压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

下面我們有請威客眾測平臺的COO董樾董總，他分享的題目是眾測模式下的互聯(lián)網(wǎng)+安全。

董樾：各位信息安全圈里圈外的朋友們，大家下午好！我是來自威客眾測平臺的董樾，但我的PPT寫我是來自錦龍信安公司，我們威客眾測平臺是錦龍信安旗下的一個信息安全眾測平臺，今天我給大家介紹的是”互聯(lián)網(wǎng)+信息安全”可落地的方式，用眾測的方式來切入。

從原則上講，我不算是安全圈的，我給大家介紹一下自己的經(jīng)歷。剛畢業(yè)的時候我從事的互聯(lián)網(wǎng)工作，做過互聯(lián)網(wǎng)+教育，互聯(lián)網(wǎng)+新聞出版，互聯(lián)網(wǎng)+司法，后來我發(fā)現(xiàn)互聯(lián)網(wǎng)行業(yè)過于浮夸，缺乏落地，也是一個非常有幸的機會，我進入了一家信息安全公司，在2009年。當時那家信息安全公司也是七八十人，到現(xiàn)在五百多人，也是業(yè)內(nèi)相對來說比較知名的。所以，我更加了解信息安全如何和互聯(lián)網(wǎng)結(jié)合。

我們的習主席說了，沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代。李總理提出了”互聯(lián)網(wǎng)+安全”的概念。下面從我的角度幫大家理解認識一下如何將互聯(lián)網(wǎng)+信息安全落地，它的本質(zhì)是什么？

安全事件我不用介紹了，大家應(yīng)該都了解，看各大網(wǎng)站頭條的，現(xiàn)在搶各大網(wǎng)站頭條的不是娛樂圈了，而是安全圈了，昨天攜程被黑，支付寶被搞，安全事件真不少。今天金融帳號被盜，國際黑客騷擾，破解特斯拉天天吵。明天飛機被劫持，心臟起搏器失效，只有你想不到。因為”互聯(lián)網(wǎng)+”系統(tǒng)，信息安全將覆蓋整個”互聯(lián)網(wǎng)+”，這是我們面臨的情況。

我在講互聯(lián)網(wǎng)+之前，我們得先簡單介紹一下信息安全行業(yè)。其實行業(yè)里有很多的角色，我現(xiàn)在只是把我們經(jīng)常遇到的角色給大家介紹一下，一塊是甲方，一塊是乙方。甲方是相對于乙方來講的，甲方自己從來不叫自己甲方，我們認為甲方就是信息系統(tǒng)運營使用單位，乙方就是信息安全產(chǎn)品和服務(wù)的提供方。

我們從甲方角度講，信息安全做了很多年，從老三樣一直到信息安全體系，一直到應(yīng)用安全數(shù)據(jù)安全內(nèi)網(wǎng)安全、等級保護，包括現(xiàn)在急于滲透的APT安全，大數(shù)據(jù)分析、信息安全預(yù)警和各種合規(guī)，發(fā)現(xiàn)信息安全事件更加多了，我們的信息安全是不堪一擊的，對于我們甲方用戶來講，網(wǎng)頁系統(tǒng)被篡改是小事，最重要的是數(shù)據(jù)被盜，黑客長期占有我們平臺，它不攻擊我們，就是我們現(xiàn)在講的APT。更加可怕的是還有一些平臺，業(yè)內(nèi)的漏洞報告平臺來公開報告我們甲方的漏洞，我作為甲方的信息安全負責人來講，其實扛著很大的壓力，我們買了不少設(shè)備，做了不少安全服務(wù)，最后發(fā)現(xiàn)漏洞一被公開披露。說某某單位存在安全漏洞，我們投入了很多建設(shè)，無法向領(lǐng)導交代，這是甲方的痛點。

下面我介紹一下乙方，乙方就是信息安全產(chǎn)品提供商或者說信息安全服務(wù)商。我當時是個技術(shù)，從一線守候工程師、守前工程師，行業(yè)技術(shù)總監(jiān)，產(chǎn)品經(jīng)理和產(chǎn)品市場經(jīng)理等這條線走過來的，對于乙方來講，作為一個工程師來講，我們感覺每天有干不完的活，每天銷售給我壓很多的任務(wù)，我做不完。第三，我整體給客戶寫方案，寫報告，做測試，我也沒有時間學習，我也沒有發(fā)展的機會。這是我們目前互聯(lián)網(wǎng)信息安全甲方和乙方的現(xiàn)狀。我來講的是”互聯(lián)網(wǎng)+安全”不是講技術(shù)+安全，更多講的是模式加安全。

講互聯(lián)網(wǎng)+信息安全之前，我先介紹一下傳統(tǒng)互聯(lián)網(wǎng)+其他行業(yè)。我在這里舉個例子，我們看這張圖，首先看一下三星手機，手機廠商是創(chuàng)造價值的，手機廠商想把我們的產(chǎn)品賣出去，它需要可以自己直銷建自己的渠道，也可以找京東、淘寶、蘇寧易購這些平臺來幫我賣，這里我們就做了一個切割，做三星的手機它是創(chuàng)造價值的，蘇寧易購和京東是幫三星手機傳遞價值的，也就是銷售。這是手機行業(yè)。我們再看影視，電視行業(yè)，比如說爸爸去哪兒這個欄目大家都知道，是來自于湖南衛(wèi)視做的一檔節(jié)目，過去我們湖南衛(wèi)視做好了這個節(jié)目靠自己的衛(wèi)士播出去，我們每天晚上八點坐在電視機前看這個節(jié)目，可能性大嗎？不大，所以湖南衛(wèi)視創(chuàng)造了價值，但是互聯(lián)網(wǎng)模式改變了它，幫它傳遞了價值。互聯(lián)網(wǎng)也就是我們的視頻站上線了以后，我們的用戶可以任何時間任何地點看我們想看的節(jié)目。包括我們現(xiàn)在的數(shù)字電視，樂視和小米做的數(shù)字電視，打破了傳統(tǒng)頻道的概念。所以，頻道還有意義嗎？已經(jīng)沒有意義了。所以說互聯(lián)網(wǎng)挑戰(zhàn)了傳遞價值的屬性。

下面我們往下看。不知道很多用手機的人裝了很多APP，不知道大家有沒有用過餓了嗎這個工具。我以餐館距離，誰是創(chuàng)造價值的，誰是傳遞價值的。過去我們認為一個餐館里廚房是創(chuàng)造價值的，前臺的桌子是傳遞價值，餐館要掙錢必須有無數(shù)的翻臺率才能掙錢。但受制于前臺桌子的大小和多少，突然有一款A(yù)PP叫做餓了嗎？它做的是可以讓餐館直接做外賣，用戶出差不想到餐館吃，我可以直接下單從附近的餐館定單，后來餐館發(fā)現(xiàn)我80%的定單于這個APP，20%的定單來自于我這個前臺的桌子，所以互聯(lián)網(wǎng)擴大和傳遞了我們的價值。一個餐館創(chuàng)造價值的真正是廚房嗎？其實創(chuàng)造價值的是這個廚房的廚師。廚房的鍋碗勺油鹽并不創(chuàng)造價值，創(chuàng)造價值的是廚師。后來又一個APP五愛勺子上線了你可以找周圍餐館廚師來家里做飯，后來廚師發(fā)現(xiàn)我自己在餐館掙錢不如我加APP掙的錢多，所以餐館創(chuàng)造價值的人是廚師，互聯(lián)網(wǎng)平臺是為創(chuàng)造價值的人來傳遞價值，這就是互聯(lián)網(wǎng)+的本質(zhì)。還有很多的案例，我這里不舉了。

下面我說一下信息安全，剛才講了其他的行業(yè)，下面我說一下信息安全行業(yè)。信息安全行業(yè)誰來創(chuàng)造價值？是由信息安全服務(wù)提供商來創(chuàng)造價值，誰來傳遞價值，是由市場部門，我們的售前向我們的用戶傳播我們好的解決方案和好的產(chǎn)品、好的思路。那么實質(zhì)上誰來創(chuàng)造價值？做過乙方的都知道，第一白帽子黑頭工程師，這兩年比較火的黑客入侵這些關(guān)鍵詞，他們是創(chuàng)造價值的，幫我們的信息安全系統(tǒng)進行檢測，他們檢測出來的結(jié)果是可利用的。第二是我們的銷售，銷售為我們的用戶提供服務(wù)，所以，銷售是我們創(chuàng)造價值的。

下面說一下威客眾測平臺，我們就是連接了白帽子工程師和銷售在這個平臺上進行交流。我們現(xiàn)在集成了全國大概10萬個白帽子，為我們的信息系統(tǒng)安全單位做檢測，我們是用安全效果付費，檢測不出是不用付費的。這樣白帽子就有更多的精力愿意在我的平臺上接單掙錢，所以更加激勵了白帽子。這兩年各類的黑客大戶也非常火，這就是這些年在底層做技術(shù)的白帽子這些年浮出水面想為大家提供真正的信息安全檢測服務(wù)。這就是信息安全傳遞價值。

剛才我介紹過了，我講一下黑帽子和白帽子，黑帽子是有一定的信息安全技術(shù)但做一些不該做的工作，白帽子是幫助企業(yè)發(fā)現(xiàn)漏洞和檢測漏洞。說到眾測大家會扔雞蛋，因為有些平臺召集了白帽子并不是為企業(yè)解決問題，它首先把我們企業(yè)的漏洞給公開出來了，讓我們的企業(yè)很難堪，我們企業(yè)的漏洞是企業(yè)自身的隱私，無須別人知道，我們自己知道，我們自己會進行建設(shè)。如果有些平臺通過媒體的方式直接暴露我們的信息安全漏洞，這導致我們信息安全建設(shè)很被動。我們采用什么樣的方式呢？底下有一個全民請愿方式，前段時間由國家漏洞信息響應(yīng)中心組織的披露信息安全公約，它就是要求這些白帽子在給企業(yè)做檢測的時候不要披露漏洞細節(jié)和企業(yè)名稱，要控制，一旦被黑客和非法人員發(fā)現(xiàn)這些漏洞，將給企業(yè)帶來非常嚴重的危害。所以，我們在平臺上是比較柔和的采用了全民請愿的方式，在我們的平臺上會有白帽子請愿，比如說最近拉卡拉，它涉及到個人金融和個人信息的安全，有白帽子號召群眾請愿希望拉卡拉做信息安全建設(shè)，我們是情愿的模式來邀請大家做白帽子，這就是我們的請愿模式。

請愿說了一件什么事呢？就希望各類廠商、各企業(yè)、信息安全系統(tǒng)使用單位做好信息安全立體防護，讓使用者們放心。信息安全其實就是一個用戶對我們廠商信任的過程，因為大家知道安全是相對的，永遠不可能有百分之百的安全。

第二，我們請愿模式的優(yōu)勢就是保障了我們廠商的利益，從政府監(jiān)管來講，也開辟了一個全新的途徑和渠道。

下面我們再講創(chuàng)造價值的環(huán)節(jié)，也就是我們白帽子。過去白帽子在一個公司里，它可能是按人天為人們提供服務(wù)，但通過眾量平臺，它可以在我們的平臺上直接接項目。過去我們企業(yè)服務(wù)是按人天付費，一個企業(yè)給我們做檢測，檢測出來是用掃描器掃的，效果不是太好，但還要付很多的費用。但在眾測平臺上企業(yè)完全可以按照漏洞效果付費，找到付費，找不到不收錢，而且這些漏洞全是可以利用的漏洞，不能利用的漏洞不付錢，而且我們還提供詳細的利用過程，這樣我們的信息系統(tǒng)運營使用單位在整改過程中，它知道了怎么滲透，才能知道怎么防護，不知道怎么攻擊怎么做防護。所以，過去我們在檢測的時候，我們依據(jù)的是風險評估，就是GB-T20984的風險評估理論，我們又做合規(guī)包括一系列的合規(guī)，當然那些是體系性的風控的角度，但從技術(shù)的角度我們應(yīng)該做哪塊？這兩年為什么各大廠商都在做APT建設(shè)這個系統(tǒng)，所以，讓白帽子創(chuàng)造了價值，我們企業(yè)也受益，白帽子也受益，這個就是我們的平臺，讓白帽子最終受益，企業(yè)也最終受益。

這種傳統(tǒng)的服務(wù)模式和眾測模式相比，剛才我也講了價錢問題。過去企業(yè)是按人天付費，我檢測一個網(wǎng)站大概10萬元錢，你在我們的眾籌測模式，其實你只需要充2000到3000元就要一個高危漏洞也是可以的，我們企業(yè)知道我們的漏洞點在哪里，直接補上這個漏洞黑客就不來入侵，黑客的入侵也是在幾個點拿到系統(tǒng)權(quán)限的，所以我們可以按時間和生命周期。還有一個優(yōu)勢，我可以按照漏洞的實力，比如一個企業(yè)想花五千元做一個眾測，吸引的可能是低級白帽子，水平一般的，我花五萬元錢來做眾測，可能會把業(yè)界的牛人，比如我們現(xiàn)在打CTF大賽的諸葛建偉老師帶的藍蓮花站隊或者上海交大的OoPS戰(zhàn)隊，我們可以請他們的戰(zhàn)隊來做，所以，重賞之下，必有勇夫，我們提供一個平臺，你在我們的平臺上選擇你想要的醫(yī)生，但我們肯定保證能給你看出病，看不出病來不付錢。

有人講眾測體系不安全，會泄露我們企業(yè)的信息，其實我們有一套體系模型。首先我們看，開始我們?nèi)绻胝野酌弊幼霰姕y，我們的白帽子都是認證的，首先提交身份證和銀行卡，如果你覺得白帽子不放心，我們可以請企業(yè)知名戰(zhàn)隊，像白細胞戰(zhàn)隊、OoPS戰(zhàn)隊，零差557戰(zhàn)隊（音）來做，如果你覺得戰(zhàn)隊不靠譜不可信，我可以讓企業(yè)戰(zhàn)隊入駐，比如綠盟站隊和天盟信（音）戰(zhàn)隊，雖然他們是企業(yè)戰(zhàn)隊，但他們做的只是承擔一個風險的責任，但具體干活的還是這些白帽子。所以，隨著你的信任度增加，當然我們的費用就需要增加了，如果你覺得企業(yè)也不可信，因為企業(yè)招的員工在滲透的過程中，我沒有對它進行審計。比如我要一個企業(yè)來給我們做滲透測試了，我并沒有全程檢控它的過程，我們可以通過白帽子行為審計系統(tǒng)來實時監(jiān)測白帽子滲透的行為，把白帽子整個從檢測、滲透、利用和取證的過程全部記錄下來，以視頻的方式放給大家看。這樣就建立了我們的眾測可信體系。

還有一點非常重要，我們檢測都要拿到企業(yè)授權(quán)的，我們不會自行為企業(yè)做檢測，我們的白帽子不會再互聯(lián)網(wǎng)平臺自己檢測我們的漏洞并且曝。所以，我們是目前來講全球，為什么我敢講全球，因為我也調(diào)查過國際，它還沒有這種模式，所以，我們是全球第一個基于授權(quán)的可信的漏洞交易平臺，所謂的可信就是拿到企業(yè)的授權(quán)，并且我有剛才的金字塔模型。

另外，剛才我講了讓白帽子創(chuàng)造了價值，另外就是我們的銷售，我們的銷售有時候也很苦，我們知道信息安全現(xiàn)在是風險非常大，但是很多用戶說我們信息安全建設(shè)的非常好，我覺得我們已經(jīng)很安全了，那好吧，銷售說我給你滲透一下吧，給你們做一個檢測，看看你們的系統(tǒng)能不能被入侵，這樣銷售會找自己的團隊來為大家做檢測。但自己的團隊由于服務(wù)的銷售太多，它沒有精力和時間，這樣銷售可以在我們的平臺上讓白帽子找一個信息安全，找一個信息系統(tǒng)運營單位的使用漏洞，告訴他你的信息系統(tǒng)其實是不安全的，你需要做安全。這樣對于銷售的攻堅成本和拿項目的成本來講也大大降低了。所以，銷售也省了，白帽子也爽了，企業(yè)在這塊我們會提供更加基于檢測結(jié)果的防護方案，可能我們不是從體系的角度來給大家介紹，比如等保（音）體系，物理安全做什么，主機安全、數(shù)據(jù)安全或者按照20984標準，或者有各行業(yè)的行標，或者等保基本要求，GBRS2039這些來做加固，我們基于檢測的結(jié)果提供加固的解決方案，對企業(yè)來講，其實是將錢花到了刀刃上，節(jié)省了我們信息安全的建設(shè)費用。

我們平臺的流程首先是銷售需要拿到油壺的檢測授權(quán)，這是必須的，銷售要在我們的平臺認證，銷售會在我們的平臺充值。充值以后，它可以為企業(yè)發(fā)個眾測，比如我想做京東的項目，京東說我們很牛，我們沒有漏洞。銷售說，我給你找一個漏洞你服嗎？銷售會自己充值，在我們的平臺買懸賞一個高危漏洞，拿這個高危漏洞跟京東說你服嗎？他服了，我們開始提供如何解決這個問題。發(fā)布眾測了以后，白帽子就可以來接單了，我們就可以按照漏洞交付給用戶了。我們平臺會最終確認，在漏洞審核的過程中，我們需要平臺審核，用戶方二次審核，用戶終審，白帽子才能拿到這個錢。所以，我們這個模式就是互聯(lián)網(wǎng)+信息安全的模式，也是在業(yè)內(nèi)來講第一個做的平臺。那么現(xiàn)在白帽子眾測平臺已經(jīng)發(fā)布了，馬上我們發(fā)布的是吸收在線充值平臺，大概是在7月8號和9號左右，希望大家關(guān)注。

我再重申一下，威客眾測平臺沒有產(chǎn)品，我們只是企業(yè)信息安全運營使用單位安全的保衛(wèi)者。謝謝。