近年来，国内民间漏洞平台开始出现并迅速发展，各类 平台 利用 互联网 并 借助媒体力量暴露出 关键基础设施和重要信息系统存在漏洞，这些漏洞会带来极大的安全隐患，一旦被非法黑客利用，不仅可能威胁到网络数据和用户个人信息的安全，甚至可能会危害整个信息系统的安全运行， 为此，中国互联网协会网络与信息安全工作委员会组织相关单位 于2015年6月19日 共同签署了《中国互联网协会漏洞信息披露和处置自律公约》。

威客众测 平台一直致力于为企业和白帽子搭建一个 可信、 可靠的 漏洞 交易的平台， 同时 ， 为了让 企业认识到信息安全 事件 所导致的风险， 并 督促企业进行安全检测和整改，平台 于2014年 一上线来就 首次独创 提出 全民安全 “请愿” 模式， 很好的解决白帽子和厂商之间的直接矛盾 ，同时 ， 在合理合法的保障厂商 利益的情况下， 为国家 有关 监管 部门提供 了创新的 安全 监管 渠道。

1、 什么是网络 安全“全民请愿” 模式：全民请愿各类 厂商做好信息安全建设 ， 让使用者和客户放心

“请愿 ” 的 意思是人民向国家机关或官员提出意见或有所请求；采取集体行动要求政府或主管当局满足某些愿望，或改革某种政策措施。

网络安全 “全民 请愿 ” 即是：任何人在使用各类互联网产品时，该产品或企业存储有个人敏感信息，如：家庭住址、手机号、联系人、订单等，如果不放心该公司和产品的安全能力是否能够满足防泄密的要求，可以在平台上随时请愿该公司接受全民监督和检查并公示其安全性，或者在安全上做的建设情况，已达到让客户放心的目的。或者 当白帽子发现某个厂商信息系统具有漏洞， 在 威客众测平台上发布请愿，联合所有白帽子、公民 等 请求厂商进行安全建设 ， 并随时接受信息安全全民监督 ， 而并不是将其漏洞公开到互联网上，甚至通报给媒体 作为 新闻噱头和舆论威胁并 曝光 ，最终 ， 不光导致企业信誉受损 、厂商 漏洞也有可能被非法人员利用，对 社会秩序 和公共利益乃至国家安全带来威胁。

2、 网络 安全“请愿” 模式优势：保障 厂商利益，开辟政府 、全民 监管新渠道

白帽子提交一些已发现的厂商安全问题漏洞，威客众测平台“全民请愿” 模式 可以威客众测 平台 作为中间环节的纽带，会与厂商联系协调把请愿项目敦促成立众测项目，真正的保证白帽子利益的同时 又 解决了厂商的信息安全的问题 。

在厂商解决安全问题的同时 ， 让全国民众知道该厂商对公司产品和服务的安全能力很强 ，在一定程度上可以抵御黑客和不法分子的攻击， 对民众的互联网财产与个人相关信息有很强的保护能力 ， 让大家放心 。

威客众测平台励志为广大白帽子，厂商客户，人民群众做好信息安全服务 ， 为大家能够放心的在互联网上使用各类产品 ， 还互联网一片宁静的天空。

3、 安全“ 请愿 ” 流程

第一步 、登陆威客众测平台“ 发布请愿 ” ：填写好 要 请愿 的企业名称和信息系统 ， 以及请愿的理由。

第二步 、可以通过 手机、电脑 等方式传播请愿信息，之后会有群众精神支持。

第三步、 当精神支持达到一定数量，威客众测平台会协助 情愿者请求 监管部门协助并联系厂商做安全众测 。

4 、如何保障 “ 众测 ” 项目安全：基于 “ 用户可信 授权” 的 是基础

整个可信众测 组织分为 4个 层级， 从上 而下信任体系逐渐增强。

第一信任层级、松散白帽子： 松散 白帽子即全国的个人白帽子安全专家 ， 众测标准模式之一， 信息系统 运营使用单位发布 众测 项目，白帽子 报名 ，个人信息审核符合条件通过后开始安全测试，测试时间结束后依据结果 结账 。

第二信任层级、知名安全战队 ： 如果 信息系统 运营 使用单位对松散白帽子测试缺乏信任，可 组织 邀请国内知名战队入驻平台 ， 以增加 可信程度，让团队更有组织性、可靠性 。

第三信任层级 、 企业战队： 如果 信息系统运营使用单位对知名战队扔缺乏信任，可采用知名厂商战队入驻 。例如 ： 绿盟 科技 、 启明星辰 、 恒安嘉新 等。

第四信任层级、全过程审计 与监控平台： 最后 ，通过全过程审计与监控平台，可以对白帽子 渗透测试 的全过程进行 监控 和审计，对于非法操作可以通过平台直接终止其操作。

白帽子 首先 连接入 可信VPN 后 ， 利用 安全账号和密码登陆众测平台， 可 直接对目标服务器群进行渗透检测， 此过程 是被 “威客行为 监控系统” 全过程 监测，威客 行为监控 系统使用人员通常可分为 众测 平台 管理人员 、 白帽子 、 安全 审计人员三类用户。管理员最重要的职责是根据相应的安全策略和 白帽子测试 应有的操作权限来配置 行为监控 系统的安全策略。管理员登录 行为监控 系统后，在 其 内部，“策略管理”组件负责与管理员进行交互，并将管理员输入的安全策略存储到内部的策略配置库中。

“应用代理”组件是行为监控系统的核心 组件 ，负责中转 白帽子测试 的操作并与行为监控系统内部其他组件进行交互。“应用代理”组件收到 白帽子测试 的操作请求后调用“策略管 理”组件对该操作行为进行核查，核查依据便是管理员已经配置好的策略配置库，如此次 白帽子 操作不符合安全策略“应用代理”组件将拒绝该操作行为的执行。

白帽子 的 测试 行为通过“策略管理”组件的核查之后“应用代理”组件则代替 白帽子 连接目标 服务器 完成相应操作，并将操作返回结果返回给对应的 白帽子 ;同时此次操作过程被提交给威客行为监控系统内部的“审计模块”，然后此次操作过程被记录到审计日志数据库中。

最后 ， 当需要调查 白帽子 渗透测试的历史操作记录时，由 安全 审计员登录行为监控系统进行查询，然后“审计模块”从审计日志数据库中读取相应日志记录并展示在审计员交互界面上。

威客众测平台开创了信息安全众包众测的全新的时代 ，把安全服务模型很好的融入产品技术研发生命周期中，随时检测实时出结果，无漏洞不付费，全民请愿把信息安全的权利一定程度的交到人民群众手里，让人民群众有了自己的权益维护渠道与方法，让人民群众走到维权之路之前有了自己的话语权，信息安全维权不在束手无策。

威客众测平台 在众多大型项目中均有成功案例 ：滴滴打车、58同城、艺龙、去哪儿、36kr、养车点点等数百家中大型公司正在使用威客众测平台的服务，希望有更多的企业加入我们、给人民群众以安全放心的感觉使用我们的产品。