BingoCloudOS V8.0 弹性漏洞扫描功能实践

品高云操作系统 V8.0 已于 2018 年 1 月正式发布，本次版本升级带来了云数据湖、SDN v4.0、应用交付流水线、弹性漏扫服务、全局业务标签、弹性文件系统、加速设备即服务、智能化体检、Power 架构服务化以及微软 Azure 公有云纳管等多个颇具亮点的新功能特性。联系客服小表妹（VX：pingaoyunzzm）了解更多。

本文将通过对云内虚拟机定期进行漏洞安全检测的操作实践，深度分析弹性漏洞扫描功能在实际场景中的应用。后续我们还将邀请产品专家逐一对品高云操作系统 V8.0 中的其他功能进行详解，敬请关注。

一、网络安全对政府企业 IT 系统影响致命

2017 年，网络黑产所带来的安全挑战愈加严峻，各种利用互联网技术进行偷盗、诈骗、敲诈等案件不断发生，围绕互联网的黑灰产业正以极快的速度蔓延。从各个主要国家的统计数据看，利用互联网技术实施偷盗、诈骗、敲诈的案件数每年以超过 30% 的增速在增长。据测算，仅中国“网络黑产从业人员”就已超过 150 万，“市场规模”也已高达千亿级别。

2018 年 1 月，由安恒信息和中国科学院计算技术研究所、中国电子信息产业发展研究院联合策划编撰的《2017 年度网络空间安全报告》发布。《报告》指出，全球约 6300 个平台提供勒索软件交易，WannaCry 勒索软件、“坏兔子”（Bad Rabbit）、GIBON、Sage、Matrix 等 10 大勒索软件等在全球迅速蔓延，使多国遭遇网络攻击。勒索软件在 2016-2017 年期间的销售量增长了约 2502%，恶意分子倾向于加密被感染设备的数据，向受害者勒索加密货币（以比特币为主），也进一步导致加密货币市场价格一路飙升。

随着互联网和移动互联网的快速发展，企业信息化进程的逐渐加快，其中蕴含了越来越多的经济价值，而企业信息化应用系统在被广泛应用的同时，因其互联、开放等特性，更容易遭受黑客的攻击。每年都有数以千计的网络安全漏洞被发现和公布，加上攻击者手段层出不穷变化多端，网络安全状况也随着安全漏洞的增加变得日益严峻。研究表明，99% 的攻击事件都是利用了未修补的漏洞，使得许多已经部署了防火墙、入侵检测系统和防病毒软件的企业仍然饱受漏洞攻击之苦，最后蒙受巨大的经济损失。

面对频繁发生的网络安全事件，相对于出现安全事件后的补救，前期的安全漏洞扫描显得更为重要，能够提前发现问题，将安全事件遏制在萌芽状态。

二、漏洞扫描是预防网络安全的最佳方案之一

漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测 (渗透攻击) 行为，可全面深度检测企业暴露在互联网边界上的安全风险。是保证信息化安全的开始，它及时准确的察觉到信息平台基础架构的安全，保证业务顺利的开展，维护企业所有信息资产的安全。

OpenVAS 作为当前市场上常用的开源漏洞扫描工具之一，是一个开放式漏洞评估系统，漏洞样本库更新迅速，由 Greenbone 商业漏洞解决方案的组件开源而来，用于对目标系统进行漏洞评估和管理，包括了一套网络漏洞测试程序，可以检测远程系统和应用程序中的安全问题，检测评估能力来源于数万个漏洞测试程序，这些程序都是以插件的形式存在。品高云的漏洞扫描服务就是在基于 OpenVAS 的基础上构建而来，并增加了对扫描结果的统计分析，同时，也会根据扫描结果为用户提供专业的漏洞解决方案。

2017 年 6 月 1 日，正式开始实施的《中华人民共和国网络安全法》，作为我国的网络安全基本法，明确了网络产品、服务的提供者应及时发现网络产品、服务存在安全缺陷、漏洞等，并应当及时告知用户并采取补救措施，这也使得市场对漏洞扫描服务渴求速增。

三、品高云弹性漏洞扫描

弹性漏洞扫描服务是基于漏洞特征库，提供一种弹性的进行漏洞扫描的机制，用户可对快速获得扫描服务对云内虚拟机进行检测，并提供修复漏洞参考方案，有利于快速定位高、中、低风险漏洞并及时通知用户修复，保障业务正常运转，提高运维效率。

图 1 弹性漏洞扫描功能架构图

包括离线漏洞库、扫描器和任务管理器三大功能模块。

● 离线漏洞库：包括 NVT feed 和样本更新模块，主要提供了网络脆弱性测试方式及其并依据测试结果更新漏洞样本。

● 扫描器：包括扫描配置、报告插件和扫描引擎三个功能模块，主要负责检查扫描目标主机的安全性，并将结果返回弹性扫描服务，将扫描得到的结果上传至 S3 的存储中，供弹性漏扫服务处理扫描报告。

● 任务管理器：包括任务处理、配置管理和报告处理三个功能模块，主要负责漏洞扫描任务的创建，调度扫描计划，协助扫描器完成扫描任务，处理扫描结果，扫描结束时发送 SNS 消息给用户。

四、特色能力

基于 OpenVAS，当今世界最好的开放式漏洞评估系统数据，自带数万个漏洞测试程序，并且可以跟随安全社区库进行升级；

云中 VM 的安全情况可视化展现，支持漏洞处理的追踪查看；

服务自动生成漏洞报告，部分还有处理意见可供参考；

租户级隔离扫描互不影响，可区分不同业务或网络子网，更精准；

可与简单消息通知服务配合使用，及时将扫描结果告知客户；

五、应用场景

互联网业务应用周期性检查、自定义检查；

应用上线的安全基线检查；

应用漏洞统计分析；

六、功能实践——虚拟机漏洞扫描

本次功能实践是利用品高云漏洞扫描服务对云内虚拟机定期进行漏洞安全检测，并依据扫描结果修复漏洞。具体的操作步骤包括了创建扫描任务、启动扫描任务、查看扫描报告、修复漏洞。

1、创建扫描任务

（1）登录品高云，通过【高级服务】→【弹性漏洞扫描服务】进入弹性漏洞扫描服务页面。

图 2 弹性漏洞扫描服务入口

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!