腾讯云漏洞扫描范围和流程步骤

针对客户信息系统安全漏洞检测需求,为客户提供全面、深入的安全漏洞扫描服务,以发现信息系统存在的安全脆弱点,让客户明确当前信息系统中存在的安全问题。
漏洞检测项目实施范围限制于经过客户授权的信息业务系统。使用的方法、流程细节经过客户的授权同意。腾讯云不会对授权范围之外的主机、网络系统进行相关实施操作。
腾讯云漏洞扫描范围

主机系统
windows、linux、unix等
 
数据系统
Oracle、MSsql、DB2、Sybase、Informix、Mysql、PostgreSQL、Access等
 
应用系统
应用组件:APACHE、TOMCAT、IIS;
脚本语言:ASP、PHP、JSP。

腾讯云漏洞扫描流程
 
客户授权阶段
此阶段是漏洞扫描服务实施的前提,腾讯云会将实施方法、实施时间、实施人员,实施工具等具体的实施方案提交给客户,使客户对漏洞检测项目实施的所有细节和流程的知晓、所有过程都在客户可知可控下进行,并得到客户的相应书面委托和授权,这是项目实施的必要条件。
 
参与人员:客户方系统负责人、腾讯云服务人员
 
阶段输出:《漏洞扫描实施方案》、《漏洞扫描实施授权书》《信息系统资产清单》
 
漏洞扫描阶段
此阶段是漏洞扫描服务实施的第一阶段,是漏洞扫描正式开始的阶段。在该阶段根据客户方提供的资产清单中的系统主机、数据库等资产进行漏洞扫描,以发现目标系统的脆弱点。
 
参与人员:腾讯云服务人员
 
漏洞验证阶段
此阶段是漏洞扫描服务实施的中期阶段,在此阶段进行目标信息系统漏洞结果分析和漏洞状态验证,对漏洞特征、危害程度、危害范围进行综合分析,判定安全漏洞的严重等级,并根据漏洞特征分析结果与等级判定,为客户提供安全漏洞危害综合测评输出。                                                                                               
 
参与人员:腾讯云服务人员。
 
报告输出阶段
收集并总结漏洞扫描结果,编写《XX系统安全扫描及漏洞分析报告》,经腾讯云项目经理审核并批准提交给客户,同时向客户详细讲解报告、分析问题、回答客户提问,最终双方对报告内容、成果达成统一意见。
 
参与人员:客户方系统负责人与腾讯云服务人员
 
阶段输出:《XX系统安全扫描及漏洞分析报告》

漏洞扫描服务会对业务造成危害吗
漏洞扫描本身是具有一定风险的,我们推荐客户进行数据备份。漏洞扫描服务的实施方式是人机结合的方式进行,在做扫描时,工程师将根据客户现状判断如何进行扫描,并且不涉及攻击性代码,均为检测性代码,将危害控制在最小。
漏洞扫描服务和Web漏洞扫描有什么区别
专家服务漏洞扫描服务主要面向对象是企业内网主机层的漏洞扫描服务,扫描方式是内网扫描。
漏洞扫描结束后在哪获取扫描结果
每次扫描结束后,将输出专业的漏洞扫描报告和修复建议。

标签