渗透测试是指测试人员尽可能完整地模拟攻击者使用的漏洞发现技术和攻击手段，从攻击者的角度对目标网络、系统、主机应用的安全性作深入的非破坏性的探测， 发现系统最脆弱环节的过程。渗透测试通常能以非常明显、直观的结果来反映出系统的安全现状，其目的是能够让管理人员直观地知道自己网络所面临的问题。

 

 

通过渗透测试可以做到：

 

 

1) 了解入侵者可能利用的途径，提出改进方法与建议。

 

 

2) 检验现行的网络设备（路由器、交换器等）安全策略。

 

 

3) 检验现行的信息安全设备（防火墙、IDS等）安全策略。

 

 

4) 对于重要主机的安全性进行专业信息安全的评估与建议。

 

 

5) 找出IT人员未能掌握的服务器或主机加以调查。

 

 

6) 了解系统及网络的安全状态。

 

 

7) 检验现行的信息安全策略。

 

 

8) 找出现行信息安全策略的盲点。

 

 

9) 验证现有系统的整体安全性。

 

 

渗透测试为了不对测试目标造成破坏、损害或篡改，对于某些可能会对测试对象造成负面影响的攻击方法和手段，在渗透测试中不予使用，具体包括：社会工程学、分布式拒绝服务攻击、散布病毒（包括木马、恶意代码等）、对即时通讯工具的攻击、网络钓鱼等。