網絡要求

非電信客戶的應用系統網絡與掃描器網絡可達，即可提供掃描服務（內網需提供用于部署掃描器的內網主機，內外網需保證路由可達）。

服務流程

業務受理單

客戶應如實填寫以下信息（必須填滿）：

1. 被檢測的IP主機信息。

2. 被檢測主機的操作系統類型及版本。

3. 業務接口人聯系方式，客戶需指定一個具有對漏洞掃描方案及漏洞掃描過程中出現的問題有決定權的業務接口聯系人。

4. 客戶提供掃描資產時需對所提交資產所有權負責，保證資產歸提交人合法所有。

5. 客戶需簽訂漏洞掃描授權書。

審核階段

對委托單位提交的受理單信息進行核查，核查內容：

1. 判斷資產所在環境是公網還是內網。

   • 若是公網需要保證被掃描資產路由可達。

   • 若是內網環境，需確認委托單位提供可訪問到內網主機的跳板機。

2. 受理單審核通過后進入漏洞掃描實施階段。

業務受理單無問題進入下一階段；如有問題返回客服，由客服繼續與客戶溝通，直到業務受理單填滿無問題。

實施階段

1.漏洞掃描實施方案

業務受理單確認無誤后進入實施階段，漏洞掃描操作人員接到客服的業務受理單后確認受理單信息：IP、版本、授權等并就掃描計劃和受理單內容與客戶確認。掃描任務實施前，分析客戶主機情況，制定掃描方案，明確漏洞掃描任務具體實施時間、目標范圍、合理的掃描方式以及最佳掃描策略，并就掃描方案與客戶進行溝通確認，由于在漏洞掃描期間客戶方未關閉安全防護設備所造成的漏掃結果不準確，乙方不承擔責任。

2.實施漏洞掃描

掃描實施前若客戶網絡環境公網不能直達，需部署掃描器，也可配合客戶自己部署，策略模板由我們提供，部署時間預計1個工作日。

關于掃描進度，目前掃描器掃描一個C段地址大約需要6個小時左右時間，掃描期間實時就掃描過程中發生的問題與客戶溝通，最后掃描的結果將存放到掃描結果專用堡壘機上。

漏洞掃描的風險規避，由于漏洞掃描屬于黑盒測試，因此可能對被測試目標造成不可預知的風險；此外對于性能比較敏感的測試目標，如一些實時性要求比較高的系統，由于掃描可能引起網絡流量的增加，因此可能會引起被掃描目標的服務質量降低。因此需進行如下的風險規避措施：

• 掃描時段選擇：一般會選擇在夜間或安排在業務量不大的時段進行漏洞掃描。

• 掃描策略選擇：根據系統的具體情況配置合理的掃描策略。

3.編寫掃描報告

漏洞掃描完成后輸出漏洞掃描服務報告，報告編寫時間2個工作日。

4.報告審核修訂

由專人對輸出的漏洞掃描服務報告進行審核修訂，審核修訂時間1個工作日。

5.報告提交

報告提交方式采取郵件回復的方式提交：客戶通過郵件向天翼云漏洞掃描平臺發起報告接收申請，漏洞掃描服務報告以回復郵件方式給客戶。

6.質保服務

在客戶收到漏洞掃描服務報告后，乙方參與漏掃項目的專家為客戶持續提供3天時間用于咨詢報告中的不明事項。

7.結束服務

在完成以上各階段工作后，漏洞掃描項目經理告知客服此次漏掃服務結束。