安全測(cè)試不同于滲透測(cè)試，滲透測(cè)試著重于幾個(gè)點(diǎn)的穿透攻擊，而安全測(cè)試是著重于對(duì)安全要挾的建模，系統(tǒng)的對(duì)來(lái)自各個(gè)方面，各個(gè)層面要挾的全面考量。安全測(cè)試可以告訴您，您的系統(tǒng)可能會(huì)來(lái)自哪個(gè)方面的要挾，正在遭遇哪些要挾，以及您的系統(tǒng)已經(jīng)可抵抗什么樣的要挾。當(dāng)然，安全測(cè)試涵蓋滲透測(cè)試的部分內(nèi)容。

安全測(cè)試與滲透測(cè)試的差別重要在：

滲透測(cè)試考慮的是以黑客方法，從單點(diǎn)上找到利用道路，證明你有問(wèn)題，幫助客戶進(jìn)步認(rèn)識(shí)，也能解決急切的一些問(wèn)題，但無(wú)法也不能去針對(duì)系統(tǒng)做完備性的安全測(cè)試，所以難以解決系統(tǒng)自身本質(zhì)性的安全問(wèn)題，所以供給滲透測(cè)試的廠商一般都是自己買(mǎi)什么防護(hù)設(shè)備，以自己防護(hù)設(shè)備針對(duì)的要挾為重要滲透點(diǎn)，找到你有類(lèi)似的問(wèn)題，解決計(jì)劃就以賣(mài)對(duì)應(yīng)的防護(hù)設(shè)備作為手段，針對(duì)具體的要挾，通過(guò)防護(hù)設(shè)備采用被動(dòng)的防護(hù)。而安全測(cè)試的廠商，則從整體系統(tǒng)架構(gòu)，安全編碼，安全測(cè)試，安全測(cè)試籠罩性，安全度量等多個(gè)因素去考慮問(wèn)題，提出的解決方法則是逐步幫助客戶引入安全開(kāi)發(fā)過(guò)程，供給相應(yīng)的工具支撐，目標(biāo)是最后讓客戶提升業(yè)務(wù)系統(tǒng)自身本質(zhì)性安全問(wèn)題。

安全測(cè)試首先會(huì)對(duì)被測(cè)試系統(tǒng)做系統(tǒng)分析，分析其架構(gòu)，軟件系統(tǒng)以及程序安排等等，然后再對(duì)被測(cè)系統(tǒng)做系統(tǒng)安全分析，在這之后會(huì)對(duì)系統(tǒng)進(jìn)行安全建模，明白本系統(tǒng)可能來(lái)自的各個(gè)潛在要挾，之后需要分析系統(tǒng)，確認(rèn)有哪些攻擊界面，根據(jù)測(cè)試計(jì)劃進(jìn)行測(cè)試。

安全測(cè)試只關(guān)注漏洞的可利用性分析，但不關(guān)注漏洞如何被真實(shí)利用的技巧，這當(dāng)中有幾個(gè)因素：

成本因素：對(duì)攻擊者來(lái)說(shuō)，利用漏洞的收益是系統(tǒng)所保護(hù)的資產(chǎn)，所以可以投入更多的成本來(lái)研究漏洞的利用，包含時(shí)間，人員，手段。但是對(duì)安全測(cè)試來(lái)說(shuō)，全部收益是客戶愿意投入的成本，系統(tǒng)所保護(hù)的資產(chǎn)遠(yuǎn)大于系統(tǒng)開(kāi)發(fā)投入，安全投入又只占系統(tǒng)開(kāi)發(fā)投入的百分之三左右，所以從成本角度考慮，安全測(cè)試只關(guān)注評(píng)估漏洞被利用的可能性，而不應(yīng)當(dāng)具體去研究漏洞如何被利用且展現(xiàn)給客戶。

視角因素：安全測(cè)試是幫助客戶下降安全要挾，減少安全漏洞。本身是一種防護(hù)技巧，盡量發(fā)明安全問(wèn)題并領(lǐng)導(dǎo)客戶修復(fù)安全問(wèn)題是要害，沿著的路徑是發(fā)明安全問(wèn)題->分析評(píng)估安全問(wèn)題-〉提出修補(bǔ)建議-〉度量安全，而不是以攻擊者視角發(fā)明安全問(wèn)題-〉利用安全問(wèn)題-〉獲得非法收益的路徑。對(duì)防護(hù)方最有價(jià)值的是發(fā)明問(wèn)題，解決問(wèn)題，而不是發(fā)明問(wèn)題，利用問(wèn)題。防護(hù)方關(guān)注都漏洞是否可被利用斷定安全漏洞和修復(fù)級(jí)別就夠了，研究再多的具體攻擊利用技巧，對(duì)操作系統(tǒng)級(jí)別的防護(hù)是有意義的，但是對(duì)普通利用系統(tǒng)的開(kāi)發(fā)與應(yīng)用者則是無(wú)價(jià)值的。

假定因素：客戶面臨的風(fēng)險(xiǎn)不僅來(lái)自于外部，也可能來(lái)自于攻擊者通過(guò)客戶端主機(jī)的滲透（如通過(guò)對(duì)某員工筆記本掛馬再接入內(nèi)網(wǎng)的方法），還有可能來(lái)自于內(nèi)部。安全要保護(hù)全面的安全，我們不能假定攻擊者路徑就必定處于同滲透測(cè)試一樣的純外部周密防護(hù)中，也無(wú)法假定攻擊者通過(guò)時(shí)間積累社工或自身特征（員工）獲取到一些信息。同時(shí)攻擊利用技巧發(fā)展到現(xiàn)在，已經(jīng)和具體利用的特征聯(lián)合起來(lái)，攻擊者時(shí)刻有可能發(fā)明以前我們認(rèn)為低危，不好利用的漏洞的利用方法。因此安全測(cè)試關(guān)注點(diǎn)是業(yè)務(wù)系統(tǒng)在失去所有外部防護(hù)之后，自身實(shí)現(xiàn)的安全性，關(guān)注高籠罩的安全測(cè)試和安全度量，而不是單一的滲透測(cè)試。

當(dāng)然目前，由于用戶對(duì)安全的懂得還存在很多認(rèn)識(shí)誤區(qū)，還需要慢慢改良。

最近1個(gè)項(xiàng)目，用戶的目標(biāo)是盼望能業(yè)務(wù)系統(tǒng)上線之前，通過(guò)測(cè)試改良安全，用戶以前的安全重要是某國(guó)際大公司供給流程咨詢一套，但難以解決安全問(wèn)題，因此用戶盼望引入安全測(cè)試來(lái)全面提升安全，其實(shí)是很符合安全測(cè)試目標(biāo)的，但是在選型之后，給予幾家廠商PK的項(xiàng)目則是純網(wǎng)站滲透測(cè)試性的，評(píng)價(jià)標(biāo)準(zhǔn)也只是在誰(shuí)最后真實(shí)入侵了誰(shuí)牛的標(biāo)準(zhǔn)，雖然我們也滲透成功，但是出具的報(bào)告則是針對(duì)某個(gè)頁(yè)面具體的要挾分析，改良建議，沒(méi)有去放置損壞性本質(zhì)入侵的東西，用戶反倒感到?jīng)]其他做滲透測(cè)試廠商報(bào)告美麗，抓了WEBSHELL的屏，拿了敏感文件什么的，其實(shí)就和安全測(cè)試的本意就遠(yuǎn)了。