随着网络的普及与发展,信息安全问题始终是在这个发展过程中必须面对的一个关键问题。由于现在的网络环境越来越开放,网络攻击的工具变得更加容易获得,更加的自动化,也更加的智能化,对信息安全的保障提出了巨大的挑战。在这种情况下,模拟黑客攻击的渗透测试技术有助于更直接地找到网络中的脆弱点,能够为信息安全工作的展开提供很好的防护建议。渗透测试是近几年发展起来的一种网络安全防范的新技术,对于网络信息安全具有重大的实际应用价值,但要对目标网络进行有效渗透测试并不容易。因为现在渗透测试还处于少数网络安全专家独立地利用自己的经验和能力解决问题的阶段,远没有实现标准化,渗透测试理论和技术还处于不断的变化发展之中。国内外能够直接应用于渗透测试的工具还是凤毛麟角,很多的渗透测试还是依靠个别的安全专家通过组合各自熟悉的、分散的安全工具来实施测试。本文首先对渗透测试的相关规范进行了研究,对比分析了开源安全测试方法学手册、德国联邦信息安全办公室发布的渗透测试模型和美国国家标准和技术研究所发表的信息安全测试技术指导方针中提出的不同的渗透测试模型和方法,提出了一种易于实现的由三个阶段组成的渗透测试模型,并分析了渗透测试中各种网络攻击技术。对比分析了国外两种商业渗透测试框架Core IMPACT和CANVAS以及一种开源渗透测试框架Metasploit,研究了它们各自的工作方式和特点。在以上研究工作的基础上,本文提出了一种易于实现的网络信息安全渗透测试平台,设计了包括系统控制和协调模块、网络发现模块、Google Hacking模块、网络扫描模块、漏洞扫描模块、渗透测试模块、攻击清除模块、报表生成模块等八个模块,以及漏洞库、攻击工具库两个支撑数据库的测试平台。提出了一种基于漏洞风险等级的自动化渗透测试的实现方案,并在某企业的局域网和某市财政局的电子政务内网这两种不同网络环境下进行了渗透测试的实际应用。应用实例表明,本文所设计的网络信息安全渗透测试平台能够在网络安全风险评估工作中发挥积极作用,能有效地协助测试者完成对目标网络的渗透测试工作。