渗透测试 vs 漏洞扫描：要如何选？

渗透测试和漏洞扫描常常被混淆，这两者都通过探索系统来寻找 IT 基础架构中的弱点及易受攻击的地方。阅读本文，带你了解两者之间的差异与不同。

手动 vs 自动

渗透测试是一种手动安全评估方式，网络安全人员通过此类测试，对系统的安全控制进行评估，包括 web 应用程序、网络和云环境。这种测试可能需要几周的时间才能完成，基于其复杂性和成本，企业往往选择每年进行一次渗透测试。

而漏洞扫描是一种自动化，且可以直接安装在网络上或在线访问工具执行的安全检查。漏洞扫描程序会在系统中运行无数次安全检查，生成包含修复建议的漏洞列表。因此，即使企业团队没有 24/7 的网络安全专家，也能够持续运行安全检查。

一次性 vs 常规性

渗透测试能够有效帮助企业在某个时间点发现缺陷。然而由于渗透测试的复杂性和成本，许多企业选择每年进行一次渗透测试，执行年度渗透测试来保护企业免受网络攻击已成为企业安全战略的重要组成部分。那么问题来了，在两次测试之间的一年内会发生什么呢？

比如，在上一次渗透测试结束和下一次开始之前的一年中，在运行敏感客户门户的 Apache Web 服务器中发现了一个严重漏洞，该怎么办呢？或者初级开发人员做了错误的安全配置会怎样呢？再或者网络工程师临时打开防火墙上的一个端口，把数据库暴露在互联网但却忘记关闭它又会怎样？在下一次渗透测试之前，如果不加以控制，这些问题很有可能导致严重的数据泄露问题，并给企业造成巨大的损失。

渗透测试还远远不够

了解了渗透测试的特点，我们不难看出仅仅依靠渗透测试来进行安全检查是远远不够的。做个通俗的类比，一年一次的渗透测试就好比一年检查一次安全要求很高的场所的门锁，但并不安排专人值守，直到下一年再去检查这个锁是否安全。你听听，这靠谱吗？

如果没有对网络安全问题的持续监控，那么攻击者就有机会在问题修复前进行利用并发起攻击。那些需要强大物理安全性的企业常常把拥有能够在全年每天 24 小时不间断阻止攻击的自动化解决方案挂在嘴边，而在恶意网络攻击猖獗的互联网时代，对待网络安全也需要拥有同样的态度和解决方案。

两者相互补充

虽然目前有一些公司仍然通过一年一次的渗透测试来作为网络安全的唯一防线，但是还是有很多企业已经意识到漏洞威胁出现的频率大幅提高，以及持续、自动化漏洞扫描的重要性。

漏洞扫描程序通过定期扫描，为企业提供在渗透测试时间空档之间的持续安全覆盖补充。值得庆幸的是，越来越多的企业安全意识逐渐提高，对于全天候覆盖的安全策略的需求随之增加，漏洞扫描作为补充手动渗透测试的强大补充，也逐渐成为各类规模公司的首选。

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

有助于学习！！！！！！！！！！！！

我在社区摸爬滚打这么多年，所谓阅人无数，就算没有见过猪走路，也总明白猪肉是啥味道的。一看到楼主的气势，我就觉得楼主同在社区里灌水的那帮小混子有着本质的差别，你一定就是传说中的最强技术牛。