文章摘要： 随着国家信息安全风险评估工作的推进和深化，对信息系统安全技术测试的要求也逐步提高。渗透测试作为信息系统安全测试的一项高级别和高难度的测试项目，在信息安全风险评估中逐渐得到高度重视并得到推广应用。信息系统安全风险评估有两个方面的评估内容，一个是安全措施的正确性评估、一个是安全措施的有效性评估。而渗透测试就是安全措施有效性评估的一个有效方式，是检验信息系统安全性的必要手段之一。 本文主要介绍了经过授权的合法渗透测试的概要情况、合法渗透测试的流程及测试内容、在实际工程中合法渗透测试的实施过程等基本内容。(详细文章请见《国家信息安全测评认证》杂志2007年第3期)