隨著網(wǎng)絡安全方面法律的完善以及等保2.0的出臺，很多單位往往要求出具系統(tǒng)安全評估報告，漏洞掃描、滲透測試、代碼審計作為三種不同的安全評估類型，企業(yè)在網(wǎng)絡安全建設(shè)中該如何做出選擇？

漏洞掃描、滲透測試和代碼審計的定義

漏洞掃描是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對 指定的遠程或者本地計算機系統(tǒng)的安全脆弱性進行檢測， 發(fā)現(xiàn)可利用漏洞的一種安全檢測行為。

滲透測試是由具備高技能和高素質(zhì)的安全服務人員發(fā)起、并模擬常見黑客所使用的攻擊手段對目標系統(tǒng)進行模擬入侵。換句話來說，滲透測試是經(jīng)過用戶授權(quán)后，安全服務人員以模擬黑客的方式對目標系統(tǒng)進行入侵，找出系統(tǒng)存在的漏洞。

代碼審計是由具備豐富編碼經(jīng)驗并對安全編碼原則及應用安全具有深刻理解的安全服務人員對系統(tǒng)的源代碼和軟件架構(gòu)的安全性、可靠性進行全面的安全檢查。

漏洞掃描、滲透測試和代碼審計之間的區(qū)別

三種安全評估手段本質(zhì)上都是針對信息系統(tǒng)找出潛在的安全漏洞，但還是存在著區(qū)別：

1漏洞掃描

是利用掃描工具在網(wǎng)絡設(shè)備中發(fā)現(xiàn)潛在漏洞的形式，比如防火墻、路由器、交換機、服務器、各種應用等等。該過程是自動化的，專注于網(wǎng)絡或應用層上的潛在以及已知的漏洞。該種方式能夠快速發(fā)現(xiàn)存在的風險，但發(fā)現(xiàn)的漏洞不夠全面，是企業(yè)和組織進行信息系統(tǒng)合規(guī)度量和審計的一種基礎(chǔ)技術(shù)手段；

2滲透測試

需要具有豐富經(jīng)驗的安全服務人員進行作業(yè)，該種安全評估方式在應用層面或網(wǎng)絡層面都可以進行，也可以針對具體功能、部門或某些資產(chǎn)。滲透測試工作往往作為風險評估的一個重要環(huán)節(jié)，為風險評估提供重要的原始參考數(shù)據(jù)。相對于漏洞掃描來說，滲透的花銷高于漏掃，因為滲透在漏掃的基礎(chǔ)上能挖掘更深層次的漏洞，花費的時間也多于漏掃；

3代碼審計

通過編碼的方式對系統(tǒng)進行安全檢查，由具備豐富編碼經(jīng)驗并對安全編碼原則及應用安全具有深刻理解的安全服務人員對系統(tǒng)的源代碼和軟件架構(gòu)的安全性、可靠性進行全面的安全檢查。相較于前面說的兩種方式，代碼審計比滲透測試和漏洞掃描在發(fā)現(xiàn)漏洞的問題上，能夠更加全面些。

總的來說，漏洞掃描通過自動掃描工具能夠快速發(fā)現(xiàn)存在風險，而滲透測試和代碼審計則是通過人工驗證，發(fā)現(xiàn)的漏洞會更加深入和全面。

1.發(fā)現(xiàn)漏洞層面上

代碼審計>滲透測試>漏洞掃描

2.時間與成本上

代碼審計>滲透測試>漏洞掃描

漏洞掃描、滲透測試、代碼審計怎么選？

能只選擇一種方式來檢測嗎？

答：這三種安全評估手段沒有絕對的做哪種最好，看企業(yè)的自身需求和預算。三者并不是獨立存在的，某一種評估方式并不能代替另一種的重要性，單種評估手段也守不住整個網(wǎng)絡的安全，因為沒有絕對的安全可言。以上三種方式都可以分析網(wǎng)絡風險，幫助確定最適合于企業(yè)的安全風險措施及解決方案。無論是漏洞、滲透還是代審，都是非常重要的，它們需要結(jié)合使用，才能達到最佳效果，最大化確保企業(yè)的信息安全。