《安全众测首选品牌威客众测服务白皮书》由会员分享,可在线阅读,更多相关《安全众测首选品牌威客众测服务白皮书(14页珍藏版)》请在金锄头文库上搜索。
1、 第 0 页 共 14 页 北京 锦龙 信安 科技 有限 公司 总部 电话 :010-65575234 【文档密 级: 完 全公开 】 信息安全 “ 威客 众测 “服务 白皮书 北京 锦龙 信安 科 技有限 公司 二 一五 年四 月 信息 安全 “威 客众 测 ”服务 白 皮书 第 1 页共 14 页 目 录 1. 背景 . 2 2. 平台简介 . 4 3. 平台优势 . 5 3.1. 安全众测服 务 . 5 3.1.1. 概述 . 5 3.1.2. 计费方法 . 5 3.2. 免费招聘资 讯服务 . 5 3.3. 免费集成漏 扫检测服 务 . 5 4. 传统模式与 众测模式 对比 . 7
2、5. 众测可信保 障 . 9 5.1. 安全的授权 . 9 5.2. 行为的审计 . 9 5.3. 过程的竞争 . 9 5.4. 结果的保密 . 9 5.5. 可信的战队 . 9 6. 合作伙伴与 成功案例 . 10 附录 1 锦龙 信安简介 . 11 附录 2 发展 历程 . 11 信息 安全 “威 客众 测 ”服务 白 皮书 第 2 页共 14 页 1. 背景 当前, 随着互联网 、 物联网 、 云计算、 大数据 、 人工智能等技术的迅速发展, 以及互联网和传统行业的边界越来越模糊, 人们从 衣食住行到 国家发展都产生了 对 网络与信息系统 的重度依赖, 信息安全是保障信息系统正常运行,
3、数据完整性 的必要工作 。 所以 , 从信息系统的规划设计、 开发实现、 测试、 上线 、 运行全过 程 的各个阶段都需要对信息系统的安全性进行有效保障 , 安全 测试是直接验证当 前信息系统安全 防护体系 脆弱性的必要 手段。 渗透测试 是通过模拟 黑客的攻击方 法, 来评估 计算机网络系统 安全的一种评估方法。 这个过程包括对系统的任何弱 点、 技术缺陷或漏洞的主动分析, 这个分析是从一个攻击者可能存在的位置来进 行的, 并且从这个位置有条件主动利用安全漏洞。 渗透测试的效果取决于测试 者 本身的 技术积累、 实战经验 等信息安全综合能力 。 信息安全众测 (以下简称 “ 众测” ) 是一
4、种全新 的互联网思维渗透测试模式, 通过利用互联网 平台, 组织 全球具有一定渗透能力的 信息安全专家 (业内统称 “ 白 帽子 ” ) , 以项目赏金的形式 , 依据 其对 应用系统的检测成果为其支付一定的费用, 如果 没有检测 成果, 则信息系统 运营使用单位 无需支付任何费用 , 同样, 白帽子 也不会获得相应赏金。 众测模式有效的帮助信息系统运营使用单位 的 应用系统进行了全面的信息 安全渗透 测试, 打破了 之前传统信息安全渗透测试采用 扫描器 工具检测和技术 参 差不齐的安全工程师利用手工简单渗透 测 试 的现 状 ,大大提高了渗透测试的效 果, 使信息系统运营使用单位的 信息安全
5、 经费 花到了 “ 刀刃上” , 可根据众测结果 “ 照方抓药 ” , 实现有针对性 的整改建设 。 同时 , 众测 模式有效调动了 白帽子 的热 情, 一分耕耘 , 一分收获 , 使白帽子具有更多 的 动力 去深入研究安全检测、 漏洞 挖掘 等技术,为更多的信息系统运营使用单位 提供 专业的众测 服务。 十二届全国人大三次会议上, 李克强总理在政府工作报告中首次提出 “互联 网+ ”行动计划 。即互联网行 业应当和传统行 业充分整合, 以 适应时代发展 ,因 此网络与信息安全就显得尤为重要。 虽然 互联网在快速发展, 但是信息安全行业 仍处于信息 严重 不透明的传统行业。 在 这个背景下,
6、北京锦龙信安科技有限公司信息 安全 “威 客众 测 ”服务 白 皮书 第 3 页共 14 页 旗下的 “ 威 客众 测平台 ” 应 运而 生。 威客众 测平 台 是国 内首 家 “基于 用 户授权 ” 的 可信、 可靠、 可 依赖的信息安全 守护神。 未来 , 威客众测 平台将携手各行 各业 合 作伙伴,一同 将信息安全风险降到最低 。 信息 安全 “威 客众 测 ”服务 白 皮书 第 4 页共 14 页 2. 平台简介 威客众测平台 是一个 信息安全行业 的生态圈平台, 平台 整合 了安全测试 “白 帽子” 、 信息安 全顾问、 安全 工程师、销 售、 产品厂家 等角色 , 以安全众测 、安
7、 全 分析、 安全产品 供需信息、 人才招聘 、 交易 信息、 安全培训等服务信息需求 匹 配 、 信息安全 解决方案设计 等为方法, 为信息系 统运营使用单位 提供全面、 专业、 系统 、 标准化的 信息安全建设 解决方案 与安全服务 , 平台通过去中间环节, 改变 了白 帽子、 销售、 安全工程师、 信息安全顾问仅仅 通过从属某公司实现财务收入 的现状 ,使他们 可以通过平台自由交易。 威客众测 平台整合了 全国约 10 万 个白帽子,500 多个专业白帽子战队 及黑 客基地、 邪恶八进制、 学盟网、 岁月联盟、 四叶草 CTF 、T2CK SEC 等国内知名 黑客论坛核心人员, 他们均是
8、优秀的渗透测试人员, 部分战队核心人员 掌握 着一 些重要 应用系统、中间件、第三方开源 系统的重要 漏洞。 威客众测 平台首先通过资质情况对白帽子 进行 初步评判, 然后通过众测项目 中所展现出的实际能力, 进一步评判筛选 白帽子的 个人能力, 凡是得到奖金的白 帽子 均为平台入围白帽子, 平台对每个 白帽子的能力 实行梯队式管理, 由于 涉及 奖金流动 ,进而 实现了众测平台下全部 白帽子的实名制管理。 威客众测 平台功能如下: (1) 安全众测频道 : 平台集结数十万 的安全测 试 “白帽子” 、 安全专家 对网 站、应用系统 、服务器进行安全测试,用户可按效 果为漏洞付费。 (2 )安 全 请愿 频道 : 向 缺 少信 息安 全 意识 的 信 息 系统 运 营使 用单 位请 愿 , 友善 提醒他们重视信息安全建设 。 (3 )招 聘 求职 频道 : 垂直 面向 信息 安 全从业 人 才 找工 作 和信 息系 统运 营 使 用单位招聘安全人才的平台 。 (4 )免 费 检测 频道 : 集成 信息 安全 行 业各 个领 域 针对 网站 与 应用 系统 弱点 扫描平台 、手机 APP 安全检测 的厂家引擎, 为 信息系统运营使用单位 提供 多角 度 安全扫描及安全综合分析与解决方案。 (5 )安 全 加固 频道 : 是为
