渗透测试作为网络安全防范的一种新技术,对于网络安全具有重大的实际应用价值。但要找到一家合适的信息安全公司实施渗透测试并不容易。因为现在渗透测试还处于少数网络安全专家独立利用自己的经验和能力解决问题的阶段,远没有实现标准化,渗透测试理论和技术还处于不断的变化发展之中。渗透测试作为一种专业的安全服务,在国外逐渐开始得到较多的应用。通常,国外的安全渗透测试有明确的范围、目标和时间限制,一般用于检查企业安全的真实状况,确定安全措施的效果,特别适用于配合安全审计部门做评估测试,也可以成为大型评估的一部分,是网络防御工具箱当中的重要武器之一。但其中所采用的方法、工具差异很大,还有待进一步的改进,否则应用的深度和广度将受到极大的限制。至于国内,一方面,大多数企业没有意识到渗透测试的作用,另一方面,确实也只有少数安全信息公司能够完成出色的渗透测试服务。基本上,国内的渗透测试分析不管在理论上,还是实践上和国外先进水平相比,都还是处于起步阶段。本文研究的目的是针对目前计算机网络信息安全的迫切需求,提出一套利用网络渗透测试技术来进行安全评估的完整方案。网络渗透测试的基础是网络渗透技术,所以本文首先从理论上分析各种网络渗透测试技术的工作原理,对预攻击阶段和攻击阶段具有代表性的渗透技术,研究相应的防御技术。然后,本文在分析渗透测试案例的基础上,研究渗透测试策略。在分析比较原有的渗透测试方法后,提出了一种新的改进的渗透测试方法;对原有的渗透测试流程经过扬弃,提出了一种新的渗透测试流程;为减少渗透测试本身为目标系统带来的风险,还提出了相应的测试风险规避措施;最后,作为渗透测试工作重大价值的体现,设计了清晰简洁的渗透测试报告书。经过仿真测试,本文提出的渗透测试策略取得了较好的效果。