品高云操作系統(tǒng) V8.0 已于 2018 年 1 月正式發(fā)布，本次版本升級帶來了云數(shù)據(jù)湖、SDN v4.0、應(yīng)用交付流水線、彈性漏掃服務(wù)、全局業(yè)務(wù)標(biāo)簽、彈性文件系統(tǒng)、加速設(shè)備即服務(wù)、智能化體檢、Power 架構(gòu)服務(wù)化以及微軟 Azure 公有云納管等多個頗具亮點的新功能特性。聯(lián)系客服小表妹（VX：pingaoyunzzm）了解更多。

本文將通過對云內(nèi)虛擬機(jī)定期進(jìn)行漏洞安全檢測的操作實踐，深度分析彈性漏洞掃描功能在實際場景中的應(yīng)用。后續(xù)我們還將邀請產(chǎn)品專家逐一對品高云操作系統(tǒng) V8.0 中的其他功能進(jìn)行詳解，敬請關(guān)注。

一、網(wǎng)絡(luò)安全對政府企業(yè) IT 系統(tǒng)影響致命

2017 年，網(wǎng)絡(luò)黑產(chǎn)所帶來的安全挑戰(zhàn)愈加嚴(yán)峻，各種利用互聯(lián)網(wǎng)技術(shù)進(jìn)行偷盜、詐騙、敲詐等案件不斷發(fā)生，圍繞互聯(lián)網(wǎng)的黑灰產(chǎn)業(yè)正以極快的速度蔓延。從各個主要國家的統(tǒng)計數(shù)據(jù)看，利用互聯(lián)網(wǎng)技術(shù)實施偷盜、詐騙、敲詐的案件數(shù)每年以超過 30% 的增速在增長。據(jù)測算，僅中國“網(wǎng)絡(luò)黑產(chǎn)從業(yè)人員”就已超過 150 萬，“市場規(guī)模”也已高達(dá)千億級別。

2018 年 1 月，由安恒信息和中國科學(xué)院計算技術(shù)研究所、中國電子信息產(chǎn)業(yè)發(fā)展研究院聯(lián)合策劃編撰的《2017 年度網(wǎng)絡(luò)空間安全報告》發(fā)布?！秷蟾妗分赋?，全球約 6300 個平臺提供勒索軟件交易，WannaCry 勒索軟件、“壞兔子”（Bad Rabbit）、GIBON、Sage、Matrix 等 10 大勒索軟件等在全球迅速蔓延，使多國遭遇網(wǎng)絡(luò)攻擊。勒索軟件在 2016-2017 年期間的銷售量增長了約 2502%，惡意分子傾向于加密被感染設(shè)備的數(shù)據(jù)，向受害者勒索加密貨幣（以比特幣為主），也進(jìn)一步導(dǎo)致加密貨幣市場價格一路飆升。

隨著互聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)的快速發(fā)展，企業(yè)信息化進(jìn)程的逐漸加快，其中蘊(yùn)含了越來越多的經(jīng)濟(jì)價值，而企業(yè)信息化應(yīng)用系統(tǒng)在被廣泛應(yīng)用的同時，因其互聯(lián)、開放等特性，更容易遭受黑客的攻擊。每年都有數(shù)以千計的網(wǎng)絡(luò)安全漏洞被發(fā)現(xiàn)和公布，加上攻擊者手段層出不窮變化多端，網(wǎng)絡(luò)安全狀況也隨著安全漏洞的增加變得日益嚴(yán)峻。研究表明，99% 的攻擊事件都是利用了未修補(bǔ)的漏洞，使得許多已經(jīng)部署了防火墻、入侵檢測系統(tǒng)和防病毒軟件的企業(yè)仍然飽受漏洞攻擊之苦，最后蒙受巨大的經(jīng)濟(jì)損失。

面對頻繁發(fā)生的網(wǎng)絡(luò)安全事件，相對于出現(xiàn)安全事件后的補(bǔ)救，前期的安全漏洞掃描顯得更為重要，能夠提前發(fā)現(xiàn)問題，將安全事件遏制在萌芽狀態(tài)。

二、漏洞掃描是預(yù)防網(wǎng)絡(luò)安全的最佳方案之一

漏洞掃描是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對指定的遠(yuǎn)程或者本地計算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測，發(fā)現(xiàn)可利用漏洞的一種安全檢測 (滲透攻擊) 行為，可全面深度檢測企業(yè)暴露在互聯(lián)網(wǎng)邊界上的安全風(fēng)險。是保證信息化安全的開始，它及時準(zhǔn)確的察覺到信息平臺基礎(chǔ)架構(gòu)的安全，保證業(yè)務(wù)順利的開展，維護(hù)企業(yè)所有信息資產(chǎn)的安全。

OpenVAS 作為當(dāng)前市場上常用的開源漏洞掃描工具之一，是一個開放式漏洞評估系統(tǒng)，漏洞樣本庫更新迅速，由 Greenbone 商業(yè)漏洞解決方案的組件開源而來，用于對目標(biāo)系統(tǒng)進(jìn)行漏洞評估和管理，包括了一套網(wǎng)絡(luò)漏洞測試程序，可以檢測遠(yuǎn)程系統(tǒng)和應(yīng)用程序中的安全問題，檢測評估能力來源于數(shù)萬個漏洞測試程序，這些程序都是以插件的形式存在。品高云的漏洞掃描服務(wù)就是在基于 OpenVAS 的基礎(chǔ)上構(gòu)建而來，并增加了對掃描結(jié)果的統(tǒng)計分析，同時，也會根據(jù)掃描結(jié)果為用戶提供專業(yè)的漏洞解決方案。

2017 年 6 月 1 日，正式開始實施的《中華人民共和國網(wǎng)絡(luò)安全法》，作為我國的網(wǎng)絡(luò)安全基本法，明確了網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者應(yīng)及時發(fā)現(xiàn)網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等，并應(yīng)當(dāng)及時告知用戶并采取補(bǔ)救措施，這也使得市場對漏洞掃描服務(wù)渴求速增。

三、品高云彈性漏洞掃描

彈性漏洞掃描服務(wù)是基于漏洞特征庫，提供一種彈性的進(jìn)行漏洞掃描的機(jī)制，用戶可對快速獲得掃描服務(wù)對云內(nèi)虛擬機(jī)進(jìn)行檢測，并提供修復(fù)漏洞參考方案，有利于快速定位高、中、低風(fēng)險漏洞并及時通知用戶修復(fù)，保障業(yè)務(wù)正常運(yùn)轉(zhuǎn)，提高運(yùn)維效率。

圖 1 彈性漏洞掃描功能架構(gòu)圖

包括離線漏洞庫、掃描器和任務(wù)管理器三大功能模塊。

● 離線漏洞庫：包括 NVT feed 和樣本更新模塊，主要提供了網(wǎng)絡(luò)脆弱性測試方式及其并依據(jù)測試結(jié)果更新漏洞樣本。

● 掃描器：包括掃描配置、報告插件和掃描引擎三個功能模塊，主要負(fù)責(zé)檢查掃描目標(biāo)主機(jī)的安全性，并將結(jié)果返回彈性掃描服務(wù)，將掃描得到的結(jié)果上傳至 S3 的存儲中，供彈性漏掃服務(wù)處理掃描報告。

● 任務(wù)管理器：包括任務(wù)處理、配置管理和報告處理三個功能模塊，主要負(fù)責(zé)漏洞掃描任務(wù)的創(chuàng)建，調(diào)度掃描計劃，協(xié)助掃描器完成掃描任務(wù)，處理掃描結(jié)果，掃描結(jié)束時發(fā)送 SNS 消息給用戶。

四、特色能力

基于 OpenVAS，當(dāng)今世界最好的開放式漏洞評估系統(tǒng)數(shù)據(jù)，自帶數(shù)萬個漏洞測試程序，并且可以跟隨安全社區(qū)庫進(jìn)行升級；

云中 VM 的安全情況可視化展現(xiàn)，支持漏洞處理的追蹤查看；

服務(wù)自動生成漏洞報告，部分還有處理意見可供參考；

租戶級隔離掃描互不影響，可區(qū)分不同業(yè)務(wù)或網(wǎng)絡(luò)子網(wǎng)，更精準(zhǔn)；

可與簡單消息通知服務(wù)配合使用，及時將掃描結(jié)果告知客戶；

五、應(yīng)用場景

互聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用周期性檢查、自定義檢查；

應(yīng)用上線的安全基線檢查；

應(yīng)用漏洞統(tǒng)計分析；

六、功能實踐——虛擬機(jī)漏洞掃描

本次功能實踐是利用品高云漏洞掃描服務(wù)對云內(nèi)虛擬機(jī)定期進(jìn)行漏洞安全檢測，并依據(jù)掃描結(jié)果修復(fù)漏洞。具體的操作步驟包括了創(chuàng)建掃描任務(wù)、啟動掃描任務(wù)、查看掃描報告、修復(fù)漏洞。

1、創(chuàng)建掃描任務(wù)

（1）登錄品高云，通過【高級服務(wù)】→【彈性漏洞掃描服務(wù)】進(jìn)入彈性漏洞掃描服務(wù)頁面。

圖 2 彈性漏洞掃描服務(wù)入口

（2）對任務(wù)基本信息的完善，可以設(shè)置任務(wù)的名稱、任務(wù)使用的掃描容器以及是否需要使用 SNS 通知掃描結(jié)果。

圖 3 創(chuàng)建掃描任務(wù)頁面

（3）添加掃描目標(biāo)。本次掃描任務(wù)的目標(biāo)為創(chuàng)建在 172.16.0.0/16 網(wǎng)段的 3 個實例，實例 ID 分別為 i-46675D7、i-C2F5F9CF、i-C4020FEE。

圖 4 掃描目標(biāo)

（4）設(shè)置掃描計劃。本次掃描任務(wù)的計劃設(shè)置為一天掃描一次，且持續(xù)掃描。

圖 5 掃描任務(wù)計劃

掃描目標(biāo)和計劃設(shè)置完成后，則掃描任務(wù)創(chuàng)建完成。

2、啟動掃描任務(wù)

（1）通過【任務(wù)管理】查看掃描任務(wù)詳情，發(fā)現(xiàn)任務(wù)處于正在掃描階段。

圖 6 掃描任務(wù)管理頁面

（2）在漏洞掃描任務(wù)進(jìn)行的同時，用戶也可以查看任務(wù)掃描進(jìn)度與日志。

圖 7 掃描任務(wù)進(jìn)度

圖 8 掃描任務(wù)日志

3、查看掃描報告

（1）掃描任務(wù)完成后，可在【報告查看】中查看掃描報告。

圖 9 漏洞掃描報告

報告顯示：本次任務(wù)掃描的三個實例中，實例 ID 為 i-C4020FEE 和 i-C2F5F9CF 的兩個實例為高風(fēng)險實例，其中實例 i-C4020FEE 存在 1 個高危漏洞，實例 i-C2F5F9CF 存在 1 個高危漏洞、1 個中危漏洞和兩個低危漏洞。實例 ID 為 i-466757D7 的實例為低風(fēng)險實例，存在 1 個低危漏洞。

（2）通過漏洞詳情，可查看系統(tǒng)推薦的漏洞處理方法，然后利用這些方法用戶可快速修復(fù)漏洞。

圖 10 實例漏洞詳情

圖 11 實例漏洞解決方案

（3）掃描完成后系統(tǒng)也根據(jù)漏洞掃描結(jié)果提供漏洞趨勢分析圖。

圖 12 歷史漏洞分析圖

4、修復(fù)漏洞

（1）登錄已掃描的三個實例，利用系統(tǒng)推薦的漏洞解決方案修復(fù)。

圖 13 修復(fù)漏洞

為了便于對比第一次和第二次掃描結(jié)果，本次功能實踐僅修復(fù)了 ID 為 i-C4020FEE 和 i-C2F5F9CF 兩個實例的高危漏洞，以及 ID 為 i-466757D7 實例的低危漏洞。ID 為 i-C2F5F9CF 實例的 1 個中危漏洞和 2 個低危漏洞并為修復(fù)。

（2）修復(fù)完成后，再次對任務(wù)進(jìn)行掃描，并查看掃描結(jié)果與趨勢分析報告。

圖 14 第二次漏洞掃描報告

第二次漏洞掃描的結(jié)果與預(yù)期一致，僅有 ID 為 i-C2F5F9CF 實例存在漏洞，其中，中危漏洞 1 個，低危漏洞 2 個。

　　圖 15 二次掃描后的漏洞趨勢圖

從歷史漏洞趨勢分析圖可知，與第一次漏洞掃描任務(wù)相比，第二次漏洞掃描，已不存在高危漏洞，中危漏洞數(shù)為 1，低危漏洞為 2，漏洞數(shù)量明顯減少。