华为云云安全中心网站服务器风险巡检完全指南

引言：云上网站服务器的安全巡检为何至关重要

在云原生架构日益普及的今天，网站服务器承载着企业的核心业务与用户数据，其安全性直接关系到企业的生存与发展。然而，云上资产规模庞大、攻击手段不断翻新、合规要求日趋严格，传统的被动式安全防御已难以应对。主动、持续、系统性的风险巡检，成为保障网站服务器安全的必由之路。

华为云云安全中心通过安全云脑（SecMaster）与企业主机安全（HSS）的深度协同，为企业提供了一站式的云上安全运营与风险巡检能力。本文将从实操角度出发，完整解析如何利用华为云云安全中心对网站服务器进行全方位的风险巡检，帮助运维人员构建从资产梳理、漏洞扫描、基线检查到入侵检测、风险处置的完整安全巡检闭环。

需要先登录华为云控制台，点击：华为云控制台，还没有账号，点击：注册并关联，已有账号点击：登录后关联

一、云安全中心服务架构：SecMaster与HSS的协同

在进行网站服务器风险巡检之前，首先需要理解华为云云安全中心的服务架构。云安全中心并非单一产品，而是由安全云脑（SecMaster）和企业主机安全（HSS）两大核心服务协同构成的综合安全运营体系。

1.1 企业主机安全（HSS）：服务器安全的守门人

HSS通过在主机中安装Agent，使用AI、机器学习和深度算法等技术分析主机中的风险，并从HSS云端防护中心下发检测和防护任务。HSS的核心能力覆盖了服务器安全的各个层面：资产管理方面，HSS深度扫描主机中的账号、端口、进程、Web目录、软件信息和自启动任务；漏洞管理方面，HSS支持检测Linux漏洞、Windows漏洞、Web-CMS漏洞、应用漏洞；基线检查方面，HSS针对主机提供基线检查功能，包括检测复杂策略、弱口令及配置详情；入侵检测方面，HSS支持账户暴力破解、进程异常、网站后门、异常登录、恶意进程等入侵检测能力；网页防篡改方面，HSS可实时检测并拦截篡改指定目录下文件的行为。

1.2 安全云脑（SecMaster）：全局安全态势的指挥官

SecMaster通过采集全网安全数据（包括HSS、WAF、AntiDDoS等安全服务检测数据），提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力。SecMaster与HSS的分工清晰而互补：在资产安全层面，SecMaster仅支持同步HSS主机资产风险信息，呈现各主机资产的整体安全状况，而HSS则提供更深度的主机资产扫描；在漏洞管理层面，SecMaster支持同步华为云安全公告信息并及时获取热点安全讯息，同时同步HSS主机漏洞扫描结果；在基线检查层面，SecMaster针对华为云服务关键配置项进行检查，而HSS则专注于主机基线。

简单来说，HSS是部署在每一台服务器上的"安全哨兵"，负责深度检测和实时防护；而SecMaster则是全局的"安全指挥部"，负责汇总分析所有哨兵的数据，进行态势呈现和统一调度。两者的协同构成了完整的云安全中心风险巡检体系。

二、风险巡检的前置准备：资产盘点与Agent部署

安全运营的本质是风险管理，而风险管理的三要素是"资产"、"脆弱性"和"威胁"。因此，梳理清楚需要防护的资产，是风险巡检的起点。

2.1 云上资产的自动盘点

安全云脑可以帮助用户将云上资产从不同租户、不同Region汇集到一个视图中，还可以将云外资产导入到安全云脑中，并标记其所属的环境。汇聚之后，系统会将资产的风险情况标识出来，例如：是否有不安全的配置、是否有OS或者应用漏洞、是否存在疑似入侵的告警、是否覆盖了对应的防护云服务等。

在实际操作中，运维人员可以通过以下步骤完成资产盘点：登录华为云控制台，选择"安全与合规 > 安全云脑 SecMaster"，进入安全云脑管理页面；在左侧导航栏选择"资产管理"，查看当前账号下所有云资产的自动盘点结果；对于未能自动发现的云外资产，可以通过手动导入的方式将其纳入安全管理视野。

2.2 HSS Agent的安装与防护开启

资产盘点完成后，最关键的一步是确保每一台网站服务器都已安装HSS Agent并开启防护。主机实例应安装企业主机安全防护（HSS）且开启防护，才能全面识别并管理主机资产，实时监测主机中的风险并阻止非法入侵行为。

Agent的安装流程如下：在HSS控制台的"主机管理"页面，选择需要安装Agent的云服务器；根据操作系统类型（Linux或Windows）选择对应的安装命令或安装包；在服务器上执行安装命令，完成Agent的部署。安装完成后，需要在HSS控制台开启对应的防护版本。如有网站或关键系统防篡改需求，推荐使用网页防篡改版；如果主机涉及重要资产或存在高风险情况（例如对外暴露EIP、保存有关键资产、存在数据库等），建议使用旗舰版或网页防篡改版。

三、漏洞扫描：发现网站服务器的软件脆弱性

漏洞是网站服务器面临的最常见风险之一。华为云云安全中心通过多层次的漏洞扫描能力，帮助运维人员全面掌握服务器资产的漏洞风险状况。

3.1 主机漏洞扫描

HSS提供了全面的主机漏洞检测能力，涵盖Linux漏洞、Windows漏洞、Web-CMS漏洞和应用漏洞。在HSS控制台的"漏洞管理"页面，运维人员可以查看漏洞概览，包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5。

扫描任务的执行方式灵活多样：HSS默认每日凌晨自动进行一次全面的漏洞检测；运维人员也可以根据需要，在控制台上手动触发立即扫描；对于批量服务器，还可以选择多台主机后执行批量扫描。

3.2 Web漏洞扫描

除了主机层面的漏洞，网站服务器上运行的Web应用同样面临SQL注入、XSS跨站脚本、文件包含、任意文件上传等安全风险。漏洞扫描服务（VSS）集Web漏洞扫描、操作系统漏洞扫描、资产及内容合规检测、安全配置基线检查、弱密码检测、开源合规及漏洞检查、移动应用安全检查七大核心功能为一体。

在操作层面，运维人员可以在VSS控制台创建Web扫描任务，输入目标网站的URL，选择扫描策略后即可启动扫描。扫描完成后，系统会生成详细的扫描报告，包括漏洞列表、风险等级、漏洞详情和修复建议。

3.3 漏洞风险评估与优先级排序

漏洞的价值在于被修复，而非仅仅被发现。华为云云安全中心对漏洞进行了风险等级划分，包括高危、中危、低危等。高危漏洞表示资产中检测到了严重的漏洞事件，建议立即查看详情并及时处理。

运维人员应根据漏洞的风险等级、受影响资产的业务重要性、漏洞的可利用性等因素，制定漏洞修复的优先级策略。高危漏洞应在24小时内完成修复，中危漏洞应在一周内完成修复，低危漏洞可在月度巡检中统一处理。

四、基线合规检查：加固服务器的安全配置

不安全的配置是云上资产最常见的"脆弱性"之一。基线检查功能通过对云服务关键配置项的自动化扫描，帮助运维人员发现并修复配置安全隐患。

4.1 云服务基线检查

SecMaster针对华为云服务关键配置项，从"安全上云合规检查1.0"、"等保2.0三级要求"、"护网检查"等风险类别，全面了解云服务风险配置的所在范围和风险配置数目。检查范围涵盖IAM是否按角色进行授权、VPC的安全组中是否存在完全放通的策略、WAF的防护策略是否开启等关键配置。

运维人员可以在SecMaster的"基线检查"页面查看检查结果，系统会分类呈现云服务配置检测结果，告警提示存在安全隐患的配置，并提供相应配置加固建议和帮助指导。

4.2 主机基线检查

HSS针对主机提供更深度的基线检查功能。根据CIS标准并结合华为多年最佳安全实践进行检测，目前支持的配置检测类型包括Tomcat、SSH、Nginx、Redis、Apache2、MySQL5等。

主机基线检查的核心检查项包括：经典弱密码检测——通过与弱密码库对比，检测账号密码是否属于常用的弱密码，支持MySQL、FTP及系统账号的弱密码检测；密码复杂度策略检测——检测系统账号的密码复杂度策略是否符合安全要求；配置检测——对Tomcat、Nginx、Redis等常用中间件和数据库的配置进行安全基线核查。

基线检查支持定时自动检查和单次手动检查两种检测模式。开启HSS防护的服务器，默认会绑定检查策略，并在每天凌晨04:00至05:00自动执行一次基线检查。运维人员也可以根据需要，在基线检查页面选择特定的检查计划，立即执行基线检查。

4.3 合规遵从包与等保2.0

对于需要满足等保2.0、PCI-DSS、ISO27001等合规要求的企业，安全云脑提供了10多个安全合规遵从包。运维人员可以按照法律法规和行业标准，选择对应的合规遵从包，系统会自动对各类云资产的安全配置进行检查，生成风险项、加固建议和遵从报告。基线检查的"等保2.0三级要求"中所有的检查项目，以及"安全上云合规检查1.0"和"护网检查"中的部分检查项目为手动检查项，需要运维人员在线下执行检查后，再在控制台上反馈检查结果。

五、入侵检测与威胁告警：实时感知安全威胁

漏洞和配置风险是静态的"脆弱性"，而入侵行为是动态的"威胁"。华为云云安全中心提供了多层次的人侵检测能力，帮助运维人员实时发现并处置安全威胁。

5.1 主机入侵检测

HSS支持账户暴力破解、进程异常、网站后门、异常登录、恶意进程等入侵检测能力。具体而言，进程异常行为检测会监控各个主机的进程信息，包括进程ID、命令行、进程路径、行为等，对于进程的非法行为、黑客入侵过程进行告警；异常登录检测会识别非正常时间、非正常IP的登录行为；暴力破解检测会监控针对系统账号的连续失败登录尝试。

运维人员可以在HSS控制台的"入侵检测 > 事件管理"页面查看检测结果。当检测到入侵事件时，系统会生成告警并展示在事件列表中，运维人员需要根据告警的详细信息和处置建议，及时进行响应和处理。

5.2 网页防篡改

对于网站服务器而言，网页内容被篡改是极具破坏性的安全事件。HSS的网页防篡改功能可实时发现并拦截篡改指定目录下文件的行为，并快速获取备份的合法文件恢复被篡改的文件，从而保护网站的网页、电子文档、图片等文件不被黑客篡改和破坏。

网页防篡改、容器安全与主机安全共用同一个Agent，只需在同一主机安装一次。开启网页防篡改功能后，系统会实时监控指定目录下的文件变化，一旦发现非授权修改，立即阻断并自动从备份中恢复。

5.3 威胁告警的集中管理

SecMaster将来自HSS、WAF、AntiDDoS等所有安全服务的告警进行汇总和关联分析。在SecMaster的"总览"页面，"威胁告警"板块展示近7天内全部工作空间告警管理中的告警总和。运维人员可以通过安全评分模块快速了解未处理风险对资产的整体威胁状况。

六、安全评分：量化评估服务器的安全状态

安全评分是云安全中心风险巡检的"体检报告"。它通过对各项安全检测结果的综合计算，将复杂的风险状况量化为直观的分数。

6.1 评分的计算逻辑

安全评分根据是否开启各安全服务防护、未处理的配置问题等级及个数、未处理的漏洞等级及个数、未处理的威胁事件等级及个数等计算而来。分值范围为0～100，分值越大表示风险越小，资产更安全。无风险资产默认为100分，HSS会根据资产中存在的基线风险、漏洞风险、入侵风险和资产风险等执行扣分。

风险等级与分值的对应关系为：分值从0开始，每隔20取值范围对应不同的风险等级。具体而言，分值在80-100之间为"无风险"或"低危"，60-80之间为"中危"，40-60之间为"高危"，20-40之间为"致命"，0-20之间为最高风险等级。

6.2 评分的更新与查看

安全评分每天凌晨2:00自动更新。运维人员也可以在控制台上手动单击"重新检测"来进行实时更新。在SecMaster的"总览"页面，安全评分板块会以环形图的形式展示当前的安全评分和风险等级。

评分数据并非实时计算的历史扫描结果，如需获取最新数据及评分，可单击"重新检测"获取最近的数据。当资产安全风险修复后，为降低安全评分的风险等级，需要手动忽略或处理告警事件，刷新告警列表中告警事件状态。

6.3 从评分到行动

安全评分的价值在于指导行动。在"安全评分"栏中单击"立即处理"，系统右侧会弹出"安全风险处理"页面；在页面中单击"前往处理"，可进入"告警管理"、"漏洞管理"或"基线检查"页面；根据风险详情和修复建议进行修复，修复完成后再次执行检测，确认风险已消除。

七、风险处置与闭环管理

发现风险只是巡检的第一步，处置风险并形成闭环才是安全运营的核心目标。

7.1 漏洞修复

对于扫描发现的漏洞，运维人员应根据漏洞的风险等级和修复建议，制定修复计划。高危漏洞应立即修复，中危漏洞应在计划时间内完成修复。HSS支持一键修复部分漏洞，也支持手动修复。修复完成后，应重新执行漏洞扫描，验证漏洞是否已被成功修复。

7.2 基线加固

对于基线检查中发现的不合规配置，运维人员应根据系统提供的加固建议进行配置调整。例如，修改弱密码为符合复杂度要求的强口令，关闭不必要的端口和服务，调整安全组策略等。

7.3 入侵事件处置

当检测到入侵事件时，应立即启动应急响应流程。具体措施包括：隔离受感染的主机，防止威胁扩散；分析入侵路径和攻击手法，排查是否还有其他主机受影响；清理恶意程序和后门；修改所有相关账号的密码；根据入侵调查结果，调整安全策略，防止同类攻击再次发生。

7.4 闭环验证

所有风险处置完成后，运维人员应重新执行安全巡检，确认所有风险点已被消除。在SecMaster中单击"重新检测"，更新安全评分。确认安全评分提升至安全水平后，本次风险巡检的闭环才算完成。

八、自动化巡检：用脚本和API提升巡检效率

对于拥有大量网站服务器的企业，手动巡检效率低下且容易遗漏。通过API和脚本实现自动化巡检，是提升安全运营效率的关键手段。

8.1 使用HSS API获取漏洞列表

华为云提供了丰富的API接口，允许运维人员通过编程方式获取安全检测结果。以下示例展示如何通过Python SDK调用HSS API，获取指定服务器的漏洞列表：

import requestsimport json# 配置认证信息AK = "your_access_key"SK = "your_secret_key"# 获取Tokendef get_token(ak, sk):    url = "https://iam.myhuaweicloud.com/v3/auth/tokens"    payload = {        "auth": {            "identity": {                "methods": ["password"],                "password": {                    "user": {                        "name": ak,                        "password": sk,                        "domain": {"name": ak}                    }                }            },            "scope": {"project": {"name": "cn-north-4"}}        }    }    response = requests.post(url, json=payload)    return response.headers.get("X-Subject-Token")# 获取主机漏洞列表def get_vulns(token, host_id):    url = f"https://hss.myhuaweicloud.com/v5/{project_id}/vulnerability/hosts/{host_id}"    headers = {"X-Auth-Token": token, "Content-Type": "application/json"}    response = requests.get(url, headers=headers)    return response.json()# 主流程token = get_token(AK, SK)vulns = get_vulns(token, "your_host_id")for vuln in vulns.get("vulnerabilities", []):    print(f"漏洞名称: {vuln['vul_name']}, 风险等级: {vuln['severity']}")

8.2 使用SecMaster API获取安全评分

通过SecMaster API，运维人员可以定时获取安全评分，并将评分数据接入企业内部的监控告警系统：

def get_security_score(token, workspace_id):    url = f"https://secmaster.myhuaweicloud.com/v1/{project_id}/workspaces/{workspace_id}/score"    headers = {"X-Auth-Token": token, "Content-Type": "application/json"}    response = requests.get(url, headers=headers)    return response.json()score_data = get_security_score(token, "your_workspace_id")print(f"当前安全评分: {score_data['score']}, 风险等级: {score_data['risk_level']}")

8.3 自动化巡检Shell脚本

对于Linux服务器，可以编写Shell脚本实现本地的自动化安全巡检，检查内容包括端口开放情况、正在运行的服务、已安装的软件包版本、系统日志中的异常记录等：

#!/bin/bash# 网站服务器安全巡检脚本# 检查开放端口echo "=== 端口检查 ==="netstat -tlnp | grep LISTEN# 检查正在运行的服务echo "=== 服务检查 ==="systemctl list-units --type=service --state=running# 检查最近登录记录echo "=== 登录记录 ==="last -n 20# 检查系统日志中的异常echo "=== 异常日志检查 ==="grep -i "error\|fail\|attack\|malicious" /var/log/syslog | tail -n 50# 检查关键文件完整性echo "=== 关键文件检查 ==="md5sum -c /etc/md5_checksums 2>/dev/null# 检查Web目录权限echo "=== Web目录权限检查 ==="find /var/www -type f -perm -777 2>/dev/null

8.4 将巡检结果接入统一监控平台

通过将API获取的安全评分、漏洞数量、告警数量等数据接入Prometheus、Grafana等监控平台，可以构建统一的安全态势监控大屏，实现安全风险的实时可视化监控。

九、巡检策略与最佳实践

基于以上各章节的分析，总结出以下网站服务器风险巡检的最佳实践策略。

9.1 巡检频率建议

漏洞扫描建议每日自动执行一次全面扫描，Web应用漏洞扫描建议每周执行一次；基线检查建议每日自动执行，重点关注新增的不合规配置；安全评分建议每日查看，发现评分下降时立即排查原因；入侵告警建议实时监控，配置告警通知以便第一时间响应。

9.2 巡检内容清单

每次巡检应覆盖以下核心检查项：HSS Agent运行状态与防护是否开启；高危漏洞的数量与修复状态；基线不合规配置的数量与类型；未处理的入侵告警事件；网页防篡改功能的运行状态；安全评分的变化趋势。

9.3 巡检的持续改进

安全巡检不是一次性的工作，而是一个持续改进的循环过程。每次巡检完成后，应总结发现的主要风险类型和处置经验，优化巡检策略和检查项配置。同时，应关注华为云安全公告中的热点安全讯息，及时了解新出现的漏洞和威胁。

十、常见问题与解答

问1：HSS和SecMaster有什么区别？我该用哪个进行服务器风险巡检？

答：HSS是部署在每台服务器上的深度安全防护服务，负责漏洞扫描、基线检查、入侵检测和网页防篡改等具体检测任务。SecMaster是全局安全态势管理平台，负责汇总所有安全服务的检测数据，进行安全评分、态势呈现和统一调度。进行服务器风险巡检时，两者需要协同使用：HSS负责"检测"，SecMaster负责"呈现和管理"。

问2：安全评分降低了，如何快速定位问题根源？

答：在SecMaster的"总览"页面，单击安全评分模块的"立即处理"，系统会弹出"安全风险处理"页面，展示所有扣分项的明细。单击每个扣分项右侧的"前往处理"，可直接跳转至对应的漏洞列表、告警列表或基线检查结果页面。根据这些详细信息和修复建议，可以快速定位并处置风险。

问3：基线检查中的"手动检查项"是什么意思？该如何处理？

答：基线检查项目分为"自动检查"和"手动检查"两种。自动检查项由系统自动扫描并给出结果；手动检查项需要运维人员在线下执行检查后，再在控制台上反馈检查结果。例如，等保2.0三级要求中的部分检查项需要人工确认物理安全措施、管理制度等是否落实。运维人员应根据检查项的描述，线下完成检查后在控制台提交结果。

问4：网页防篡改功能是如何工作的？需要额外安装什么吗？

答：网页防篡改功能实时检测并拦截篡改指定目录下文件的行为，并可快速获取备份的合法文件恢复被篡改的文件。网页防篡改与主机安全共用同一个Agent，只需在主机安装一次HSS Agent即可。开启网页防篡改功能后，系统会实时监控指定目录，一旦发现非授权修改立即阻断并恢复。

问5：如何实现服务器风险巡检的自动化？

答：可以通过两种方式实现自动化巡检。一是利用HSS和SecMaster内置的定时检查策略，系统会在每天固定时间自动执行漏洞扫描和基线检查。二是通过调用华为云API接口，编写脚本定期获取安全评分、漏洞列表、告警列表等数据，并将数据接入企业内部的监控告警系统。本文第八章提供了Python和Shell的代码示例供参考。

问6：巡检发现的高危漏洞必须在多长时间内修复？

答：高危漏洞表示资产中检测到了严重的漏洞事件，建议立即查看详情并及时处理。在实际运维中，高危漏洞应在24小时内完成评估和修复，中危漏洞应在一周内完成修复，低危漏洞可在月度巡检中统一处理。对于无法立即修复的高危漏洞，应通过WAF、安全组等防护手段进行临时缓解，直至完成彻底修复。