互联网行业安全部安全专员漏洞扫描工作手册（执行版）.docx

互联网行业安全部安全专员漏洞扫描工作手册（执行版）

第1章漏洞扫描基础与合规要求

1.1漏洞扫描概述与核心概念

漏洞扫描是互联网安全部利用自动化软件对目标系统、应用及网络进行系统性检查的技术手段，旨在识别潜在的安全弱点、配置错误及业务逻辑缺陷，为后续的安全加固提供量化依据。核心概念中的“被动式扫描”指在目标系统不在线或处于非活跃状态（如凌晨维护窗口）执行，以避免干扰业务并发流量，确保扫描结果反映的是系统真实的安全基线。

“主动式扫描”则是在目标系统在线运行时进行，通常用于探测端口开放情况或尝试执行特定命令，但需配合严格的规则库和隔离环境，防止误伤生产环境。扫描结果分为“发现项”