專家支招：如何選擇最安全可信的眾測(cè)平臺(tái)?

文/黎綱榭

漏洞，是絕大部分網(wǎng)絡(luò)安全問題的根源。直接從“根”上防患于未然的安全手段——眾測(cè)平臺(tái)服務(wù)，成為當(dāng)前網(wǎng)絡(luò)安全解決方案中最新最亮的一道風(fēng)景。那么，網(wǎng)安眾測(cè)平臺(tái)哪家強(qiáng)?最新國(guó)內(nèi)行業(yè)信息化獎(jiǎng)項(xiàng)評(píng)選揭曉，讓我們窺見一斑。

8月25日，由中國(guó)計(jì)算機(jī)報(bào)聯(lián)合中國(guó)計(jì)算機(jī)行業(yè)協(xié)會(huì)、中國(guó)信息化推進(jìn)聯(lián)盟共同主辦、主題為“融合從信息開始，創(chuàng)新由IT先行”的第八屆中國(guó)行業(yè)信息化獎(jiǎng)項(xiàng)評(píng)選活動(dòng)暨2016中國(guó)行業(yè)信息化發(fā)展高峰論壇在北京舉行。

在本次評(píng)選中，憑借其雄厚的技術(shù)實(shí)力、安全可信的體系服務(wù)品質(zhì)和持續(xù)創(chuàng)新能力，安恒“雷神”可信眾測(cè)解決方案獲“2016年度中國(guó)信息安全領(lǐng)域最佳解決方案獎(jiǎng)”。

做過產(chǎn)品的銷售的人可能近兩年都會(huì)明顯感覺到，在互聯(lián)網(wǎng)發(fā)展迅猛的今天，網(wǎng)絡(luò)安全也越來越成熟，但是安全產(chǎn)品卻越來越難賣了。目前安全市場(chǎng)的各種安全產(chǎn)品都是品種齊全，種類繁多，產(chǎn)品的性能、功能、價(jià)格也都大同小異，而客戶的要求越來越高，對(duì)服務(wù)的人員的素質(zhì)要求也越來越高，不再是簡(jiǎn)單的滿足于設(shè)備掃描出的報(bào)告結(jié)果。在這種情況下，眾測(cè)平臺(tái)營(yíng)運(yùn)而生，終結(jié)了安全廠商只靠產(chǎn)品解決網(wǎng)絡(luò)安全問題的困獸之斗。

什么是眾測(cè)?

所謂眾測(cè)，就是眾包模式在安全測(cè)試領(lǐng)域的一種表現(xiàn)。也就是企業(yè)把自己的產(chǎn)品給到安全眾測(cè)平臺(tái)，由平臺(tái)的安全人員(這些安全人員也不隸屬平臺(tái)，而是來自互聯(lián)網(wǎng))進(jìn)行安全測(cè)試�，F(xiàn)在市面上的眾測(cè)平臺(tái)已有多家，其中很多眾測(cè)平臺(tái)都是選取互聯(lián)網(wǎng)上的測(cè)試人員來進(jìn)行測(cè)試，導(dǎo)致測(cè)試的人員不可控，測(cè)試的結(jié)果存在很大的不確定性，測(cè)試過程中所帶來的安全風(fēng)險(xiǎn)不可控。

眾測(cè)行業(yè)——傳統(tǒng)安全行業(yè)的終結(jié)者

大眾化概念在互聯(lián)網(wǎng)時(shí)代并不新鮮，之所以稱之為“眾”，關(guān)鍵在于“眾”的力量，遠(yuǎn)遠(yuǎn)大于個(gè)體。此前關(guān)于“眾”詞匯已經(jīng)存在，眾籌幫助創(chuàng)業(yè)者完成資金積累并最終實(shí)現(xiàn)創(chuàng)業(yè)夢(mèng)想;眾包則開拓了公司的運(yùn)營(yíng)思路，從根本完成了企業(yè)優(yōu)化配置。眾測(cè)也開始登上歷史的舞臺(tái)，這當(dāng)中并非巧合，聚眾的力量，才能夠凝聚時(shí)代的力量。我們將眾測(cè)來和以往的滲透測(cè)試做個(gè)對(duì)比就可以發(fā)現(xiàn)，在傳統(tǒng)的滲透測(cè)試模式中，傳統(tǒng)的滲透測(cè)試，全部是按照人天進(jìn)行計(jì)費(fèi)，安全公司雖然會(huì)派出資深的安全專家，但是由于受到人員的限制，測(cè)試的廣度與全面程度必然受到限制，而如果用增加人天的方式來提升效果，效果提升與人天的增長(zhǎng)很難成正比。

而懸賞式、項(xiàng)目式的眾測(cè)，企業(yè)往往能規(guī)定自己的測(cè)試范圍，挑選自己的測(cè)試人員，專業(yè)的廠商和白帽子們會(huì)在獎(jiǎng)勵(lì)和競(jìng)爭(zhēng)的驅(qū)動(dòng)下，發(fā)揮出更大的功力。

眾測(cè)模式的弊端

眾測(cè)平臺(tái)對(duì)于“白帽子”們有著比較嚴(yán)格的審核，會(huì)優(yōu)先考慮于供職于安全公司的身家清白的安全專家。而這一點(diǎn)也是眾測(cè)模式被客戶挑戰(zhàn)最多的地方：客戶們會(huì)非常擔(dān)心眾測(cè)平臺(tái)對(duì)于白帽子們的控制和管理能力，如果有個(gè)別白帽子在測(cè)試過程中隱藏了一個(gè)后門，或者是把數(shù)據(jù)拖走了怎么辦?又或者因?yàn)闇y(cè)試造成的不穩(wěn)定算誰的責(zé)任?因此，對(duì)于機(jī)密性及風(fēng)險(xiǎn)控制要求較高的企業(yè)，如金融、政府、運(yùn)營(yíng)商類用戶，目前無法接受這類過于開放式的服務(wù)模式，用戶需要有專業(yè)資質(zhì)、完善的測(cè)試服務(wù)體系、健全的人員管理體系的企業(yè)來協(xié)助自身完善信息安全防御體系。

怎樣選擇出最可靠的可信眾測(cè)平臺(tái)

由于以上原因，國(guó)家也開始制定對(duì)眾測(cè)平臺(tái)的法律監(jiān)管體系，隨著今年《網(wǎng)絡(luò)安全法》二審稿的出臺(tái)，國(guó)內(nèi)的眾測(cè)環(huán)境開始走向良性循環(huán)。而對(duì)于平臺(tái)來說，能同時(shí)做到私密、規(guī)范、性價(jià)比高的還為數(shù)不多。

在這種情況下，可信眾測(cè)(安恒信息為國(guó)內(nèi)第一家提出了此概念)出現(xiàn)了，成為國(guó)內(nèi)最安全的可信眾測(cè)平臺(tái)，安恒信息可信眾又名雷神眾測(cè)，選取的是完全可信的白帽子——優(yōu)先考慮選取安恒信息的公司內(nèi)部成員，從內(nèi)部的角度開展這個(gè)眾測(cè)，由于安恒公司本就長(zhǎng)期服務(wù)于金融、政府、運(yùn)營(yíng)商等用戶，成功避免了傳統(tǒng)互聯(lián)網(wǎng)眾測(cè)中客戶的多種擔(dān)憂，在此環(huán)境下采取眾測(cè)的模式同時(shí)解決了傳統(tǒng)測(cè)試的弊端。

企業(yè)使用雷神可信眾測(cè)后，可自主發(fā)布獎(jiǎng)勵(lì)計(jì)劃，激勵(lì)雷神眾測(cè)平臺(tái)的可信白帽子來測(cè)試和提交企業(yè)自身網(wǎng)站或業(yè)務(wù)系統(tǒng)的漏洞，全面發(fā)現(xiàn)安全問題和風(fēng)險(xiǎn)，按漏洞效果付費(fèi)。

安恒信息安全專家免費(fèi)進(jìn)行漏洞審核，若確認(rèn)為該企業(yè)的漏洞，平臺(tái)將會(huì)通知您過來查看和修復(fù)漏洞。

在審計(jì)方面，雷神眾測(cè)所有可信白帽子采用了VPN系統(tǒng)統(tǒng)一了測(cè)試出口，這使得用戶更容易識(shí)別授權(quán)測(cè)試與惡意攻擊，避免了不良分子趁著眾測(cè)的時(shí)機(jī)魚目混珠進(jìn)行惡意攻擊。而雷神眾測(cè)內(nèi)部的VPN系統(tǒng)也自帶了一套審計(jì)系統(tǒng)，最大程度的保障用戶測(cè)試過程中的風(fēng)險(xiǎn)可控。

為什么選擇雷神眾測(cè)平臺(tái)

雷神眾測(cè)由于其測(cè)試可信、全面、高效的優(yōu)勢(shì)，從15年成立開始就已經(jīng)承擔(dān)了第二屆世界互聯(lián)網(wǎng)大會(huì)、G20、B20等大型國(guó)際會(huì)議保障中最終測(cè)試者的角色，并在實(shí)踐中獲得了多方認(rèn)可。目前，雷神眾測(cè)的服務(wù)范圍已經(jīng)全面覆蓋政府、金融、能源及運(yùn)營(yíng)商等各主流行業(yè)領(lǐng)域。經(jīng)過中國(guó)行業(yè)信息化領(lǐng)域權(quán)威專家評(píng)審，雷神眾測(cè)憑借其可信的管理體系、頂尖的技術(shù)水平、穩(wěn)定可靠的質(zhì)量及優(yōu)質(zhì)的服務(wù)被授予2016年度中國(guó)電子政務(wù)最佳解決方案獎(jiǎng)。