安全众测首选品牌威客众测服务白皮书

信息安全领域的众包众测平台第0页共14页北京锦龙信安科技有限公司总部电话：010-65575234【文档密级：完全公开】信息安全“威客众测“服务白皮书北京锦龙信安科技有限公司二〇一五年四月信息安全“威客众测”服务白皮书第1页共14页目录1.背景...........................................................................................................................................22.平台简介...................................................................................................................................43.平台优势...................................................................................................................................53.1.安全众测服务...............................................................................................................53.1.1.概述...................................................................................................................53.1.2.计费方法...........................................................................................................53.2.免费招聘资讯服务.......................................................................................................53.3.免费集成漏扫检测服务...............................................................................................54.传统模式与众测模式对比.......................................................................................................75.众测可信保障...........................................................................................................................95.1.安全的授权...................................................................................................................95.2.行为的审计...................................................................................................................95.3.过程的竞争...................................................................................................................95.4.结果的保密...................................................................................................................95.5.可信的战队...................................................................................................................96.合作伙伴与成功案例.............................................................................................................10附录1锦龙信安简介....................................................................................................................11附录2发展历程............................................................................................................................11信息安全“威客众测”服务白皮书第2页共14页1.背景当前，随着互联网、物联网、云计算、大数据、人工智能等技术的迅速发展，以及互联网和传统行业的边界越来越模糊，人们从衣食住行到国家发展都产生了对网络与信息系统的重度依赖，信息安全是保障信息系统正常运行，数据完整性的必要工作。所以，从信息系统的规划设计、开发实现、测试、上线、运行全过程的各个阶段都需要对信息系统的安全性进行有效保障，安全测试是直接验证当前信息系统安全防护体系脆弱性的必要手段。渗透测试是通过模拟黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。渗透测试的效果取决于测试者本身的技术积累、实战经验等信息安全综合能力。信息安全众测（以下简称“众测”）是一种全新的互联网思维渗透测试模式，通过利用互联网平台，组织全球具有一定渗透能力的信息安全专家（业内统称“白帽子”），以项目赏金的形式，依据其对应用系统的检测成果为其支付一定的费用，如果没有检测成果，则信息系统运营使用单位无需支付任何费用，同样，白帽子也不会获得相应赏金。众测模式有效的帮助信息系统运营使用单位的应用系统进行了全面的信息安全渗透测试，打破了之前传统信息安全渗透测试采用扫描器工具检测和技术参差不齐的安全工程师利用手工简单渗透测试的现状，大大提高了渗透测试的效果，使信息系统运营使用单位的信息安全经费花到了“刀刃上”，可根据众测结果“照方抓药”，实现有针对性的整改建设。同时，众测模式有效调动了白帽子的热情，一分耕耘，一分收获，使白帽子具有更多的动力去深入研究安全检测、漏洞挖掘等技术，为更多的信息系统运营使用单位提供专业的众测服务。十二届全国人大三次会议上，李克强总理在政府工作报告中首次提出“互联网+”行动计划。即互联网行业应当和传统行业充分整合，以适应时代发展，因此网络与信息安全就显得尤为重要。虽然互联网在快速发展，但是信息安全行业仍处于信息严重不透明的传统行业。在这个背景下，北京锦龙信安科技有限公司信息安全“威客众测”服务白皮书第3页共14页旗下的“威客众测平台”应运而生。威客众测平台是国内首家“基于用户授权”的可信、可靠、可依赖的信息安全守护神。未来，威客众测平台将携手各行各业合作伙伴，一同将信息安全风险降到最低。信息安全“威客众测”服务白皮书第4页共14页2.平台简介威客众测平台是一个信息安全行业的生态圈平台，平台整合了安全测试“白帽子”、信息安全顾问、安全工程师、销售、产品厂家等角色，以安全众测、安全分析、安全产品供需信息、人才招聘、交易信息、安全培训等服务信息需求匹配、信息安全解决方案设计等为方法，为信息系统运营使用单位提供全面、专业、系统、标准化的信息安全建设解决方案与安全服务，平台通过去中间环节，改变了白帽子、销售、安全工程师、信息安全顾问仅仅通过从属某公司实现财务收入的现状，使他们可以通过平台自由交易。威客众测平台整合了全国约10万个白帽子，500多个专业白帽子战队及黑客基地、邪恶八进制、学盟网、岁月联盟、四叶草CTF、T2CKSEC等国内知名黑客论坛核心人员，他们均是优秀的渗透测试人员，部分战队核心人员掌握着一些重要应用系统、中间件、第三方开源系统的重要漏洞。威客众测平台首先通过资质情况对白帽子进行初步评判，然后通过众测项目中所展现出的实际能力，进一步评判筛选白帽子的个人能力，凡是得到奖金的白帽子均为平台入围白帽子，平台对每个白帽子的能力实行梯队式管理，由于涉及奖金流动，进而实现了众测平台下全部白帽子的实名制管理。威客众测平台功能如下：（1）安全众测频道：平台集结数十万的安全测试“白帽子”、安全专家对网站、应用系统、服务器进行安全测试，用户可按效果为漏洞付费。（2）安全请愿频道：向缺少信息安全意识的信息系统运营使用单位请愿，友善提醒他们重视信息安全建设。（3）招聘求职频道：垂直面向信息安全从业人才找工作和信息系统运营使用单位招聘安全人才的平台。（4）免费检测频道：集成信息安全行业各个领域针对网站与应用系统弱点扫描平台、手机APP安全检测的厂家引擎，为信息系统运营使用单位提供多角度安全扫描及安全综合分析与解决方案。（5）安全加固频道：是为信息系统运营使用单位，信息安全顾问提供产品信息供需推荐，销售下单，厂家供货，售后服务的供求信息平台。（6）圈里圈外频道：与信息安全相关的一切文章资讯。信息安全“威客众测”服务白皮书信息安全领域的众包众测平台第5页共14页北京锦龙信安科技有限公司总部电话：010-655752343.平台优势3.1.安全众测服务3.1.1.概述安全众测服务是一种去中间环节的信息系统渗透测试活动，威客众测平台作为信息安全供求交易平台，企业需要在威客众测平台进行充值，针对要测试的应用系统，阐述最终期望的内容与目标，白帽子可任意选择威客众测平台中企业发布的信息系统进行安全测试，平台依据漏洞结果及其利用价值进行等值金额的奖励，从而实现供求双方的双赢。3.1.2.计费方法依据漏洞的危害性，对漏洞予以高、中、低三个等级定级（评级主要依据为漏洞被利用的难易程度）。平台与厂商协商，确认三个等级奖励区间，同时供厂商核算项目最终开销。威客提交的有效漏洞报告，平台方对其予以定级。待众测项目结束后，平台方将根据威客提交漏洞的总体情况，对三个危害等级的漏洞予以确切定价，并根据定价核算出每个提交漏洞的威客的最终所得。3.2.免费招聘资讯服务在信息安全日益蓬勃发展得当下，信息安全人才一直有较大的缺口，威客众测平台广撒英雄帖，已经积累了数以万计的白帽子、信息安全工程师，具有信息安全垂直行业人才资源，随着威客众测平台的不断成长，会更好的将业内一流从业者进行人力资源整合，帮助每一个信息安全从业者实现自我价值，提高每一个企业的信息安全整体水平。企业可以实时免费在威客众测平台发布招聘信息，同时，也可以看到白帽子的求职信息，实现职位和求职者的快速准确匹配。3.3.免费集成漏扫检测服务利用安全检测工具扫描一直是一种简单、快速、低成本的系统漏洞检测方法，鉴于目前市面上扫描器种类繁多，价格昂贵。威客众测平台集成了业内知名的信息安全“威客众测”服