如何區分漏洞掃描與滲透測試

漏洞掃描與滲透測試都是維護網絡安全的重要舉措，但這不代表兩者之間沒有區别，漏洞掃描替代不了滲透測試的重要性，滲透測試本身也守不住整個(gè)網絡的安全。那我們如何區分漏洞掃描與滲透測試呢(ne)？

這兩者在各自(zì)層面上(shàng)都非常重要，是網絡風險分析所需，PCI、HIPPA、ISO 27001 等标準中也有要求。滲透測試利用目标系統架構中存在的漏洞，而漏洞掃描（或評估）則檢查已知漏洞，産生(shēng)風險形勢報(bào)告。

滲透測試和漏洞掃描都主要依賴3個(gè)因素：

1. 範圍

2. 資産的風險與關鍵性

3. 成本與時間

滲透測試範圍是針對性的，而且總有人的因素參與其中。這個(gè)世界上(shàng)沒有自(zì)動化滲透測試這種東西(xī)。滲透測試需要使用工(gōng)具，有時候要用到(dào)很多(duō)工(gōng)具，但同樣要求有極具經驗的專家來進行測試。

專業(yè)的滲透測試員(yuán)，在測試中總會(huì)編寫腳本，修改攻擊參數，或者調整所用工(gōng)具的設置。

滲透測試在應用層面或網絡層面都可以進行，也可以針對具體功能(néng)、部門(mén)或某些資産。或者，也可以将整個(gè)基礎設施和所有應用囊括進來。隻不過，受成本和時間限制，這在現實世界中是不切實際的。

範圍的定義，主要基于資産風險與重要性。在低(dī)風險資産上(shàng)花費(fèi)大量時間與金錢(qián)進行滲透測試不現實。畢竟，滲透測試需要高(gāo)技(jì)術(shù)人才，而這正是為(wèi)什麽滲透測試如此昂貴的原因。

另外，測試員(yuán)往往利用新漏洞，或者發現正常業(yè)務流程中未知的安全缺陷，這一(yī)過程可能(néng)需要幾天到(dào)幾個(gè)星期的時間。鑒于其花費(fèi)和高(gāo)于平均水(shuǐ)平的宕機(jī)概率，滲透測試通(tōng)常一(yī)年(nián)隻進行一(yī)次。所有的報(bào)告都簡短而直擊重點。

而漏洞掃描是在網絡設備中發現潛在漏洞的過程，比如防火牆、路(lù)由器(qì)、交換機(jī)、服務器(qì)、各種應用等等。該過程是自(zì)動化的，專注于網絡或應用層上(shàng)的潛在及已知漏洞。漏洞掃描不涉及漏洞利用。漏洞掃描器(qì)隻識别已知漏洞，因而不是為(wèi)了發現零日漏洞利用而構建的。

漏洞掃描在全公司範圍進行，需要自(zì)動化工(gōng)具處理大量的資産。其範圍比滲透測試要大。漏洞掃描産品通(tōng)常由系統管理員(yuán)或具備良好網絡知識的安全人員(yuán)操作，想要使用好這些産品，需要擁有特定于産品的知識。

漏洞掃描可針對任意數量的資産進行以查明已知漏洞。然後，可結合漏洞管理生(shēng)命周期，使用這些掃描結果來快速排除影響重要資源中更嚴重的漏洞。

相(xiàng)對于滲透測試，漏洞掃描的花銷很低(dī)，而且這是個(gè)偵測控制，而不像滲透測試一(yī)樣是個(gè)預防措施。

兩者結合能(néng)發揮更大作用，分開(kāi)使用能(néng)區别兩者，這樣才能(néng)更好的維護網絡安全。上海通燎網絡科技有限公司專注于為(wèi)企業(yè)提供信息安全解決方案的技(jì)術(shù)服務公司。關注我們帶你了解更多(duō)信息安全知識。