Web资产管理与安全评估是安全管理人员日常工作中不可忽略的组成部分，企业安全审计人员以及在产品上线前进行安全性测试的研发人员，通常会选择使用漏洞扫描器作为安全分析工具。

在实际使用过程中，随着企业业务快速扩张，单纯以主动扫描为主的漏洞扫描方式并不能满足企业Web资产安全评估的需求：一方面主动扫描的测试数据源全部来自爬虫，较难获取独立页面、API接口等；另一方面，由于爬虫爬取信息需要时间，单纯通过爬虫方式进行资产收集速度往往也不理想。因此，被动扫描成为安全分析中必不可少的重要一环。

本文将从企业安全审计与安全性测试人员的视角入手，分析被动扫描是如何在企业资产安全检测中发挥作用的。

通俗来讲，被动扫描就是通过代理、日志等方式去采集测试数据源，并不会发出任何请求，然后进行安全验证的扫描方式。

企业的安全管理如同人的健康管理，这就好比一个人，生下来会打各种疫苗、生病了及时就医，但是，这一生仍然少不了全面性的身体检查，需要时时刻刻全面关注自己的健康状况。同理，全面性的安全评估对企业资产管理来说，有着同样不可或缺的作用。

在实际使用中，由于网络环境日益复杂，且各企业资产实际情况千差万别，不能全面地捕获企业资产信息成了企业安全负责人急需解决的问题。在这种情况下，一款能够集主动扫描与被动扫描于一身，实现了自动化、智能化的漏洞扫描器将变得必不可少，它将有助于企业解决以下问题：

针对Web 资产，在传统爬虫的基础上，洞鉴（X-Ray）安全评估系统在加入浏览器爬虫这一新型爬虫之后，又增加了三种被动获取资产信息的扫描方式，来应对企业各种复杂的网络环境，保证风险检测前资产覆盖的全面性。

基于代理的被动扫描

以人工爬虫代替机器爬虫，通过代理将要扫描的目标发送给洞鉴（X-Ray）的漏洞扫描引擎。

基于日志的被动扫描

实时上传日志到Syslog服务器，通过日志规则解析引擎解析后，将要扫描的目标发送给洞鉴（X-Ray）的漏洞扫描引擎。

基于流量的被动扫描

实时从交换机等设备上直接获取流量，并将需要扫描的目标发送给洞鉴（X-Ray）的漏洞扫描引擎。