办公电脑里的运行系统是否安全?打印机里的缓存文件是否存在被窃风险?这些都需要通过第三方网络安全平台进行检测。日前,位于东西湖区国家网安基地的网络安全众测平台正式投入运营,该平台由国家计算机网络应急技术处理协调中心建设和运营,投用后,将提升电子政务、金融、卫健、教育等重要领域的供应链产品安全能力。
记者在国家网安基地培训中心三楼的办公区看到,一批刚从珠海运抵的打印机正放置于网络安全众测平台的检测室内,即将开始为期约两周的安全检测。“平台一季度刚投入运营,已陆续有本地及外地客户找到我们,要进行产品的安全检测,可以说实现了开门红。”网络安全众测平台管理部负责人沈蔚锋说。
检测什么,如何进行检测?沈蔚锋介绍,他们的客户一般分两种,一种是生产厂商,比如打印机制造商,由于打印机内缓存文件众多,联网后如果存在安全隐患会造成文件信息被窃取,因此厂商需要对设备本身进行安全检测,看有无隐患,漏洞;另一类客户则是各企事业单位、政府部门等自己搭建的系统平台,需要对这些系统进行安全检测验收。
“目前国内的网络安全众测平台都在不断成长,我们的平台已经逐渐获得包括政府部门、网安企业以及银行、证券、保险、第三方支付等金融企事业单位的认可和重视,正在积极开展多方面的测试项目合作,以较高的性价比帮助客户提升系统网安防护水平。”
众测平台的检测过程体现了“众”的力量。沈蔚锋说,客户提出需求后,他们会拿出一份测试方案,包括测试哪些项目、测试目标等,一旦确定,他们会将测试地址发布到自己的众测平台上,然后向平台注册的“白帽子”发短信、邮件等征集他们来进行检测。
测试时间一般为两周,“白帽子”们会把检测到的漏洞反馈给平台并收取赏金,平台进行筛选整理后,形成最终检测报告提交给客户。
“白帽子”也就是我们常说的“白客”。沈蔚锋向记者解释,利用系统安全漏洞对网络进行攻击破坏或窃取资料,这类人通常被叫做黑客,而与黑客相对应的就是“白客”,他们可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布其漏洞,提醒和帮助大家进行修复,防范网络安全漏洞。
而要成为平台注册认证的“白帽子”并非易事。平台的“白帽子”主要来源于国内网络安全头部企业和知名研究机构推荐,以及从事网络安全工作的“大牛”自荐,通过专业水平认定和身份认证等层层筛选,才能正式入驻到网络安全众测平台。“白帽子”接到平台发布的测试要求后,他们会运用平台认可的测试工具进行安全检测。
最后,平台还会根据“白帽子”参与项目的表现,结合其上报漏洞的情况,对其个人能力出具画像、评估并分级。完成一次检测服务,有按项目结算和按漏洞结算两种收费方式。检测到的漏洞等级越高、风险程度越大,费用也相应增加。“网络安全众测平台是依托互联网技术衍生的全新测试服务业态,具有协作共享的特征,实现了测试需求和测试人才资源的整合。”
文/蔡欣星 徐哲
编辑/倪家宁