項目概述

漏洞掃描服務（Vulnerability Scan Service）集Web應用系統漏洞掃描、操作系統漏洞掃描、數據庫漏洞掃描等核心功能，提供全面、快速、精準的漏洞掃描，自動化幫助企業全方位掌握資產安全信息且持續挖掘互聯網邊界的安全風險。

參考依據

GB/T 20271-2016 《信息安全技術 信息系統安全通用技術要求》

CVE - Common Vulnerabilities and Exposures (CVE)

國際滲透測試規范《OWASP WEB應用十大安全風險》（2017版）

國內滲透測試規范《WEB應用安全測試規范》

漏掃服務場景

1. 等保合規掃描

網絡安全等級保護制度是網絡安全法的重要內容。漏洞掃描服務可以提供漏洞預警和實時檢測網站安全問題，滿足等保合規的關鍵項目。

2. 上線前安全掃描

新系統上線前，為避免配置錯誤，存在CVE等脆弱性安全漏洞，需提前對新系統進行安全性測試，提前掌握網站風險，降低被攻擊的可能性。

3. 重大活動保障

為重大活動期間的黨政機關、企事業單位、關鍵信息基礎設施單位及各類企業提供安全預警與監控。

4. 系統運維掃描

幫助系統運維者日常巡檢，持續監控網站安全狀況，及早發現風險，及時響應，降低損失和負面影響。

漏掃服務優勢

1. Web專項掃描

對現代 Web 應用程序和服務執行自動化的動態應用程序安全測試 (DAST) 和交互式應用程序安全測試 (IAST)；支持 Web 2.0、JavaScript 和 AJAX 框架的全面的 JavaScript 執行引擎。

2. 高掃描精準度

50000+ 個 CVE，業內最低的誤報率，能夠自動運行時間點評估，幫助快速識別并修復漏洞，包括軟件缺陷、補丁缺失、惡意軟件以及錯誤配置，涵蓋多種操作系統、設備和應用程序。

3. 多種類實時掃描結果

支撐40 多種合規性認證，包括支付卡行業數據安全標準 (PCI DSS)、支付應用程序數據安全標準 (PA-DSS)、ISO 27001 和 ISO 27002，以及 Basel II；利用現有掃描數據和新的插件更新，通過實時檢測結果識別漏洞，實現實時可見性。

4. 專家級安全性研究

提供不可或缺的漏洞與威脅情報，并且已經發現了數百個新漏洞，漏洞公開后平均 24 小時以內發布新漏洞檢查（插件）。

漏掃服務流程

計劃準備：項目計劃、需求調研、溝通與培訓、目標和范圍

漏掃實施：環境部署、漏洞掃描、主機安全審查、安全措施審查、策略文檔審查

評估與解決：漏洞分析驗證、安全現狀報告、安全解決方案

報告輸出：報告編寫、報告審核、報告提交