序2

網絡安全已經成為國家安全戰略的重要組成部分，面對經濟全球化和信息技術快速發展的環境，互聯網已成為社會運行的信息基礎設施，網絡空間的安全運行對各類社會經濟活動起到重要的支撐作用。網絡空間本身的復雜性和動態性導致網絡安全保障是一個相對過程，沒有百分之百的絕對安全。因此，安全測試成為軟件安全開發生命周期必不可少的階段，而滲透測試是以攻擊者的視角對應用系統進行針對性的安全測試，通過主動發現應用系統的安全隱患和漏洞而減少風險，是一種行之有效的安全測試手段。同時，“未知攻、焉知防”的行業特點，要求安全技術研究、安全產品研發和安全服務等多類網絡安全從業者對網絡攻擊原理和手段有不同程度的理解和掌握，以逆向思維強化安全能力。

杭州安恒信息技術股份有限公司（簡稱安恒信息）作為國家信息安全漏洞共享平臺和國家信息安全漏洞庫技術支撐單位，在為北京奧運會、G20杭州峰會等國家及國際重要活動提供核心網絡安全保障服務，在為多類行業客戶的重要信息系統安全測試服務過程和各類重大網絡安全專項檢查活動中，積累了大量的實戰經驗，受到各類客戶的高度認可，同時，安恒信息運營的雷神眾測已經成為眾多業界白帽子交流合作的知名平臺和品牌。

網絡安全保障工作體系中，管理是關鍵，技術是基礎，人員是核心，組建一支素質過硬的安全服務團隊是保證服務質量、為用戶解決網絡安全后顧之憂的首要前提，而網絡安全滲透測試的能力和規范性則是網絡安全服務人員的重要能力素質之一。

信息安全保障人員認證滲透測試方向是安恒信息配合中國網絡安全審查技術與認證中心開發的滲透技術類認證項目，這個項目旨在將網絡安全滲透測試各環節的原理知識和實踐能力相融合，是權威的網絡安全滲透測試培訓體系和人才評價標準。本書是信息安全保障人員認證滲透測試方向的配套教材。本書經中國網絡安全審查技術與認證中心授權，由中國網絡安全審查技術與認證中心組織，由安恒信息的多位網絡安全專家合作編寫。苗春雨博士為安恒信息數字人才創研院院長，在“產教融合”“協同育人”模式設計和軟件工程方面有著長期工作經驗，曾擔任浙江省網絡空間安全一流學科、特色專業執行負責人，負責應急響應工程師認證課程體系設計，以及滲透測試、安全取證、網絡空間安全導論、軟件安全等課程開發；俞斌則在滲透測試、眾測項目管理、安全培訓等領域有著豐富的工作經驗，曾參與國家級網絡安保工作和安恒信息浙江區域安全服務工作。

網絡安全的本質是對抗，以知攻擅防為導向的實戰能力養成則是培養網絡安全人才永恒的話題，我們將不斷更新本書的內容，力求技術體系、實踐內容與時俱進，為提升行業人員網絡安全滲透測試能力而努力。

2021年2月