漏洞扫描与云服务器的安全防护

漏洞扫描

定义

漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测（渗透攻击）行为。

漏洞扫描是所有PaaS和IaaS云服务都必须执行的。无论他们是在云中托管应用程序还是运行服务器和存储基础设施，用户都必须对暴露在互联网中的系统的安全状态进行评估。大多数云供应商都同意执行这样的扫描和测试，但是这要求他们事先与客户和测试人员进行充分沟通和协调，以确保其它的租户（用户）不会遭遇中断事件或受到性能方面的影响。

功能

1. 定期的网络安全自我检测、评估
   配备漏洞扫描系统，网络管理人员可以定期的进行网络安全检测服务，安全检测可帮助客户最大可能的消除安全隐患，尽可能早地发现安全漏洞并进行修补，有效的利用已有系统，优化资源，提高网络的运行效率。
2. 安装新软件、启动新服务后的检查
   由于漏洞和安全隐患的形式多种多样，安装新软件和启动新服务都有可能使原来隐藏的漏洞暴露出来，因此进行这些操作之后应该重新扫描系统，才能使安全得到保障。
3. 网络建设和网络改造前后的安全规划评估和成效检验
   网络建设者必须建立整体安全规划，以统领全局，高屋建瓴。在可以容忍的风险级别和可以接受的成本之间，取得恰当的平衡，在多种多样的安全产品和技术之间做出取舍。配备网络漏洞扫描/网络评估系统可以让您很方便的进行安全规划评估和成效检验。
4. 网络承担重要任务前的安全性测试
   网络承担重要任务前应该多采取主动防止出现事故的安全措施，从技术上和管理上加强对网络安全和信息安全的重视，形成立体防护，由被动修补变成主动的防范，最终把出现事故的概率降到最低。配备网络漏洞扫描/网络评估系统可以让您很方便的进行安全性测试。
5. 网络安全事故后的分析调查
   网络安全事故后可以通过网络漏洞扫描/网络评估系统分析确定网络被攻击的漏洞所在，帮助弥补漏洞，尽可能多得提供资料方便调查攻击的来源。
6. 重大网络安全事件前的准备
   重大网络安全事件前网络漏洞扫描/网络评估系统能够帮助用户及时的找出网络中存在的隐患和漏洞，帮助用户及时的弥补漏洞。
7. 公安、保密部门组织的安全性检查
   互联网的安全主要分为网络运行安全和信息安全两部分。网络运行的安全主要包括以ChinaNet、ChinaGBN、CNCnet等10大计算机信息系统的运行安全和其它专网的运行安全；信息安全包括接入Internet的计算机、服务器、工作站等用来进行采集、加工、存储、传输、检索处理的人机系统的安全。网络漏洞扫描/网络评估系统能够积极的配合公安、保密部门组织的安全性检查。

分类

依据扫描执行方式不同，漏洞扫描产品主要分为三类（漏洞扫描不仅仅是以下三类，还有针对WEB应用、中间件等）：
1.针对网络的扫描器
2.针对主机的扫描器
3.针对数据库的扫描器

基于网络的扫描器就是通过网络来扫描远程计算机中的漏洞；而基于主机的扫描器则是在目标系统上安装了一个代理（Agent）或者是服务（Services），以便能够访问所有的文件与进程，这也使得基于主机的扫描器能够扫描到更多的漏洞。二者相比，基于网络的漏洞扫描器的价格相对来说比较便宜；在操作过程中，不需要涉及到目标系统的管理员，在检测过程中不需要在目标系统上安装任何东西；维护简便。

主流数据库的自身漏洞逐步暴露，数量庞大；仅CVE公布的Oracle漏洞数已达1100多个；数据库漏扫可以检测出数据库的DBMS漏洞、缺省配置、权限提升漏洞、缓冲区溢出、补丁未升级等自身漏洞。

技术

1. 主机扫描：
   确定在目标网络上的主机是否在线。
2. 端口扫描：
   发现远程主机开放的端口以及服务。
3. OS识别技术:
   根据信息和协议栈判别操作系统。
4. 漏洞检测数据采集技术：
   按照网络、系统、数据库进行扫描。
5. 智能端口识别、多重服务检测、安全优化扫描、系统渗透扫描
6. 多种数据库自动化检查技术，数据库实例发现技术；
7. 多种DBMS的密码生成技术，提供口令爆破库，实现快速的弱口令检测方法。

安骑士

安骑士是云盾推出的一款服务器安全运维管理产品。通过安装在服务器上的轻量级Agent插件与云端防护中心的规则联动，实时感知和防御入侵事件，保障服务器的安全。

安骑士的架构，如下图所示：

如何使用安骑士

安骑士最佳实践图：

1.登录 云盾服务器安全（安骑士）管理控制台。
为您想要防护的服务器安装安骑士 Agent。

2.安骑士 Agent 安装成功后，您可在安骑士总览页面查看您当前阿里云帐号下的服务器安全状态，包括 待处理事件、Agent状态、近期漏洞趋势、及最近入侵事件趋势。

注意： 这些服务器安全状态都是通过安骑士 Agent 收集、检测得出，您可参考安骑士 Agent 在线状态确保您想要防护的服务器在线。如果服务器显示离线，您可以参考 Agent离线排查 检查离线原因。

3.您可在服务器安全（安骑士）管理控制台中进行以下操作查看并处理您服务器上的弱点及安全事件，提升您服务器的安全。

4.定位到 资产列表 页面，查看您当前阿里云帐号下的服务器的安全状态明细，您也可以对您的服务器资产进行分组、管理。详细功能介绍，请参考 资产列表功能介绍。

5.定位到 弱点 > 漏洞管理 页面，查看您服务器上的 Web-CMS 漏洞及系统软件漏洞。详细功能介绍，请参考 Web-CMS漏洞功能介绍 及 系统软件漏洞功能介绍。

6.定位到 事件 > 异常登录 页面，查看您服务器上的登录记录及暴力破解行为记录。

7.定位到 事件 > 网站后门 页面，查看并处理安骑士在您服务器检测到的 Webshell 木马文件。

8.定位到 事件 > 主机异常 页面，查看在您服务器检测到的异常进程、行为及网络连接。