安全測試和滲透測試的區別

滲透測試 (penetration test)並沒有一個標準的定義，國外一些安全組織達成共識的通用說法是：滲透測試是透過模擬惡意駭客的攻擊方法，來評估計算機網路系統安全的一種評估方法。這個過程包括對系統的任何弱點、技術缺陷或漏洞的主動分析，這個分析是從一個攻擊者可能存在的位置來進行的，並且從這個位置有條件主動利用安全漏洞。換句話來說，滲透測試是指滲透人員在不同的位置（比如從內網、從外網等位置）利用各種手段對某個特定網路進行測試，以期發現和挖掘系統中存在的漏洞，然後輸出滲透測試報告，並提交給網路所有者。網路所有者根據滲透人員提供的滲透測試報告，可以清晰知曉系統中存在的安全隱患和問題。

安全測試是在IT軟體產品的生命週期中，特別是產品開發基本完成到釋出階段，對產品進行檢驗以驗證產品符合安全需求定義和產品質量標準的過程 。目的在於提升IT產品的安全質量；儘量在釋出前找到安全問題予以修補降低成本 ；度量安全。驗證安裝在系統內的保護機制能否在實際應用中對系統進行保護，使之不被非法入侵，不受各種因素的干擾。

1.出發點差異

滲透測試是以成功入侵系統，證明系統存在安全問題為出發點

安全測試則是以發現系統所有可能的安全隱患為出發點

2.視角差異

滲透測試是以攻擊者的角度來看待和思考問題

安全測試則是站在防護者角度思考問題，儘量發現所有可能被攻擊者利用的安全隱患，並指導其進行修復

3.覆蓋性差異

滲透測試只選取幾個點作為測試的目標

安全測試是在分析系統架構並找出系統所有可能的攻擊介面後進行的具有完備性的測試

4.成本差異

滲透測試需要投入的時間和人力相對較少

安全測試需要對系統的功能、系統所採用的技術以及系統的架構等進行分析，需要投入更多的時間和人力

5.解決方案差異

滲透測試無法提供有針對性的解決方案

安全測試會站在開發者的角度分析問題的成因，提供更有效的解決方案

軟體測評報告請聯絡王經理18684048962，更多資訊請關注公眾號：軟體測評閒聊站