信息中心對機房服務器進行安全掃描，短期內如何規避高危漏洞，在不影響線上業務的情況下通過安全掃描？

問題及風險描述
系統進行安全掃描，掃描出windous服務器和linux服務器皆存在高危漏洞。需要在短時間內進行修復，並且通過安全掃描。
我們知道，常規的漏洞修復流程一般都是對應用打補丁或者版本升級，這些操作耗費的時間較長，且危險系數較高，因為在未測試的情況下，我們並不知道版本升級之後是否還會兼容現在的業務場景，大概率會影響正常的線上業務。於是，我們就需要一些臨時規避掃描的方法。

問題處理
1.windous的漏洞，臨時規避安全掃描的方案有：打開防火墻，添加三條入站規則，兩條是tcp的（禁止1-3388,3390-10000），一條禁止全部udp，只放通3389（遠程桌面），當遠程桌面也有漏洞時，可以把3389都禁止掉（前提是有控制臺可登陸服務器）。掃描過後，清除剛剛設置的3條防火墻規則即可；

2.linux服務器上對tomcat是進行版本掃描，因此，在tomcat的lib目錄下創建org/apache/catalina/util 目錄，在此目錄下創建ServerInfo.properties文件，然後添加以下內容：

server.info=Apache Tomcat/8.5.24
server.number=8.5.24  #(較新較安全版本)
server.built=Jan 18 2017 22:19:39 UTC 

重啟tomcat即可；

3.掃描nginx出現漏洞時，可以通過屏蔽nginx的版本號來規避掃描，在配置文件nginx.conf中，http區段中插入“server_tokens off;

”，使用“nginx -s reload”重新載入配置文件;也可以更改版本號，不過是要在編譯安裝時進行。

下一步解決計劃
1.做好防火墻的規則，只放通必需的端口，且放通的端口越少越好；
2.對應用進行打補丁和升級操作，從根源修復漏洞。

註：以上規避方法只是臨時應對安全掃描的拙計，並不是一勞永逸的“高招”。在掃描出高危漏洞的時候，一定要引起高度重視，積極修復漏洞。

如何臨時規避安全掃描的高危漏洞