【安全眾測(cè)行業(yè)調(diào)研分析報(bào)告4000字】

安全眾測(cè)行業(yè)調(diào)研報(bào)告一、調(diào)研背景安全眾測(cè)是互聯(lián)網(wǎng)眾包模式在安全測(cè)試領(lǐng)域的具體應(yīng)用，是繼軟件開發(fā)、創(chuàng)意設(shè)計(jì)等較為成熟的互聯(lián)網(wǎng)智力服務(wù)之后另一個(gè)有巨大發(fā)展前景的業(yè)務(wù)領(lǐng)域。基于互聯(lián)網(wǎng)的開放式安全眾測(cè)平臺(tái)也是順應(yīng)國(guó)家“互聯(lián)網(wǎng)+”戰(zhàn)略，積極發(fā)展眾創(chuàng)、眾包、眾扶、眾籌“四眾”新模式新業(yè)態(tài)，在網(wǎng)絡(luò)安全服務(wù)領(lǐng)域打造大眾創(chuàng)業(yè)萬(wàn)眾創(chuàng)新支撐平臺(tái)的重要舉措。安全眾測(cè)通過(guò)互聯(lián)網(wǎng)平臺(tái)快速聚集優(yōu)秀安全人才，引入懸賞和競(jìng)爭(zhēng)機(jī)制，測(cè)試任務(wù)靈活發(fā)布，測(cè)試結(jié)果快速反饋，具備響應(yīng)速度快、發(fā)現(xiàn)問(wèn)題全、測(cè)試成本低、與系統(tǒng)迭代同步等諸多優(yōu)點(diǎn)，正在受到業(yè)界廣泛的關(guān)注。隨著安全行業(yè)的不斷發(fā)展與延伸，各大安全眾測(cè)平臺(tái)層出不窮，白帽群體也在此激勵(lì)下不斷的發(fā)展壯大。二、調(diào)研目的通信運(yùn)營(yíng)商作為國(guó)家關(guān)鍵通信信息基礎(chǔ)設(shè)施的建設(shè)者和運(yùn)營(yíng)者，其網(wǎng)絡(luò)安全保障工作的重要性日益顯現(xiàn)。習(xí)近平總書記在2016年4月19日網(wǎng)信工作座談會(huì)上的講話中明確提出：“維護(hù)網(wǎng)絡(luò)安全，首先要知道風(fēng)險(xiǎn)在哪里，是什么樣的風(fēng)險(xiǎn)，什么時(shí)候發(fā)生風(fēng)險(xiǎn)，正所謂"聰者聽于無(wú)聲，明者見于未形’。感知網(wǎng)絡(luò)安全態(tài)勢(shì)是最基本最基礎(chǔ)的工作。要全面加強(qiáng)網(wǎng)絡(luò)安全檢查，摸清家底，認(rèn)清風(fēng)險(xiǎn)，找出漏洞，通報(bào)結(jié)果，督促整改?！比绾纬浞址e聚內(nèi)外部力量，建立科學(xué)的安全風(fēng)險(xiǎn)感知和通報(bào)機(jī)制，及時(shí)發(fā)現(xiàn)并消除安全風(fēng)險(xiǎn)隱患，將安全事件消滅在萌芽狀態(tài)，是擺在各大運(yùn)營(yíng)商網(wǎng)絡(luò)安全管理工作者面前的一道難題。中國(guó)電信集團(tuán)及江蘇分公司聯(lián)合江蘇省郵電規(guī)劃設(shè)計(jì)院率先在安全眾測(cè)領(lǐng)域進(jìn)行深入的研究和實(shí)踐。依托“通服眾測(cè)”平臺(tái)，將安全眾測(cè)這種新型安全服務(wù)模式與日常網(wǎng)絡(luò)安全保障工作有機(jī)結(jié)合，用以解決傳統(tǒng)安全服務(wù)模式難以解決的一些問(wèn)題，取得了較為理想的效果，為安全眾測(cè)在運(yùn)營(yíng)商安全保障工作中更為廣泛的應(yīng)用積累了寶貴的經(jīng)驗(yàn)。1.本次調(diào)研主要是針對(duì)于安全眾測(cè)行業(yè)的發(fā)展情況進(jìn)行了解。2.針對(duì)于眾測(cè)行業(yè)發(fā)展情況對(duì)該領(lǐng)域漏洞標(biāo)準(zhǔn)的編制思路提供建議。三、調(diào)研對(duì)象以中國(guó)電信為代表的安全眾測(cè)的信創(chuàng)廠商四、調(diào)研分析（一）中國(guó)電信眾測(cè)實(shí)踐情況中國(guó)電信作為通信行業(yè)的領(lǐng)軍企業(yè)，承擔(dān)著國(guó)家基礎(chǔ)通信網(wǎng)絡(luò)和眾多IDC(數(shù)據(jù)中心)的建設(shè)運(yùn)營(yíng)重任，一向高度重視網(wǎng)絡(luò)安全的保障工作。中國(guó)電信集團(tuán)和江蘇公司聯(lián)合江蘇省郵電規(guī)劃設(shè)計(jì)院在安全眾測(cè)領(lǐng)域開展了很多富有成效的研究和實(shí)踐工作，主要包括基于安全眾測(cè)的重點(diǎn)系統(tǒng)保障、全網(wǎng)安全漏洞普查、全國(guó)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)感知及漏洞發(fā)掘競(jìng)賽等，依托于江蘇設(shè)計(jì)院建設(shè)運(yùn)營(yíng)的“通服眾測(cè)”平臺(tái)實(shí)施，具體情況如下。1.重點(diǎn)系統(tǒng)安全保障江蘇電信將省內(nèi)需要重點(diǎn)保障的網(wǎng)上營(yíng)業(yè)廳、掌上營(yíng)業(yè)廳、在線商城三個(gè)系統(tǒng)分別作為測(cè)試任務(wù)在“通服眾測(cè)”平臺(tái)上進(jìn)行發(fā)布，設(shè)定有效測(cè)試期限為4個(gè)月，并為高、中、低危漏洞設(shè)定不同的獎(jiǎng)勵(lì)金額。任務(wù)發(fā)布以來(lái)，共從平臺(tái)獲得各個(gè)測(cè)試專家提交的漏洞72個(gè)，去除重復(fù)提交的漏洞，得到確認(rèn)的有效漏洞共49個(gè)，其中高危漏洞8個(gè)，中危漏洞6個(gè)，低危漏洞35個(gè)。這些重點(diǎn)系統(tǒng)都是平日經(jīng)過(guò)多輪自動(dòng)化掃描檢測(cè)和人工滲透測(cè)試的，通過(guò)眾測(cè)依然能夠發(fā)現(xiàn)眾多的中高危漏洞，體現(xiàn)出了安全眾測(cè)較強(qiáng)的全面發(fā)現(xiàn)問(wèn)題的能力。所有發(fā)現(xiàn)的漏洞江蘇電信都及時(shí)安排責(zé)任部門進(jìn)行快速處置，并進(jìn)行二次檢查確認(rèn)，為江蘇電信及時(shí)規(guī)避了很大的安全風(fēng)險(xiǎn)。其中，第一個(gè)月所發(fā)現(xiàn)的有效漏洞數(shù)占漏洞總數(shù)的一半以上，其中僅任務(wù)發(fā)布后第一周就獲得有效漏洞近20個(gè)，體現(xiàn)出安全眾測(cè)杰出的快速發(fā)現(xiàn)漏洞的能力，第二、三個(gè)月發(fā)現(xiàn)的漏洞大多跟系統(tǒng)升級(jí)后的新功能或新版本相關(guān)，體現(xiàn)出安全眾測(cè)較好的持續(xù)發(fā)現(xiàn)問(wèn)題的能力。中國(guó)電信集團(tuán)也通過(guò)廣泛征集各單位重點(diǎn)系統(tǒng)，在“通服眾測(cè)”平臺(tái)分省發(fā)布了29個(gè)保障型測(cè)試任務(wù)，每個(gè)測(cè)試任務(wù)都包含各省需要重點(diǎn)保障的.一些系統(tǒng)的IP或URL信息，共涉及近300個(gè)重點(diǎn)系統(tǒng)，通過(guò)安全競(jìng)賽的形式鼓勵(lì)全集團(tuán)內(nèi)部員工積極發(fā)現(xiàn)并提交漏洞。近三個(gè)月來(lái)共收集有效漏洞567個(gè)，其中中高危漏洞321個(gè)，皆通過(guò)集團(tuán)工單系統(tǒng)進(jìn)行了及時(shí)處置整改。各省重點(diǎn)系統(tǒng)被發(fā)現(xiàn)漏洞的情況也及時(shí)進(jìn)行通報(bào)和考核，以測(cè)促改，促使各責(zé)任單位主動(dòng)加強(qiáng)重點(diǎn)系統(tǒng)的安全加固保障工作。2.全網(wǎng)安全漏洞普查中國(guó)電信集團(tuán)在“通服眾測(cè)"發(fā)布了面向全網(wǎng)的系統(tǒng)安全漏洞普查型測(cè)試任務(wù)，在公網(wǎng)可訪問(wèn)的帶有中國(guó)電信Logo的或者IP地址備案單位為中國(guó)電信集團(tuán)旗下單位的網(wǎng)站和移動(dòng)應(yīng)用皆在測(cè)試目標(biāo)范圍內(nèi)，通過(guò)競(jìng)賽的形式鼓勵(lì)全集團(tuán)內(nèi)部員工積極發(fā)現(xiàn)并提交漏洞。近三個(gè)月來(lái)共收集漏洞7316個(gè)，去除重復(fù)提交的漏洞和不能重現(xiàn)的漏洞，共確認(rèn)有效漏洞4390個(gè)，其中中高危漏洞2272個(gè)，涉及2000多個(gè)不同的系統(tǒng)，為中國(guó)電信首次在短時(shí)間內(nèi)發(fā)現(xiàn)如此多的網(wǎng)絡(luò)安全隱患。中國(guó)電信集團(tuán)在“通服眾測(cè)”平臺(tái)的協(xié)助下第一時(shí)間將漏洞信息通知到各個(gè)責(zé)任單位進(jìn)行整改，對(duì)全網(wǎng)的大小系統(tǒng)進(jìn)行了一次集中的安全加固整改，大幅提升了全集團(tuán)信息系統(tǒng)的安全性，特別是對(duì)G20杭州峰會(huì)等關(guān)鍵時(shí)期網(wǎng)絡(luò)安全保障工作的順利開展發(fā)揮了重要的支撐作用。3.網(wǎng)絡(luò)安全勞動(dòng)競(jìng)賽值得一提的是，中國(guó)電信集團(tuán)還依托“通服眾測(cè)”平臺(tái)組織了一屆創(chuàng)新性的“2020阿年網(wǎng)絡(luò)安全風(fēng)險(xiǎn)感知和發(fā)掘勞動(dòng)競(jìng)賽”，通過(guò)對(duì)現(xiàn)網(wǎng)實(shí)際系統(tǒng)的漏洞挖掘競(jìng)賽在全集團(tuán)范圍內(nèi)選拔網(wǎng)絡(luò)安全人才，基于安全眾測(cè)的先提交先得分、按漏洞數(shù)量和等級(jí)累計(jì)的積分機(jī)制進(jìn)行個(gè)人和團(tuán)體的排名。對(duì)優(yōu)勝的個(gè)人不僅有獎(jiǎng)金的激勵(lì)，還給予“網(wǎng)絡(luò)安全標(biāo)兵”的稱號(hào)。競(jìng)賽任務(wù)分為“保障型”、“普查型”、“懸賞型”三類，上文所述集團(tuán)層面的重點(diǎn)系統(tǒng)漏洞排查和全網(wǎng)安全漏洞排查即主要依托于本次勞動(dòng)競(jìng)賽來(lái)開展，分別對(duì)應(yīng)著“保障型”和“普查型”的競(jìng)賽任務(wù)，“懸賞型”任務(wù)則主要針對(duì)競(jìng)賽期間的熱點(diǎn)或焦點(diǎn)安全問(wèn)題發(fā)布有針對(duì)性的懸賞。本次集團(tuán)網(wǎng)絡(luò)安全勞動(dòng)競(jìng)賽自6月下旬開賽以來(lái)已有近：2000人完成平臺(tái)注冊(cè)和實(shí)名認(rèn)證，近200人實(shí)際發(fā)現(xiàn)并提交了安全漏洞，共計(jì)收集安全漏洞8344個(gè)，日均收集漏洞約100個(gè)，其中約60%是不重復(fù)可重現(xiàn)的有效漏洞，有效漏洞中約有一半為中高危漏洞。目前積分排名第一的選手單人就共計(jì)提交了535個(gè)漏洞，日均提交漏洞6個(gè)。本次競(jìng)賽達(dá)到了既充分鍛煉選拔人才，又充分對(duì)現(xiàn)網(wǎng)進(jìn)行風(fēng)險(xiǎn)排查的目標(biāo)，可謂一舉兩得。相較于傳統(tǒng)線下的網(wǎng)絡(luò)安全競(jìng)賽的模式，安全眾測(cè)的模式突破了時(shí)空和人數(shù)的限制，可以使得數(shù)千人在不影響日常工作的情況下同時(shí)登錄平臺(tái)7x24h隨時(shí)參賽，更貼近于日常網(wǎng)絡(luò)安全保障的實(shí)際而非純技能競(jìng)賽，競(jìng)賽的費(fèi)用支出也大多落在了漏洞挖掘優(yōu)秀選手的激勵(lì)上，而非昂貴的競(jìng)賽場(chǎng)地費(fèi)、培訓(xùn)費(fèi)、競(jìng)賽平臺(tái)使用費(fèi)。對(duì)于面對(duì)錯(cuò)綜復(fù)雜網(wǎng)絡(luò)安全保障形勢(shì)的運(yùn)營(yíng)商來(lái)說(shuō)，這種類型的網(wǎng)絡(luò)安全競(jìng)賽省時(shí)、省力、省費(fèi)用而又具有極強(qiáng)的實(shí)用價(jià)值。（二）安全眾測(cè)的信創(chuàng)廠商發(fā)展建議1.大力進(jìn)行內(nèi)外部人才的發(fā)掘聚合精通網(wǎng)絡(luò)安全技術(shù)的人才是運(yùn)營(yíng)商日常網(wǎng)絡(luò)安全保障工作的關(guān)鍵，但是好多精通網(wǎng)絡(luò)安全攻防技術(shù)的人才都“潛藏”在業(yè)務(wù)等部門而不是在網(wǎng)絡(luò)安全保障的直接責(zé)任部門，另外許多外部頂尖的安全人才也較難通過(guò)傳統(tǒng)的安全服務(wù)合同的方式請(qǐng)過(guò)來(lái)為我所用。安全眾測(cè)是基于競(jìng)賽的機(jī)制開展安全測(cè)試工作，眾測(cè)平臺(tái)自身有較完備的積分排名和獎(jiǎng)勵(lì)機(jī)制，一方面外部的安全人才可以在平臺(tái)上有充分的技術(shù)發(fā)揮空間,獲得榮譽(yù)和酬勞；另方面也可以非常方便地用來(lái)組織運(yùn)營(yíng)商企業(yè)內(nèi)部跨地域大規(guī)模的漏洞發(fā)掘競(jìng)賽，既能以較低的成本發(fā)現(xiàn)現(xiàn)網(wǎng)的安全漏洞又能充分發(fā)現(xiàn)潛藏在企業(yè)內(nèi)部的安全人才，可通過(guò)名譽(yù)和獎(jiǎng)金等激勵(lì)方式調(diào)動(dòng)他們?cè)谧龊帽韭毠ぷ鞯耐瑫r(shí)積極投入到企業(yè)的網(wǎng)絡(luò)安全保障工作中，壯大運(yùn)營(yíng)商企業(yè)的網(wǎng)絡(luò)安全保障團(tuán)隊(duì)力量。所以相關(guān)安全眾測(cè)機(jī)構(gòu)應(yīng)該積極實(shí)現(xiàn)內(nèi)外部網(wǎng)絡(luò)安全人才的發(fā)掘和聚合，實(shí)現(xiàn)習(xí)總書記所說(shuō)的“聚天下英才為我所用”的目標(biāo)。2.加強(qiáng)重點(diǎn)系統(tǒng)的安全保障對(duì)于運(yùn)營(yíng)商來(lái)說(shuō)，網(wǎng)上及掌上營(yíng)業(yè)廳、重點(diǎn)業(yè)務(wù)門]戶站點(diǎn)及移動(dòng)端應(yīng)用等重點(diǎn)信息系統(tǒng)是網(wǎng)絡(luò)安全保障工作的重中之重，由于這些系統(tǒng)涉及的用戶數(shù)量大、敏感信息多,且較易受到惡意攻擊，一旦發(fā)生網(wǎng)絡(luò)安全事件，其影響面和經(jīng)濟(jì)損失都很大。安全眾測(cè)檢測(cè)全面、持續(xù)監(jiān)測(cè)的特性可以很好地用于運(yùn)營(yíng)商重點(diǎn)系統(tǒng)的安全保障工作，可以將這些重點(diǎn)系統(tǒng)作為長(zhǎng)期的安全測(cè)試任務(wù)在眾測(cè)平臺(tái)上進(jìn)行發(fā)布，通過(guò)相對(duì)高額度的激勵(lì)措施鼓勵(lì)內(nèi)外部安全專家及時(shí)發(fā)現(xiàn)并提交安全漏洞信息，并對(duì)收到的漏洞信息進(jìn)行快速的處置修復(fù)，確保重點(diǎn)系統(tǒng)萬(wàn)無(wú)一失。3.注重非重點(diǎn)系統(tǒng)的安全漏洞普查運(yùn)營(yíng)商網(wǎng)絡(luò)安全保障的另一個(gè)難點(diǎn)是大量分散的非重點(diǎn)系統(tǒng)，這些系統(tǒng)數(shù)量很大，種類龐雜且管理主體多元化，維護(hù)管理水平也差別很大，常規(guī)的安全檢測(cè)服務(wù)很難覆蓋到,是安全漏洞和安全事件爆發(fā)的重災(zāi)區(qū)。雖然就單個(gè)系統(tǒng)而言其用戶訪問(wèn)量和價(jià)值并不高，但是一且發(fā)生信息安全事件,其危害性仍不可小覷。安全眾測(cè)天然具有發(fā)動(dòng)大眾力量開展漏洞普查上報(bào)的特性，可以在眾測(cè)平臺(tái)發(fā)布一個(gè)普查型的測(cè)試任務(wù)，在任務(wù)中不指定特定的系統(tǒng)URL,而是給定一個(gè)測(cè)試目標(biāo)的范圍，將需要進(jìn)行漏洞巡查的非重點(diǎn)系統(tǒng)都納入到這一測(cè)試范圍中即可實(shí)現(xiàn)對(duì)大量非重點(diǎn)網(wǎng)站的漏洞檢測(cè)和收集工作，由于普查型的安全測(cè)試所發(fā)現(xiàn)的漏洞價(jià)值差異較大，可在獎(jiǎng)勵(lì)金額方面給予企業(yè)一定的調(diào)節(jié)權(quán)限，對(duì)不同的漏洞給予發(fā)現(xiàn)者相匹配的獎(jiǎng)勵(lì)，充分激發(fā)和引導(dǎo)專家的測(cè)試工作。四、調(diào)研結(jié)論安全眾測(cè)是互聯(lián)網(wǎng)眾包模式在網(wǎng)絡(luò)安全服務(wù)領(lǐng)域的創(chuàng)新型應(yīng)用，是未來(lái)智力服務(wù)提供方式演進(jìn)的重要方向。中國(guó)電信聯(lián)合江蘇設(shè)計(jì)院從運(yùn)營(yíng)商日常網(wǎng)絡(luò)安全保障的實(shí)際需求出發(fā)，對(duì)安全眾測(cè)進(jìn)行了較為全面深入的研究，并通過(guò)“通服眾測(cè)”平臺(tái)開展了一系列的實(shí)踐工作。實(shí)踐表明，安全眾測(cè)在安全測(cè)試的高效性、全面性、持續(xù)性等方面表現(xiàn)令人滿意甚至超乎預(yù)期，且能夠?qū)y(cè)試費(fèi)用落到實(shí)處。安全眾測(cè)可以在運(yùn)營(yíng)商的重點(diǎn)系統(tǒng)保障、全網(wǎng)漏洞普查以及內(nèi)外部人才的選拔