Vulnerability Assessment 漏洞评估
公司内部对自身安全系统的审查过程。目标是在攻击者之前,先把自家的 漏洞 找出来。
跟相关概念的区别
| 概念 | 是什么 | 频率 |
|---|---|---|
| Vulnerability Assessment | 找漏洞 + 评级 + 出报告 | 季度 / 半年 |
| Vulnerability Management | 完整流程:找 → 修 → 验 → 监控 | 持续 |
| Penetration Testing | 模拟攻击者真打进去 | 年度 |
| Security Audit | 对照标准/法规做合规检查 | 年度 |
简单说:assessment 找问题,management 解决问题,pentest 验证问题,audit 证明你在做这些事。
典型流程
- 资产识别 —— 先得知道要扫什么(见 asset)
- 扫描 —— 用 vulnerability scanner 跑一遍
- 手工验证 —— 排除误报
- 评级排序 —— 按 CVSS 打分,critical/high 优先
- 报告 —— 给到 IT / 开发 / 管理层
- 复测 —— 修完再扫一遍
常用工具
- Nessus / Qualys / Rapid7 —— 企业级商业扫描器
- OpenVAS —— 开源
- Nuclei —— 模板化,DevOps 友好
- Burp Suite —— web 应用专用
评估不等于解决
很多公司做完 assessment 拿到一个 200 页报告,然后就放抽屉里 —— 这是常见反模式。真正的价值在后续的 management 闭环。