淺談如何合法化、規範化做好安全眾測?
隨著網路及資訊保安的國家戰略地位的奠定,國家、社會、企事業單位及個人對網路安全的關注度、參與度空前提高,全民參與成為新的網路安全治理模式。
網際網路眾測平臺則是網路安全行業全民參與治理的典型,聚集跨地區、跨業務、跨技術領域的網路安全專家、以競測的形式更好的幫助企事業單位、公司等從多維度、多角度、多方面排除安全隱患,提升其安全防護的安全軟實力。網際網路眾測平臺,能力彙集、共享、協同的優勢,打破了單個企事業單位網路安全部門、專家資源有限性的壁壘,為解決業務複雜、龐大的網路安全問題和降低安全成本提供了可能。如:
1
為安全成熟度較高的大型網際網路公司提供安全能力補充和人員管理、輸出文件管理等。 雖然大型企業已經有較大的內部安全團隊,但面對著龐大的業務線, 不依賴外部的力量是不可能解決完所有的安全問題 的,網際網路眾測平臺 聚集了國內外知名安全專家技術能力、可以快速查漏補缺 與企業內部的安全力量形成很好的互補。
2
降低新興的發展中網際網路公司網路安全維護成本。 很多新興企業不是不重視安全,而是因為高昂的安全成本讓他們望而卻步,而網際網路眾測平臺其 投入成本低、交付時間短、測試效果好 無疑可以作為新興企業的選擇。
3
可以應對雲端計算業務分散性安全問題的需求。 對於從事雲平臺行業的企業,管理著大量的使用者資產和敏感資料,而龐大的業務量,對於任何一個企業來講,無疑是巨大的安全挑戰,網際網路眾測平臺 雲集了各地行業內的頂級安全專家 ,這非常適用於雲平臺安全需求。
4
為公司管理節省時間成本。 很多傳統行業巨頭或大型國企,會組建( 內部安全團隊 + 外部多個安全公司的安全團隊 )這樣的安全團隊,而對於管理這樣複雜且多樣化的安全團隊來講,網際網路眾測平臺私有化版本可以實現安全人才的有效管理,並且可以標準化漏洞報告交付及漏洞管理流程,使管理者節省更多的時間成本,投入到其他安全建設上去。
由於網際網路安全眾測模式發展尚屬於初級階段,沒有準入門檻,規範化管理體系尚未形成。 如何合法化、規範化做好網際網路安全眾測迫在眉睫。 本著對客戶和參與測試人員及單位負責任的態度,因此眾測平臺需要:
1
做好參與人員和單位的管理、專案過程管控等規範。
01
對參與人員進行身份認證、資訊關卡、第三方監管、簽約保障。
所有安全專家通過姓名、銀行卡賬戶、預留手機號組成的三因素來進行實名身份認證。設定信譽關卡環境,平臺對安全專家採用邀請註冊制。面向進入體系客戶,可以選擇監管元件提供更加全面的保障。所有安全專家均需通過平臺完成安全保密協議簽訂。
02
測試流量審計,做到過程可監控、重大事件可追溯。
03
專案範圍、時間、內容、過程的管控。 明確測試時間、測試範圍、測試深度、責任邊界,眾測平臺需要與企業簽訂測試授權書,滿足安全專家對專案方的信任;同時,平臺方需要與安全專家簽訂保密協議,關於專案方的漏洞細節不能公開披露,不能非法獲取大量專案敏感資料等,確保專案方對安全專家的信任。
2
從法律法規層面對其進行管控。
《中華人民共和國網路安全法》,明確指出, 任何個人和組織不得從事非法侵入他人網路、干擾他人網路正常功能、竊取網路資料等危害網路安全的活動。 在眾測環節中:參與測試的安全專家通過 與安全眾測平臺簽署保密協議、與廠商簽署專案授權書 明確測試時間和範圍,來保證客戶資訊不外洩,和未經授權不可測的問題。通過對人員的管控極大地解決了一部分合規問題,將企業的損失降到最低,避免了安全專家在未經授權的情況下對計算機資訊系統進行刪除、增加、修改、干擾等問題。促進了我國網際網路的健康發展,為維護網路空間主權和國家安全、社會公共利益,保護公民和更多組織的合法權益提供了強有力的支撐。
《網路安全法》第二十條,提出 國家支援企業和高等院校、職業學校等教育培訓機構開展網路安全相關教育與培訓,採取多種方式培養網路安全人才,促進網路安全人才交流。 而安全人才的培養,終究不是紙上談兵,需要實際的演練環境,無非是攻防對抗,我們都知道,在高校,學生想要通過實際演練來提升和學習技能,必須要在相關單位授權、或老師允許的情況下進行。 2018 年 9 月 5 日,中國工程院方濱興院士也牽頭成立了 “ 中國網路空間安全人才教育聯盟 ”, 來 解決安全網路人才培養的三大難題 :一是人才怎麼來的問題,探索出一套成熟地培養機制;二是解決怎麼教的問題,針對不同的群體因材施教;三是人才的就業方向和企業選人的標準。
一些網路安全技術愛好者,或許並未接受過系統的專業培訓,對國家法律法規瞭解又較少,出於興趣愛好擅自對網路環境進行攻擊檢測、漏洞挖掘。而安全眾測模式, 以結果為導向,按照漏洞貢獻率激勵,重視網路安全技術和能力 ,為安全專家和技術愛好者提供了實戰演練的環境,又保證了遵循國家法律法規、將企業和個人損失降到最低。杜絕了利用網際網路實施的犯罪活動,避免了一些資訊洩露事件。
安全眾測平臺在專案實施過程中,已經 形成了一套成熟的專案流程和機制,讓網路安全技術專家有矩可循、有法可依 。為安全人才就業提供了環境和機會。
未來,安全眾測平臺的機制、模式將不斷優化和完善,為探索科學可行的網安人才培養新模式,努力縮小國家網安人才需求缺口,為國家網安事業發展提供強有力的支撐、實現長足發展。為開展網路空間治理、打擊網路違法犯罪,推動構建和平、安全、開放、合作的網路空間,建立多邊、民主、透明的網路治理體系貢獻力量。
ps: 所有圖片來源網路,我們尊重原創作者。