设为首页 - 加入收藏 ASP站长网(Aspzz.Cn)- 科技、建站、经验、云计算、5G、大数据,站长网!
热搜: 数据 手机 公司
当前位置: 首页 > 服务器 > 安全 > 正文

有人给你的长相“跑分”,有人给你的公司安全“跑分”

发布时间:2017-05-09 21:19 所属栏目:53 来源:雷锋网
导读:如果你足够老,应该听说过一个叫天涯的社区。 当年天涯上很火的一组帖子是这样的: 你来上传自己的照片,楼主给你打分。 就是这么一个简单的带有自虐性质的游戏,让千万网友疯魔应战,面对分数有人心花怒放有人无语凝噎。 人们就是喜欢这种简单的分数判断

如果你足够老,应该听说过一个叫天涯的社区。

当年天涯上很火的一组帖子是这样的:

你来上传自己的照片,楼主给你打分。

就是这么一个简单的带有自虐性质的游戏,让千万网友疯魔应战,面对分数有人心花怒放有人无语凝噎。

人们就是喜欢这种简单的分数判断。跪向上帝摊开虔诚的手掌。赢得利落,死得明白。

有人给你的长相“跑分”,有人给你的公司安全“跑分”

有人给你的长相“跑分”,有人给你的公司安全“跑分”

【某长相评分帖】

说来也不难理解,分数实际上是我们衡量世界的简单标准:吃货找评分最高的人气饭店,剁手党选评价最好的五星卖家。连手机巨头们都经常对粉丝说:不糊跑个昏。

每个人的潜台词大概都是:“你就告诉我哪家分数高,老子选择恐惧症犯起来连自己都害怕。”

其实,不仅是吃喝玩乐买买买,评分党早就进入了黑客界。有一帮技术宅,想要给所有公司和机构的“安全性”评评分。

这个东西被他们称为“安全值”。

“安全值”的产品总监赵毅为小编演示了这款“评分神器”的玩法。

有人给你的长相“跑分”,有人给你的公司安全“跑分”

[赵毅]

本文作者史中(微信:fungungun),小编主笔,希望用简单的语言解释科技的一切。

谁的得分高?

赵毅打开安全值的后台。在这里可以看到五花八门的20多个行业,有P2P、航空、交易所、众筹平台等等。针对每个行业和每个公司,都有不同的分数。

对于所有企业机构来说,满分都是1000分,但他们的得分却不尽相同。

例如:

P2P行业的平均分是893,航空行业平均分是788,交易所平均得分为906,而教育机构平均得分只有621。

有人给你的长相“跑分”,有人给你的公司安全“跑分”

P2P行业安全值

有人给你的长相“跑分”,有人给你的公司安全“跑分”

航空行业安全值

有人给你的长相“跑分”,有人给你的公司安全“跑分”

交易所安全值

有人给你的长相“跑分”,有人给你的公司安全“跑分”

教育行业安全值

看上去,评分似乎在说教育机构安全性不及格,而交易所的安全性非常好。但赵毅告诉小编,这些分数并不能直接比较。

虽然各个行业的评分要素一致,但是各个要素所占的比重,还有评分的松紧都有区别。所以跨行业比较没有参考性,反倒是一个行业内的几家体量对等的企业机构之间的分数更有参考价值,因为对他们的评分标准完全一致。

例如,同样是大学,一些大学的安全值分数能够到达936分,有一些大学的分数只有192分。小编查看了清华、北大、人大、复旦、同济大学的分数,发现总体都不及格,但是高低之间也有着将近300分的差距。

那么这个分到底是怎么评出来的呢?

评多少分谁说了算?

回到给人长相评分的帖子来看,如果楼主只是凭着自己的好恶来评分,自然会受到被评人的怒怼。但如果评分的依据都是客观的数据,例如脸上有多少麻子,两眼的间距多少,嘴唇的厚度,鼻子的高度,这样的话就会让被评价者哑口无言。

赵毅说,安全值的数据来源于全球的数据供应商。

这些数据,包括:Web攻击、异常流量、漏洞发现、僵尸网络、账号泄露等等维度。每被攻击一次,或者产生一次泄露,就按照相应行业的算法被扣除一定的分数。

有人给你的长相“跑分”,有人给你的公司安全“跑分”

从属性上来看,这些数据都具有客观性。这就像格斗,两人 PK 的时候,有裁判在旁边掏出小本记录每个选手被怼的次数,也就是点数。最后再综合所有裁判的点数,就得到了选手的最终成绩。被怼得多自然输。

简单来说,这种方法只要保证裁判的判断无误,就可以保证得分的客观性。

那么,对于安全值来说,它的裁判是否足够公正呢?

为了凸显安全值的公正,赵毅把安全值的数据来源列举出来,包括国际著名反病毒数据商 VirusTotal、MUTE,反垃圾邮件组织 Spamhaus、威胁情报公司 IBM X-Force,AlienVault 等等,其中也包括很多国内安全厂商的数据。

这其中有很多大咖。

例如 VirusTotal,被业内人士认为是最强悍的病毒检测引擎的合集,因为它集中了世界上主流(包括中国)病毒引擎能力,记录了最多病毒的痕迹,从而保存了诸多攻击事件和恶意URL。

例如Spamhaus,是最大的反垃圾邮件组织,他们长期跟踪国际互联网垃圾邮件团伙,可以实时生成垃圾邮件的黑名单。

例如AlienVault,是知名的企业漏洞扫描和威胁检测的情报公司。他们掌握全球非常全面的威胁情报信息。

还有很多国内安全公司,受限于安全竞争的现状,客观上很难向同行分享自己的数据。而赵毅说之所以有国内厂商愿意这么做,是因为安全值的母公司谷安天下是一家咨询公司,安全公司和咨询公司在商业上没有很大的竞争。

攻击数据的真实性,是安全评分平台的生命线。如果遇到不真实的攻击事件,被目标公司投诉和反馈,反复几次以后,安全值也会把这个数据源踢出去。

根据客观的数据,再加上固定的算法,这就使得评分更容易让机构认可。

有人给你的长相“跑分”,有人给你的公司安全“跑分”

一些大学的安全值排名

安全评分有啥用?

说了这么多,对机构的安全评分也如同给长相打分一样,没有卵用吗?

小编提出了这个问题,赵毅给出了安全打分的几个奇妙用途。

1、国家税务总局下属各个地方税务,总局要评估下属单位的安全性,并没有专业的办法来客观评估。做一套安全评估的表格,再深入各个单位去做调查,且不说效果,等到结果反馈回来也许黄花菜都凉了。于是就采用了“安全值”这个办法。

实际应用下来,检测出各个地方部门安全有很大的漏洞,例如系统上被植入了恶意代码,被僵尸网络控制成为了肉鸡,对外发送垃圾信息邮件等等。

这属于上下级的绩效评估。

(编辑:ASP站长网)

网友评论
推荐文章
    热点阅读