关于漏洞扫描服务中的解决方案：公网坚决扫，内网谨慎。按网络分类:互联网公开业务和内部网络业务。按照服务类型分类：网络类，高风险服务类，私人协议类。公共网络服务，业务必须接受安全检查，因为我们不扫，黑客也会日夜盯着业务扫。与其将来没有计划地被黑客扫描，不如有节奏地按照变更计划，逐渐适应被扫描。

在遵守变更管理原则的前提下，也就是说，第一次上线有点麻烦和痛苦。比如业务侧需要修改监控逻辑一个月(忽略扫描器触发的错误请求)，需要兼容适应一些扫描触发的异常，甚至一些无人维护的业务扫描后无法修改，只好加白名单。这些都需要磨合。当安全团队可以定期连续扫描时，上述问题不再是问题。公共网络高风险服务：只识别协议，不做漏洞检测，因为高风险服务的端口打开是不可取的，直接关闭服务比较直接，检测漏洞只是浪费更多资源而已；

公共网络私人协议：大部分扫描仪无法支持这些协议的漏洞检测，只能忽视不做扫描，当然这里会有盲点，暂时不展开；内部网络服务的复杂性要比上面高很多倍，一方面，内部网络你不扫，黑客进来扫的几率不大。另一方面，大家对传统特权的依赖导致内部网络漏洞比公网多很多，也更禁不住扫，你一扫，很有可能就会出事故。因此，如果只做端口扫描，确定交换机路由器还能承受(嗯，以前遇到过老网络设备你稍微打开一点扫描请求它直接挂掉的现象)，相对可以接受。

协议识别的这一步可能会导致一些脆弱的服务挂断，账户爆破可能会导致账户关闭(进而导致连带事故)，漏洞扫描风险更大。因此，大多数情况下，实际上并不鼓励使用网络扫描的方式进行内部网络风险评估，如果agent能够收集到版本号、配置、帐号等相关信息，实际上也能够完成风险数据的收集，不必死盯着网络扫描这种手段。但是，这样的内网不是很危险吗？残酷的事实是，是的，这是绝大多数企业的现状，非常可怕，对吗？如果一些漏洞特别焦虑(如MS17-010)，内部网络实际上可以按照上述标准流程扫描特定的端口服务，但很难实现全面的漏洞扫描。嗯，今天先写到这里，请多多指教。有些东西，说出来会觉得很朴实无华，很无聊，没有什么技术含量。但在工作中，掌握它之前，它可能是影响项目成败的关键，有时我称之为行业知识。在美团安全团队中，类似的麻烦会很少影响项目的进度。毕竟团队里有很多有经验的人，大家都比较关注技术和安全工作本身。