信息安全全民请愿模式保障企业信息安全利益

发布时间：2020-06-30 21:22:36 阅读：次来源：支架厂家

摘要：近年来，国内民间漏洞平台开始出现并迅速发展，各类平台利用互联网并借助媒体力量暴露出关键基础设施和重要信息系统存在漏洞，这些漏洞会带来极大的安全隐患...

关键词：信息安全

近年来，国内民间漏洞平台开始出现并迅速发展，各类平台利用互联网并借助媒体力量暴露出关键基础设施和重要信息系统存在漏洞，这些漏洞会带来极大的安全隐患，一旦被非法黑客利用，不仅可能威胁到网络数据和用户个人信息的安全，甚至可能会危害整个信息系统的安全运行，为此，中国互联网协会网络与信息安全工作委员会组织相关单位于2015年6月19日共同签署了《中国互联网协会漏洞信息披露和处置自律公约》。

威客众测平台一直致力于为企业和白帽子搭建一个可信、可靠的漏洞交易的平台，同时，为了让企业认识到信息安全事件所导致的风险，并督促企业进行安全检测和整改，平台于2014年一上线来就首次独创提出全民安全“请愿”模式，很好的解决白帽子和厂商之间的直接矛盾，同时，在合理合法的保障厂商利益的情况下，为国家有关监管部门提供了创新的安全监管渠道。

1、什么是网络安全“全民请愿”模式：全民请愿各类厂商做好信息安全建设，让使用者和客户放心。

“请愿”的意思是人民向国家机关或官员提出意见或有所请求;采取集体行动要求政府或主管当局满足某些愿望，或改革某种政策措施。

网络安全“全民请愿”即是：任何人在使用各类互联网产品时，该产品或企业存储有个人敏感信息，如：家庭住址、手机号、联系人、订单等，如果不放心该公司和产品的安全能力是否能够满足防泄密的要求，可以在平台上随时请愿该公司接受全民监督和检查并公示其安全性，或者在安全上做的建设情况，已达到让客户放心的目的。或者当白帽子发现某个厂商信息系统具有漏洞，在威客众测平台上发布请愿，联合所有白帽子、公民等请求厂商进行安全建设，并随时接受信息安全全民监督，而并不是将其漏洞公开到互联网上，甚至通报给媒体作为新闻噱头和舆论威胁并曝光，最终，不光导致企业信誉受损、厂商漏洞也有可能被非法人员利用，对社会秩序和公共利益乃至国家安全带来威胁。

2、网络安全“请愿”模式优势：保障厂商利益，开辟政府、全民监管新渠道

白帽子提交一些已发现的厂商安全问题漏洞，威客众测平台“全民请愿”模式可以威客众测平台作为中间环节的纽带，会与厂商联系协调把请愿项目敦促成立众测项目，真正的保证白帽子利益的同时又解决了厂商的信息安全的问题。

在厂商解决安全问题的同时，让全国民众知道该厂商对公司产品和服务的安全能力很强，在一定程度上可以抵御黑客和不法分子的攻击，对民众的互联网财产与个人相关信息有很强的保护能力，让大家放心。

威客众测平台励志为广大白帽子，厂商客户，人民群众做好信息安全服务，为大家能够放心的在互联网上使用各类产品，还互联网一片宁静的天空。

3、安全“请愿”流程

第一步、登陆威客众测平台“发布请愿”：填写好要请愿的企业名称和信息系统，以及请愿的理由。

第二步、可以通过手机、电脑等方式传播请愿信息，之后会有群众精神支持。

第三步、当精神支持达到一定数量，威客众测平台会协助情愿者请求监管部门协助并联系厂商做安全众测。

4、如何保障“众测”项目安全：基于“用户可信授权”的是基础。

整个可信众测组织分为4个层级，从上而下信任体系逐渐增强。

第一信任层级、松散白帽子：松散白帽子即全国的个人白帽子安全专家，众测标准模式之一，信息系统运营使用单位发布众测项目，白帽子报名，个人信息审核符合条件通过后开始安全测试，测试时间结束后依据结果结账。

第二信任层级、知名安全战队：如果信息系统运营使用单位对松散白帽子测试缺乏信任，可组织邀请国内知名战队入驻平台，以增加可信程度，让团队更有组织性、可靠性。

第三信任层级、企业战队：如果信息系统运营使用单位对知名战队扔缺乏信任，可采用知名厂商战队入驻。例如：绿盟科技、启明星辰、恒安嘉新等。

第四信任层级、全过程审计与监控平台：最后，通过全过程审计与监控平台，可以对白帽子渗透测试的全过程进行监控和审计，对于非法操作可以通过平台直接终止其操作。

白帽子首先连接入可信VPN后，利用安全账号和密码登陆众测平台，可直接对目标服务器群进行渗透检测，此过程是被“威客行为监控系统”全过程监测，威客行为监控系统使用人员通常可分为众测平台管理人员、白帽子、安全审计人员三类用户。管理员最重要的职责是根据相应的安全策略和白帽子测试应有的操作权限来配置行为监控系统的安全策略。管理员登录行为监控系统后，在其内部，“策略管理”组件负责与管理员进行交互，并将管理员输入的安全策略存储到内部的策略配置库中。

“应用代理”组件是行为监控系统的核心组件，负责中转白帽子测试的操作并与行为监控系统内部其他组件进行交互。“应用代理”组件收到白帽子测试的操作请求后调用“策略管理”组件对该操作行为进行核查，核查依据便是管理员已经配置好的策略配置库，如此次白帽子操作不符合安全策略“应用代理”组件将拒绝该操作行为的执行。

白帽子的测试行为通过“策略管理”组件的核查之后“应用代理”组件则代替白帽子连接目标服务器完成相应操作，并将操作返回结果返回给对应的白帽子;同时此次操作过程被提交给威客行为监控系统内部的“审计模块”，然后此次操作过程被记录到审计日志数据库中。

最后，当需要调查白帽子渗透测试的历史操作记录时，由安全审计员登录行为监控系统进行查询，然后“审计模块”从审计日志数据库中读取相应日志记录并展示在审计员交互界面上。

威客众测平台开创了信息安全众包众测的全新的时代，把安全服务模型很好的融入产品技术研发生命周期中，随时检测实时出结果，无漏洞不付费，全民请愿把信息安全的权利一定程度的交到人民群众手里，让人民群众有了自己的权益维护渠道与方法，让人民群众走到维权之路之前有了自己的话语权，信息安全维权不在束手无策。

威客众测平台在众多大型项目中均有成功案例：滴滴打车、58同城、艺龙网、去哪儿网、36kr、养车点点等数百家中大型公司正在使用威客众测平台的服务，希望有更多的企业加入我们、给人民群众以安全放心的感觉使用我们的产品。

威客众测平台开通全国信息安全应急响应电话：4006119120. 威客众测平台将协同全国办事处、核心战队、核心白帽子、全国合作白帽子以及全国信息安全行业专家为大家保卫护航。

责编：chenjian