在执行ASV扫描之前,执行扫描的人员需要与客户一起去确定ASV扫描的范围。通常客户需要提供其对外提供服务的所有IP地址列表,网络拓扑图以及相关的资料以便扫描人员能够根据PCI DSS要求判断那些系统组件应该要在扫描的范围之内。按照PCI DSS的要求:所有对外提供服务的涉及持卡人信息传输,处理或者存储的系统组件都需要每季度执行ASV扫描。这里的系统组件包括但不限于服务器,网络设备,安全设备。
在初步确定ASV扫描范围之后,扫描人员需要使用ASV扫描工具的“探测”功能去探测目标系统以及与其相关联系统组件的状态。在这个环节当中, ASV扫描工具会自动化的去识别与预设目标相关联的系统组件的活动状态,所以“探测”扫描发现的IP地址数量通常会比预设目标的IP数量会更多。这时候扫描人员就需要根据发现的结果与客户进行讨论以最终确认ASV的扫描范围。
