当前位置:安全行业动态 → 正文

信息安全全民请愿模式开启全民安全监督新渠道

责任编辑:editor006 |来源:企业网D1Net  2015-06-23 16:59:46 本文摘自:京报网

近年来,国内民间漏洞平台开始出现并迅速发展,各类 平台 利用 互联网 并 借助媒体力量暴露出 关键基础设施和重要信息系统存在漏洞,这些漏洞会带来极大的安全隐患,一旦被非法黑客利用,不仅可能威胁到网络数据和用户个人信息的安全,甚至可能会危害整个信息系统的安全运行, 为此,中国互联网协会网络与信息安全工作委员会组织相关单位 于2015年6月19日 共同签署了《中国互联网协会漏洞信息披露和处置自律公约》。

威客众测 平台一直致力于为企业和白帽子搭建一个 可信、 可靠的 漏洞 交易的平台, 同时 , 为了让 企业认识到信息安全 事件 所导致的风险, 并 督促企业进行安全检测和整改,平台 于2014年 一上线来就 首次独创 提出 全民安全 “请愿” 模式, 很好的解决白帽子和厂商之间的直接矛盾 ,同时 , 在合理合法的保障厂商 利益的情况下, 为国家 有关 监管 部门提供 了创新的 安全 监管 渠道。

1、 什么是网络 安全“全民请愿” 模式:全民请愿各类 厂商做好信息安全建设 , 让使用者和客户放心

“请愿 ” 的 意思是人民向国家机关或官员提出意见或有所请求;采取集体行动要求政府或主管当局满足某些愿望,或改革某种政策措施。

网络安全 “全民 请愿 ” 即是:任何人在使用各类互联网产品时,该产品或企业存储有个人敏感信息,如:家庭住址、手机号、联系人、订单等,如果不放心该公司和产品的安全能力是否能够满足防泄密的要求,可以在平台上随时请愿该公司接受全民监督和检查并公示其安全性,或者在安全上做的建设情况,已达到让客户放心的目的。或者 当白帽子发现某个厂商信息系统具有漏洞, 在 威客众测平台上发布请愿,联合所有白帽子、公民 等 请求厂商进行安全建设 , 并随时接受信息安全全民监督 , 而并不是将其漏洞公开到互联网上,甚至通报给媒体 作为 新闻噱头和舆论威胁并 曝光 ,最终 , 不光导致企业信誉受损 、厂商 漏洞也有可能被非法人员利用,对 社会秩序 和公共利益乃至国家安全带来威胁。

2、 网络 安全“请愿” 模式优势:保障 厂商利益,开辟政府 、全民 监管新渠道

白帽子提交一些已发现的厂商安全问题漏洞,威客众测平台“全民请愿” 模式 可以威客众测 平台 作为中间环节的纽带,会与厂商联系协调把请愿项目敦促成立众测项目,真正的保证白帽子利益的同时 又 解决了厂商的信息安全的问题 。

在厂商解决安全问题的同时 , 让全国民众知道该厂商对公司产品和服务的安全能力很强 ,在一定程度上可以抵御黑客和不法分子的攻击, 对民众的互联网财产与个人相关信息有很强的保护能力 , 让大家放心 。

威客众测平台励志为广大白帽子,厂商客户,人民群众做好信息安全服务 , 为大家能够放心的在互联网上使用各类产品 , 还互联网一片宁静的天空。

3、 安全“ 请愿 ” 流程

第一步 、登陆威客众测平台“ 发布请愿 ” :填写好 要 请愿 的企业名称和信息系统 , 以及请愿的理由。

第二步 、可以通过 手机、电脑 等方式传播请愿信息,之后会有群众精神支持。

第三步、 当精神支持达到一定数量,威客众测平台会协助 情愿者请求 监管部门协助并联系厂商做安全众测 。

4 、如何保障 “ 众测 ” 项目安全:基于 “ 用户可信 授权” 的 是基础

整个可信众测 组织分为 4个 层级, 从上 而下信任体系逐渐增强。

第一信任层级、松散白帽子: 松散 白帽子即全国的个人白帽子安全专家 , 众测标准模式之一, 信息系统 运营使用单位发布 众测 项目,白帽子 报名 ,个人信息审核符合条件通过后开始安全测试,测试时间结束后依据结果 结账 。

第二信任层级、知名安全战队 : 如果 信息系统 运营 使用单位对松散白帽子测试缺乏信任,可 组织 邀请国内知名战队入驻平台 , 以增加 可信程度,让团队更有组织性、可靠性 。

第三信任层级 、 企业战队: 如果 信息系统运营使用单位对知名战队扔缺乏信任,可采用知名厂商战队入驻 。例如 : 绿盟 科技 、 启明星辰 、 恒安嘉新 等。

第四信任层级、全过程审计 与监控平台: 最后 ,通过全过程审计与监控平台,可以对白帽子 渗透测试 的全过程进行 监控 和审计,对于非法操作可以通过平台直接终止其操作。

白帽子 首先 连接入 可信VPN 后 , 利用 安全账号和密码登陆众测平台, 可 直接对目标服务器群进行渗透检测, 此过程 是被 “威客行为 监控系统” 全过程 监测,威客 行为监控 系统使用人员通常可分为 众测 平台 管理人员 、 白帽子 、 安全 审计人员三类用户。管理员最重要的职责是根据相应的安全策略和 白帽子测试 应有的操作权限来配置 行为监控 系统的安全策略。管理员登录 行为监控 系统后,在 其 内部,“策略管理”组件负责与管理员进行交互,并将管理员输入的安全策略存储到内部的策略配置库中。

“应用代理”组件是行为监控系统的核心 组件 ,负责中转 白帽子测试 的操作并与行为监控系统内部其他组件进行交互。“应用代理”组件收到 白帽子测试 的操作请求后调用“策略管 理”组件对该操作行为进行核查,核查依据便是管理员已经配置好的策略配置库,如此次 白帽子 操作不符合安全策略“应用代理”组件将拒绝该操作行为的执行。

白帽子 的 测试 行为通过“策略管理”组件的核查之后“应用代理”组件则代替 白帽子 连接目标 服务器 完成相应操作,并将操作返回结果返回给对应的 白帽子 ;同时此次操作过程被提交给威客行为监控系统内部的“审计模块”,然后此次操作过程被记录到审计日志数据库中。

最后 , 当需要调查 白帽子 渗透测试的历史操作记录时,由 安全 审计员登录行为监控系统进行查询,然后“审计模块”从审计日志数据库中读取相应日志记录并展示在审计员交互界面上。

威客众测平台开创了信息安全众包众测的全新的时代 ,把安全服务模型很好的融入产品技术研发生命周期中,随时检测实时出结果,无漏洞不付费,全民请愿把信息安全的权利一定程度的交到人民群众手里,让人民群众有了自己的权益维护渠道与方法,让人民群众走到维权之路之前有了自己的话语权,信息安全维权不在束手无策。

威客众测平台 在众多大型项目中均有成功案例 :滴滴打车、58同城、艺龙、去哪儿、36kr、养车点点等数百家中大型公司正在使用威客众测平台的服务,希望有更多的企业加入我们、给人民群众以安全放心的感觉使用我们的产品。

关键字:请愿行为监控安全策略

本文摘自:京报网

x 信息安全全民请愿模式开启全民安全监督新渠道 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

信息安全全民请愿模式开启全民安全监督新渠道

责任编辑:editor006 |来源:企业网D1Net  2015-06-23 16:59:46 本文摘自:京报网

近年来,国内民间漏洞平台开始出现并迅速发展,各类 平台 利用 互联网 并 借助媒体力量暴露出 关键基础设施和重要信息系统存在漏洞,这些漏洞会带来极大的安全隐患,一旦被非法黑客利用,不仅可能威胁到网络数据和用户个人信息的安全,甚至可能会危害整个信息系统的安全运行, 为此,中国互联网协会网络与信息安全工作委员会组织相关单位 于2015年6月19日 共同签署了《中国互联网协会漏洞信息披露和处置自律公约》。

威客众测 平台一直致力于为企业和白帽子搭建一个 可信、 可靠的 漏洞 交易的平台, 同时 , 为了让 企业认识到信息安全 事件 所导致的风险, 并 督促企业进行安全检测和整改,平台 于2014年 一上线来就 首次独创 提出 全民安全 “请愿” 模式, 很好的解决白帽子和厂商之间的直接矛盾 ,同时 , 在合理合法的保障厂商 利益的情况下, 为国家 有关 监管 部门提供 了创新的 安全 监管 渠道。

1、 什么是网络 安全“全民请愿” 模式:全民请愿各类 厂商做好信息安全建设 , 让使用者和客户放心

“请愿 ” 的 意思是人民向国家机关或官员提出意见或有所请求;采取集体行动要求政府或主管当局满足某些愿望,或改革某种政策措施。

网络安全 “全民 请愿 ” 即是:任何人在使用各类互联网产品时,该产品或企业存储有个人敏感信息,如:家庭住址、手机号、联系人、订单等,如果不放心该公司和产品的安全能力是否能够满足防泄密的要求,可以在平台上随时请愿该公司接受全民监督和检查并公示其安全性,或者在安全上做的建设情况,已达到让客户放心的目的。或者 当白帽子发现某个厂商信息系统具有漏洞, 在 威客众测平台上发布请愿,联合所有白帽子、公民 等 请求厂商进行安全建设 , 并随时接受信息安全全民监督 , 而并不是将其漏洞公开到互联网上,甚至通报给媒体 作为 新闻噱头和舆论威胁并 曝光 ,最终 , 不光导致企业信誉受损 、厂商 漏洞也有可能被非法人员利用,对 社会秩序 和公共利益乃至国家安全带来威胁。

2、 网络 安全“请愿” 模式优势:保障 厂商利益,开辟政府 、全民 监管新渠道

白帽子提交一些已发现的厂商安全问题漏洞,威客众测平台“全民请愿” 模式 可以威客众测 平台 作为中间环节的纽带,会与厂商联系协调把请愿项目敦促成立众测项目,真正的保证白帽子利益的同时 又 解决了厂商的信息安全的问题 。

在厂商解决安全问题的同时 , 让全国民众知道该厂商对公司产品和服务的安全能力很强 ,在一定程度上可以抵御黑客和不法分子的攻击, 对民众的互联网财产与个人相关信息有很强的保护能力 , 让大家放心 。

威客众测平台励志为广大白帽子,厂商客户,人民群众做好信息安全服务 , 为大家能够放心的在互联网上使用各类产品 , 还互联网一片宁静的天空。

3、 安全“ 请愿 ” 流程

第一步 、登陆威客众测平台“ 发布请愿 ” :填写好 要 请愿 的企业名称和信息系统 , 以及请愿的理由。

第二步 、可以通过 手机、电脑 等方式传播请愿信息,之后会有群众精神支持。

第三步、 当精神支持达到一定数量,威客众测平台会协助 情愿者请求 监管部门协助并联系厂商做安全众测 。

4 、如何保障 “ 众测 ” 项目安全:基于 “ 用户可信 授权” 的 是基础

整个可信众测 组织分为 4个 层级, 从上 而下信任体系逐渐增强。

第一信任层级、松散白帽子: 松散 白帽子即全国的个人白帽子安全专家 , 众测标准模式之一, 信息系统 运营使用单位发布 众测 项目,白帽子 报名 ,个人信息审核符合条件通过后开始安全测试,测试时间结束后依据结果 结账 。

第二信任层级、知名安全战队 : 如果 信息系统 运营 使用单位对松散白帽子测试缺乏信任,可 组织 邀请国内知名战队入驻平台 , 以增加 可信程度,让团队更有组织性、可靠性 。

第三信任层级 、 企业战队: 如果 信息系统运营使用单位对知名战队扔缺乏信任,可采用知名厂商战队入驻 。例如 : 绿盟 科技 、 启明星辰 、 恒安嘉新 等。

第四信任层级、全过程审计 与监控平台: 最后 ,通过全过程审计与监控平台,可以对白帽子 渗透测试 的全过程进行 监控 和审计,对于非法操作可以通过平台直接终止其操作。

白帽子 首先 连接入 可信VPN 后 , 利用 安全账号和密码登陆众测平台, 可 直接对目标服务器群进行渗透检测, 此过程 是被 “威客行为 监控系统” 全过程 监测,威客 行为监控 系统使用人员通常可分为 众测 平台 管理人员 、 白帽子 、 安全 审计人员三类用户。管理员最重要的职责是根据相应的安全策略和 白帽子测试 应有的操作权限来配置 行为监控 系统的安全策略。管理员登录 行为监控 系统后,在 其 内部,“策略管理”组件负责与管理员进行交互,并将管理员输入的安全策略存储到内部的策略配置库中。

“应用代理”组件是行为监控系统的核心 组件 ,负责中转 白帽子测试 的操作并与行为监控系统内部其他组件进行交互。“应用代理”组件收到 白帽子测试 的操作请求后调用“策略管 理”组件对该操作行为进行核查,核查依据便是管理员已经配置好的策略配置库,如此次 白帽子 操作不符合安全策略“应用代理”组件将拒绝该操作行为的执行。

白帽子 的 测试 行为通过“策略管理”组件的核查之后“应用代理”组件则代替 白帽子 连接目标 服务器 完成相应操作,并将操作返回结果返回给对应的 白帽子 ;同时此次操作过程被提交给威客行为监控系统内部的“审计模块”,然后此次操作过程被记录到审计日志数据库中。

最后 , 当需要调查 白帽子 渗透测试的历史操作记录时,由 安全 审计员登录行为监控系统进行查询,然后“审计模块”从审计日志数据库中读取相应日志记录并展示在审计员交互界面上。

威客众测平台开创了信息安全众包众测的全新的时代 ,把安全服务模型很好的融入产品技术研发生命周期中,随时检测实时出结果,无漏洞不付费,全民请愿把信息安全的权利一定程度的交到人民群众手里,让人民群众有了自己的权益维护渠道与方法,让人民群众走到维权之路之前有了自己的话语权,信息安全维权不在束手无策。

威客众测平台 在众多大型项目中均有成功案例 :滴滴打车、58同城、艺龙、去哪儿、36kr、养车点点等数百家中大型公司正在使用威客众测平台的服务,希望有更多的企业加入我们、给人民群众以安全放心的感觉使用我们的产品。

关键字:请愿行为监控安全策略

本文摘自:京报网

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^