浅谈如何合法化、规范化做好安全众测?
作者:星期一, 十月 15, 20180

随着网络及信息安全的国家战略地位的奠定,国家、社会、企事业单位及个人对网络安全的关注度、参与度空前提高,全民参与成为新的网络安全治理模式。

互联网众测平台则是网络安全行业全民参与治理的典型,聚集跨地区、跨业务、跨技术领域的网络安全专家、以竞测的形式更好的帮助企事业单位、公司等从多维度、多角度、多方面排除安全隐患,提升其安全防护的安全软实力。互联网众测平台,能力汇集、共享、协同的优势,打破了单个企事业单位网络安全部门、专家资源有限性的壁垒,为解决业务复杂、庞大的网络安全问题和降低安全成本提供了可能。如:

1

为安全成熟度较高的大型互联网公司提供安全能力补充和人员管理、输出文档管理等。虽然大型企业已经有较大的内部安全团队,但面对着庞大的业务线,不依赖外部的力量是不可能解决完所有的安全问题的,互联网众测平台聚集了国内外知名安全专家技术能力、可以快速查漏补缺与企业内部的安全力量形成很好的互补。

2

 降低新兴的发展中互联网公司网络安全维护成本。很多新兴企业不是不重视安全,而是因为高昂的安全成本让他们望而却步,而互联网众测平台其投入成本低、交付时间短、测试效果好无疑可以作为新兴企业的选择。

3

可以应对云计算业务分散性安全问题的需求。对于从事云平台行业的企业,管理着大量的用户资产和敏感数据,而庞大的业务量,对于任何一个企业来讲,无疑是巨大的安全挑战,互联网众测平台云集了各地行业内的顶级安全专家,这非常适用于云平台安全需求。

4

为公司管理节省时间成本。很多传统行业巨头或大型国企,会组建(内部安全团队+外部多个安全公司的安全团队)这样的安全团队,而对于管理这样复杂且多样化的安全团队来讲,互联网众测平台私有化版本可以实现安全人才的有效管理,并且可以标准化漏洞报告交付及漏洞管理流程,使管理者节省更多的时间成本,投入到其他安全建设上去。

由于互联网安全众测模式发展尚属于初级阶段,没有准入门槛,规范化管理体系尚未形成。如何合法化、规范化做好互联网安全众测迫在眉睫。本着对客户和参与测试人员及单位负责任的态度,因此众测平台需要:

1

做好参与人员和单位的管理、项目过程管控等规范。

01

对参与人员进行身份认证、信息关卡、第三方监管、签约保障。

所有安全专家通过姓名、银行卡账户、预留手机号组成的三因素来进行实名身份认证。设置信誉关卡环境,平台对安全专家采用邀请注册制。面向进入体系客户,可以选择监管组件提供更加全面的保障。所有安全专家均需通过平台完成安全保密协议签订。

02

 测试流量审计,做到过程可监控、重大事件可追溯。

03

项目范围、时间、内容、过程的管控。明确测试时间、测试范围、测试深度、责任边界,众测平台需要与企业签订测试授权书,满足安全专家对项目方的信任;同时,平台方需要与安全专家签订保密协议,关于项目方的漏洞细节不能公开披露,不能非法获取大量项目敏感数据等,确保项目方对安全专家的信任。

2

从法律法规层面对其进行管控。

《中华人民共和国网络安全法》,明确指出,任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动。在众测环节中:参与测试的安全专家通过与安全众测平台签署保密协议、与厂商签署项目授权书明确测试时间和范围,来保证客户信息不外泄,和未经授权不可测的问题。通过对人员的管控极大地解决了一部分合规问题,将企业的损失降到最低,避免了安全专家在未经授权的情况下对计算机信息系统进行删除、增加、修改、干扰等问题。促进了我国互联网的健康发展,为维护网络空间主权和国家安全、社会公共利益,保护公民和更多组织的合法权益提供了强有力的支撑。

《网络安全法》第二十条,提出国家支持企业和高等院校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。而安全人才的培养,终究不是纸上谈兵,需要实际的演练环境,无非是攻防对抗,我们都知道,在高校,学生想要通过实际演练来提升和学习技能,必须要在相关单位授权、或老师允许的情况下进行。201895日,中国工程院方滨兴院士也牵头成立了中国网络空间安全人才教育联盟”,解决安全网络人才培养的三大难题:一是人才怎么来的问题,探索出一套成熟地培养机制;二是解决怎么教的问题,针对不同的群体因材施教;三是人才的就业方向和企业选人的标准。

一些网络安全技术爱好者,或许并未接受过系统的专业培训,对国家法律法规了解又较少,出于兴趣爱好擅自对网络环境进行攻击检测、漏洞挖掘。而安全众测模式,以结果为导向,按照漏洞贡献率激励,重视网络安全技术和能力,为安全专家和技术爱好者提供了实战演练的环境,又保证了遵循国家法律法规、将企业和个人损失降到最低。杜绝了利用互联网实施的犯罪活动,避免了一些信息泄露事件。

安全众测平台在项目实施过程中,已经形成了一套成熟的项目流程和机制,让网络安全技术专家有矩可循、有法可依。为安全人才就业提供了环境和机会。

未来,安全众测平台的机制、模式将不断优化和完善,为探索科学可行的网安人才培养新模式,努力缩小国家网安人才需求缺口,为国家网安事业发展提供强有力的支撑、实现长足发展。为开展网络空间治理、打击网络违法犯罪,推动构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的网络治理体系贡献力量。

ps:所有图片来源网络,我们尊重原创作者。

 

分享:

相关文章

写一条评论

 

 

0条评论