防御与运营
漏洞评估
别称: VA, 脆弱性评估
定义
对环境进行系统化审查,以识别、分类和优先排序安全弱点,通常不进行实际的漏洞利用。
漏洞评估结合自动化工具与分析师审查,用于识别网络、主机、应用以及云服务中的错误配置、缺失补丁、弱口令和设计缺陷。发现的问题需经过验证,并使用 CVSS、EPSS 等模型进行评分,再结合业务上下文与资产关键性进行排序。与渗透测试不同,其目标是覆盖面广和清单准确,而不是通过实际利用证明影响。评估结果用于驱动修复积压、风险登记和合规报告,是持续漏洞管理项目的基础。
示例
- 季度内部漏洞评估为 IT 运营生成按优先级排序的修复列表。
- 上线前对照 CIS 基线对新 SaaS 租户进行评估。