企业渗透测试指南：范围、方法和补救措施

渗透测试 (pentest) 模拟针对您的系统的真实攻击，以便在攻击者之前发现漏洞。与自动漏洞扫描不同，渗透测试涉及熟练的安全专业人员，他们像攻击者一样思考，将漏洞链接在一起，并以自动化工具无法做到的方式测试您的防御。

Coalfire 研究表明，73% 的渗透测试至少发现一个关键漏洞，42% 的渗透测试找到了彻底破坏系统的路径。然而，许多组织的渗透测试表现不佳——范围太窄，选择了错误的供应商，或者未能根据结果采取行动。本指南可确保您从渗透测试投资中获得最大价值。

渗透测试的类型

类型	范围	典型持续时间	成本范围
外部网络	面向互联网的系统和服务	3-5天	5000 美元至 25000 美元
内部网络	可从网络内部访问的系统	3-7 天	8000 美元至 30000 美元
网络应用	特定网络应用	每个应用程序 3-10 天	每个应用程序 5,000 美元至 20,000 美元
移动应用	iOS 和/或 Android 应用程序	每个平台 3-7 天	每个平台 5,000 美元至 15,000 美元
社会工程	网络钓鱼、网络钓鱼、物理测试	5-10 天	5000 美元至 20000 美元
红队	完整的对手模拟（所有方法）	2-4 周	3 万美元至 10 万美元以上
云安全	AWS/Azure/GCP 配置和服务	3-7 天	8000 美元至 25000 美元
API测试	API 端点和身份验证	3-5天	5,000 美元至 15,000 美元

知识水平

水平	描述	模拟
黑匣子	测试者没有关于目标的信息	不了解内部情况的外部攻击者
灰盒	测试人员有一些信息（凭证、架构文档）	获得初始访问权限的攻击者
白盒	测试人员可以完全访问源代码和架构	内部威胁，全面评估

确定渗透测试的范围

第 1 步：定义目标

目标	测试类型	优先
遵守 PCI DSS 要求 11.3	外部+内部网络	监管
启动前验证新应用程序的安全性	网络应用	高
测试员工对网络钓鱼的敏感度	社会工程	中等
董事会会议前的全面对手模拟	红队	战略
验证云安全态势	云安全评估	高

第 2 步：定义范围

包括：

所有面向互联网的 IP 地址和域
关键内部系统（ERP、HR、财务）
Web 应用程序（生产 URL）
API端点
云环境和服务
认证机制

排除（有理由）：

您不拥有的第三方托管服务
正在积极开发的系统（改为测试阶段）
高峰营业时间的生产系统（安排非工作时间）
破坏性测试（DoS、数据破坏），除非特别授权

第 3 步：设定参与规则

在测试开始之前记录这些：

规则	规格
测试窗口	工作日下午 6 点至早上 6 点，周末随时
紧急联系方式	[姓名、电话] 如果测试造成中断
禁区系统	[从未测试过的系统列表]
数据处理	测试人员可以访问但不能泄露真实数据
社会工程范围	仅电子邮件网络钓鱼，无物理访问测试
开采深度	证明访问权限但不修改生产数据
通讯频率	每日状态更新，重大发现立即通知

选择渗透测试供应商

评估标准

标准	重量	要问的问题
认证	20%	团队成员中有 OSCP、CREST、GPEN、CEH？
经验	25%	从业多年？行业经验？类似的约定？
方法论	20%	什么方法（OWASP、PTES、NIST）？他们如何测试？
报告质量	15%	你能看一下报告样本吗？包括补救指导吗？
参考文献	10%	您能与 3 位过去的客户交谈吗？
保险	10%	目前的职业责任和网络保险？

危险信号

供应商仅建议自动扫描（不是真正的渗透测试）
没有指定具有公认认证的测试人员
极低的价格（多日参与<3K 美元）
没有参与讨论规则
报告模板没有补救指导
供应商无法解释他们的方法

了解您的渗透测试报告

漏洞严重程度评级

严重性	CVSS 分数	描述	补救时间表
关键	9.0-10.0	系统可能立即受到攻击	48小时内
高	7.0-8.9	重大安全影响	2 周内
中等	4.0-6.9	中等影响，可能需要特定条件	30 天内
低	0.1-3.9	影响较小，可利用性有限	90 天内
信息	0	最佳实践建议	下次定期维护

一份好的报告包含哪些内容

执行摘要 --- 业务风险语言，而不是技术术语
方法 --- 测试了什么以及如何测试
调查结果 的严重性、证据和业务影响
针对每项发现的补救指南（具体、可操作）
积极的发现 --- 你做得好的方面
安全改进的战略建议
附录包含原始数据和详细的技术证据

修复过程

第 1 步：分类（第 1-2 天）

与 IT 和安全团队一起审查所有调查结果
验证结果（确认它们是真实的，而不是误报）
为每个发现分配所有者
根据严重性和业务风险确定优先级

第 2 步：计划（第 3-7 天）

寻找	业主	修复方法	时间轴	依赖关系
登录中的 SQL 注入	开发主管	输入验证+参数化查询	48小时	无
默认管理员密码	IT管理员	密码轮换+策略执行	24小时	无
内部 API 缺少 TLS	平台团队	证书部署	2 周	证书采购
过时的服务器操作系统	IT 运营	补丁调度	30 天	更改窗口

第 3 步：修复（有所不同）

立即修复严重和严重的问题
将中等发现分组到下一个维护窗口中
安排下个季度的低调查结果

步骤 4：验证（修复后）

请求对关键和高发现值进行重新测试（大多数供应商都进行有限的重新测试）
记录补救措施的证据
更新风险登记册

渗透测试时间表

评估	频率	触发
外部网络	每年（最少）	同样是在基础设施发生重大变化之后
网络应用	每年+主要发布之前	新应用上线，重大更新
内部网络	每年	办公网络变更后也是如此
云安全	每年	同样是在云架构发生重大变化之后
社会工程	每两年一次	正在进行的网络钓鱼模拟对此进行了补充
红队	每 2 年	重大安全投资后的董事会级保证

企业渗透测试指南：范围、方法和补救措施

渗透测试的类型

类型	范围	典型持续时间	成本范围
外部网络	面向互联网的系统和服务	3-5天	5000 美元至 25000 美元
内部网络	可从网络内部访问的系统	3-7 天	8000 美元至 30000 美元
网络应用	特定网络应用	每个应用程序 3-10 天	每个应用程序 5,000 美元至 20,000 美元
移动应用	iOS 和/或 Android 应用程序	每个平台 3-7 天	每个平台 5,000 美元至 15,000 美元
社会工程	网络钓鱼、网络钓鱼、物理测试	5-10 天	5000 美元至 20000 美元
红队	完整的对手模拟（所有方法）	2-4 周	3 万美元至 10 万美元以上
云安全	AWS/Azure/GCP 配置和服务	3-7 天	8000 美元至 25000 美元
API测试	API 端点和身份验证	3-5天	5,000 美元至 15,000 美元

知识水平

水平	描述	模拟
黑匣子	测试者没有关于目标的信息	不了解内部情况的外部攻击者
灰盒	测试人员有一些信息（凭证、架构文档）	获得初始访问权限的攻击者
白盒	测试人员可以完全访问源代码和架构	内部威胁，全面评估

确定渗透测试的范围

第 1 步：定义目标

目标	测试类型	优先
遵守 PCI DSS 要求 11.3	外部+内部网络	监管
启动前验证新应用程序的安全性	网络应用	高
测试员工对网络钓鱼的敏感度	社会工程	中等
董事会会议前的全面对手模拟	红队	战略
验证云安全态势	云安全评估	高

第 2 步：定义范围

包括：

所有面向互联网的 IP 地址和域
关键内部系统（ERP、HR、财务）
Web 应用程序（生产 URL）
API端点
云环境和服务
认证机制

排除（有理由）：

您不拥有的第三方托管服务
正在积极开发的系统（改为测试阶段）
高峰营业时间的生产系统（安排非工作时间）
破坏性测试（DoS、数据破坏），除非特别授权

第 3 步：设定参与规则

在测试开始之前记录这些：

规则	规格
测试窗口	工作日下午 6 点至早上 6 点，周末随时
紧急联系方式	[姓名、电话] 如果测试造成中断
禁区系统	[从未测试过的系统列表]
数据处理	测试人员可以访问但不能泄露真实数据
社会工程范围	仅电子邮件网络钓鱼，无物理访问测试
开采深度	证明访问权限但不修改生产数据
通讯频率	每日状态更新，重大发现立即通知

选择渗透测试供应商

评估标准

标准	重量	要问的问题
认证	20%	团队成员中有 OSCP、CREST、GPEN、CEH？
经验	25%	从业多年？行业经验？类似的约定？
方法论	20%	什么方法（OWASP、PTES、NIST）？他们如何测试？
报告质量	15%	你能看一下报告样本吗？包括补救指导吗？
参考文献	10%	您能与 3 位过去的客户交谈吗？
保险	10%	目前的职业责任和网络保险？

危险信号

供应商仅建议自动扫描（不是真正的渗透测试）
没有指定具有公认认证的测试人员
极低的价格（多日参与<3K 美元）
没有参与讨论规则
报告模板没有补救指导
供应商无法解释他们的方法

了解您的渗透测试报告

漏洞严重程度评级

严重性	CVSS 分数	描述	补救时间表
关键	9.0-10.0	系统可能立即受到攻击	48小时内
高	7.0-8.9	重大安全影响	2 周内
中等	4.0-6.9	中等影响，可能需要特定条件	30 天内
低	0.1-3.9	影响较小，可利用性有限	90 天内
信息	0	最佳实践建议	下次定期维护

一份好的报告包含哪些内容

执行摘要 --- 业务风险语言，而不是技术术语
方法 --- 测试了什么以及如何测试
调查结果 的严重性、证据和业务影响
针对每项发现的补救指南（具体、可操作）
积极的发现 --- 你做得好的方面
安全改进的战略建议
附录包含原始数据和详细的技术证据

修复过程

第 1 步：分类（第 1-2 天）

与 IT 和安全团队一起审查所有调查结果
验证结果（确认它们是真实的，而不是误报）
为每个发现分配所有者
根据严重性和业务风险确定优先级

第 2 步：计划（第 3-7 天）

寻找	业主	修复方法	时间轴	依赖关系
登录中的 SQL 注入	开发主管	输入验证+参数化查询	48小时	无
默认管理员密码	IT管理员	密码轮换+策略执行	24小时	无
内部 API 缺少 TLS	平台团队	证书部署	2 周	证书采购
过时的服务器操作系统	IT 运营	补丁调度	30 天	更改窗口

第 3 步：修复（有所不同）

立即修复严重和严重的问题
将中等发现分组到下一个维护窗口中
安排下个季度的低调查结果

步骤 4：验证（修复后）

请求对关键和高发现值进行重新测试（大多数供应商都进行有限的重新测试）
记录补救措施的证据
更新风险登记册

渗透测试时间表

评估	频率	触发
外部网络	每年（最少）	同样是在基础设施发生重大变化之后
网络应用	每年+主要发布之前	新应用上线，重大更新
内部网络	每年	办公网络变更后也是如此
云安全	每年	同样是在云架构发生重大变化之后
社会工程	每两年一次	正在进行的网络钓鱼模拟对此进行了补充
红队	每 2 年	重大安全投资后的董事会级保证

企业渗透测试指南：范围、方法和补救措施

企业渗透测试指南：范围、方法和补救措施

渗透测试的类型

知识水平

确定渗透测试的范围

第 1 步：定义目标

第 2 步：定义范围

第 3 步：设定参与规则

选择渗透测试供应商

评估标准

危险信号

了解您的渗透测试报告

漏洞严重程度评级

一份好的报告包含哪些内容

修复过程

第 1 步：分类（第 1-2 天）

第 2 步：计划（第 3-7 天）

第 3 步：修复（有所不同）

步骤 4：验证（修复后）

渗透测试时间表

相关资源

与 ECOSIRE 一起发展您的业务

相关文章

电子商务人工智能欺诈检测：在不阻止销售的情况下保护收入

电子商务网络安全：2026 年保护您的业务

API 速率限制：模式和最佳实践

更多来自Security & Cybersecurity

电子商务网络安全：2026 年保护您的业务

2026-2027 年网络安全趋势：零信任、人工智能威胁和防御

AI代理安全最佳实践：保护自治系统

中小企业云安全最佳实践：无需安全团队即可保护您的云

按地区划分的网络安全监管要求：全球企业合规地图

端点安全管理：保护组织中的每台设备

企业渗透测试指南：范围、方法和补救措施

企业渗透测试指南：范围、方法和补救措施

渗透测试的类型

知识水平

确定渗透测试的范围

第 1 步：定义目标

第 2 步：定义范围

第 3 步：设定参与规则

选择渗透测试供应商

评估标准

危险信号

了解您的渗透测试报告

漏洞严重程度评级

一份好的报告包含哪些内容

修复过程

第 1 步：分类（第 1-2 天）

第 2 步：计划（第 3-7 天）

第 3 步：修复（有所不同）

步骤 4：验证（修复后）

渗透测试时间表

相关资源

与 ECOSIRE 一起发展您的业务

相关文章

电子商务人工智能欺诈检测：在不阻止销售的情况下保护收入

电子商务网络安全：2026 年保护您的业务

API 速率限制：模式和最佳实践

更多来自Security & Cybersecurity

电子商务网络安全：2026 年保护您的业务

2026-2027 年网络安全趋势：零信任、人工智能威胁和防御

AI代理安全最佳实践：保护自治系统

中小企业云安全最佳实践：无需安全团队即可保护您的云

按地区划分的网络安全监管要求：全球企业合规地图

端点安全管理：保护组织中的每台设备