渗透测试和漏洞评估的区别
渗透测试
渗透测试是为了寻找漏洞,恶意内容,缺陷和风险。它是为了建立组织的安全系统,以保护IT基础设施。渗透测试也被称为笔测试。它是一个官方程序,可以被认为是有帮助的,而不是有害的尝试。它是道德黑客攻击过程的一部分,它只关注渗透信息系统。
漏洞评估
漏洞评估是在一个特定的环境中寻找和测量安全漏洞(扫描)的技术。它是一种对信息安全状况的全面评估(结果分析)。它用于识别潜在的弱点,并提供适当的缓解措施,以消除这些弱点或降低到风险水平以下。
渗透测试和漏洞评估之间的区别 :
编号 | 渗透测试 | 漏洞评估 |
---|---|---|
1 | 渗透测试是为关键的实时系统准备的。 | 漏洞评估是为非关键性系统设计的。 |
2 | 渗透测试是对物理环境和网络结构的理想选择。 | 漏洞评估是对实验室环境的理想选择。 |
3 | 渗透测试是非侵入性的,文件和环境审查和分析。 | 全面分析和通过审查目标系统及其环境。 |
4 | 渗透测试清理系统并给出最终报告。 | 漏洞评估试图减轻或消除宝贵资源的潜在漏洞。 |
5 | 渗透测试收集目标信息和/或检查系统。 | 漏洞评估将可量化的价值和意义分配给可用的资源。 |
6 | 渗透测试测试敏感数据的收集。 | 漏洞评估发现了对每个资源的潜在威胁。 |
7 | 渗透测试确定了攻击的范围。 | 漏洞评估使一个特定系统中的资产和资源的目录。 |
8 | 主要重点是发现正常业务流程中的未知和可利用的弱点。 | 漏洞评估主要重点是列出可被利用的已知软件漏洞。 |
9 | 渗透测试是由有经验的道德黑客在一个明确定义和控制的环境中进行的模拟网络攻击。 | 漏洞评估是在自动工具的帮助下进行的自动评估。 |
10 | 渗透测试是一个以目标为导向的程序,应该以受控的方式进行。 | 漏洞评估具有成本效益的评估方法通常被认为是安全的执行。 |
11 | 渗透测试只识别可利用的安全漏洞。 | 漏洞评估可以识别、分类和量化安全漏洞。 |