云安全中心漏洞修复最佳实践

1.漏洞修复优先级

漏洞的严重性级别由四个因素决定：

• 技术影响

• 利用成熟度（PoC、EXP、蠕虫或病毒工具化）

• 风险威胁（服务器权限失陷与否）

• 受影响数量级（互联网受影响IP量级决定漏洞被黑客关注程度）

云安全中心提供的漏洞修复紧急度得分计算模型可以评估漏洞修复的紧急程度，帮助您决策漏洞修复的优先级。

漏洞修复紧急度得分与修复优先级对照表如下：

决策方案：

1.当您的资产被检测出存在多个漏洞时，可能无法确认优先修复哪个漏洞。针对这个问题，可以通过在云安全中心控制台-漏洞管理中，开启“仅显示真实风险漏洞”开关，来过滤出修复高优先级的漏洞，如下图：

2.对于不同类型的漏洞，云安全中心建议优先修复应急漏洞和Web-CMS漏洞，这两类漏洞均为阿里云安全工程师确认后的高危漏洞，接着再修复应用漏洞、Windows系统漏洞和Linux软件漏洞。

3.最后应根据实际业务情况、服务器的使用情况、及漏洞修复可能造成的影响来判定漏洞是否需要优先修复。

​

2.漏洞修复流程

为了确保在漏洞修复过程中目标服务器系统的正常运行，降低异常情况发生的可能性，在漏洞修复过程中建议按照以下流程进行修复：

1. 进行漏洞检测

修复人员在检测漏洞前，建议检查漏洞管理设置，确保扫描范围够覆盖所有服务器的各类漏洞。

然后点击漏洞“一键扫描”检查当前账号下所有服务器的漏洞状态，确保所检测的漏洞信息是即时的。

2. 修复前测试

修复人员在漏洞修复前应在测试环境中部署待修复漏洞的相关补丁，从兼容性和安全性方面进行测试，并在测试完成后形成漏洞修复测试报告。漏洞修复测试报告应包含漏洞修复情况、漏洞修复的时长、补丁本身的兼容性、漏洞修复可能造成的影响。

3. 备份服务器

为了防止出现不可预料的后果，在正式开始漏洞修复前，修复人员应使用备份恢复系统对待修复的服务器进行备份。例如，通过ECS的快照功能备份目标ECS实例。

Windows系统漏洞和Linux软件漏洞修复可以使用自动创建快照并修复功能，应急漏洞、应用漏洞需要在ECS控制台进行创建快照操作（推荐导出漏洞机器清单后使用自动快照策略）。

4. 漏洞修复

在目标服务器部署修复漏洞的相关补丁及进行修复操作时，应至少有两名修复人员在场（一人负责操作，一人负责记录），防止出现误操作的情况。

5. 修复后验证

修复人员对目标服务器系统上的漏洞修复进行验证，确保漏洞已修复且目标服务器没有出现任何异常情况。

3.漏洞修复说明

1. 应急漏洞、应用漏洞

云安全中心只支持检测应急漏洞、应用漏洞并提供修复建议，不支持一键修复。您需要根据漏洞详情页面的修复建议在受影响的服务器中手动修复漏洞，如下图所示。

注意：

• 由于云安全中心漏洞修复在测试中无法覆盖所有系统环境，进行漏洞补丁修复行为仍存在一定风险。为了防止出现不可预料的后果，建议您先通过ECS控制台创建快照并自行搭建环境充分测试修复方案。

• 带有应急漏洞、应用漏洞的机器可以在ECS控制台进行创建快照操作（推荐导出漏洞机器清单后使用自动快照策略）

• 对于部分因业务影响或未发布安全版本而不能修复的漏洞，建议根据提供的官方临时缓解方法进行防御。

• 对于业务无影响并且有安全版本的漏洞，建议通过升级到安全版本进行修复。

2. Linux软件漏洞

云安全中心支持Linux软件漏洞的自动检测和修复，建议您通过云安全中心控制台漏洞详情页，对漏洞进行处理。

批量修复漏洞

批量修复功能会自动识别您选择的漏洞公告对应的资产，并修复这些资产中您所选择的漏洞。您可在Linux软件漏洞页面，选择需要批量修复的漏洞并单击批量修复。在批量修复对话框中查看云安全中心为您识别出的需要修复漏洞的资产列表，选择自动创建快照并修复或不建立快照备份直接修复后，单击立即修复。

注意：

• 云安全中心支持批量修复Linux软件漏洞，但基于性能考虑建议一次修复不要超过100个漏洞，对于超过的漏洞，可以分次创建快照并进行修复。

• 批量修复漏洞如果失败，请检查服务器网络是否正常、硬盘空间是否有空余，可参考漏洞修复失败排查文档。