网络扫描和报告的最佳方式

核心提示：网络扫描已经成为测试路径的一部分，用于捕捉软件开发生命周期中的其它漏洞，网络扫描和报告的最佳方式，并且自从网络安全已经成为支付卡行业数据安全标准（Payment Card Industry Data Security Standard ，PCI DSS）等行业要求的一部分，一些策略可能会采用用于高风险交易网址的双因素鉴

网络扫描已经成为测试路径的一部分，用于捕捉软件开发生命周期中的其它漏洞。并且自从网络安全已经成为支付卡行业数据安全标准（Payment Card Industry Data Security Standard ，PCI DSS）等行业要求的一部分，漏洞扫描不再是毫无实用之处，现在成为一种默认的指令。

本文将讨论使用扫描工具和报告扫描结果的最佳方法，包括扫描的要素、扫描的内容，以及扫描结果的说明。

一个成功的扫描程序应当包含三个要素：定义扫描的范围和目的，选择合适的扫描工具并得出一份可读可用的报告。即使这个网址充满漏洞，你最不想要的是一份几百页无法理解的报告，没有人能读懂或领会。扫描报告的正确表述极为重要，这样开发者就可以在网址进入系统暴露在毫无防御措施的环境中之前采取 正确的行动。

网址扫描的必要性

首先，定义扫描的范围和目的。是否应该遵从政府规划或诸如外设组件互连标准（PCI）之类的行业指导，还是确定特殊问题的起因？是否应该对事件或攻击做出回应，还是作为软件开发生命周期的一部分，企业要例行公事地在生存周期内加固站点？

如果扫描是为了遵从法规，那么它的功能仅仅集中在调整要求上。比如，PCI6.5版要求测试开放网应用程序安全项目(OWASP)列出的十大漏洞。这是一个非常卓越的起始点，它几乎涵盖了网络黑客攻击的绝大部分。

但是，如果测试是公司软件开发生命周期的一个常规部分，运行主要扫描程序不失为一个好主意。理想状态下，企业的扫描要围绕IT安全策略。一些策略可能会采用用于高风险交易网址的双因素鉴定技术或OWASP没有列出但应该测试的密码策略。

切记：虽然法规遵从受到审计员和调整者的欢迎，但是安全远不止需要核对漏洞列表。