论文部分内容阅读
做过产品销售的人可能近两年都会明显感觉到,在互联网发展迅猛的今天,网络安全也越来越成熟,但是安全产品却越来越难卖了。目前安全市场的安全产品品种齐全,种类繁多,产品的性能、功能、价格也都大同小异,而客户的要求越来越高,对服务的人员的素质要求也越来越高,不再是简单地满足于设备扫描出的报告结果。在这种情况下,众测平台应运而生,终结了安全厂商只靠产品解决网络安全问题的困扰。
什么是众测?
所谓众测,就是众包模式在安全测试领域的一种表现,也就是企业把自己的产品给到安全众测平台,由平台的安全人员(这些安全人员不隶属平台,而是来自互联网)进行安全测试。现在市面上的众测平台已有许多家,其中有的众测平台是选取互联网上的测试人员来进行测试,导致测试的人员不可控,测试的结果存在很大的不确定性,测试过程中所带来的安全风险不可控。
众测行业:传统安全行业的终结者
大众化概念在互联网时代并不新鲜,之所以称之为“众”,关键在于“众”的力量,远远大于个体。此前关于“众”的词汇已经存在:众筹帮助创业者完成资金积累并最终实现创业梦想;众包则开拓了公司的运营思路,从根本上完成了企业优化配置。众测也开始登上历史的舞台,这当中并非巧合,聚众的力量,才能凝聚时代的力量。将众测和以往的渗透测试做个对比就可以发现,在传统的渗透测试模式中,全部是按照人天进行计费,安全公司虽然会派出资深的安全专家,但是由于受到人员的限制,测试的广度与全面程度必然受到限制,而如果用增加人天的方式来提升效果,效果提升与人天的增长很难成正比。
而悬赏式、项目式众测,企业往往能规定自己的测试范围,挑选自己的测试人员,专业厂商和“白帽子”们会在奖励和竞争的驱动下,发挥出更大的功力。
众测模式的弊端
众测平台对于“白帽子”们有着比较严格的审核,会优先考虑供职于安全公司的身家清白的安全专家。而这一点也是众测模式被客户挑战最多的地方:客户会非常担心众测平台对于“白帽子”们的控制和管理能力,如果有个别“白帽子”在测试过程中隐藏了一个后门,或者把数据拖走了怎么办?又或者因为测试造成的不稳定算谁的责任?因此,对于机密性和风险控制要求较高的企业,如金融、政府、运营商类用户,目前无法接受这类过于开放式的服务模式,用户需要有专业资质、完善的测试服务体系、健全的人员管理体系的企业来协助它完善信息安全防御体系。
怎样选择可靠的可信众测平台
基于以上原因,国家也开始构建对众测平台的法律监管体系,随着今年《网络安全法》二审稿的出台,国内的众测环境开始走向良性循环。而对于平台来说,能同时做到私密、规范、性价比高的还为数不多。
在这种情况下,可信众测(安恒信息在国内率先提出了此概念)出现了,成为国内最安全的可信众测平台,安恒信息可信众测又名雷神众测,选取的是可信的“白帽子”——优先考虑选取安恒信息的公司内部成员,从内部的角度开展这个众测。由于安恒公司本就长期服务于金融、政府、运营商等用户,成功避免了传统互联网众测中客户的多种担忧,在此环境下采取众测的模式同时解决了传统测试的弊端。
企业使用雷神众测后,可自主发布奖励计划,激励雷神众测平台的可信“白帽子”来测试和提交企业自身网站或业务系统的漏洞,全面发现安全问题和风险,按漏洞效果付费。
安恒信息安全专家免费进行漏洞审核,若确认为该企业的漏洞,平台将会通知企业过来查看和修复漏洞。
在审计方面,雷神众测所有可信“白帽子”采用VPN系统统一了测试出口,这使得用户更容易识别授权测试与恶意攻击,避免了不良分子趁着众测的时机鱼目混珠进行恶意攻击。而雷神众测内部的VPN系统也自带了一套审计系统,最大程度地保障了用户测试过程中的风险可控。
为什么选择雷神众测平台
雷神众测由于其测试可信、全面、高效的优势,从2015年成立开始就已经承担了第二届世界互联网大会、G20、B20等大型国际会议保障中最终测试者的角色,并在实践中获得了多方的认可。目前,雷神众测的服务范围已经全面覆盖政府、金融、能源、运营商等各主流行业领域。经过中国行业信息化领域权威专家评审,雷神众测凭借其可信的管理体系、尖端的技术水平、稳定可靠的质量与优质的服务被授予“2016年度中国电子政务最佳解决方案奖”。
什么是众测?
所谓众测,就是众包模式在安全测试领域的一种表现,也就是企业把自己的产品给到安全众测平台,由平台的安全人员(这些安全人员不隶属平台,而是来自互联网)进行安全测试。现在市面上的众测平台已有许多家,其中有的众测平台是选取互联网上的测试人员来进行测试,导致测试的人员不可控,测试的结果存在很大的不确定性,测试过程中所带来的安全风险不可控。
众测行业:传统安全行业的终结者
大众化概念在互联网时代并不新鲜,之所以称之为“众”,关键在于“众”的力量,远远大于个体。此前关于“众”的词汇已经存在:众筹帮助创业者完成资金积累并最终实现创业梦想;众包则开拓了公司的运营思路,从根本上完成了企业优化配置。众测也开始登上历史的舞台,这当中并非巧合,聚众的力量,才能凝聚时代的力量。将众测和以往的渗透测试做个对比就可以发现,在传统的渗透测试模式中,全部是按照人天进行计费,安全公司虽然会派出资深的安全专家,但是由于受到人员的限制,测试的广度与全面程度必然受到限制,而如果用增加人天的方式来提升效果,效果提升与人天的增长很难成正比。
而悬赏式、项目式众测,企业往往能规定自己的测试范围,挑选自己的测试人员,专业厂商和“白帽子”们会在奖励和竞争的驱动下,发挥出更大的功力。
众测模式的弊端
众测平台对于“白帽子”们有着比较严格的审核,会优先考虑供职于安全公司的身家清白的安全专家。而这一点也是众测模式被客户挑战最多的地方:客户会非常担心众测平台对于“白帽子”们的控制和管理能力,如果有个别“白帽子”在测试过程中隐藏了一个后门,或者把数据拖走了怎么办?又或者因为测试造成的不稳定算谁的责任?因此,对于机密性和风险控制要求较高的企业,如金融、政府、运营商类用户,目前无法接受这类过于开放式的服务模式,用户需要有专业资质、完善的测试服务体系、健全的人员管理体系的企业来协助它完善信息安全防御体系。
怎样选择可靠的可信众测平台
基于以上原因,国家也开始构建对众测平台的法律监管体系,随着今年《网络安全法》二审稿的出台,国内的众测环境开始走向良性循环。而对于平台来说,能同时做到私密、规范、性价比高的还为数不多。
在这种情况下,可信众测(安恒信息在国内率先提出了此概念)出现了,成为国内最安全的可信众测平台,安恒信息可信众测又名雷神众测,选取的是可信的“白帽子”——优先考虑选取安恒信息的公司内部成员,从内部的角度开展这个众测。由于安恒公司本就长期服务于金融、政府、运营商等用户,成功避免了传统互联网众测中客户的多种担忧,在此环境下采取众测的模式同时解决了传统测试的弊端。
企业使用雷神众测后,可自主发布奖励计划,激励雷神众测平台的可信“白帽子”来测试和提交企业自身网站或业务系统的漏洞,全面发现安全问题和风险,按漏洞效果付费。
安恒信息安全专家免费进行漏洞审核,若确认为该企业的漏洞,平台将会通知企业过来查看和修复漏洞。
在审计方面,雷神众测所有可信“白帽子”采用VPN系统统一了测试出口,这使得用户更容易识别授权测试与恶意攻击,避免了不良分子趁着众测的时机鱼目混珠进行恶意攻击。而雷神众测内部的VPN系统也自带了一套审计系统,最大程度地保障了用户测试过程中的风险可控。
为什么选择雷神众测平台
雷神众测由于其测试可信、全面、高效的优势,从2015年成立开始就已经承担了第二届世界互联网大会、G20、B20等大型国际会议保障中最终测试者的角色,并在实践中获得了多方的认可。目前,雷神众测的服务范围已经全面覆盖政府、金融、能源、运营商等各主流行业领域。经过中国行业信息化领域权威专家评审,雷神众测凭借其可信的管理体系、尖端的技术水平、稳定可靠的质量与优质的服务被授予“2016年度中国电子政务最佳解决方案奖”。