01 滲透測試和漏洞掃描的目的

在單位機構信息系統運營時，資產、安全漏洞、網絡都是動態變化的，定期的滲透測試和漏洞掃描可以及時準確的知道企業自身信息化資產的脆弱性，了解網絡的安全設置和運行的服務，及時發現安全漏洞，為客觀評價網絡風險等級提供依據。滲透測試和漏洞掃描是一種主動的防御措施，能有效避免黑客攻擊行為，做到防患于未然。

那么滲透測試和漏洞掃描工作應該怎樣開展呢？是不是隨便找個掃描工具掃描一下就可以？答案是不可以。因為不夠專業的漏洞掃描很難取得好的效果。下面就來介紹如何做好滲透測試和漏洞掃描工作。

02 掃描前的準備

客觀風險的提示與告知，溝通確認掃描方式

根據資產列表中主機、設備、應用系統等基礎信息，聯系相應歸口人員，告知滲透測試和漏洞掃描原理和風險，對相應的風險做好規避或降低危害的措施，最終確認掃描方式，漏洞掃描主要風險.

規避的措施主要有：安全備份、分批掃描、掃描策略修改、閑時測試和掃描、測試環境滲透等。

最終結合應用系統的重要性、網絡情況、操作系統類型等確認是按照系統掃描漏洞、按照網段探測存活掃描、全端口掃描的方式等掃描方式。滲透測試一般采用工具+人工測試，可以分為白盒測試、黑盒測試。

確認目標與范圍

掃描工具、環境準備

1） 確定漏洞掃描工具

2） 漏洞庫升級到最新且使用授權未到期。

3） 確定網絡接入的方式和位置，并提供漏掃設備所使用的IP地址、網關等信息（如果在網絡建設時，已考慮漏洞掃描設備可達所有網絡，可不考慮此點）。

4） 確定掃描時間、地點和配合人員。

03 滲透測試和漏掃實施

在做好前期準備后，就可以進行滲透測試和漏洞掃描實施了，在滲透測試和漏洞掃描實施過程中，主要注意如下幾點：

1）滲透測試和漏洞掃描策略再次確認；

2）滲透測試和漏洞掃描期間，配合人員和實施人員應全程觀察業務系統運行狀態；

3）漏掃任務開始前，可掃描通過1-2個地址進行測試，觀察網絡承載、網路暢通等；

4）根據漏洞掃描設備性能分配掃描任務IP數量，防止設備卡死、掃描中斷等情況；

5）建議漏洞掃描資產以業務系統為單位，個人主機以部門為單位，方便歷史數據統計分析；

6）滲透測試時業務人員可以為測試人員提供應用系統主要功能實現原理，以便測試人員可以快速定位漏洞，節省測試時間。

04 結果分析

滲透測試需要滲透測試人員撰寫漏洞挖掘詳細過程，并提供截圖或訪問的數據包，提供相應漏洞的修復意見，以便研發人員進行漏洞修復。而現在主流的漏洞掃描設備一般均提供了漏洞掃描報告輸出，報告中有詳細的目標主機的基本信息（開放端口，系統類型等）和漏洞信息（漏洞編號、漏洞描述、加固方法等），并提供本次任務的統計信息。但這些結果還不足達到我們滲透測試和漏洞掃描的目的，我們還應該關注以下這些事情：

1）對比漏掃目標存活數量

漏洞掃描完成后需要和資產列表對比發現是否存在遺漏，遺漏資產需要重新掃描。

2）高風險目標主機

根據滲透測試報告和漏掃結果分析漏洞分布情況，確認哪些信息資產的漏洞數量較多，風險等級較高。確認為什么出現該情況，是無人維護？因為影響系統運行未打補丁？已下線資產？對以上情況應通過溝通協商，確定漏洞修復加固方案。

3）歷史掃描結果對比

通過對比多次滲透測試和掃描結果能夠更清楚單位機構內部信息資產長期的安全狀態，對于長期處于高風險的信息資產，不應因影響業務運行就放棄整改加固，需要結合漏洞影響的范圍，評估和優化整改方案，使危害影響降到最低。

4）漏洞閉環

安全漏洞處理過程應該是閉環過程，需要相應系統歸口人員對其持續關注，直至漏洞關閉。

溫馨提示

滲透測試和漏洞掃描是一項專業性比較強的工作，非專業人員進行滲透測試和漏洞掃描可能給業務系統的運行帶來一定的風險。如果您需要幫助，可以聯系我們，我們會根據您的需要，為您提供專業的咨詢和服務。