服务版本_漏洞扫描服务 VSS_产品介绍_华为云

漏洞扫描服务

产品介绍

文档版本 01

发布日期 2022-02-11

版权所有 © 华为技术有限公司 2022。 保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传 播。

商标声明

和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意

您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或 特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或暗示的声 明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文 档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

目 录

1 漏洞扫描服务... 1

2 功能特性...2

3 产品优势...4

4 服务版本...5

5 应用场景...8

6 使用约束...10

7 计费说明...11

8 个人数据保护机制... 13

9 VSS 权限管理...15

10 与其他服务的关系...17

产品介绍 目 录

1 ^{漏洞扫描服务}

漏洞扫描服务（Vulnerability Scan Service，简称VSS）是针对网站、主机、移动应 用、软件包/固件进行漏洞扫描的一种安全检测服务，目前提供通用漏洞检测、漏洞生 命周期管理、自定义扫描多项服务。扫描成功后，提供扫描报告详情，用于查看漏洞 明细、修复建议等信息。

说明

二进制成分分析功能即将上线。

工作原理

漏洞扫描服务具有Web网站扫描和主机扫描两种扫描能力。

● Web网站扫描

采用网页爬虫的方式全面深入的爬取网站url，基于多种不同能力的漏洞扫描插 件，模拟用户真实浏览场景，逐个深度分析网站细节，帮助用户发现网站潜在的 安全隐患。同时内置了丰富的无害化扫描规则，以及扫描速率动态调整能力，可 有效避免用户网站业务受到影响。

● 主机扫描

经过用户授权（支持账密授权）访问用户主机，漏洞扫描服务能够自动发现并检 测主机操作系统、中间件等版本漏洞信息和基线配置，实时同步官网更新的漏洞 库匹配漏洞特征，帮助用户及时发现主机安全隐患。

● 移动应用安全

对用户提供的安卓、鸿蒙应用进行安全漏洞、隐私合规检测，基于静态分析技 术，结合数据流静态污点跟踪，检测权限、组件、网络、等APP基础安全漏洞，

并提供详细的漏洞信息及修复建议。

● 二进制成分分析

对用户提供的二进制软件包/固件进行全面分析，通过解压获取包中所有待分析文 件，基于组件特征识别技术、静态检测技术以及各种风险检测规则，获得相关被 测对象的组件BOM清单和潜在风险清单，并输出一份专业的分析报告。

产品介绍 1 漏洞扫描服务

2 ^功能特性

漏洞扫描服务可以帮助您快速检测出您的网站、主机、移动应用和软件包/固件存在的 漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。

● 网站漏洞扫描

– 具有OWASP TOP10和WASC的漏洞检测能力，支持扫描22种类型以上的漏 洞。

– 扫描规则云端自动更新，全网生效，及时涵盖最新爆发的漏洞。

– 支持HTTPS扫描。

● 一站式漏洞管理

– 支持任务完成后短信通知用户。如果您希望在扫描任务执行完成后收到短信 通知，请购买专业版、高级版或者企业版。

– 提供漏洞修复建议。如果您需要查看修复建议，请购买专业版、高级版或者 企业版。

– 支持下载扫描报告，用户可以离线查看漏洞信息，报告格式为PDF。如果您 需要下载扫描报告，请购买专业版、高级版或者企业版。

– 支持重新扫描。

● 支持弱密码扫描 – 多场景可用

全方位的OS连接，涵盖90%的中间件，支持标准Web业务弱密码检测、操作 系统、数据库等弱口令检测。

– 丰富的弱密码库

丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。

● 支持端口扫描

扫描服务器端口的开放状态，检测出容易被黑客发现的“入侵通道”。

● 自定义扫描

– 支持任务定时扫描。

– 支持自定义登录方式。

– 支持Web 2.0高级爬虫扫描。

– 支持自定义Header扫描。

● 主机漏洞扫描

产品介绍 2 功能特性

– 支持深入扫描

通过配置验证信息，可连接到服务器进行OS检测，进行多维度的漏洞、配置 检测。

– 支持内网扫描

可以通过跳板机方式访问业务所在的服务器，适配不同企业网络管理场景。

– 支持中间件扫描

▪

支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配 置合规扫描。

▪

支持通过标准包或者自定义安装等多种方式识别服务器的中间件及其版 本，全方位发现服务器的漏洞风险。

● 二进制成分分析 – 全方位风险检测

对软件包/固件进行全面分析，基于各类检测规则，获得相关被测对象的开源 软件、信息泄露、安全配置、安全编译选项等存在的潜在风险。

– 支持各类应用

支持对桌面应用（Windows和Linux）、移动应用程序（APK、IPA、Hap 等）、嵌入式系统固件等的检测。

– 专业分析指导

提供全面、直观的风险汇总信息，并针对不同的扫描告警提供专业的解决方 案和修复建议。

● 移动应用安全

移动应用安全服务能快速扫描您的应用，并提供详细的检测报告，协助你快速定 位修复问题。

– 全自动化测试

您只需上传Android、HarmonyOS应用文件提交扫描任务，即可输出详尽专 业的测试报告

– 详细的测试报告

详尽的在线测试报告，一键即可下载，报告提供包括问题代码行、修复建 议、调用栈信息、违规问题场景截图、关联隐私策略片段等信息。

– 支持第三方SDK隐私声明解析

针对第三方SDK隐私声明存在“表格”与“外链”两种展示方式。通过插桩 方式获取应用隐私声明的url，继而提取并深度分析隐私声明内容。

– 支撑鸿蒙应用扫描

率先支持鸿蒙应用安全漏洞、隐私合规问题扫描。

产品介绍 2 功能特性

3 ^产品优势

扫描全面

涵盖多种类型资产扫描，支持云内外网站、主机漏洞、二进制成分分析和移动应用安 全，智能关联各资产，自动发现资产指纹信息，避免扫描盲区。

简单易用

配置简单，一键全网扫描。可自定义扫描事件，分类管理资产安全，让运维工作更简 单，风险状况更清晰了然。

高效精准

● 采用Web2.0智能爬虫技术，内部验证机制不断自测和优化，提高检测准确率。

● 时刻关注业界紧急CVE爆发漏洞情况，自动扫描，快速了解资产安全风险。

● 快速排查用户软件包/固件中的开源软件、安全配置等风险。

报告全面

清晰简洁的扫描报告，多角度分析资产安全风险，多元化数据呈现，将安全数据智能 分析和整合，使安全现状清晰明了。

产品介绍 3 产品优势

4 ^服务版本

漏洞扫描服务提供了基础版、专业版、高级版和企业版四种服务版本。其中，基础版 配额内的服务免费，部分功能按需计费；专业版、高级版和企业版需要收费。

VSS各服务版本支持的计费方式、功能和规格说明如下所示，您可以根据业务需求选择 相应的服务版本。

表4-1 VSS 各服务版本计费方式 服务版

本

支持的计费方 式

说明 价格详情

基础版 ● 配额内的 服务免费

● 按需计费

● 基础版配额内仅支持Web网站漏 洞扫描（域名个数：5个，扫描次 数：5个域名每日总共可以扫描5 次）是免费的。

● 基础版提供的以下功能按需计 费：

1. 可以将Web漏洞扫描或主机漏 洞扫描任务升级为专业版规格 进行扫描，扫描完成后进行一 次性扣费。

2. 主机扫描一次最多支持20台主 机。

产品价格详情

专业版 包年/包月 相对于按需付费，包年/包月购买方 式能够提供更大的折扣，对于长期使 用者，推荐该方式。包周期计费为按 照订单的购买周期来进行结算。

高级版 包年/包月 企业版 包年/包月

表4-2 VSS 各服务版本功能说明

功能 基础版 专业版 高级版 企业版

常见漏洞检测 √ √ √ √

产品介绍 4 服务版本

功能 基础版 专业版 高级版 企业版

重新扫描 √ √ √ √

定时扫描 √ √ √ √

端口检测 √ √ √ √

自定义登录方式 √ √ √ √

Web 2.0高级爬虫扫描 √ √ √ √

扫描完毕短信通知 × √ √ √

查看修复建议 × √ √ √

下载扫描报告 × √ √ √

弱密码检测 × √ √ √

CVE漏洞扫描 × √ √ √

网页内容合规检测（文字） × √ √ √

网页内容合规检测（图片） × × × √

网站挂马检测 × × × √

链接健康检测（死链、暗链、

恶意外链）

× × × √

安全监测 × √ √ √

表4-3 VSS 各服务版本支持的扫描配额说明

版本 域名/IP个数 扫描次数 单个任务时长 任务优先级 基础版 Web漏扫：

包含5个二级 域名或IP:端 口。

Web漏扫：5个域名 每日总共可以扫描5 次

2小时 低

专业版 Web漏扫：包含1个二级域名或IP:端 口。

主机漏扫：包含20个IP地址。

无限制 高

高级版 Web漏扫：默认包含1个一级域名

（不限制二级域名个数）/IP（不限 制端口个数）。

主机漏扫：不限制IP地址个数。

无限制 高

产品介绍 4 服务版本

版本 域名/IP个数 扫描次数 单个任务时长 任务优先级 企业版 Web漏扫：默认包含5个一级域名

（不限制二级域名个数）/IP（不限 制端口个数）。

主机漏扫：不限制IP地址个数。

说明

当默认的扫描配额不能满足您的需求 时，您可以通过购买扫描配额包增加扫 描配额（一个扫描配额包中包含一个一 级域名扫描配额）。

无限制 高

说明

一级域名指用户通过华为云或者第三方域名注册商，购买注册的域名。

二级域名指无需购买注册，可直接在一级域名下添加的子域名。

例如：一级域名：example.com, example.com.cn，二级域名：test.example.com, test.example.com.cn，详细请参考域名注册。

产品介绍 4 服务版本

5 ^应用场景

漏洞扫描服务主要用于以下场景。

● Web漏洞扫描应用场景

网站的漏洞与弱点易于被黑客利用，形成攻击，带来不良影响，造成经济损失。

– 常规漏洞扫描

丰富的漏洞规则库，可针对各种类型的网站进行全面深入的漏洞扫描，提供 专业全面的扫描报告。

– 最新紧急漏洞扫描

针对最新紧急爆发的CVE漏洞，安全专家第一时间分析漏洞、更新规则，提 供快速专业的CVE漏洞扫描。

● 主机漏洞扫描应用场景

运行重要业务的主机可能存在漏洞、配置不合规等安全风险。

– 支持深入扫描

通过配置验证信息，可连接到服务器进行OS检测，进行多维度的漏洞、配置 检测。

– 支持内网扫描

可以通过跳板机方式访问业务所在的服务器，适配不同企业网络管理场景。

● 弱密码扫描应用场景

主机或中间件等资产一般使用密码进行远程登录，攻击者通常使用扫描技术来探 测其用户名和弱口令。

– 多场景可用

全方位的OS连接，涵盖90%的中间件，支持标准Web业务弱密码检测、操作 系统、数据库等弱口令检测。

– 丰富的弱密码库

丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。

● 中间件扫描应用场景

中间件可帮助用户灵活、高效地开发和集成复杂的应用软件，一旦被黑客发现漏 洞并利用，将影响上下层安全。

– 丰富的扫描场景

支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合 规扫描。

产品介绍 5 应用场景

– 多扫描方式可选

支持通过标准包或者自定义安装等多种方式识别服务器的中间件及其版本，

全方位发现服务器的漏洞风险。

● 内容合规检测应用场景

当网站被发现有不合规言论时，会给企业造成品牌和经济上的多重损失。

– 精准识别

同步更新时政热点和舆情事件的样本数据，准确定位各种涉黄、涉暴涉恐、

涉政等敏感内容。

– 智能高效

对文本、图片内容进行上下文语义分析，智能识别复杂变种文本。

● 二进制成分分析应用场景

产品包或固件中因不当使用开源软件、配置不合规等会产生漏洞或合规性风险，

及时的发现和修复相关问题可以减少被攻击者利用的风险。

– 全方位风险检测

对产品包/固件进行全面分析，基于各类检测规则，获得相关被测对象的开源 软件、信息泄露、安全配置、安全编译选项等存在的潜在风险。

– 支持各类应用

支持对桌面应用（Windows和Linux）、移动应用程序（APK、IPA、Hap 等）、嵌入式系统固件等的检测。

– 专业分析指导

提供全面、直观的风险汇总信息，并针对不同的扫描告警提供专业的解决方 案和修复建议。

● 移动应用安全

– 企业自检或通报后自查

适用于各类APP发版自检，及通报整改后自查，服务提供详细精确的报告协 助企业快速定位修复问题，达到监管合规要求。

– 审核结构APP合规审查

紧贴各类监管规范，提供高效的自动化检测服务，能快速识别存在违规行为 的APP。

产品介绍 5 应用场景

6 ^使用约束

网站扫描域名/IP

● 公网域名/IP

VSS是通过公网访问域名/IP地址进行扫描的，请确保该目标域名/IP地址能通过公 网正常访问。

扫描

如果您的网站设置了防火墙或其他安全策略，将导致VSS的扫描IP被当成恶意攻击者而 误拦截。因此，在使用VSS前，请您将以下VSS的扫描IP添加至网站访问的白名单中：

119.3.232.114，119.3.237.223，124.70.102.147，121.36.13.144，124.70.109.117，

139.9.114.20，119.3.176.1

产品介绍 6 使用约束

7 ^计费说明

本小节主要介绍漏洞扫描服务的计费说明，包括计费项、计费模式、续费等。详细信 息请参考产品价格详情。

计费项

VSS根据您的VSS服务版本，扫描配额包的个数和购买时长计费。

表7-1 计费项信息

计费项目 计费说明

服务版本（必选） 按购买的服务版本（基础版、专业版、高级版或企业版）计 费。

扫描配额包 按购买的个数计费。

购买时长 提供包年/包月和按需计费的购买模式。

计费模式

VSS提供按需计费和包年/包月两种计费模式，用户可以根据实际需求选择计费模式。

产品介绍 7 计费说明

表7-2 VSS 各服务版本计费方式 服务版

本

支持的计费方 式

说明 价格详情

基础版 ● 配额内的 服务免费

● 按需计费

● 基础版配额内仅支持Web网站漏 洞扫描（域名个数：5个，扫描次 数：每日5次）是免费的。

● 基础版提供的以下功能按需计 费：

1. 可以将Web漏洞扫描或主机漏 洞扫描任务升级为专业版规格 进行扫描，扫描完成后进行一 次性扣费。

2. 主机扫描一次最多支持20台主 机。

产品价格详情

专业版 包年/包月 相对于按需付费，包年/包月购买方 式能够提供更大的折扣，对于长期使 用者，推荐该方式。包周期计费为按 照订单的购买周期来进行结算。不限 制扫描次数。

高级版 包年/包月 企业版 包年/包月

变更配置

● 域名配额扩容：当您的业务需求增加，可在计费周期内“扩容”域名的扫描配额 包。支持扩容专业版配额、高级版配额以及企业版配额。不支持多个版本同时存 在。

● 专业版升级为高级版：当您是专业版用户时，如果需要将专业版扫描配额包中的 二级域名配额全部升级为一级域名配额，可以直接将专业版升级为高级版。

● 退订：购买漏洞扫描服务的扫描配额包后，如需停止使用，请到费用中心执行退 订操作。

续费

扫描配额包到期后，您可以进行续费以延长扫描配额包的有效期，也可以设置到期自 动续费。续费相关操作，请参见续费管理。

到期与欠费

包周期资源开通成功后，如果没有按时续费，公有云平台会提供一定的保留期，详细 信息请参见“保留期”。

欠费后，可以查看欠费详情。为防止相关资源不被停止或者释放，请及时进行充值，

帐号将进入欠费状态，需要在约定时间内支付欠款，详细操作请参考欠费还款。

FAQ

更多计费相关FAQ，请参见VSS常见问题。

产品介绍 7 计费说明

8 ^{个人数据保护机制}

为了确保网站访问者的个人数据（例如用户名、密码等）不被未经过认证、授权的实 体或者个人获取，VSS通过加密存储个人数据、控制个人数据访问权限以及记录操作日 志等方法防止个人数据泄露，保证您的个人数据安全。

收集范围

VSS收集及产生的个人数据如表8-1所示。

表8-1 个人数据范围列表

类型 收集方式 是否可以修改 是否必须

域名/IP地址 在添加域名时，由 用户在界面输入。

是 是

用户名（网站登 录）

在设置账号密码登 录方式时，由用户 在界面输入。

是 否

密码（网站登录） 在设置账号密码登 录方式时，由用户 在界面输入。

是 否

cookie值 在设置cookie登录 方式时，由用户在 界面输入。

是 否

cookie值可能不含 有用户的个人信 息。

存储方式

除域名/IP地址明文保存外，其他字段加密存储。

访问权限控制

用户只能查看自己业务的相关信息。

产品介绍 8 个人数据保护机制

日志记录

用户个人数据的所有非查询类操作，包括创建、删除域名等，VSS都会记录审计日志并 上传至云审计服务（CTS），用户仅可以查看自己的审计日志。

产品介绍 8 个人数据保护机制

9 ^{VSS 权限管理}

如果您需要对华为云上购买的VSS资源，为企业中的员工设置不同的访问权限，以达到 不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分 配、访问控制等功能，可以帮助您安全的控制华为云资源的访问。

通过IAM，您可以在华为云帐号中给员工创建IAM用户，并授权控制员工对华为云资源 的访问范围。例如您的员工中有负责软件开发的人员，您希望这些员工拥有VSS的使用 权限，但是不希望这些员工拥有删除VSS等高危操作的权限，那么您可以使用IAM为开 发人员创建用户，通过授予仅能使用VSS，但是不允许删除VSS的权限，控制员工对 VSS资源的使用范围。

如果华为云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您 可以跳过本章节，不影响您使用VSS的其它功能。

IAM是华为云提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的 资源进行付费。关于IAM的详细介绍，请参见《IAM产品介绍》。

VSS 权限

默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户 组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。

授权后，用户就可以基于被授予的权限对云服务进行操作。

VSS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域 级项目”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关 权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所 有区域项目中都生效。访问VSS时，需要先切换至授权区域。

如表9-1所示，包括了VSS的所有系统角色。由于华为云各服务之间存在业务交互关 系，VSS的角色依赖其他服务的角色实现功能。因此给用户授予VSS的角色时，需要同 时授予依赖的角色，VSS的权限才能生效。

产品介绍 9 VSS 权限管理

表9-1 VSS 系统角色

角色名称 描述 依赖关系

VSSAdministrat or

漏洞扫描服务的

管理员权限。 依赖Tenant Guest和Server Administrator角色。

● Tenant Guest：全局级角色，在全局项目中勾 选。

● Server Administrator：项目级角色，在同项 目中勾选。

相关链接

● IAM产品介绍

● 创建用户组、用户并授予VSS权限

产品介绍 9 VSS 权限管理

10 ^{与其他服务的关系}

与统一身份认证服务的关系

统一身份认证服务（Identity and Access Management，简称IAM）为VSS提供了权限 管理的功能。需要拥有VSS Administrator权限的用户才能使用VSS服务。

如需开通该权限，请联系拥有Security Administrator权限的用户，详细内容请参见

《统一身份认证服务用户指南》。

与云审计服务的关系

云审计服务（Cloud Trace Service，CTS）记录了漏洞扫描服务相关的操作事件，方便 用户日后的查询、审计和回溯，具体请参见《云审计服务用户指南》。云审计服务支 持的VSS操作列表如表10-1所示。

表10-1 云审计服务支持的 VSS 操作列表

操作名称 资源类型 事件名称

创建域名 domain createDomain 删除域名 domain deleteDomain 文件认证/一键认证 domain authenticateDomain 快捷认证 domain authorizeDomain 创建漏洞扫描任务 scan createScanTask 创建内部漏洞扫描

任务 scan createInnerScanTask 重启漏洞扫描任务 scan restartScanTask 取消漏洞扫描任务 scan cancelScanTask 创建订阅套餐 resource createPurchaseOrder 更新订阅套餐 resource createAlterOrder 批量更新订阅套餐 resource createBatchAlterOrder

产品介绍 10 与其他服务的关系