【網路安全純乾貨分享】漏洞掃描和滲透測試的區別是什麼?

　　無論學習還是工作，常常有人會把漏洞掃描和滲透測試搞混，其實它們之間存在很大的區別，漏洞掃描替代不了滲透測試的重要性，滲透測試也替代不了漏洞掃描的價值，那麼漏洞掃描和滲透測試的區別是什麼?以下為大家做了詳細的介紹。

　　第一點：概念不同

　　滲透測試服務是指在客戶授權許可的情況下，利用各種主流的攻擊技術對網路做模擬攻擊測試，以發現系統中的安全漏洞和風險點，提前發現系統潛在的各種高危漏洞和安全威脅。

　　漏洞掃描指基於漏洞資料庫，透過掃描等手段對指定的遠端或者本地計算機系統的安全脆弱性進行檢測，發現可利用漏洞的一種安全檢測行為。

　　一般情況下來講，滲透測試是由人工完成的，而漏洞掃描因為工作量大，多數由工具來完成，現在市場上有很多漏洞掃描工具。

　　滲透測試除了定位漏洞之外，還需要進一步嘗試對漏洞進行攻擊利用、提權以及維持對目標系統的控制權;漏洞掃描只是清楚的展示出系統中存在的所有缺陷，但不會衡量這些缺陷對系統造成的影響。

　　第二點：操作方式不同

　　滲透測試難度較大，而且滲透測試的範圍也是有針對性的，是需要人為參與。你可能聽說過自動化漏洞掃描，但你絕對沒有聽說過自動化滲透測試。

　　不僅如此，滲透測試人員不僅要針對應用層或者網路層進行測試，還需要出具完整的滲透測試報告。一般的報告都會包括這些內容：滲透測試過程中發現可被利用的漏洞，出現的原因以及解決方案等詳細文字化的描述。

　　而漏洞掃描是在網路裝置中發現已經存在的漏洞，比如防火牆、路由器、交換機伺服器等各種應用等等，該過程是自動化的，主要針對的是網路或應用層上潛在的已知漏洞。漏洞的掃描過程中是不涉及到漏洞的利用。漏洞掃描在全公司範圍進行，需要自動化工具處理大量的資產，其範圍比滲透測試更大。

　　正常情況下，大型公司會採購自動化的漏洞掃描產品，每天或者定期進行漏洞掃描;而滲透測試是在新產品上線，或者發現公司有非常重要的資料在伺服器上，擔心洩露，被人竊取，讓專業的服務商，定期進行人工的滲透測試。

　　由此可見，漏洞掃描和滲透測試並不是獨立的，兩者需要結合使用，這樣才可以達到更好的效果。

　　第三點：性質不同

　　滲透測試的侵略性要強很多，它會試圖使用各種技術手段攻擊真實生產環境;相反，漏洞掃描只會以一種非侵略性的方式，仔細地定位和量化系統的所有漏洞。

　　第四點：消耗成本及時間不同

　　一般來說，滲透測試需要前期的各種準備工作，前期資訊資產收集的越全面，後期的滲透就會越深入，它不僅是一個由淺到深的過程，更是一個連鎖反應;對比漏洞掃描這個消耗的時間就要小的多了。可能很多人覺得滲透測試花費的經費太高，但透過介紹滲透測試的流程後也就不覺得價格高了，畢竟前期投入的大量人力、物力以及最後輸出的成果。一個專案週期的話滲透測試次數一般在2-4次，新的業務上線這個是必須要做的。漏洞掃描一般都是定時自動化掃描的。