漏洞掃描和滲透測試哪個好

兩者沒有好壞之分，作為安全評估的兩種不同類型是一種相輔相成的關系，滲透測試作為網絡安全測試的重要組成部分，從技術來講，就是模擬黑客的操作，發現被測目標的一些網絡安全風險而漏洞掃描是指基于漏洞數據庫，通過掃描等手段對指定的遠程或者本地計算機系統的安全脆弱性進行檢測，只有通過兩者才能做好安全評估。

滲透測試范圍是有針對性的，需要具有豐富經驗的專家進行測試，在測試過程中還會用到許多工具。優秀的滲透測試員，在測試中總會編寫腳本，修改攻擊參數，或者調整所用工具的設置。

滲透測試在應用層面或網絡層面都可以進行，也可以針對具體功能、部門或某些資產。但是受成本和時間限制，將整個基礎設施和所有應用囊括進來進行測試是不切實際的。

范圍的定義，主要基于資產風險與重要性。滲透測試需要高技術人才，成本較高。在低風險資產上花費大量時間與金錢進行滲透測試不現實。

另外，測試員發現正常業務流程中未知的安全缺陷，需要幾天到幾個星期的時間。鑒于其花費和高于平均水平的宕機概率，滲透測試通常一年只進行一次。所有的報告都簡短而直擊重點。

而漏洞掃描是在網絡設備中發現潛在漏洞的過程，比如防火墻、路由器、交換機、服務器、各種應用等等。該過程是自動化的，專注于網絡或應用層上的潛在及已知漏洞。漏洞掃描不涉及漏洞利用。漏洞掃描器只識別已知漏洞，因而不是為了發現零日漏洞利用而構建的。

漏洞掃描在全公司范圍進行，需要自動化工具處理大量的資產。其范圍比滲透測試要大。漏洞掃描產品通常由系統管理員或具備良好網絡知識的安全人員操作，想要高效使用這些產品，需要擁有特定于產品的知識。

漏洞掃描可針對任意數量的資產查明已知漏洞。然后，再結合漏洞管理生命周期，使用這些掃描結果來快速排除影響重要資源中更嚴重的漏洞。

相對于滲透測試，漏洞掃描的花銷很低，而且這是個偵測控制，而不像滲透測試是個預防措施。

漏洞掃描和滲透測試都可以饋送至網絡風險分析過程，幫助確定最適合于公司、部門或實踐的控制措施。一般大型公司會采購自動化的漏洞掃描產品，每天或者每周都能定期的進行漏洞掃描。而在新產品上線，或者發現公司有非常重要的數據在服務器上，害怕泄露，被竊取，會讓專業的安全廠商，定期進行人工的滲透測試。

漏洞掃描和滲透測試并不是獨立存在的，它們需要結合使用，才能達到最佳的效果，確保公司的信息化安全。

回答所涉及的環境：聯想天逸510S、Windows 10。