渗透测试与漏洞扫描详解

#等级保护办理#

等级保护测评过程中，包含了多项指标的测评，其中还有漏洞扫描和渗透测试。作为维护企业安全的两种不同类型，漏洞扫描和渗透测试的重要性经常会被混淆。在等保合规建设中，是选择漏洞扫描，还是选择渗透测试？这成为了企业关注的问题。

一、概念：

渗透测试（Penetration Test，PT）是完全模拟黑客可能使用的攻击技术和漏洞发现技术，对目标系统的安全做深入的探测，发现系统最脆弱的环节。渗透测试和黑客入侵最大区别在于渗透测试是经过客户授权，采用可控制、非破坏性质的方法和手段发现目标和网络设备中存在弱点，帮助管理者知道自己网络所面临的问题。

渗透测试通常分为黑箱测试、白盒测试、隐秘测试。

黑箱测试又被称为所谓的“Zero-Knowledge Testing”，渗透者完全处于对系统一无所知的状态，通常这类型测试，最初的信息获取来自于DNS、Web、Email及各种公开对外的服务器。

白盒测试与黑箱测试恰恰相反，测试者可以通过正常渠道向被测单位取得各种资料，包括网络拓扑、员工资料甚至网站或其它程序的代码片段，也能够与单位的其它员工（销售、程序员、管理者……）进行面对面的沟通。这类测试的目的是模拟企业内部雇员的越权操作。

隐秘测试是对被测单位而言的，通常情况下，接受渗透测试的单位网络管理部门会收到通知：在某些时段进行测试。因此能够监测网络中出现的变化。但隐秘测试则被测单位也仅有极少数人知晓测试的存在，因此能够有效地检验单位中的信息安全事件监控、响应、恢复做得是否到位。

反过来看一下漏洞扫描的含义，使用NESSUS、NMAP等漏洞扫描工具对评估范围内对象进行网络层、系统层、数据库层面的漏洞扫描，并人工验证所发现的操作系统漏洞、数据库漏洞、弱口令、信息泄露及配置不当等脆弱性问题。漏洞扫描器包括网络漏扫、主机漏扫、数据库漏扫等不同种类。

漏扫的工具我们在工作中一般都是使用NESSUS、awvs、OpenVAS、NetSparker、OWASP ZAP等工具。一般的漏洞扫描分为网络扫描和主机扫描。通过漏洞扫描，扫描者能够发现远端网络或主机的配置信息、TCP/UDP端口的分配、提供的网络服务、服务器的具体信息等。

二、流程

渗透测试的一般过程主要有明确目标、信息收集、漏洞探测、漏洞验证、信息分析、获取所需、信息整理、形成测试报告。渗透测试操作难度大，而且渗透测试的范围也是有针对性的，而且是需要人为参与。听说过漏洞自动化扫描，但你绝对听不到世界上有自动化渗透测试。渗透测试过程中，信息安全渗透人员小使用大量的工具，同时需要非常丰富的专家进行测试，不是你培训一两月就能实现的。

漏洞扫描是在网络设备中发现已经存在的漏洞，比如防火墙，路由器，交换机服务器等各种应用等等，该过程是自动化的，主要针对的是网络或应用层上潜在的及已知漏洞。漏洞的扫描过程中是不涉及到漏洞的利用的。漏洞扫描在全公司范围进行，需要自动化工具处理大量的资产。其范围比渗透测试要大。漏洞扫描产品通常由系统管理员或具备良好网络知识的安全人员操作，想要高效使用这些产品，需要拥有特定于产品的知识。

漏洞扫描在全公司范围进行，需要自动化工具处理大量的资产，其范围比渗透测试要大得多。漏洞扫描产品通常由系统管理员或具备良好网络知识的安全人员操作，想要高效使用这些，也需要拥有特定知识。

漏洞扫描可针对任意数量的资产进行漏洞检查，然后结合漏洞管理生命周期，使用这些扫描结果来快速排除影响重要资源中更严重的漏洞。

一般大型公司会采购自动化的漏洞扫描产品，每天或者每周都能定期的进行漏洞扫描，类似于在电脑上安装杀毒软件，每天只需要扫一扫就可以，定期的进行杀毒。而渗透测试的在新产品上线，或者发现公司有非常重要的数据在服务器上，害怕泄露，被窃取，让专业的安全厂商，定期进行人工的渗透测试。由此可见两者并不是独立存在的，也是需要结合使用，才能达到最佳的效果，确保公司的信息化安全。

相较于渗透测试，漏洞扫描只是起到侦测控制，而渗透测试是一个预防性措施。

渗透测试 是具有针对性的，其中还包含人员的因素在内。目前开展渗透测试就需要使用到专用工具，而工具又极其多样化，这便要求有极具经验的专家才能进行操作。

渗透测试在应用层面或网络层面都可以进行，也可以针对具体功能、部门或某些资产，或者将整个基础设施和所有应用囊括其中，这就要考虑到极高的成本与充足的时间。

此外，渗透测试员利用新漏洞，或者发现正常业务流程中未知的安全缺陷，这一过程可能需要几天乃至几个星期的时间。鉴于其花费和高于平均水平的宕机概率，渗透测试通常一年只进行一次，所有的报告都简短而直击重点。