• 关于我们 联系我们
当前位置:安全行业动态 → 正文

信息安全可信众测的四个必要条件

责任编辑:editor006 |来源:企业网D1Net  2015-07-20 17:37:09 本文摘自:博客

当前,信息安全众测已经成为了互联网公司、政府企事业单位、金融机构、电商平台和各类手机APP、智能设备厂商针对自身运营的业务平台或信息产品安全“体检”的首选方式,信息安全众测模式打破了传统信息安全渗透测试信息不对称的问题,使得企业和渗透测试白帽子双方均获得收益,众测平台为创造信息安全技术价值者提供了正确技术输出方式与更加丰厚的收入,同时又降低了企事业单位的信息安全渗透测试检测成本。

互联网+安全服务的模式固然很好,但信息安全毕竟是个敏感的问题,信息安全众测的可信,一直是很多企事业单位,特别是政府机构、金融、电力等国家重要部门所关注的问题,作为独立信息安全众测分析师的我已经在信息安全行业浸泡多年,我认为,一个信息安全可信众测平台应当至少应当具备以下四个可信条件,即:人才能力可信、透明公正可信、测试过程可信、平台信用可信。

1、 可信众测必要条件之一:人才能力可信

在过去,企业想做信息安全渗透测试,一般是会找一些安全服务公司或者安全厂商安全服务部门,然后,通过安全服务公司的售前人员和企事业单位安全人员沟通需求,明确测试范围之后,安全服务公司为企事业单位按人天报价。这里的重要问题就是:企业根本不了解安全服务公司最终会派什么水平的渗透测试人员给企业信息系统进行渗透测试检测,不同水平的人,企事业单位所需要支付的费用也都相同。当然,这也不是完全是安全服务公司的问题,当前,信息安全渗透测试人才奇缺,但凡有些能力的人已经不满足于为一个企业服务了,所以,安全服务公司不能保障为每个企事业单位提供有优秀的渗透测试服务人员。

现在好了,出现了乌云众测、威客众测平台、sobug、漏洞盒子等信息安全众测平台,他们打破了中间环节,连接了白帽子和企事业单位,让渗透测试人才信息更加透明,最最重要的是,通过悬赏的方式,让企业可通过互联网悬赏全国优秀渗透测试技术人员为其服务,互联网打破了原来传统安全服务公司的围墙,让更多的优秀人才和企事业单位建立了联系,并按照实际的测试效果付费。

“互联网+安全”的模式的缺陷就是可信这个属性,很多人都会问怎么保证我们的信息不被泄露?白帽子有自己的保密要求,企事业单位也有自己的保密要求,毕竟信息安全是个敏感的行业,所以可信、保密是安全众测模式的重要基石之一。

因此,可信众测的必要条件之一是:通过打破安全服务公司围墙,让安全人才能力可信,让天下所有有安全技术的能力者参与安全项目,实力说话。

2、 可信众测必要条件之二:平台透明公正可信

可信众测平台是个“平台”,什么是平台,平台的意义到底是什么?很多人会对平台产生误解。独立安全众测分析师认为,平台就是一个透明公正的舞台,在平台上面的每一位渗透测试人员均享有公平的待遇。因为只有公平才能吸引更多优秀人才到平台为企事业单位提供渗透测试检测服务,如果平台没有发挥平台的积极公正可信作用,而是平台工作人员和平台上面的渗透测试人员竞争的话,这样的众测就不可信了,白帽子渗透测试人员也就不会来了。

所以,独立安全众测分析师认为,可信众测的必要条件之二是公正透明可信的安全众测平台应当是一个中立机构,不能由信息安全产品厂商或者信息安全服务公司创办,这样的话,平台必定将优质的资源专项对自己企业有利的一方。

3、 可信众测必要条件之三:测试过程可信

可信这个词一般的理解是可以相信,可以信赖。然而,相信到信赖是一个过程。在人们当前的理解范围内,对信息安全企业,信息安全知名战队,认证白帽子的信任程度是逐个递减的,如果能有一个针对全程众测渗透测试全过程的审计与控制平台的话会大大增加可信程度,平台应当可以对白帽子渗透测试的全过程进行监控和审计,对于非法操作可以通过平台直接终止其操作做到风险可控。企事业单位可以通过了解白帽子渗透全过程而更加有针对性的进行信息安全建设。

可信众测的必要条件之三是一个开放的平台,平台应当开放个人、组织、企业入驻,并且具备全过程审计能力。

1、认证白帽子入驻:即独立的渗透测试白帽子。信息系统运营使用单位发布众测项目,白帽子报名参与项目,个人信息审核符合条件并通过后可以开始安全测试与漏洞挖掘,测试时间结束后,根据测试结果为白帽子结算奖金。

2、知名安全战队入驻:战队即具有一定互补能力的团队组合在一起。一般一个优质战队包含善于WEB安全方面、逆向方面、社工方面、密码、取证、安全编程等能力人员组成。

3、企业战队入驻:即信息安全厂商安全服务部门或者信息安全服务公司的入驻。

4、可信众测必要条件之四:平台信誉可信

我们都知道,信息安全是相对的,世界上没有100%的安全,企事业单位只能通过不断地从信息安全意识层面、信息安全管理层面、信息安全技术层面以及人等角度持续不断的进行信息安全建设,把风险降到最低,保障都在可控范围之内,可信众测平台不应该将漏洞公开或半公开披露,这对企业信誉以及安全造成严重危害。如果被非法人员利用,将会给企事业单位带来非常严重的信息安全隐患。平台应当采用更加柔和的方式请愿企事业单位进行信息安全建设。因此,可信众测的必要条件之四是众测平台应当保障企事业单位信息安全利益。

通过独立信息安全众测分析师最近对国内几个信息安全众测平台的了解,为大家提供一个信息安全可信众测参考表。(本表格仅仅是独立安全众测分析师个人理解,比较客观,不带有任何商业色彩,仅供参考)

  注:补天平台和其他四家平台模式略有不同,仅供参考。

关键字:平台信众安全服务

本文摘自:博客

x 信息安全可信众测的四个必要条件 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

信息安全可信众测的四个必要条件

责任编辑:editor006 |来源:企业网D1Net  2015-07-20 17:37:09 本文摘自:博客

当前,信息安全众测已经成为了互联网公司、政府企事业单位、金融机构、电商平台和各类手机APP、智能设备厂商针对自身运营的业务平台或信息产品安全“体检”的首选方式,信息安全众测模式打破了传统信息安全渗透测试信息不对称的问题,使得企业和渗透测试白帽子双方均获得收益,众测平台为创造信息安全技术价值者提供了正确技术输出方式与更加丰厚的收入,同时又降低了企事业单位的信息安全渗透测试检测成本。

互联网+安全服务的模式固然很好,但信息安全毕竟是个敏感的问题,信息安全众测的可信,一直是很多企事业单位,特别是政府机构、金融、电力等国家重要部门所关注的问题,作为独立信息安全众测分析师的我已经在信息安全行业浸泡多年,我认为,一个信息安全可信众测平台应当至少应当具备以下四个可信条件,即:人才能力可信、透明公正可信、测试过程可信、平台信用可信。

1、 可信众测必要条件之一:人才能力可信

在过去,企业想做信息安全渗透测试,一般是会找一些安全服务公司或者安全厂商安全服务部门,然后,通过安全服务公司的售前人员和企事业单位安全人员沟通需求,明确测试范围之后,安全服务公司为企事业单位按人天报价。这里的重要问题就是:企业根本不了解安全服务公司最终会派什么水平的渗透测试人员给企业信息系统进行渗透测试检测,不同水平的人,企事业单位所需要支付的费用也都相同。当然,这也不是完全是安全服务公司的问题,当前,信息安全渗透测试人才奇缺,但凡有些能力的人已经不满足于为一个企业服务了,所以,安全服务公司不能保障为每个企事业单位提供有优秀的渗透测试服务人员。

现在好了,出现了乌云众测、威客众测平台、sobug、漏洞盒子等信息安全众测平台,他们打破了中间环节,连接了白帽子和企事业单位,让渗透测试人才信息更加透明,最最重要的是,通过悬赏的方式,让企业可通过互联网悬赏全国优秀渗透测试技术人员为其服务,互联网打破了原来传统安全服务公司的围墙,让更多的优秀人才和企事业单位建立了联系,并按照实际的测试效果付费。

“互联网+安全”的模式的缺陷就是可信这个属性,很多人都会问怎么保证我们的信息不被泄露?白帽子有自己的保密要求,企事业单位也有自己的保密要求,毕竟信息安全是个敏感的行业,所以可信、保密是安全众测模式的重要基石之一。

因此,可信众测的必要条件之一是:通过打破安全服务公司围墙,让安全人才能力可信,让天下所有有安全技术的能力者参与安全项目,实力说话。

2、 可信众测必要条件之二:平台透明公正可信

可信众测平台是个“平台”,什么是平台,平台的意义到底是什么?很多人会对平台产生误解。独立安全众测分析师认为,平台就是一个透明公正的舞台,在平台上面的每一位渗透测试人员均享有公平的待遇。因为只有公平才能吸引更多优秀人才到平台为企事业单位提供渗透测试检测服务,如果平台没有发挥平台的积极公正可信作用,而是平台工作人员和平台上面的渗透测试人员竞争的话,这样的众测就不可信了,白帽子渗透测试人员也就不会来了。

所以,独立安全众测分析师认为,可信众测的必要条件之二是公正透明可信的安全众测平台应当是一个中立机构,不能由信息安全产品厂商或者信息安全服务公司创办,这样的话,平台必定将优质的资源专项对自己企业有利的一方。

3、 可信众测必要条件之三:测试过程可信

可信这个词一般的理解是可以相信,可以信赖。然而,相信到信赖是一个过程。在人们当前的理解范围内,对信息安全企业,信息安全知名战队,认证白帽子的信任程度是逐个递减的,如果能有一个针对全程众测渗透测试全过程的审计与控制平台的话会大大增加可信程度,平台应当可以对白帽子渗透测试的全过程进行监控和审计,对于非法操作可以通过平台直接终止其操作做到风险可控。企事业单位可以通过了解白帽子渗透全过程而更加有针对性的进行信息安全建设。

可信众测的必要条件之三是一个开放的平台,平台应当开放个人、组织、企业入驻,并且具备全过程审计能力。

1、认证白帽子入驻:即独立的渗透测试白帽子。信息系统运营使用单位发布众测项目,白帽子报名参与项目,个人信息审核符合条件并通过后可以开始安全测试与漏洞挖掘,测试时间结束后,根据测试结果为白帽子结算奖金。

2、知名安全战队入驻:战队即具有一定互补能力的团队组合在一起。一般一个优质战队包含善于WEB安全方面、逆向方面、社工方面、密码、取证、安全编程等能力人员组成。

3、企业战队入驻:即信息安全厂商安全服务部门或者信息安全服务公司的入驻。

4、可信众测必要条件之四:平台信誉可信

我们都知道,信息安全是相对的,世界上没有100%的安全,企事业单位只能通过不断地从信息安全意识层面、信息安全管理层面、信息安全技术层面以及人等角度持续不断的进行信息安全建设,把风险降到最低,保障都在可控范围之内,可信众测平台不应该将漏洞公开或半公开披露,这对企业信誉以及安全造成严重危害。如果被非法人员利用,将会给企事业单位带来非常严重的信息安全隐患。平台应当采用更加柔和的方式请愿企事业单位进行信息安全建设。因此,可信众测的必要条件之四是众测平台应当保障企事业单位信息安全利益。

通过独立信息安全众测分析师最近对国内几个信息安全众测平台的了解,为大家提供一个信息安全可信众测参考表。(本表格仅仅是独立安全众测分析师个人理解,比较客观,不带有任何商业色彩,仅供参考)

  注:补天平台和其他四家平台模式略有不同,仅供参考。

关键字:平台信众安全服务

本文摘自:博客

电子周刊
回到顶部
网站地图

企业网D1Net 信众智-CIO社交平台 第1培训-企业数字化培训平台 会展活动

CIO 数字化转型 云计算 数据中心 大数据 元宇宙 物联网 人工智能 安全

移动办公 服务器 存储 访谈 区块链 数据网络 智慧城市 视频会议 芯片

统一通信 企业应用软件 创新技术 新闻中心

联系我们:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

投稿信箱:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^