【TechTarget中国原创】问:许多人交替使用安全审查、漏洞评估和突破测试。您能给我解释一下这三者的区别吗?这样我可以恰当的加以应用。
答:是的,技术上是有区别的。审查通常由外部专家执行,比较你的安全策略和计划中声称要做的与实际执行的情况是否一致。漏洞评估是为查找信息系统基础设施的漏洞而进行的测试。评估可以是技术上的也可以是商业上的。漏洞评估通常是大型信息风险评估的一部分。最后,突破测试尝试破坏安全措施,看是否能得到重要信息。这种测试也包括技术性较弱的测试,比如社会工程和实体安全。通常有很明确的终极目标,例如获得密码或者进入数据库甚至建筑物。