序1

随着新一代信息技术的快速发展和应用普及，各行业数字化转型浪潮方兴未艾，云计算、大数据、物联网、区块链等新技术蓬勃发展，以5G通信技术为基础的各类应用场景层出不穷。伴随着技术和应用场景的快速迭代，网络安全威胁和挑战也水涨船高。在全球范围网络攻击利益化和技术问题政治化的大背景下，保障网络安全已成为各行业数字化转型升级的原生需求和重要基石。《中华人民共和国数据安全法》的通过和施行，也从法制与监管层面上定义了网络空间安全的国家战略地位。

渗透测试是一种安全检测与评估网络和应用系统的方式，其立足攻击者的逻辑视角，秉持“主动发现和防护”理念，近年来已逐步演变为发现并及时解决网络安全风险的有效手段之一。影响渗透测试有效性的两个重要因素是渗透测试过程管理的规范性和实施人员的职业素养和技术水平。过程管理可以通过标准、制度予以约束，但实施人员的职业素养和技术水平的提升非一朝一夕可以实现，特别是人力资源和社会保障部（简称人社部）将“信息安全测试员”作为新兴职业发布以来，行业需求不断扩大，如何有效提升渗透测试人员的职业素养和技术水平，已逐步成为网络安全人才培养的重点课题。建立一支高素质的网络安全渗透测试人才队伍迫在眉睫。

作为我国专业的网络安全认证和培训机构，中国网络安全审查技术与认证中心（CCRC）以保障国家网络与信息安全为己任，面向IT从业人员、在校学生，特别是与网络安全密切相关的管理人员和专业技术人员，推出渗透测试人员认证。为此，中国网络安全审查技术与认证中心组织国内网络安全领域的专家，依据国家有关政策和国内外相关标准，编写了《网络安全渗透测试》一书。书中以渗透测试的实施流程为切入点，详细介绍了渗透测试每个阶段所需要掌握的原理、技术和工具使用方法，循序渐进，深入浅出，并结合实战案例，将知识、技术、工具和技巧进行融合应用，力求理论结合实际、攻防兼备，最大限度地提高本书的专业性和实用性。此外，杭州安恒信息技术股份有限公司在渗透测试方面积累的工作经验也极大地丰富了本书的内容。

本书既可作为参加中国网络安全审查技术与认证中心信息安全保障人员认证渗透测试方向考试的配套教材，也可作为大专院校网络安全相关专业学生的教材，还可作为网络和信息安全从业人员的技术读本和工具书。

是为序。

魏昊

中国网络安全审查技术与认证中心