漏洞掃描與滲透測試都是維護網絡安全的重要舉措，但這不代表兩者之間沒有區(qū)別，漏洞掃描替代不了滲透測試的重要性，滲透測試本身也守不住整個網絡的安全。那我們如何區(qū)分漏洞掃描與滲透測試呢？

這兩者在各自層面上都非常重要，是網絡風險分析所需，PCI、HIPPA、ISO 27001 等標準中也有要求。滲透測試利用目標系統(tǒng)架構中存在的漏洞，而漏洞掃描（或評估）則檢查已知漏洞，產生風險形勢報告。

滲透測試和漏洞掃描都主要依賴3個因素：

1. 范圍

2. 資產的風險與關鍵性

3. 成本與時間

滲透測試范圍是針對性的，而且總有人的因素參與其中。這個世界上沒有自動化滲透測試這種東西。滲透測試需要使用工具，有時候要用到很多工具，但同樣要求有極具經驗的專家來進行測試。

專業(yè)的滲透測試員，在測試中總會編寫腳本，修改攻擊參數(shù)，或者調整所用工具的設置。

滲透測試在應用層面或網絡層面都可以進行，也可以針對具體功能、部門或某些資產?；蛘?，也可以將整個基礎設施和所有應用囊括進來。只不過，受成本和時間限制，這在現(xiàn)實世界中是不切實際的。

范圍的定義，主要基于資產風險與重要性。在低風險資產上花費大量時間與金錢進行滲透測試不現(xiàn)實。畢竟，滲透測試需要高技術人才，而這正是為什么滲透測試如此昂貴的原因。

另外，測試員往往利用新漏洞，或者發(fā)現(xiàn)正常業(yè)務流程中未知的安全缺陷，這一過程可能需要幾天到幾個星期的時間。鑒于其花費和高于平均水平的宕機概率，滲透測試通常一年只進行一次。所有的報告都簡短而直擊重點。

而漏洞掃描是在網絡設備中發(fā)現(xiàn)潛在漏洞的過程，比如防火墻、路由器、交換機、服務器、各種應用等等。該過程是自動化的，專注于網絡或應用層上的潛在及已知漏洞。漏洞掃描不涉及漏洞利用。漏洞掃描器只識別已知漏洞，因而不是為了發(fā)現(xiàn)零日漏洞利用而構建的。

漏洞掃描在全公司范圍進行，需要自動化工具處理大量的資產。其范圍比滲透測試要大。漏洞掃描產品通常由系統(tǒng)管理員或具備良好網絡知識的安全人員操作，想要使用好這些產品，需要擁有特定于產品的知識。

漏洞掃描可針對任意數(shù)量的資產進行以查明已知漏洞。然后，可結合漏洞管理生命周期，使用這些掃描結果來快速排除影響重要資源中更嚴重的漏洞。

相對于滲透測試，漏洞掃描的花銷很低，而且這是個偵測控制，而不像滲透測試一樣是個預防措施。

兩者結合能發(fā)揮更大作用，分開使用能區(qū)別兩者，這樣才能更好的維護網絡安全。上海觀初網絡科技有限公司專注于為企業(yè)提供信息安全解決方案的技術服務公司。關注我們帶你了解更多信息安全知識。