序2

网络安全已经成为国家安全战略的重要组成部分，面对经济全球化和信息技术快速发展的环境，互联网已成为社会运行的信息基础设施，网络空间的安全运行对各类社会经济活动起到重要的支撑作用。网络空间本身的复杂性和动态性导致网络安全保障是一个相对过程，没有百分之百的绝对安全。因此，安全测试成为软件安全开发生命周期必不可少的阶段，而渗透测试是以攻击者的视角对应用系统进行针对性的安全测试，通过主动发现应用系统的安全隐患和漏洞而减少风险，是一种行之有效的安全测试手段。同时，“未知攻、焉知防”的行业特点，要求安全技术研究、安全产品研发和安全服务等多类网络安全从业者对网络攻击原理和手段有不同程度的理解和掌握，以逆向思维强化安全能力。

杭州安恒信息技术股份有限公司（简称安恒信息）作为国家信息安全漏洞共享平台和国家信息安全漏洞库技术支撑单位，在为北京奥运会、G20杭州峰会等国家及国际重要活动提供核心网络安全保障服务，在为多类行业客户的重要信息系统安全测试服务过程和各类重大网络安全专项检查活动中，积累了大量的实战经验，受到各类客户的高度认可，同时，安恒信息运营的雷神众测已经成为众多业界白帽子交流合作的知名平台和品牌。

网络安全保障工作体系中，管理是关键，技术是基础，人员是核心，组建一支素质过硬的安全服务团队是保证服务质量、为用户解决网络安全后顾之忧的首要前提，而网络安全渗透测试的能力和规范性则是网络安全服务人员的重要能力素质之一。

信息安全保障人员认证渗透测试方向是安恒信息配合中国网络安全审查技术与认证中心开发的渗透技术类认证项目，这个项目旨在将网络安全渗透测试各环节的原理知识和实践能力相融合，是权威的网络安全渗透测试培训体系和人才评价标准。本书是信息安全保障人员认证渗透测试方向的配套教材。本书经中国网络安全审查技术与认证中心授权，由中国网络安全审查技术与认证中心组织，由安恒信息的多位网络安全专家合作编写。苗春雨博士为安恒信息数字人才创研院院长，在“产教融合”“协同育人”模式设计和软件工程方面有着长期工作经验，曾担任浙江省网络空间安全一流学科、特色专业执行负责人，负责应急响应工程师认证课程体系设计，以及渗透测试、安全取证、网络空间安全导论、软件安全等课程开发；俞斌则在渗透测试、众测项目管理、安全培训等领域有着丰富的工作经验，曾参与国家级网络安保工作和安恒信息浙江区域安全服务工作。

网络安全的本质是对抗，以知攻擅防为导向的实战能力养成则是培养网络安全人才永恒的话题，我们将不断更新本书的内容，力求技术体系、实践内容与时俱进，为提升行业人员网络安全渗透测试能力而努力。

2021年2月