序1

隨著新一代信息技術的快速發展和應用普及，各行業數字化轉型浪潮方興未艾，云計算、大數據、物聯網、區塊鏈等新技術蓬勃發展，以5G通信技術為基礎的各類應用場景層出不窮。伴隨著技術和應用場景的快速迭代，網絡安全威脅和挑戰也水漲船高。在全球范圍網絡攻擊利益化和技術問題政治化的大背景下，保障網絡安全已成為各行業數字化轉型升級的原生需求和重要基石。《中華人民共和國數據安全法》的通過和施行，也從法制與監管層面上定義了網絡空間安全的國家戰略地位。

滲透測試是一種安全檢測與評估網絡和應用系統的方式，其立足攻擊者的邏輯視角，秉持“主動發現和防護”理念，近年來已逐步演變為發現并及時解決網絡安全風險的有效手段之一。影響滲透測試有效性的兩個重要因素是滲透測試過程管理的規范性和實施人員的職業素養和技術水平。過程管理可以通過標準、制度予以約束，但實施人員的職業素養和技術水平的提升非一朝一夕可以實現，特別是人力資源和社會保障部（簡稱人社部）將“信息安全測試員”作為新興職業發布以來，行業需求不斷擴大，如何有效提升滲透測試人員的職業素養和技術水平，已逐步成為網絡安全人才培養的重點課題。建立一支高素質的網絡安全滲透測試人才隊伍迫在眉睫。

作為我國專業的網絡安全認證和培訓機構，中國網絡安全審查技術與認證中心（CCRC）以保障國家網絡與信息安全為己任，面向IT從業人員、在校學生，特別是與網絡安全密切相關的管理人員和專業技術人員，推出滲透測試人員認證。為此，中國網絡安全審查技術與認證中心組織國內網絡安全領域的專家，依據國家有關政策和國內外相關標準，編寫了《網絡安全滲透測試》一書。書中以滲透測試的實施流程為切入點，詳細介紹了滲透測試每個階段所需要掌握的原理、技術和工具使用方法，循序漸進，深入淺出，并結合實戰案例，將知識、技術、工具和技巧進行融合應用，力求理論結合實際、攻防兼備，最大限度地提高本書的專業性和實用性。此外，杭州安恒信息技術股份有限公司在滲透測試方面積累的工作經驗也極大地豐富了本書的內容。

本書既可作為參加中國網絡安全審查技術與認證中心信息安全保障人員認證滲透測試方向考試的配套教材，也可作為大專院校網絡安全相關專業學生的教材，還可作為網絡和信息安全從業人員的技術讀本和工具書。

是為序。

魏昊

中國網絡安全審查技術與認證中心