常有人將漏洞掃描與滲透測(cè)試的重要性搞混。漏洞掃描替代不了滲透測(cè)試的重要性，滲透測(cè)試本身也守不住整個(gè)網(wǎng)絡(luò)的安全。

這兩者在各自層面上都非常重要，是網(wǎng)絡(luò)風(fēng)險(xiǎn)分析所需，PCI、HIPPA、ISO 27001 等標(biāo)準(zhǔn)中也有要求。滲透測(cè)試?yán)�用目�?biāo)系統(tǒng)架構(gòu)中存在的漏洞，而漏洞掃描（或評(píng)估）則檢查已知漏洞，產(chǎn)生風(fēng)險(xiǎn)形勢(shì)報(bào)告。

滲透測(cè)試和漏洞掃描都主要依賴3個(gè)因素：

1. 范圍

2. 資產(chǎn)的風(fēng)險(xiǎn)與關(guān)鍵性

3. 成本與時(shí)間

滲透測(cè)試范圍是針對(duì)性的，而且總有人的因素參與其中。這個(gè)世界上沒(méi)有自動(dòng)化滲透測(cè)試這種東西。滲透測(cè)試需要使用工具，有時(shí)候要用到很多工具，但同樣要求有極具經(jīng)驗(yàn)的專家來(lái)進(jìn)行測(cè)試。

優(yōu)秀的滲透測(cè)試員，在測(cè)試中總會(huì)編寫腳本，修改攻擊參數(shù)，或者調(diào)整所用工具的設(shè)置。

滲透測(cè)試在應(yīng)用層面或網(wǎng)絡(luò)層面都可以進(jìn)行，也可以針對(duì)具體功能、部門或某些資產(chǎn)。或者，也可以將整個(gè)基礎(chǔ)設(shè)施和所有應(yīng)用囊括進(jìn)來(lái)。只不過(guò)，受成本和時(shí)間限制，這在現(xiàn)實(shí)世界中是不切實(shí)際的。

范圍的定義，主要基于資產(chǎn)風(fēng)險(xiǎn)與重要性。在低風(fēng)險(xiǎn)資產(chǎn)上花費(fèi)大量時(shí)間與金錢進(jìn)行滲透測(cè)試不現(xiàn)實(shí)。畢竟，滲透測(cè)試需要高技術(shù)人才，而這正是為什么滲透測(cè)試如此昂貴的原因。

另外，測(cè)試員往往利用新漏洞，或者發(fā)現(xiàn)正常業(yè)務(wù)流程中未知的安全缺陷，這一過(guò)程可能需要幾天到幾個(gè)星期的時(shí)間。鑒于其花費(fèi)和高于平均水平的宕機(jī)概率，滲透測(cè)試通常一年只進(jìn)行一次。所有的報(bào)告都簡(jiǎn)短而直擊重點(diǎn)。

而漏洞掃描是在網(wǎng)絡(luò)設(shè)備中發(fā)現(xiàn)潛在漏洞的過(guò)程，比如防火墻、路由器、交換機(jī)、服務(wù)器、各種應(yīng)用等等。該過(guò)程是自動(dòng)化的，專注于網(wǎng)絡(luò)或應(yīng)用層上的潛在及已知漏洞。漏洞掃描不涉及漏洞利用。漏洞掃描器只識(shí)別已知漏洞，因而不是為了發(fā)現(xiàn)零日漏洞利用而構(gòu)建的。

漏洞掃描在全公司范圍進(jìn)行，需要自動(dòng)化工具處理大量的資產(chǎn)。其范圍比滲透測(cè)試要大。漏洞掃描產(chǎn)品通常由系統(tǒng)管理員或具備良好網(wǎng)絡(luò)知識(shí)的安全人員操作，想要高效使用這些產(chǎn)品，需要擁有特定于產(chǎn)品的知識(shí)。

漏洞掃描可針對(duì)任意數(shù)量的資產(chǎn)進(jìn)行以查明已知漏洞。然后，可結(jié)合漏洞管理生命周期，使用這些掃描結(jié)果來(lái)快速排除影響重要資源中更嚴(yán)重的漏洞。

相對(duì)于滲透測(cè)試，漏洞掃描的花銷很低，而且這是個(gè)偵測(cè)控制，而不像滲透測(cè)試一樣是個(gè)預(yù)防措施。

漏洞掃描和滲透測(cè)試都可以饋送至網(wǎng)絡(luò)風(fēng)險(xiǎn)分析過(guò)程，幫助確定最適合于公司、部門或?qū)嵺`的控制措施。降低風(fēng)險(xiǎn)需二者結(jié)合使用，但想得到最佳效果，就需要知道其間的差異——因?yàn)闊o(wú)論是漏洞掃描還是滲透測(cè)試，都是非常重要，而又用于不同目的，產(chǎn)生不同結(jié)果的。

天下數(shù)據(jù)高級(jí)滲透測(cè)試服務(wù)，針對(duì)安卓應(yīng)用,iOS應(yīng)用,網(wǎng)頁(yè)應(yīng)用,微信服務(wù)號(hào),小程序等提供專門的檢測(cè)方案,層層滲透；天下數(shù)據(jù)高級(jí)滲透測(cè)試,Web應(yīng)用全面檢測(cè),蛛絲馬跡絕不遺漏。如果您需要高級(jí)滲透測(cè)試服務(wù)，可以聯(lián)系天下數(shù)據(jù)客服！電話：400-6388-808

本文鏈接：http://m.51huadong.com/cloundnews/11003050.html