安全性漏洞是網路攻擊者入侵的主要途徑,可能導致資料泄露或業務中斷。Security Center提供漏洞掃描能力,可發現資產中的Linux軟體漏洞、Windows系統漏洞、應用漏洞,用於在攻擊發生前識別並修複風險,提升系統安全性。
漏洞掃描機制
Security Center採用以下兩種手段進行漏洞檢測:
軟體成分分析(被動檢測):通過Security Center用戶端採集伺服器上的軟體版本、依賴庫等資訊,與漏洞庫進行比對。此過程僅分析軟體中繼資料,不會對業務系統造成效能影響。
Web掃描器(主動驗證):通過公網嚮應用服務發送特定的驗證請求(POC),類比攻擊行為以確認漏洞是否存在。此方式可用於檢測遠程命令執行、SQL注入等高風險漏洞。所有請求均為無害化探測,不會對系統造成實際破壞。
說明位於新加坡資料中心的全球(不含中國)地區資產暫不支援使用 Web 掃描器功能。
適用範圍
訂用帳戶服務
版本
手動掃描漏洞
自動掃描漏洞(周期性)
企業版、旗艦版
全部
進階版
除應用漏洞外的所有漏洞。
免费版、增值服务版、防病毒版
僅應急漏洞。
Linux軟體漏洞、Windows系統漏洞
隨用隨付服務
防護等級
手動掃描漏洞
自動掃描漏洞(周期性)
主機全面防護、主機及容器全面防護
全部
未防護、病毒防護
僅應急漏洞。
Linux軟體漏洞、Windows系統漏洞
配置網路白名單
為確保Web掃描器能夠正常訪問伺服器並執行主動驗證(POC),需將Security Center的掃描IP位址區段47.110.180.32/27(即47.110.180.32~47.110.180.63)加入安全性群組和網路防火牆的白名單中。
如果未將Security Center的掃描IP地址添加至白名單,Web掃描器的主動驗證請求可能會被攔截,導致應用漏洞和應急漏洞無法被檢出,或被誤判為攻擊行為。
POC驗證請求中可能包含輔助網域名稱s0x.cn(用於應用漏洞和應急漏洞檢測),若因此產生警示,請直接忽略本次警示或設定警示加白規則。
配置安全性群組
如果伺服器為阿里雲ECS,具體步驟請參見管理安全性群組。配置參數如下:
方向:入方向
授權策略:允許
協議類型:TCP
連接埠範圍:1-65535
授權對象:47.110.180.32/27
配置防火牆白名單
若伺服器使用的是阿里雲Web Application Firewall,具體步驟請參見白名單。配置參數如下:
匹配欄位:IP
邏輯符:屬於
匹配內容:47.110.180.32/27
不檢測模組:全部
執行漏洞掃描
Security Center提供兩種掃描方式:
手動掃描:用於立即評估伺服器的漏洞狀況。
自動掃描(周期性):通過設定週期性任務,實現對漏洞的自動化、常態化監控。
啟動掃描後,系統將產生掃描任務,並在後台運行,可在任務管理中查看掃描進度及結果報告。
手動掃描
登入控制台
登入Security Center控制台。在左側導覽列,選擇。在控制台左上方,選擇需防護資產所在的地區:中國內地或非中國內地。
執行掃描
在漏洞管理頁面,單擊一鍵掃描(全量伺服器)。在彈出的漏洞掃描對話方塊中,勾選需要掃描的漏洞類型,然後單擊確定。
說明若需要指定伺服器進行掃描,請前往主機資產功能頁面,勾選相應伺服器。選擇下方安全檢查,在彈框中選擇漏洞檢查。
自動掃描(周期性)
自動掃描採用兩種不同的周期機制:
系統預設周期(不可配置)
適用漏洞:Linux軟體漏洞、Windows系統漏洞。
預設掃描周期:
訂用帳戶服務
進階版、企業版、旗艦版:每天掃描一次。
免费版、增值服务版、防病毒版:每兩天掃描一次。
隨用隨付服務
主機全面防護、主機及容器全面防護:每天掃描一次。
未防護、病毒防護:每兩天掃描一次。
使用者自訂周期:
適用漏洞:應用漏洞、應急漏洞。
適用版本:
訂用帳戶服務:進階版、企業版、旗艦版。
隨用隨付服務:主機全面防護、主機及容器全面防護。
配置步驟如下:
登入控制台
登入Security Center控制台。在左側導覽列,選擇。在控制台左上方,選擇需防護資產所在的地區:中國內地或非中國內地。
在漏洞管理頁面右上方,單擊漏洞管理設定。根據需求進行配置:
配置項
功能說明
漏洞掃描開關
控制各類漏洞(Linux軟體漏洞、Windows系統漏洞、應用漏洞、應急漏洞)掃描是否啟用,開啟後,可單擊右側管理,指定該類型漏洞的掃描範圍(生效伺服器)。
YUM/APT源配置
開啟後,修複Linux 漏洞時將優先使用阿里雲官方 YUM/APT 源,顯著提升修複成功率。
应急漏洞扫描周期
設定應急漏洞掃描任務的執行頻率。
預設掃描時段:
中國地區:
00:00:00(UTC+8)至07:00:00(UTC+8)。全球(不含中國)地區:
00:00:00(UTC+7)至07:00:00(UTC+7)。
適用版本/防護等級:
訂用帳戶:進階版、企業版、旗艦版。
隨用隨付:主機全面防護、主機及容器全面防護。
应用漏洞扫描周期
設定應用漏洞掃描任務的執行頻率。
預設掃描時段:
中國地區:
00:00:00(UTC+8)至07:00:00(UTC+8)。全球(不含中國)地區:採用錯峰調度機制,在24小時內分時段執行。
適用版本/防護等級:
訂用帳戶:企業版、旗艦版。
隨用隨付:主機全面防護、主機及容器全面防護。
系統漏洞掃描時間
設定Linux軟體漏洞和Windows系統漏洞掃描任務的具體時間。
保留無效 Vul
設定失效漏洞的資料清理周期。
系統會將長期未複現且未處理的漏洞置為“失效”,並自動歸檔至“已處理”列表。在達到設定的保留無效 Vul清理周期後將其永久刪除,以減少資訊幹擾。
說明後續當Security Center再次檢測出同類漏洞時,仍會產生警示。
Vul 掃描級別
設定關注的漏洞風險等級,系統將僅掃描並警示符合所選等級的漏洞。
漏洞白名單配置
將確認無需處理的特定漏洞(例如,業務特殊需要或風險可接受)加入白名單,使其在後續掃描中被自動忽略。
說明添加漏洞白名單規則後,可以在漏洞管理設定的漏洞白名單配置進行管理(編輯和刪除)。
查看掃描任務
在漏洞管理頁面右上方單擊任務管理。
單擊任務操作列的詳情按鈕,可查看本次掃描任務的影響資料(影響主機台數、執行成功主機數、執行失敗主機數)。
若伺服器掃描成功,可在狀態列查看掃描的漏洞範圍。若掃描失敗,可在狀態列查看失敗原因。
查看和處理漏洞
在漏洞管理相應漏洞頁簽下,進入目標漏洞詳情頁並根據指引進行修複。修複步驟請參見查看和處理漏洞。
應用漏洞和應急漏洞不支援通過控制台一鍵修複,需根據漏洞詳情中提供的修複建議,登入伺服器進行手動修複。
服務模式 | 服務版本 / 防護等級 | 說明 |
訂用帳戶服務 | 企業版、旗艦版 | 支援修複Linux軟體漏洞、Windows系統漏洞。 |
進階版 | 支援修複Linux軟體漏洞、Windows系統漏洞。 | |
免费版、增值服务版、防病毒版 | 重要 需單獨購買的漏洞修複增值服務功能,才能開通一鍵修複功能。開通步驟請參見購買Security Center。 支援修複Linux軟體漏洞、Windows系統漏洞。 | |
隨用隨付服務 | 所有防護等級 |
Linux 漏洞未顯示排查
如果在控制台未能查看到 Linux 相關漏洞(如特定 CVE 核心提權漏洞),請按以下步驟排查:
檢查過濾條件:在漏洞管理頁面,檢查是否開啟了過濾開關或設定了視圖篩選條件(如僅顯示特定風險等級的漏洞)。關閉相關過濾條件或切換視圖設定,確保 Linux 漏洞能夠正常顯示。
重新執行掃描:若調整過濾條件後仍未顯示,單擊一鍵掃描重新執行漏洞掃描。同時,登入伺服器執行以下命令確認系統核心版本:
uname -r判斷 CVE 漏洞影響範圍:對於特定 CVE 漏洞(如 CVE-2026-31431),根據核心版本判斷是否在受影響範圍內(如 4.14 至 7.0 之間的核心版本)。若確認受影響,需參考官方資訊安全諮詢擷取臨時緩解措施,並在官方補丁發布後及時升級修複。
Windows 高危漏洞修複注意事項
修複 Windows 系統高危漏洞(如 CVE-2026-26170 等涉及作業系統底層組件的漏洞)時,請注意以下事項:
修複前備份:建議在修複前建立 ECS 執行個體快照,以便修複異常時能快速復原。建立快照的具體步驟請參見 ECS 快照文檔。
選擇低峰期操作:此類修複可能需要重啟伺服器,建議在業務低峰期執行修複操作,避免影響業務。
修複後重啟:Windows 系統補丁通常需要重啟伺服器才會生效。修複完成後,請及時重啟伺服器以使補丁生效。
配額與限制
任務管理:手動掃描任務建立後,需等待15分鐘才能在任務管理中手動停止扫描。
掃描耗時:掃描任務的完成時間取決於資產數量和漏洞複雜度,通常可在30分鐘內完成。
常見問題
掃描行為與結果問題
為何同一台機器報告多個相同漏洞?
應用漏洞檢測以具體啟動並執行進程執行個體為檢測對象,如果伺服器上運行了多個存在相同漏洞的進程執行個體(例如,在不同連接埠上啟動了兩個相同的 Tomcat 服務),系統將為每個進程執行個體分別報告一個漏洞。如果伺服器上僅安裝了含漏洞的軟體但其對應進程未運行,則不會檢測出該漏洞。
為何Fastjson 這類漏洞掃描結果可能不一致?
此類漏洞的檢測依賴於其組件(如 JAR 包)是否在掃描期間被載入至“運行時”狀態。在動態載入模式下,只有當包含漏洞的組件被商務邏輯實際調用時,漏洞才能被有效識別。因此,不同時間點的掃描結果可能存在差異。
說明為提升此類漏洞的檢測準確率,建議執行循環性或多次掃描。
用戶端離線後,為何控制台仍然顯示該主機的漏洞記錄?
用戶端離線後,已檢測出的漏洞記錄會保留在雲端控制台,但這些記錄會自動失效且無法進行相關操作(如修複、驗證或清除記錄)。漏洞自動失效周期如下:
重要所有資料僅在Security Center服務到期且超過7天未續約的情況下才會被徹底清除。
Linux軟體漏洞、Windows系統漏洞:3天后失效。
應用漏洞:30天后失效。
應急漏洞:90天后失效。
手動掃描會影響自動掃描計劃嗎?
手動執行一鍵掃描不會影響系統原有的自動掃描計劃,兩者相互獨立。自動掃描(如Linux軟體漏洞、Windows系統漏洞每日或每兩日一次)會按既定周期繼續執行,不受手動掃描影響。
掃描進度停滯,怎麼辦?
如果掃描任務進度長時間停滯或顯示為 0/檢測中,請按以下步驟排查:
檢查用戶端狀態:確認目標伺服器的Security Center Agent(用戶端)狀態是否正常線上。如果狀態異常,嘗試重新整理頁面或在伺服器端重啟 Agent 服務以更新狀態。
定位失敗伺服器:在漏洞管理頁面右上方單擊任務管理,查看具體掃描任務詳情,定位掃描失敗的伺服器。
對失敗伺服器執行應急掃描:在漏洞管理頁面右上方單擊漏洞管理設定,找到应急漏洞扫描周期選項,單獨勾選掃描失敗的伺服器,執行一鍵掃描以嘗試完成剩餘漏洞的檢測。
掃描報告顯示漏洞數為 0:如果掃描完成但報告顯示漏洞數為 0,建議先手動執行一鍵掃描和病毒查殺任務,待掃描完成後再次查看或匯出報告。
效能影響與安全性問題
漏洞掃描或應急漏洞的主動驗證(POC)會影響業務系統嗎?
通常無影響。Security Center的主動驗證(POC)僅發送極少量(1-2個)的無害化探測請求,不執行任何形式的攻擊或破壞性行為。若目標應用對非預期輸入的處理邏輯極其脆弱,極端情況下存在微小的未知風險。
漏洞掃描為何會觸發記憶體超限(OOM)?
Security Center用戶端設定記憶體限制(預設200MB)。掃描佔用超過限制值時,系統OOM機制會主動終止檢測進程(ALiSecCheck),以節省資源。
說明此限制通常是由名為
aegisRtap0的控制組 (cgroup)管理,相關OOM資訊可於 dmesg 日誌中查詢。此現象屬於正常行為,與系統記憶體不足無關,無需使用者幹預。
這種 OOM 是由控制組的記憶體限制導致的,並不意味著整個系統的記憶體不足。
掃描範圍與能力問題
漏洞掃描覆蓋哪些範圍?
掃描同時覆蓋系統和應用兩個層面:
系統層面:Linux 軟體漏洞、Windows 系統漏洞。
重要Windows 系統漏洞僅支援掃描月度安全更新補丁。
應用程式層面:應用漏洞、應急漏洞。
如何查看Security Center支援檢測的漏洞列表?
在左側導覽列,單擊漏洞管理,進入漏洞掃描頁面。在概覽部分,找到 “已支援漏洞” 的統計卡片。
單擊該卡片上顯示的漏洞總數,即可進入列表頁面,查看所有支援檢測的漏洞及其詳細資料。
是否支援 Elasticsearch 等特定漏洞的檢測?
支援。 可以在控制台的應用漏洞頁面查看 Elasticsearch 等服務的漏洞檢測結果。
說明此功能僅支援訂用帳戶服務(企業版、旗艦版)和隨用隨付服務(主機全面防護、主機及容器全面防護)。如果當前的版本不支援此功能,請先升級。