华为云云安全中心网站服务器风险巡检完全实操指南
引言:云上网站服务器的安全巡检为何至关重要
在云原生架构日益普及的今天,网站服务器承载着企业的核心业务与海量用户数据,其安全性直接关系到企业的生存与发展。然而,云上资产规模庞大、攻击手段不断翻新、合规要求日趋严格,传统的被动式安全防御已难以应对日益复杂的威胁形势。主动、持续、系统性的风险巡检,已成为保障网站服务器安全的必由之路。
华为云云安全中心通过安全云脑(SecMaster)与企业主机安全(HSS)的深度协同,为企业提供了一站式的云上安全运营与风险巡检能力。本文将从实操角度出发,完整解析如何利用华为云云安全中心对网站服务器进行全方位的风险巡检,帮助运维人员构建从资产梳理、漏洞扫描、基线检查到入侵检测、风险处置的完整安全巡检闭环。
需要先登录华为云控制台,点击:华为云控制台,还没有账号,点击:注册并关联,已有账号点击:登录后关联
一、云安全中心服务架构:SecMaster与HSS的协同
在进行网站服务器风险巡检之前,首先需要理解华为云云安全中心的服务架构。云安全中心并非单一产品,而是由安全云脑(SecMaster)和企业主机安全(HSS)两大核心服务协同构成的综合安全运营体系。
1.1 企业主机安全(HSS):服务器安全的守门人
HSS通过在主机中安装Agent,使用AI、机器学习和深度算法等技术分析主机中的风险,并从HSS云端防护中心下发检测和防护任务。HSS的核心能力覆盖了服务器安全的各个层面:
- 资产管理:深度扫描主机中的账号、端口、进程、Web目录、软件信息和自启动任务
- 漏洞管理:支持检测Linux漏洞、Windows漏洞、Web-CMS漏洞、应用漏洞
- 基线检查:针对主机提供基线检查功能,包括检测复杂策略、弱口令及配置详情
- 入侵检测:支持账户暴力破解、进程异常、网站后门、异常登录、恶意进程等入侵检测能力
- 网页防篡改:实时检测并拦截篡改指定目录下文件的行为
1.2 安全云脑(SecMaster):全局安全态势的指挥官
SecMaster是华为云原生的新一代安全运营中心,集华为云多年安全经验,基于云原生安全,提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力。SecMaster通过采集全网安全数据(包括HSS、WAF、AntiDDoS等安全服务检测数据),帮助用户鸟瞰整个云上安全,精简云安全配置与防护策略的设置与维护。
SecMaster与HSS的分工清晰而互补:在资产安全层面,SecMaster仅支持同步HSS主机资产风险信息,呈现各主机资产的整体安全状况,而HSS则提供更深度的主机资产扫描;在漏洞管理层面,SecMaster支持同步华为云安全公告信息并及时获取热点安全讯息,同时同步HSS主机漏洞扫描结果;在基线检查层面,SecMaster针对华为云服务关键配置项进行检查,而HSS则专注于主机基线。
简单来说,HSS是部署在每一台服务器上的“安全哨兵”,负责深度检测和实时防护;而SecMaster则是全局的“安全指挥部”,负责汇总分析所有哨兵的数据,进行态势呈现和统一调度。两者的协同构成了完整的云安全中心风险巡检体系。
二、风险巡检的前置准备:资产盘点与Agent部署
安全运营的本质是风险管理,而风险管理的三要素是“资产”、“脆弱性”和“威胁”。因此,梳理清楚需要防护的资产,是风险巡检的起点。
2.1 云上资产的自动盘点
安全云脑可以帮助用户将云上资产从不同租户、不同Region汇集到一个视图中,还可以将云外资产导入到安全云脑中,并标记其所属的环境。汇聚之后,系统会将资产的风险情况标识出来,例如:是否有不安全的配置、是否有OS或者应用漏洞、是否存在疑似入侵的告警、是否覆盖了对应的防护云服务等。
在实际操作中,运维人员可以通过以下步骤完成资产盘点:登录华为云控制台,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面;在左侧导航栏选择“资产管理”,即可查看当前账号下所有云上资产的清单,包括弹性云服务器(ECS)、裸金属服务器(BMS)等。
2.2 HSS Agent的安装与配置
Agent是企业主机安全提供的一款软件,安装在云服务器上,用于与企业主机安全的云端防护中心进行数据交互,实现对主机的安全检测和防护。如果不安装Agent,将无法使用企业主机安全服务。
安装步骤如下:
- 登录华为云控制台,在页面左上角单击区域选择,选择“安全 > 企业主机安全”,进入企业主机安全页面
- 在左侧导航栏选择“资产管理 > 主机管理”,进入主机管理界面
- 选择“云服务器”页签,查看服务器列表
- 对于未安装Agent的服务器,单击“安装Agent”,按照指引完成安装
Agent安装完成后,HSS将自动开始对服务器进行安全检测。对于未开启防护的ECS服务器,HSS每月提供一次全量的免费安全体检,自动执行扫描检测时间为每月1号凌晨5点(以主机所处时区为准)。
三、漏洞扫描:发现服务器脆弱点的第一道防线
漏洞扫描是风险巡检中最核心的环节之一。HSS默认开启自动扫描功能,对于Linux和Windows系统漏洞,HSS会每日自动执行一次全面扫描。
3.1 漏洞类型与扫描机制
HSS支持检测以下类型的漏洞:
- Linux漏洞:针对Linux操作系统的安全漏洞
- Windows漏洞:针对Windows操作系统的安全漏洞
- Web-CMS漏洞:针对Web内容管理系统(如WordPress、Joomla等)的漏洞
- 应用漏洞:针对各类应用软件的安全漏洞
- 应急漏洞:针对业界近期广泛披露的高危漏洞
自动扫描的频率和触发条件因漏洞类型而异。系统漏洞每日自动扫描一次,确保新出现的漏洞能够在24小时内被检测到。应急漏洞则通过安全云脑每5分钟抓取一次安全漏洞讯息,及时获取最新应急漏洞公告详情。
3.2 查看漏洞扫描结果
运维人员可以通过以下步骤查看漏洞扫描结果:
- 登录华为云控制台,进入企业主机安全页面
- 在左侧导航栏选择“风险预防 > 漏洞管理”
- 查看漏洞概览,包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5
漏洞详情页面会显示每个漏洞的CVE编号、CVSS分值、影响范围、修复建议等关键信息。HSS还会显示漏洞的修复优先级,它由漏洞最高CVSS分值、漏洞发布时间和漏洞影响的资产重要性进行加权计算得出,反映了漏洞修复的紧急程度。修复优先级主要分为紧急、高、中、低四个等级。
3.3 漏洞修复与验证
修复漏洞时,建议按照修复优先级从高到低逐一处理。具体操作方法:在漏洞管理页面单击目标漏洞名称,进入漏洞详情页面查看修复建议,然后根据建议在服务器上执行相应的修复操作。
修复完成后,建议进行验证:
- 方式一:在漏洞详情页面单击“验证”,进行一键验证
- 方式二:手动验证修复效果后,在HSS控制台触发重新扫描
注意:应急漏洞暂不支持一键验证操作。对于Linux内核漏洞的修复,修复完成后需要重启操作系统才能生效。
四、基线检查:确保云服务配置合规
基线检查是风险巡检的另一项重要内容,旨在检测云服务关键配置项是否符合安全最佳实践和合规要求。
4.1 SecMaster的云服务基线检查
安全云脑的基线检查功能支持检测云服务关键配置项,通过执行扫描任务,检查云服务基线配置风险状态,分类呈现云服务配置检测结果,告警提示存在安全隐患的配置,并提供相应配置加固建议和帮助指导。
安全云脑内置了多个遵从包:
- 安全上云合规检查1.0:从身份与访问管理、基础设施防护、数据防护、数据备份与检查等方面开展数据安全合规性检查
- 等保2.0三级要求:依据国家标准GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》中三级的安全要求提供检查项
- 护网检查:提供国际通用安全最佳实践的自动检查项,针对云主机、Web基础防护、对象存储服务等资产识别威胁与隐患
- 华为云安全配置基线:对身份与访问管理、日志与监控、虚拟机与容器、网络、存储、数据库、企业智能和安全等方面进行安全配置检查
- GDPR:针对欧盟通用数据保护条例的合规检查
- 操作系统配置基线:包含口令复杂度策略检测、经典弱口令检测、配置检查
- PCI-DSS:支付卡行业数据安全标准合规检查
- NIST SP 800-53:美国国家标准与技术研究院的安全控制框架检查
用户还可以自定义新增检查项及遵从包,定制专属检查内容。
4.2 HSS的主机基线检查
HSS针对主机提供专门的基线检查功能:
- 经典弱密码检测:通过与弱密码库对比,检测账号密码是否属于常用的弱密码,支持MySQL、FTP及系统账号的弱密码检测
- 密码复杂度策略检测:检测系统账号的密码复杂度策略
- 配置检测:根据CIS标准并结合华为多年最佳安全实践进行检测,目前支持的配置检测类型包括Tomcat、SSH、Nginx、Redis、Apache2、MySQL5
4.3 基线检查的操作流程
基线检查的完整操作流程如下:
- 将安全云脑启用至专业版(如需使用操作系统配置基线等高级遵从包)
- 勾选需要执行的基线检查项目
- 设置基线检查计划(可配置定期执行)
- 执行基线检查计划
- 查看和处理基线检查结果
- 修复所有不通过的检查项
- 再次执行检查并验证所有问题已得到正确处理
注意:安全云脑专业版才支持“操作系统配置基线”、“经典弱口令检测”、“口令复杂度策略检测”等遵从包,需要提前在安全云脑接入HSS的“主机安全基线”日志并打开对应的“自动转告警”按钮。
五、入侵检测:实时发现正在发生的攻击
入侵检测是风险巡检中应对“威胁”的关键环节。HSS提供了多层次、多维度的入侵检测能力。
5.1 入侵检测的核心能力
HSS的入侵检测能力覆盖以下场景:
- 账户暴力破解防护:检测SSH、RDP、FTP、SQL Server、MySQL等账户遭受的口令破解攻击,对识别出的攻击源IP封锁24小时,禁止其再次登录
- 异常登录检测:识别非正常时间、非正常地域的登录行为
- 进程异常检测:发现服务器上运行的异常或恶意进程
- 网站后门检测:检测Web目录中是否存在webshell等后门文件
- 恶意进程检测:识别挖矿病毒、勒索软件等恶意程序
5.2 查看入侵检测告警
运维人员可以通过以下方式查看入侵检测告警:
- 在HSS控制台的“总览”页面,实时查看安全评分、安全风险、防护地图等信息
- 在安全云脑的“总览”页面,查看近7天内的威胁告警统计
- 在安全云脑的“告警管理”中,查看详细的告警列表和处理状态
安全云脑“总览”页面实时呈现云上整体安全评估状况,并联动其他云安全服务,集中展示云上安全,包括资产的安全评估结果、安全监控和安全趋势等信息。统计信息更新频率为每5分钟更新一次。
六、安全评分与态势总览:量化评估整体风险
安全评分是对整体安全状况的量化评估,帮助运维人员快速了解当前的风险水平。
6.1 安全评分的计算机制
安全云脑的安全评分每天凌晨2:00自动更新,也支持通过单击“重新检测”来进行实时更新。分值范围为0~100,分值越大表示风险越小,资产更安全。
HSS的安全评分满分100分表示无任何风险,分数越低表示安全风险越多。评分根据资产中存在的基线风险、漏洞风险、入侵风险和资产风险等执行扣分,评分越低表示资产中存在的安全风险越多。
风险等级划分如下:
- 无风险:评分80-100
- 低危:评分60-80
- 中危:评分40-60
- 高危:评分20-40
- 致命:评分0-20
6.2 查看态势总览
安全云脑“总览”页面包含以下几个核心板块:
- 安全评分:根据是否开启各安全服务防护、未处理的配置问题等级及个数、未处理的漏洞等级及个数、未处理的威胁事件等级及个数等计算而来
- 威胁告警:呈现最近7天内当前工作空间中未处理威胁告警,统计信息每5分钟更新一次
- 漏洞:呈现近7天内全部工作空间漏洞管理中的漏洞总和
- 合规检查:呈现近30天内存在的合规风险总数量和不同危险等级的合规检查风险对应的数量
- 安全趋势:展示近7天内整体资产安全健康得分的趋势图,每5分钟更新一次
七、风险处置:从发现到修复的闭环管理
发现风险只是第一步,及时、有效地处置风险才是安全巡检的最终目的。
7.1 风险处置的操作路径
在安全云脑中处置风险的路径如下:
- 在“安全评分”栏中单击“立即处理”,系统右侧弹出“安全风险处理”页面
- 在“安全风险处理”页面中单击“前往处理”,进入“告警管理”、“漏洞管理”或“基线检查”页面
- 对风险告警进行查看、分析和处置
安全风险处理页面中包含所有需要尽快处理的安全风险和威胁,分为“威胁告警”、“漏洞”、“合规检查”三大类别。
7.2 安全编排与自动化响应
安全云脑提供了强大的安全编排与自动响应能力。剧本(Playbook)是安全运营流程在安全编排系统中的形式化表述,是将安全运营流程和规程转换为机读工作流的过程。
华为云基于安全运营实践,预置了300多个威胁检测模型和100多个自动化处置剧本。典型的自动化响应场景包括:
- 高危告警WAF自动处置:剧本自动获取CloudTIC中WAF的IP情报,针对“威胁度”为“黑”且“严重性”大于70的IP情报执行自动封堵
- 高危告警自动化安全封堵:剧本生效后安全云脑自动下发应急策略阻断高危或致命告警中的恶意攻击源IP
- 凭据泄露响应:当检测到AKSK风险且告警等级为“高危”或“致命”时,剧本自动停用AKSK
通过内置剧本,可以实现99%以上的安全事件分钟级自动化响应。
八、巡检报告:生成与解读
定期生成和审阅安全巡检报告,是安全运营的常态化工作。
8.1 查看安全报告
安全云脑支持创建和查看安全报告:
- 登录管理控制台
- 单击页面左上方的区域选择,选择“安全 > 安全云脑 SecMaster”,进入安全云脑管理页面
- 在左侧导航栏选择“安全态势 > 安全报告”
- 查看已创建的安全报告及其展示的信息
8.2 免费体检报告
对于未开启防护的ECS服务器,HSS每月提供一次全量的免费安全体检。免费体检的报告每月1日生成,生成后仅支持线上查看,不支持下载。如果有实时防护、报告下载、漏洞在线修复、等保认证等需求,可以购买企业主机安全的高阶版本。
查看免费体检报告的方法:
- 登录企业主机安全控制台
- 在左侧导航栏选择“安全运营 > 安全报告”
- 选择“免费体检 > 主机免费体检”页签,查看未开启防护服务器的体检结果
- 单击目标服务器“操作”列“查看报告”,在线查看目标服务器的体检详情
九、周边安全服务协同:构建多层防御体系
云安全中心的风险巡检不应孤立进行,而应与WAF、VSS等周边安全服务协同配合,构建多层防御体系。
9.1 Web应用防火墙(WAF)的协同
对于有Web业务的用户,建议启用Web应用防火墙服务(WAF)。启用后,网站所有的公网流量都会先经过WAF,恶意攻击流量会被WAF检测并过滤,而正常流量返回给源站IP,从而确保源站IP安全、稳定、可用。
WAF采用正则规则和语义分析双引擎架构,对SQL注入、跨站攻击、命令和代码注入、目录遍历、扫描器、恶意bot、webshell、CC等攻击实现实时的高性能防护。
建议优化以下网站防护配置:Web基础防护(拦截模式)、CC攻击防护(阻断模式)、精准访问防护(阻断模式)、IP黑白名单设置(拦截模式)。
9.2 漏洞扫描服务(VSS)的协同
华为云VSS漏洞扫描服务提供针对于Web、主机和软件包的漏洞检测能力。VSS可以提供从部署软件包到上线后的漏洞检测一整套安全检测手段。对于需要更深度Web应用漏洞扫描的场景,可以结合VSS与HSS形成互补。
十、代码示例:使用Python SDK查询漏洞状态
对于需要将风险巡检能力集成到自有运维平台的场景,可以通过华为云API进行调用。以下是一个使用Python SDK查询HSS漏洞列表的示例:
# -*- coding: utf-8 -*-
import os
from huaweicloudsdkcore.auth.credentials import BasicCredentials
from huaweicloudsdkhss.v5.region.hss_region import HssRegion
from huaweicloudsdkhss.v5 import *
# 配置认证信息
ak = os.environ.get("HUAWEICLOUD_SDK_AK")
sk = os.environ.get("HUAWEICLOUD_SDK_SK")
credentials = BasicCredentials(ak, sk)
# 创建HSS客户端
client = HssClient.new_builder() \
.with_credentials(credentials) \
.with_region(HssRegion.CN_SOUTH_1) \
.build()
# 构造查询漏洞列表的请求
request = ListVulnerabilitiesRequest()
request.enterprise_project_id = "0"
request.type = "linux" # linux, windows, web-cms, app
request.severity = "high" # critical, high, medium, low
# 发送请求
try:
response = client.list_vulnerabilities(request)
for vuln in response.vulnerabilities:
print(f"漏洞名称: {vuln.vul_name}")
print(f"CVE编号: {vuln.cve_id}")
print(f"CVSS分值: {vuln.cvss_score}")
print(f"修复优先级: {vuln.repair_priority}")
print(f"修复建议: {vuln.repair_cmd}")
print("-" * 50)
except Exception as e:
print(f"查询失败: {e}")通过API可以将风险巡检结果集成到企业的统一运维平台或告警系统中,实现更加自动化和定制化的安全运营流程。
十一、巡检频率与周期规划建议
基于华为云云安全中心的能力,建议按照以下频率规划风险巡检工作:
- 每日巡检:查看安全评分变化、威胁告警新增情况、漏洞扫描结果
- 每周巡检:审阅安全趋势报告、评估基线检查结果、处理积压的风险事项
- 每月巡检:生成和审阅完整的安全报告、评估整体安全态势、调整安全策略
- 应急巡检:当出现重大安全漏洞公告(如Log4j等)时,立即进行专项应急漏洞排查
风险检查采用非侵入式OpenAPI方式进行云资源信息采集,不占用服务器资源,对业务性能和稳定性无影响。因此可以放心地以较高频率执行自动化巡检。
结语
华为云云安全中心通过SecMaster与HSS的深度协同,为企业提供了从资产盘点、漏洞扫描、基线检查、入侵检测到风险处置的全链路安全巡检能力。运维人员只需要掌握本文所述的操作方法和最佳实践,即可构建起一套完整、高效、可持续的网站服务器风险巡检体系。
安全防护三分在于技术,七分在于运营。风险巡检不是一次性的任务,而是一个持续的过程。只有将风险巡检融入日常运维流程,才能真正做到“防患于未然”,保障网站服务器的长期安全稳定运行。
常见问答
问1:云安全中心的风险巡检会影响服务器性能吗?
答:不会。风险检查采用非侵入式OpenAPI方式进行云资源信息采集,不占用服务器资源,对业务性能和稳定性无影响。
问2:免费体检和付费版HSS的巡检有什么区别?
答:免费体检每月提供一次全量安全体检,仅支持线上查看报告,不支持下载。付费版HSS提供实时防护、报告下载、漏洞在线修复、等保认证等高级功能。
问3:HSS的漏洞扫描多久执行一次?
答:对于Linux和Windows系统漏洞,HSS会每日自动执行一次全面扫描。应急漏洞公告则每5分钟抓取一次。
问4:安全评分是如何计算的?
答:安全评分根据资产中存在的基线风险、漏洞风险、入侵风险和资产风险等执行扣分。满分100分表示无任何风险,分数越低表示安全风险越多。评分每天凌晨2:00自动更新。
问5:如何实现安全风险的自动化处置?
答:安全云脑提供了安全编排与自动响应能力,内置了100多个自动化处置剧本。启用相应剧本后,系统可自动对高危告警进行封堵IP、停用AKSK等操作。




