很多人认为安全测试就是渗透测试,但其实两者还是有许多区别的。渗透测试一般是有人邀请你去做安全,而安全测试是规定你必须做安全。渗透测试一般是要求外部帮我们内部来达成一个安全的检查,而安全测试是从公司内部出发,去解决安全的隐患,降低安全的风险,出发点是不一样的。
视角也不一样,渗透测试更多是攻击的方式,攻击有可能是盲目的也有可能是试探性的,但是安全测试来说,它可以看到源代码,我就知道在哪里会出问题,必须进行纠正。
从覆盖的差异来看,渗透测试只是选取边界的一些服务器或者边界的网络进行渗透,再进一步到内网,或者核心的网络,核心的服务器,需要一级级地去攻破目标才能达成下一级的目标。但是安全测试是从内部,从最核心的数据、数据库服务器、文件存储服务器以及最核心的交换机,从这些最核心的地方慢慢往外推演来保证安全。先是最核心的数据不能出现问题,再是应用不能出现问题,再就是应用和数据之间的通信不能出现问题,再就是用户访问应用的时候不能出现问题,最后再保证访问应用的这些人是安全的。
安全测试是从内到外的一种安全,而渗透测试是从外到内的,它是一种试探的方法。但是我们的安全要从源头上去解决,更重要的是从实际的可操作的层面上去直接封堵住安全漏洞。从解决方案和成本上也是有很大差异的,渗透测试是要有很大花费的,而且成效不一定很显著,但是安全测试,只要你做了这些安全检查,收效就是对等的,只要经过了这些检查,就必然没有这样的问题。
总结来说:
出发点差异:渗透测试是以成功入侵系统,证明系统存在安全问题为出发点;而安全测试则是以发现系统所有可能的安全隐患为出发点。
视角差异:渗透测试是以攻击者的角度来看待和思考问题,安全测试则是站在防护者角度思考问题,尽量发现所有可能被攻击者利用的安全隐患,并指导其进行修复。
覆盖性差异:渗透测试只选取几个点作为测试的目标,而安全测试是在分析系统架构并找出系统所有可能的攻击界面后进行的具有完备性的测试。
成本差异:安全测试需要对系统的功能、系统所采用的技术以及系统的架构等进行分析,所以较渗透测试需要投入更多的时间和人力。
解决方案差异:渗透测试无法提供有针对性的解决方案;而安全测试会站在开发者的角度分析问题的成因,提供更有效的解决方案。
扫一扫
3843
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
