本文共字，预计阅读时间。

参赛单位：融联易云金融信息服务（北京）有限公司

案例名称：某银行可信安全众测服务项目

案例简介：

金融行业信息系统不断迭代更新，系统的信息安全问题越发突出。安全漏洞的发现主要依赖于安全测试，为最大程度发现隐藏在资产中的真实漏洞，解决传统渗透测试模式的痛点问题。基于传统安全测试“三方模型”，加入独立的权威第三方审计机构，保证测试人员可信，测试过程可信，审计结果可信。

在为期10天的互联网重要系统可信安全众测服务中，多家安全厂商白帽子人员共发现近百个互联网重要系统安全漏洞，其中严重及高危漏洞数量占百分之七十以上。

创新技术/模式应用：

从安全管理和技术维度，建立了事前、事中、事后的安全管理方案，保证安全测试、实战攻防活动有序、规范的进行。同时，通过融联易云可信安全众测平台，客户拥有自主选择权，如：自主选择服务模式、安全测试服务商、安全测试人员等。融联易云为金融行业客户提供一整套安全可控值得信赖的技术方案。

1.事前人员控制

(1)人员实名认证：通过人脸识别等生物识别技术，对参与测试的人员进行实名认证；

(2)人员背景调查：审核测试人员的身份背景，是否有犯罪记录；建立行业黑灰名单库，审核测试人员是否有历史违规操作；

(3)测试行为准则：测试前，建立测试人员的行为准则，包含必须接入VPN、明确测试时间、明确测试范围、明确禁止行为，以不影响正常线上业务为准则开展测试。

(4)安全保密协议：测试人员和企业机构或测试组织方签署安全保密协议。

2.事中过程控制

(1)安全接入：通过VPN安全接入，建立安全加密的可信测试通道，并统一攻击流量入口；

(2)访问控制：通过VPN账号，严格控制测试人员的接入时间在授权的测试时间范围内；

(3)审计分析：将所有测试人员的测试流量解密存储，审计测试人员的行为；审计范围包括：是否存在违规的高风险操作（如恶意攻击、恶意窃取、篡改用户数据、在服务器留后门等），测试的规范性（是否通过VPN接入测试发现的漏洞、是否有发现漏洞不报告的情况等），测试质量控制（测试了多长时间、测试了哪些目标、测试的覆盖面是否全面等）；

(4)及时阻断：发现危险操作，及时阻断测试人员的VPN账号，并对行为进行溯源分析；

3.事后违规处置

(1)联合通报：测试过程中，一旦发现测试人员有违规操作，情节一般的，联合公安部进行联合通报，并纳入行业灰名单，一定期限内不允许参加我方的项目；

(2)司法鉴定，立案侦查：测试过程中，一旦发现测试人员有违规操作，情节严重的，联合司法部门根据测试行为准则、测试流量、行为分析结果出具司法结论，并为公安局网安大队提供线索证据，对测试人员进行立案调查。

项目效果评估：

1.某银行2020年可信安全众测服务项目中针对其互联网重要信息系统开展可信安全众测服务，全面排查并发现其互联网系统存在的脆弱性和面临的风险，并结合实际情况给出整改、修复建议，全面提高其互联网业务系统的安全性。在为期10天的互联网重要系统可信安全众测服务中，多家安全厂商白帽子人员共发现近百个互联网重要系统安全漏洞，其中严重及高危漏洞数量占百分之七十以上，并通过融联易云可信安全众测平台展现不同安全厂商白帽子人员提交的每个漏洞的详细描述、复现步骤、POC、修复建议等内容。

2.作为中立的第三方服务提供商，融联易云此次项目按照客户需求共召集38位白帽子人员提供互联网重要系统安全众测服务，基于融联易云可信安全众测平台，通过安全管理和技术维度，建立事前、事中、事后的安全管控方案，保证系统安全测试有序、规范的进行。

3.在可信安全众测项目中，通过融联易云安全众测平台的独立审计能力，依据特有的审计模型对不同安全厂商的白帽子人员在安全测试过程中产生的全流量进行分析，分析有无异常操作行为，本项目中审计分析无异常操作，并且具备对于发现异常操作行为进行及时阻断与溯源分析的能力。

通过融联易云可信安全众测，帮助金融客户最大限度发现真实存在的资产中的安全风险、发现扫描工具无法发现的逻辑漏洞和设计的缺陷，提高金融客户信息资产的安全性。

作为金融行业可信安全众测平台，以SasS服务方式为金融行业客户提供服务，汇集不同技术能力的安全测试人员，模拟真实黑客攻击技术和漏洞挖掘技术，对金融客户目标系统的安全做深入的探测，发现系统最脆弱的环节，充分挖掘金融客户业务系统可能被攻击者利用的安全漏洞，并针对安全漏洞提出整改修复建议、协助金融客户修复安全漏洞、对漏洞修复情况进行复核。

项目牵头人：

于跃 安全及运营总监

[Source]

本文系未央网专栏作者发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！

本文为作者授权未央网发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！

本文版权归原作者所有，如有侵权，请联系删除。