安全诊断主要有三种类型：渗透测试、审计和评估（被不同地描述为评估和风险评估)。单独使用任何一种测试都不可以很好的进行。在测量系统安全的时候，必须要在合适的时间执行合适的测试。还有一点非常重要，就是所选择的测试要基于企业的需要，而不是测试者（不管他们是内部员工还是外来的咨询人员）的技术（或者因为对技术的缺乏）。

　　渗透测试

　　渗透测试的名声最响，因为每个人都听说过，而且“知道”渗透测试是专家用于确保系统安全的。渗透测试目前很有吸引了，但是却是在大部分情况下使用最少得系统诊断方法。

　　先说重要的事情：正确执行的渗透测试是秘密的测试，其中由咨询人员或者内部人员扮演恶意攻击者，攻击系统的安全性。因为最终目的是渗透，这种测试不会发出警告，完全保密（当然，上层管理人员同意进行测试并且理解秘密的要求）。理想的是，应该没有来自企业的支持……或者，最大限度的是指出哪些是渗透测试团队应该避免的。很显然，如果企业外包了渗透测试，客户应该让咨询者知道具体的目的是什么。测试就可以设计为模仿内部或者外部的攻击。它可以技术性的，也可以是非技术性的（例如，测试者可以使用社交工程师的方式进入网络）。在目标企业中，只能有一部分人知道测试。测试的关键的一方面是看企业是否能检测到渗透企图。处于这个原因，批准正式回应的人应该也被包括进去。

　　现在，为什么渗透测试不如它说明的那么有用？因为它唯一的目标是攻击安全。为了这么做，这个团队要鉴别可能的漏洞，重点是那些他们认为会产生结果，而不太可能被检测到的（从黑客的角度）。在这一点上，客户可以看到对这些漏洞的攻击可以产生什么样的破坏。但是，在运行测试的时候，测试员不会发现所有的漏洞，甚至不能确定测试可能检测到的所有漏洞的存在。渗透测试所能够证明的是系统可以被攻击。它不能对每一个漏洞进行记录，只能是那些在测试中被利用的漏洞。所以，虽软渗透测试可以推断出其他问题，但是任何渗透测试员都不能说已经鉴别到了客户的所有安全问题——或者甚至是大部分。

　　那么，渗透测试有什么作用呢？处于各种内部原因，有些企业需要有说服力的论据说明不充分的安全可能导致重大损失。执行情况良好的渗透测试当然可以证明。为了从业务的角度使渗透测试起作用，企业价值可能的损失必须要强有力的并生动的证明出来，要超出企业的电脑被攻击的事实。

　　有时，应该进行秘密渗透测试，看看安全策略是否被遵守了。虽然公开的测试也可以调查人们是否遵守了策略，但是在不知道被监视的时候人们就会有不同的表现，这是人类的天性。例如，XYZ公司的安全策略禁止终端用户在电话中泄露密码，除非他们自己主动打电话到服务台。很明显，如果外部的咨询人员走到终端用户那里，并问：“你有没有把你的密码告诉过你不认识的人？”答案通常是没有。但是如果测试人员打电话给用户，情况就不同了，假扮成IT部门的同事，并向用户询问他或她的密码，这样测试人员就可以“确认”了。这样的社会工程渗透技术是确定是否遵守安全策略的更可靠的方法。