2025年系统安全评估的三种有效技术手段.pdfVIP

勿以恶小而为之，勿以善小而不为。——刘备

系统安全评估的三种有效技术手段

摘要：本文简要介绍了漏洞扫描、配置检查、渗透测试等技术手段在系统安

全评估中应用的的方法与流程，以供用户根据实际情况选择采用。

关键词：漏洞扫描、配置检查、渗透测试、安全评估

Threeeffectivetechnicalmeansofsystemsecurityassessment

JiPing

(MagangGroupTenderConsultingCo.Ltd,AnhuiMaanshan,

postcode:243000)

Abstract:Thispaperbrieflyintroducesthemethodsandprocesses

ofvulnerabilityscanning,configurationcheck,penetrationtestand

othertechnicalmeansusedinsystemsecurityassessment,sothat

userscanchoosetousethemaccordingtotheactualsituation.

Keywords:vulnerabilityscan,configurationcheck,penetration

test,securityassessment

1概述

近年来，信息化技术应用越来越广泛，信息安全的风险日益增大。为进一步

保障统一认证系统、网上银行系统、手机银行系统、金融资产网络交易平台系统、

即时通讯系统、办公系统（内网、外网）、邮件系统、门户网站系统的边界安全，

降低信息安全风险，可在上线前（或重大版本改造前）进行安全评估，通过漏洞

扫描、配置检查、渗透测试等技术手段评估系统安全措施的有效性及安全弱点，

对于可能面临的风险及开发生命周期的安全设计提出建议，完成风险评估报告并

提出整改方案。

2漏洞扫描

为天地立心，为生民立命，为往圣继绝学，为万世开太平。——张载

2.1服务概述

使用商用安全评估工具对评估范围内对象进行网络层、系统层、数据库层面

的漏洞扫描，并人工验证所发现的操作系统漏洞、数据库漏洞、弱口令、信息泄

露及配置不当等脆弱性问题。

2.2漏洞扫描用途

漏洞扫描是脆弱性识别的重要手段，能够帮助客户发现设备和系统中存在的

严重漏洞，帮助客户了解技术措施是否有效执行，并通过及时修补完善，避免对

信息系统造成严重影响。

2.3漏洞扫描内容

扫描设备检测规则库及知识库涵盖CVE、CNCVE、CNVD、CNNVD等标准，能够

扫描发现网络设备、服务器（windows、linux、AIX）、防火墙、数据库、中间

件、安全设备、应用开发软件中的安全漏洞。支持对不同厂商、不同版本设备及

软件的识别和漏洞扫描。支持对主流厂商网络设备及防火墙的识别和扫描，包括

锐捷、迈普、思科、华为等；支持对主流数据库的识别与扫描，包括：Oracle、

SQLServer、DB2、MySQL等。能够全面发现信息系统存在的各种脆弱性问题，包

括信息探测类、后门程序类、域名服务类、web安全类等安全漏洞、安全配置问

题、应用系统安全漏洞，检查系统存在的弱口令，收集系统不必要开放的账号、

服务、端口等；定位风险类型、区域、严重程度，直观展示安全风险。形成整体

安全风险报告。报告包含漏洞详述和