前言

当今社会，随着信息技术的迅猛发展，我们面临着越来越严峻的信息安全问题，从国家安全、社会稳定到个人隐私保护，无处不见信息安全的重要性。特别是“棱镜门”事件之后，各国对信息安全问题更加重视，这一问题已经成为全社会关注的焦点，社会对信息安全人才的需求也越来越大。

渗透测试作为检验信息系统安全保障体系有效性的重要手段之一，已经越来越受到业界的重视。然而，渗透测试的学习相对困难，它涉及操作系统、数据库、常用中间件和网络协议等众多对象，不仅要求渗透测试人员掌握渗透测试的基本方法、流程和工具，而且要求渗透测试人员具有安全问题分析的独立视角，因此让很多人望而却步。本书通过理论与实践相结合的方式，让读者在完成一个个生动实验的过程中，逐步掌握渗透测试的方法，从而逐步参与到渗透测试的工作中去。

本书的编写团队由公安部信息安全等级保护评估中心、成都安信共创检测技术有限公司、成都市锐信安信息安全技术有限公司、西南科技大学等的一线科技人员组成，他们长期在渗透测试领域从事研究与实践工作，具有丰富的经验。其中，黄洪博士（西南科技大学引进博士，曾任公安部信息安全等级保护评估中心测评部门的负责人）为主创作人，尚旭光（公安部信息安全等级保护评估中心渗透测试部门的负责人）对全书进行修订，并参与编写第1章至第5章，钱志祁（成都市锐信安信息安全技术有限公司渗透测试资深工程师）参与编写第6章和第7章，王子钰（公安部信息安全等级保护评估中心渗透测试工程师）参与编写第8章，西南科技大学的卢泽中、陶琦、胡家新、王鹏诚、章楠、吴毅等参与材料收集、实验验证等工作，成都安信共创检测技术有限公司资深测评工程师邓跃良，西南科技大学周绍华、韦勇和廖晓鹃等教师参与了本书的审校工作。

感谢公安部信息安全等级保护评估中心的张宇翔主任、李明主任助理、朱建平研究员，西南科技大学计算机科学与技术学院的范勇院长、左旭辉书记、吴亚东副院长，成都市锐信安信息安全技术有限公司负责人陈伟、祁志敏，国防大学信息作战与指挥训练教研部的刘增良教授对本书的大力支持。

最后要感谢在本书成稿过程中给予我们支持的同事、朋友，以及在我们忙碌工作时给予我们理解和支持的家人。

由于信息技术发展迅速、测评技术本身的时效性也很强，且作者的水平和经验有限，本书的缺点和疏漏之处在所难免，望有关专家和读者批评指正，以利于再版时修正，交流邮箱hong.huang@139.com。

作者
2018年3月于成都