近年來,國內民間漏洞平臺開始出現并迅速發展,各類 平臺 利用 互聯網 并 借助媒體力量暴露出 關鍵基礎設施和重要信息系統存在漏洞,這些漏洞會帶來極大的安全隱患,一旦被非法黑客利用,不僅可能威脅到網絡數據和用戶個人信息的安全,甚至可能會危害整個信息系統的安全運行, 為此,中國互聯網協會網絡與信息安全工作委員會組織相關單位 于2015年6月19日 共同簽署了《中國互聯網協會漏洞信息披露和處置自律公約》。
威客眾測 平臺一直致力于為企業和白帽子搭建一個 可信、 可靠的 漏洞 交易的平臺, 同時 , 為了讓 企業認識到信息安全 事件 所導致的風險, 并 督促企業進行安全檢測和整改,平臺 于2014年 一上線來就 首次獨創 提出 全民安全 “請愿” 模式, 很好的解決白帽子和廠商之間的直接矛盾 ,同時 , 在合理合法的保障廠商 利益的情況下, 為國家 有關 監管 部門提供 了創新的 安全 監管 渠道。
1、 什么是網絡 安全“全民請愿” 模式:全民請愿各類 廠商做好信息安全建設 , 讓使用者和客戶放心
“請愿 ” 的 意思是人民向國家機關或官員提出意見或有所請求;采取集體行動要求政府或主管當局滿足某些愿望,或改革某種政策措施。
網絡安全 “全民 請愿 ” 即是:任何人在使用各類互聯網產品時,該產品或企業存儲有個人敏感信息,如:家庭住址、手機號、聯系人、訂單等,如果不放心該公司和產品的安全能力是否能夠滿足防泄密的要求,可以在平臺上隨時請愿該公司接受全民監督和檢查并公示其安全性,或者在安全上做的建設情況,已達到讓客戶放心的目的。或者 當白帽子發現某個廠商信息系統具有漏洞, 在 威客眾測平臺上發布請愿,聯合所有白帽子、公民 等 請求廠商進行安全建設 , 并隨時接受信息安全全民監督 , 而并不是將其漏洞公開到互聯網上,甚至通報給媒體 作為 新聞噱頭和輿論威脅并 曝光 ,最終 , 不光導致企業信譽受損 、廠商 漏洞也有可能被非法人員利用,對 社會秩序 和公共利益乃至國家安全帶來威脅。
2、 網絡 安全“請愿” 模式優勢:保障 廠商利益,開辟政府 、全民 監管新渠道
白帽子提交一些已發現的廠商安全問題漏洞,威客眾測平臺“全民請愿” 模式 可以威客眾測 平臺 作為中間環節的紐帶,會與廠商聯系協調把請愿項目敦促成立眾測項目,真正的保證白帽子利益的同時 又 解決了廠商的信息安全的問題 。
在廠商解決安全問題的同時 , 讓全國民眾知道該廠商對公司產品和服務的安全能力很強 ,在一定程度上可以抵御黑客和不法分子的攻擊, 對民眾的互聯網財產與個人相關信息有很強的保護能力 , 讓大家放心 。
威客眾測平臺勵志為廣大白帽子,廠商客戶,人民群眾做好信息安全服務 , 為大家能夠放心的在互聯網上使用各類產品 , 還互聯網一片寧靜的天空。
3、 安全“ 請愿 ” 流程
第一步 、登陸威客眾測平臺“ 發布請愿 ” :填寫好 要 請愿 的企業名稱和信息系統 , 以及請愿的理由。
第二步 、可以通過 手機、電腦 等方式傳播請愿信息,之后會有群眾精神支持。
第三步、 當精神支持達到一定數量,威客眾測平臺會協助 情愿者請求 監管部門協助并聯系廠商做安全眾測 。
4 、如何保障 “ 眾測 ” 項目安全:基于 “ 用戶可信 授權” 的 是基礎
整個可信眾測 組織分為 4個 層級, 從上 而下信任體系逐漸增強。
第一信任層級、松散白帽子: 松散 白帽子即全國的個人白帽子安全專家 , 眾測標準模式之一, 信息系統 運營使用單位發布 眾測 項目,白帽子 報名 ,個人信息審核符合條件通過后開始安全測試,測試時間結束后依據結果 結賬 。
第二信任層級、知名安全戰隊 : 如果 信息系統 運營 使用單位對松散白帽子測試缺乏信任,可 組織 邀請國內知名戰隊入駐平臺 , 以增加 可信程度,讓團隊更有組織性、可靠性 。
第三信任層級 、 企業戰隊: 如果 信息系統運營使用單位對知名戰隊扔缺乏信任,可采用知名廠商戰隊入駐 。例如 : 綠盟 科技 、 啟明星辰 、 恒安嘉新 等。
第四信任層級、全過程審計 與監控平臺: 最后 ,通過全過程審計與監控平臺,可以對白帽子 滲透測試 的全過程進行 監控 和審計,對于非法操作可以通過平臺直接終止其操作。
白帽子 首先 連接入 可信VPN 后 , 利用 安全賬號和密碼登陸眾測平臺, 可 直接對目標服務器群進行滲透檢測, 此過程 是被 “威客行為 監控系統” 全過程 監測,威客 行為監控 系統使用人員通常可分為 眾測 平臺 管理人員 、 白帽子 、 安全 審計人員三類用戶。管理員最重要的職責是根據相應的安全策略和 白帽子測試 應有的操作權限來配置 行為監控 系統的安全策略。管理員登錄 行為監控 系統后,在 其 內部,“策略管理”組件負責與管理員進行交互,并將管理員輸入的安全策略存儲到內部的策略配置庫中。
“應用代理”組件是行為監控系統的核心 組件 ,負責中轉 白帽子測試 的操作并與行為監控系統內部其他組件進行交互。“應用代理”組件收到 白帽子測試 的操作請求后調用“策略管 理”組件對該操作行為進行核查,核查依據便是管理員已經配置好的策略配置庫,如此次 白帽子 操作不符合安全策略“應用代理”組件將拒絕該操作行為的執行。
白帽子 的 測試 行為通過“策略管理”組件的核查之后“應用代理”組件則代替 白帽子 連接目標 服務器 完成相應操作,并將操作返回結果返回給對應的 白帽子 ;同時此次操作過程被提交給威客行為監控系統內部的“審計模塊”,然后此次操作過程被記錄到審計日志數據庫中。
最后 , 當需要調查 白帽子 滲透測試的歷史操作記錄時,由 安全 審計員登錄行為監控系統進行查詢,然后“審計模塊”從審計日志數據庫中讀取相應日志記錄并展示在審計員交互界面上。
威客眾測平臺開創了信息安全眾包眾測的全新的時代 ,把安全服務模型很好的融入產品技術研發生命周期中,隨時檢測實時出結果,無漏洞不付費,全民請愿把信息安全的權利一定程度的交到人民群眾手里,讓人民群眾有了自己的權益維護渠道與方法,讓人民群眾走到維權之路之前有了自己的話語權,信息安全維權不在束手無策。
威客眾測平臺 在眾多大型項目中均有成功案例 :滴滴打車、58同城、藝龍、去哪兒、36kr、養車點點等數百家中大型公司正在使用威客眾測平臺的服務,希望有更多的企業加入我們、給人民群眾以安全放心的感覺使用我們的產品。
京公網安備 11010502049343號