|
通常,由于误解或市场炒作,这两个术语(即渗透测试和漏洞评估)被很多人互换使用。但是,这两个术语在目标和其他方式上都彼此不同。但是,在描述差异之前,让我们首先逐个理解这两个术语。 渗透测试渗透测试复制了外部或/和内部网络攻击者的行为,旨在破坏信息安全并入侵有价值的数据或破坏组织的正常运行。因此,借助先进的工具和技术,渗透测试人员(也称为道德黑客)致力于控制关键系统并获得对敏感数据的访问。 漏洞评估另一方面,漏洞评估是在给定环境中识别(发现)和测量安全漏洞(扫描)的技术。它是对信息安全状况的全面评估(结果分析)。此外,它可以识别潜在的弱点,并提供适当的缓解措施(补救措施)以消除这些弱点或降低至风险水平以下。 下图总结了漏洞评估- 
下表说明了渗透测试和漏洞评估之间的根本区别-
哪种选择最适合实践?两种方法都具有不同的功能和方法,因此这取决于相应系统的安全位置。但是,由于渗透测试和漏洞评估之间存在根本差异,因此第二种技术比第一种更为有利。 漏洞评估可以识别弱点并提供解决方案。另一方面,渗透测试只能回答以下问题:“任何人都可以破坏系统安全性,如果这样,那么会对他造成什么危害?” 此外,漏洞评估试图改善安全系统并开发更成熟的集成安全程序。另一方面,渗透测试只能提供安全程序有效性的信息。 正如我们在这里看到的,与渗透测试相比,漏洞评估更有益,并且结果更好。但是,专家建议,作为安全管理系统的一部分,应定期执行这两种技术以确保拥有完善的安全环境。 |