資訊幹擾。

      說明

      後續當Security Center再次檢測出同類漏洞時,仍會產生警示。

      Vul 掃描級別

      設定關注的漏洞風險等級,系統將僅掃描並警示符合所選等級的漏洞。

      漏洞白名單配置

      將確認無需處理的特定漏洞(例如,業務特殊需要或風險可接受)加入白名單,使其在後續掃描中被自動忽略。

      說明

      添加漏洞白名單規則後,可以在漏洞管理設定漏洞白名單配置進行管理(編輯和刪除)。

    查看掃描任務

    1. 漏洞管理頁面右上方單擊任務管理

    2. 單擊任務操作列的詳情按鈕,可查看本次掃描任務的影響資料(影響主機台數執行成功主機數執行失敗主機數)。

    3. 若伺服器掃描成功,可在狀態列查看掃描的漏洞範圍。若掃描失敗,可在狀態列查看失敗原因。

    查看和處理漏洞

    漏洞管理相應漏洞頁簽下,進入目標漏洞詳情頁並根據指引進行修複。修複步驟請參見查看和處理漏洞

    警告

    應用漏洞應急漏洞不支援通過控制台一鍵修複,需根據漏洞詳情中提供的修複建議,登入伺服器進行手動修複。

    服務模式

    服務版本 / 防護等級

    說明

    訂用帳戶服務

    企業版旗艦版

    支援修複Linux軟體漏洞Windows系統漏洞Web-CMS漏洞

    進階版

    支援修複Linux軟體漏洞Windows系統漏洞

    免费版增值服务版防病毒版

    重要

    需單獨購買的漏洞修複增值服務功能,才能開通一鍵修複功能。開通步驟請參見購買Security Center

    支援修複Linux軟體漏洞Windows系統漏洞

    隨用隨付服務

    所有防護等級

    配額與限制

    • 任務管理:手動掃描任務建立後,需等待15分鐘才能在任務管理中手動停止扫描

    • 掃描耗時:掃描任務的完成時間取決於資產數量和漏洞複雜度,通常可在30分鐘內完成。

    常見問題

    掃描行為與結果問題

    • 為何同一台機器報告多個相同漏洞?

      應用漏洞檢測以具體啟動並執行進程執行個體為檢測對象,如果伺服器上運行了多個存在相同漏洞的進程執行個體(例如,在不同連接埠上啟動了兩個相同的 Tomcat 服務),系統將為每個進程執行個體分別報告一個漏洞。如果伺服器上僅安裝了含漏洞的軟體但其對應進程未運行,則不會檢測出該漏洞。

    • 為何Fastjson 這類漏洞掃描結果可能不一致?

      此類漏洞的檢測依賴於其組件(如 JAR 包)是否在掃描期間被載入至運行時狀態。在動態載入模式下,只有當包含漏洞的組件被商務邏輯實際調用時,漏洞才能被有效識別。因此,不同時間點的掃描結果可能存在差異。

      說明

      為提升此類漏洞的檢測準確率,建議執行循環性或多次掃描。

    • 用戶端離線後,為何控制台仍然顯示該主機的漏洞記錄?

      用戶端離線後,已檢測出的漏洞記錄會保留在雲端控制台,但這些記錄會自動失效且無法進行相關操作(如修複、驗證或清除記錄)。漏洞自動失效周期如下:

      重要

      所有資料僅在Security Center服務到期且超過7天未續約的情況下才會被徹底清除。

      • Linux軟體漏洞Windows系統漏洞:3天后失效。

      • Web-CMS漏洞:7天后失效。

      • 應用漏洞:30天后失效。

      • 應急漏洞:90天后失效。

    效能影響與安全性問題

    • 漏洞掃描或應急漏洞的主動驗證(POC)會影響業務系統嗎?

      通常無影響。Security Center的主動驗證(POC)僅發送極少量(1-2個)的無害化探測請求,不執行任何形式的攻擊或破壞性行為。若目標應用對非預期輸入的處理邏輯極其脆弱,極端情況下存在微小的未知風險。

    • 漏洞掃描為何會觸發記憶體超限(OOM)?

      Security Center用戶端設定記憶體限制(預設200MB)。掃描佔用超過限制值時,系統OOM機制會主動終止檢測進程(ALiSecCheck),以節省資源。

      說明

      • 此限制通常是由名為aegisRtap0 的控制組 (cgroup)管理,相關OOM資訊可於 dmesg 日誌中查詢。

      • 此現象屬於正常行為,與系統記憶體不足無關,無需使用者幹預。

      • 這種 OOM 是由控制組的記憶體限制導致的,並不意味著整個系統的記憶體不足。

    掃描範圍與能力問題

    1. 漏洞掃描覆蓋哪些範圍?

      掃描同時覆蓋系統和應用兩個層面:

      • 系統層面:Linux 軟體漏洞、Windows 系統漏洞。

        重要

        Windows 系統漏洞僅支援掃描月度安全更新補丁。

      • 應用程式層面:Web-CMS 漏洞、應用漏洞、應急漏洞。

    2. 如何查看Security Center支援檢測的漏洞列表?

      1. 登入Security Center控制台

      2. 在左側導覽列,單擊漏洞管理,進入漏洞掃描頁面。在概覽部分,找到 已支援漏洞 的統計卡片。

      3. 單擊該卡片上顯示的漏洞總數,即可進入列表頁面,查看所有支援檢測的漏洞及其詳細資料。

    3. 是否支援 Elasticsearch 等特定漏洞的檢測?

      支援 可以在控制台的應用漏洞頁面查看 Elasticsearch 等服務的漏洞檢測結果。

      說明

      此功能僅支援訂用帳戶服務企業版旗艦版)和隨用隨付服務主機全面防護主機及容器全面防護)。如果當前的版本不支援此功能,請先升級