專家支招：如何選擇最安全可信的眾測平臺?

文/黎綱榭

漏洞，是絕大部分網(wǎng)絡(luò)安全問題的根源。直接從“根”上防患于未然的安全手段——眾測平臺服務(wù)，成為當前網(wǎng)絡(luò)安全解決方案中最新最亮的一道風(fēng)景。那么，網(wǎng)安眾測平臺哪家強?最新國內(nèi)行業(yè)信息化獎項評選揭曉，讓我們窺見一斑。

8月25日，由中國計算機報聯(lián)合中國計算機行業(yè)協(xié)會、中國信息化推進聯(lián)盟共同主辦、主題為“融合從信息開始，創(chuàng)新由IT先行”的第八屆中國行業(yè)信息化獎項評選活動暨2016中國行業(yè)信息化發(fā)展高峰論壇在北京舉行。

在本次評選中，憑借其雄厚的技術(shù)實力、安全可信的體系服務(wù)品質(zhì)和持續(xù)創(chuàng)新能力，安恒“雷神”可信眾測解決方案獲“2016年度中國信息安全領(lǐng)域最佳解決方案獎”。

做過產(chǎn)品的銷售的人可能近兩年都會明顯感覺到，在互聯(lián)網(wǎng)發(fā)展迅猛的今天，網(wǎng)絡(luò)安全也越來越成熟，但是安全產(chǎn)品卻越來越難賣了。目前安全市場的各種安全產(chǎn)品都是品種齊全，種類繁多，產(chǎn)品的性能、功能、價格也都大同小異，而客戶的要求越來越高，對服務(wù)的人員的素質(zhì)要求也越來越高，不再是簡單的滿足于設(shè)備掃描出的報告結(jié)果。在這種情況下，眾測平臺營運而生，終結(jié)了安全廠商只靠產(chǎn)品解決網(wǎng)絡(luò)安全問題的困獸之斗。

什么是眾測?

所謂眾測，就是眾包模式在安全測試領(lǐng)域的一種表現(xiàn)。也就是企業(yè)把自己的產(chǎn)品給到安全眾測平臺，由平臺的安全人員(這些安全人員也不隸屬平臺，而是來自互聯(lián)網(wǎng))進行安全測試�，F(xiàn)在市面上的眾測平臺已有多家，其中很多眾測平臺都是選取互聯(lián)網(wǎng)上的測試人員來進行測試，導(dǎo)致測試的人員不可控，測試的結(jié)果存在很大的不確定性，測試過程中所帶來的安全風(fēng)險不可控。

眾測行業(yè)——傳統(tǒng)安全行業(yè)的終結(jié)者

大眾化概念在互聯(lián)網(wǎng)時代并不新鮮，之所以稱之為“眾”，關(guān)鍵在于“眾”的力量，遠遠大于個體。此前關(guān)于“眾”詞匯已經(jīng)存在，眾籌幫助創(chuàng)業(yè)者完成資金積累并最終實現(xiàn)創(chuàng)業(yè)夢想;眾包則開拓了公司的運營思路，從根本完成了企業(yè)優(yōu)化配置。眾測也開始登上歷史的舞臺，這當中并非巧合，聚眾的力量，才能夠凝聚時代的力量。我們將眾測來和以往的滲透測試做個對比就可以發(fā)現(xiàn)，在傳統(tǒng)的滲透測試模式中，傳統(tǒng)的滲透測試，全部是按照人天進行計費，安全公司雖然會派出資深的安全專家，但是由于受到人員的限制，測試的廣度與全面程度必然受到限制，而如果用增加人天的方式來提升效果，效果提升與人天的增長很難成正比。

而懸賞式、項目式的眾測，企業(yè)往往能規(guī)定自己的測試范圍，挑選自己的測試人員，專業(yè)的廠商和白帽子們會在獎勵和競爭的驅(qū)動下，發(fā)揮出更大的功力。

眾測模式的弊端

眾測平臺對于“白帽子”們有著比較嚴格的審核，會優(yōu)先考慮于供職于安全公司的身家清白的安全專家。而這一點也是眾測模式被客戶挑戰(zhàn)最多的地方：客戶們會非常擔(dān)心眾測平臺對于白帽子們的控制和管理能力，如果有個別白帽子在測試過程中隱藏了一個后門，或者是把數(shù)據(jù)拖走了怎么辦?又或者因為測試造成的不穩(wěn)定算誰的責(zé)任?因此，對于機密性及風(fēng)險控制要求較高的企業(yè)，如金融、政府、運營商類用戶，目前無法接受這類過于開放式的服務(wù)模式，用戶需要有專業(yè)資質(zhì)、完善的測試服務(wù)體系、健全的人員管理體系的企業(yè)來協(xié)助自身完善信息安全防御體系。

怎樣選擇出最可靠的可信眾測平臺

由于以上原因，國家也開始制定對眾測平臺的法律監(jiān)管體系，隨著今年《網(wǎng)絡(luò)安全法》二審稿的出臺，國內(nèi)的眾測環(huán)境開始走向良性循環(huán)。而對于平臺來說，能同時做到私密、規(guī)范、性價比高的還為數(shù)不多。

在這種情況下，可信眾測(安恒信息為國內(nèi)第一家提出了此概念)出現(xiàn)了，成為國內(nèi)最安全的可信眾測平臺，安恒信息可信眾又名雷神眾測，選取的是完全可信的白帽子——優(yōu)先考慮選取安恒信息的公司內(nèi)部成員，從內(nèi)部的角度開展這個眾測，由于安恒公司本就長期服務(wù)于金融、政府、運營商等用戶，成功避免了傳統(tǒng)互聯(lián)網(wǎng)眾測中客戶的多種擔(dān)憂，在此環(huán)境下采取眾測的模式同時解決了傳統(tǒng)測試的弊端。

企業(yè)使用雷神可信眾測后，可自主發(fā)布獎勵計劃，激勵雷神眾測平臺的可信白帽子來測試和提交企業(yè)自身網(wǎng)站或業(yè)務(wù)系統(tǒng)的漏洞，全面發(fā)現(xiàn)安全問題和風(fēng)險，按漏洞效果付費。

安恒信息安全專家免費進行漏洞審核，若確認為該企業(yè)的漏洞，平臺將會通知您過來查看和修復(fù)漏洞。

在審計方面，雷神眾測所有可信白帽子采用了VPN系統(tǒng)統(tǒng)一了測試出口，這使得用戶更容易識別授權(quán)測試與惡意攻擊，避免了不良分子趁著眾測的時機魚目混珠進行惡意攻擊。而雷神眾測內(nèi)部的VPN系統(tǒng)也自帶了一套審計系統(tǒng)，最大程度的保障用戶測試過程中的風(fēng)險可控。

為什么選擇雷神眾測平臺

雷神眾測由于其測試可信、全面、高效的優(yōu)勢，從15年成立開始就已經(jīng)承擔(dān)了第二屆世界互聯(lián)網(wǎng)大會、G20、B20等大型國際會議保障中最終測試者的角色，并在實踐中獲得了多方認可。目前，雷神眾測的服務(wù)范圍已經(jīng)全面覆蓋政府、金融、能源及運營商等各主流行業(yè)領(lǐng)域。經(jīng)過中國行業(yè)信息化領(lǐng)域權(quán)威專家評審，雷神眾測憑借其可信的管理體系、頂尖的技術(shù)水平、穩(wěn)定可靠的質(zhì)量及優(yōu)質(zhì)的服務(wù)被授予2016年度中國電子政務(wù)最佳解決方案獎。