滲透測試與漏洞掃描有什麼區別?

　　滲透測試與漏洞掃描是網路安全體系中非常重要的兩個概念，且承擔著很重要的角色。那麼滲透測試與漏洞掃描有什麼區別?很多小夥伴面試的時候也會遇到這個問題，接下來我們透過這篇文章詳細介紹一下。

　　1、概念

　　滲透測試並沒有一個標準的定義。國外一些安全組織達成共識的說法是：透過模擬惡意駭客的攻擊方法，來評估計算機網路系統安全的一種評估方法。

　　這個過程包括對系統的任何弱點、技術缺陷或漏洞的主動分析，而分析是從一個攻擊者可能存在的位置來進行的，並且從這個位置有條件的主動利用安全漏洞。

　　漏洞掃描是指基於漏洞資料庫，透過掃描等手段對指定的遠端或本地計算機系統的安全脆弱性進行檢測、發現可利用漏洞的一種安全檢測手段。漏洞掃描一般可以分為網路掃描和主機掃描。

　　在漏掃工作中，可以使用NESSUS、awvs、OpenVAS、NetSparker、OWASP ZAP等工具。

　　2、操作方式

　　滲透測試的一般過程主要有明確目標、資訊收集、漏洞探測、漏洞驗證、資訊分析、獲取所需、資訊整理、形成測試報告。滲透測試的操作難度大，需要使用大量的工具，其範圍也是有針對性的，並且需要經驗豐富的專家參與其中。

　　漏洞掃描是在網路裝置中發現已經存在的漏洞，比如防火牆、路由器、交換機、伺服器等各種應用，該過程是自動化的，主要針對的是網路或應用層上潛在的及已知的漏洞。漏洞的掃描過程中是不涉及漏洞利用的。

　　漏洞掃描需要自動化工具處理大量的資產，其掃描的範圍比滲透測試要大。

　　3、性質

　　滲透測試的侵略性要強很多，它會試圖使用各種技術手段攻擊真實生產環境;相反，漏洞掃描只會以一種非侵略性的方式，仔細地定位和量化系統的所有漏洞。

　　4、消耗的成本及時間

　　滲透測試需要前期進行各種準備工作，前期資訊資產收集的越全面，後期的滲透就會越深入，不僅是一個由淺入深的過程，更是一個連鎖反應;而漏洞掃描相比來說消耗的時間要少很多。