什么是漏洞掃描呢？漏洞掃描是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對指定的遠(yuǎn)程或者本地計算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測，發(fā)現(xiàn)可利用漏洞的一種安全檢測（滲透攻擊）行為。

一般滲透測試是由人工完成的，而漏洞掃描因工作量大多由工具完成，現(xiàn)在市面上的漏洞掃描工具也是琳瑯滿目。

從定義中我們可以看出滲透測試除了定位漏洞外，還需要進(jìn)一步嘗試對漏洞進(jìn)行攻擊利用、提權(quán)以及維持對目標(biāo)系統(tǒng)的控制權(quán)；而漏洞掃描只是清楚的展示出系統(tǒng)中存在的所有缺陷，但不會衡量這些缺陷對系統(tǒng)造成的影響。

漏洞掃描和滲透測試的另一不同之處在于：滲透測試的侵略性要強(qiáng)很多，它會試圖使用各種技術(shù)手段攻擊真實生產(chǎn)環(huán)境；相反，漏洞掃描只會以一種非侵略性的方式，仔細(xì)地定位和量化系統(tǒng)的所有漏洞。

第二：操作方式不同

一般來說滲透測試操作難度大，而且滲透測試的范圍也是有針對性的，而且是需要人為參與。聽說過漏洞自動化掃描，但你絕對聽不到世界上有自動化滲透測試。滲透測試過程中，信息安全滲透人員小使用大量的工具，同時需要非常豐富的專家進(jìn)行測試，不是你培訓(xùn)一兩月就能實現(xiàn)的。

不僅如此，滲透測試員不僅要針對應(yīng)用層或網(wǎng)絡(luò)層等進(jìn)行測試，還需要出具完整的滲透測試報告。一般的報告都會主要包括以下內(nèi)容：滲透測試過程中發(fā)現(xiàn)可被利用的漏洞，出現(xiàn)的原因，解決方法等詳細(xì)文字化的描述。當(dāng)然在滲透的過程中，特別是對低風(fēng)險資產(chǎn)上需要花費(fèi)大量的時間，需要高技術(shù)的滲透測試人才，所以這也是為什么滲透測試那么貴的原因。

而漏洞掃描是在網(wǎng)絡(luò)設(shè)備中發(fā)現(xiàn)已經(jīng)存在的漏洞，比如防火墻，路由器，交換機(jī)服務(wù)器等各種應(yīng)用等等，該過程是自動化的，主要針對的是網(wǎng)絡(luò)或應(yīng)用層上潛在的及已知漏洞。漏洞的掃描過程中是不涉及到漏洞的利用的。漏洞掃描在全公司范圍進(jìn)行，需要自動化工具處理大量的資產(chǎn)。其范圍比滲透測試要大。漏洞掃描產(chǎn)品通常由系統(tǒng)管理員或具備良好網(wǎng)絡(luò)知識的安全人員操作，想要高效使用這些產(chǎn)品，需要擁有特定于產(chǎn)品的知識。

一般大型公司會采購自動化的漏洞掃描產(chǎn)品，每天或者每周都能定期的進(jìn)行漏洞掃描，類似于在電腦上安裝殺毒軟件，每天只需要掃一掃就可以，定期的進(jìn)行殺毒。而滲透測試的在新產(chǎn)品上線，或者發(fā)現(xiàn)公司有非常重要的數(shù)據(jù)在服務(wù)器上，害怕泄露，被竊取，讓專業(yè)的安全廠商，定期進(jìn)行人工的滲透測試。

可見兩者并不是獨(dú)立存在的，也是需要結(jié)合使用，才能達(dá)到最佳的效果，確保公司的信息化安全。

第三：價格不同

從上面的介紹看，想必大家也能大概猜出哪一個價格高，哪一個價格低了。沒錯，相對漏洞掃描來說，滲透測試一般漏洞掃描貴好幾倍。所以剛開始和客戶在溝通方案和報價的時候，沒接觸過網(wǎng)絡(luò)安全方面的服務(wù)，第一印象：覺得太貴了。但從上面的介紹來看，貴也是有道理的。所以企業(yè)在選擇兩個產(chǎn)品服務(wù)時，要看好自己目前階段適合哪一個，一般來說，滲透測試發(fā)生在新品上線或系統(tǒng)有大的更新，或者一年2-4次即可，漏洞掃描的話，每周定期自動化掃描即可。

漏洞掃描和滲透測試二者結(jié)合，才能得到最佳的效果，幫助確定最適合于公司、部門或?qū)嵺`的控制措施——無論是漏洞掃描還是滲透測試都非常重要，應(yīng)用于不同的目的，產(chǎn)生不同的結(jié)果。