很多人认为安全测试就是渗透测试,但其实两者还是有许多区别的。渗透测试一般是有人邀请你去做安全,而安全测试是规定你必须做安全。渗透测试一般是要求外部帮我们内部来达成一个安全的检查,而安全测试是从公司内部出发,去解决安全的隐患,降低安全的风险,出发点是不一样的。
视角也不一样,渗透测试更多是攻击的方式,攻击有可能是盲目的也有可能是试探性的,但是安全测试来说,它可以看到源代码,我就知道在哪里会出问题,必须进行纠正。
从覆盖的差异来看,渗透测试只是选取边界的一些服务器或者边界的网络进行渗透,再进一步到内网,或者核心的网络,核心的服务器,需要一级级地去攻破目标才能达成下一级的目标。但是安全测试是从内部,从最核心的数据、数据库服务器、文件存储服务器以及最核心的交换机,从这些最核心的地方慢慢往外推演来保证安全。先是最核心的数据不能出现问题,再是应用不能出现问题,再就是应用和数据之间的通信不能出现问题,再就是用户访问应用的时候不能出现问题,最后再保证访问应用的这些人是安全的。
安全测试是从内到外的一种安全,而渗透测试是从外到内的,它是一种试探的方法。但是我们的安全要从源头上去解决,更重要的是从实际的可操作的层面上去直接封堵住安全漏洞。从解决方案和成本上也是有很大差异的,渗透测试是要有很大花费的,而且成效不一定很显著,但是安全测试,只要你做了这些安全检查,收效就是对等的,只要经过了这些检查,就必然没有这样的问题。
323
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
