弱掃是什么？ 關(guān)于弱掃的五個(gè)小知識(shí)

時(shí)間：2024-05-13 11:30:01 | 來源：建站知識(shí)

時(shí)間：2024-05-13 11:30:01 來源：建站知識(shí)

「XXX近日遭黑客攻擊，造成數(shù)萬個(gè)人信息流出，目前正......」

身為金融從業(yè)人員、購物網(wǎng)站主、政府機(jī)關(guān)人員，這樣的標(biāo)題是不是讓你膽戰(zhàn)心驚呢？ 今天要討論的主題就是在網(wǎng)站上線前，能讓您防患勝于未然的「網(wǎng)站弱掃」。

前言 — 弱掃是什么？

弱掃其實(shí)是「弱點(diǎn)掃描 Vulnerability Assessment」的縮寫，概念就像是給網(wǎng)站打的疫苗。

利用工具，偵測(cè)網(wǎng)站的弱點(diǎn)，再將網(wǎng)站的各個(gè)角落進(jìn)行風(fēng)險(xiǎn)級(jí)別分類，進(jìn)而通過修繕這些弱點(diǎn)，加強(qiáng)網(wǎng)站的保護(hù)屏障。

在了解弱掃是什么之后，我們相信你心中還是有一些疑惑，為了解答這些疑惑，接下來的文章，將會(huì)以一邊補(bǔ)充背景知識(shí)，一邊整理問題的方式呈現(xiàn)：

知識(shí)一、弱掃的進(jìn)行步驟

以浪知潮為例，假如委托浪知潮進(jìn)行弱掃，會(huì)經(jīng)歷以下五個(gè)步驟：



1.遠(yuǎn)程弱掃開始

通常網(wǎng)絡(luò)公司人員會(huì)使用遠(yuǎn)程工具，不必到客戶身邊，也能透過IT設(shè)定開始弱掃，弱掃的進(jìn)行通常會(huì)維持一天左右。

這時(shí)候，許多客戶會(huì)有疑惑：

Q1：這一天的弱掃，會(huì)影響用戶嗎？

答案是99%不會(huì)。

弱掃工具有很多種，有些工具會(huì)主動(dòng)攻擊網(wǎng)站，測(cè)試網(wǎng)站承受度，但不會(huì)把網(wǎng)站攻擊到無法正常運(yùn)作的程度，有些則是會(huì)使得網(wǎng)站新增許多“臟”信息，基本上，以上狀況都不影響網(wǎng)站的使用。

2.弱掃結(jié)束，產(chǎn)出報(bào)告

報(bào)告分成兩個(gè)，第一個(gè)報(bào)告的內(nèi)容為此網(wǎng)站中低、中、高風(fēng)險(xiǎn)存在位置分析，由弱掃工具提供。 第二份則是由網(wǎng)絡(luò)公司整理第一份報(bào)告內(nèi)容，加上相對(duì)應(yīng)的解法與報(bào)價(jià)組成，這一份才是客戶真正會(huì)看到的報(bào)告。

Q2：客戶不能直接看第一份報(bào)告嗎？

其實(shí)可以。

但就如同去醫(yī)院照X光，照片出來了，但是沒有專業(yè)人員解說，一般人可能很難理解身體究竟出了什么問題，更別說是治療了。

3.針對(duì)報(bào)告中要修復(fù)的內(nèi)容雙方進(jìn)行協(xié)商、報(bào)價(jià)

若您在收到報(bào)告后，對(duì)解法或報(bào)價(jià)有疑惑、感到不滿意，例如，想要將該高風(fēng)險(xiǎn)項(xiàng)目在更進(jìn)步變得更穩(wěn)固，或某些地方暫時(shí)不用修，都可以在此階段提出，與網(wǎng)絡(luò)公司協(xié)商、議價(jià)。

4.協(xié)商完成，開始修網(wǎng)站

協(xié)商完成，網(wǎng)絡(luò)公司在收到回簽的報(bào)價(jià)單后，即會(huì)開始安排工程師進(jìn)行維修。

5.修完再掃，產(chǎn)出修正說明報(bào)告

維修完成后，會(huì)再進(jìn)行一次弱掃，確認(rèn)此次維修部分已完成，再出具此次修正說明報(bào)告供客戶留存。

知識(shí)二、弱掃的頻率

這個(gè)頻率沒有固定答案，但是會(huì)造成影響的因素有以下兩點(diǎn)：



1.依據(jù)法規(guī)

依據(jù)資通安全管理法及子法規(guī)定，公務(wù)機(jī)關(guān)與特定非公務(wù)機(jī)關(guān)的資通安全責(zé)任層級(jí)從A至E共分為五級(jí)，依據(jù)層級(jí)，弱掃需一至兩年進(jìn)行乙次，配合其他資安相關(guān)措施，詳情可以點(diǎn)這邊看法規(guī)。

2.該公司對(duì)資安的重視程度

以浪知潮經(jīng)驗(yàn)而言，一般情況下，一個(gè)網(wǎng)站最少一年應(yīng)進(jìn)行一次弱掃，每年更新屏障，避免新型態(tài)黑客。 我們也有遇過非常重視資安的客戶，要求必須每月或甚至每周進(jìn)行弱掃。

知識(shí)三、弱掃與中病毒的關(guān)系

再以疫苗舉例一次，打完疫苗之后仍有染疫風(fēng)險(xiǎn)，弱掃僅能幫助你「加強(qiáng)防御，降低風(fēng)險(xiǎn)」，但仍無法完全避免黑客的惡意攻擊。

Q3：既然弱掃無法完全避免攻擊，有什么更有效的方式嗎？

還有一種安全測(cè)試方式，常常跟弱掃一起被提起——「滲透測(cè)試」。

相較半自動(dòng)的弱點(diǎn)掃描，滲透測(cè)試的操作方式更為人工、復(fù)雜，以真人操作模擬黑客思維來攻擊網(wǎng)站，更直接、有效率的抓出網(wǎng)站的弱點(diǎn)，但因?yàn)槿斯み\(yùn)行，無法大規(guī)模操作，較耗時(shí)也耗人力。

知識(shí)四、常用的弱掃工具

浪知潮最常使用的弱掃工具是「OWASP ZAP」。

OWASP是「Open Web Application Security Project」的縮寫，白話文就是開放網(wǎng)絡(luò)軟件安全計(jì)畫，由Mark Curphey 2001年于美國(guó)創(chuàng)立，是為在網(wǎng)絡(luò)安全領(lǐng)域，替大眾提供免費(fèi)的文章、工具和技術(shù)等資源的非營(yíng)利組織，其中，OWASP推出的弱掃工具ZAP，在世界各地也頗受歡迎，可以在OWASP官網(wǎng) 免費(fèi)下載，并有中文界面可以切換。

其他常見的工具還有SonarQube、PumaScan、Nessus、DVM等。

知識(shí)五、弱掃收費(fèi)機(jī)制

如果請(qǐng)網(wǎng)絡(luò)公司協(xié)助弱掃，費(fèi)用的收取方式會(huì)有兩種。

第一種、在網(wǎng)站建設(shè)簽約時(shí)

如果網(wǎng)站在建設(shè)時(shí)就明確有弱掃需求，那么網(wǎng)絡(luò)公司就會(huì)在網(wǎng)站建設(shè)的合約中一并計(jì)算入弱掃費(fèi)用。

第二種、單次收費(fèi)

這種狀況大多出現(xiàn)在網(wǎng)站已建設(shè)完成，定期弱掃時(shí)，也就是知識(shí)一的五個(gè)步驟。

另外，如果客戶有指定使用的弱掃工具，是網(wǎng)絡(luò)公司沒有接觸過的付費(fèi)工具，那就可能需要額外收取開通此工具的費(fèi)用，具體細(xì)節(jié)因公司、工具而易，因此請(qǐng)以實(shí)際合約為準(zhǔn)。

總結(jié)

很客戶會(huì)問：所有網(wǎng)站都需要弱掃嗎？

與政府部門相關(guān)的網(wǎng)站規(guī)定最嚴(yán)格，「必須」定期進(jìn)行弱掃，除此之外的網(wǎng)站，就取決于網(wǎng)站主對(duì)于安全的重視程度了，可能一年、半年、一個(gè)月進(jìn)行一次弱掃，

我們認(rèn)為不論網(wǎng)站大小與內(nèi)容，為了防止被破壞，為了守護(hù)網(wǎng)站的正常運(yùn)行，都建議定期弱掃或進(jìn)行其他安全檢測(cè)，來保護(hù)網(wǎng)站與訪問者的信息安全喔！

以上內(nèi)容希望對(duì)你有所幫助，還沒有網(wǎng)站可以弱掃嗎？ 歡迎聯(lián)絡(luò)浪知潮，讓我們幫你，從網(wǎng)站建設(shè)開始，提供最好的服務(wù)。