企业SRC运营新思路 | 漏洞盒子企业SRC产品发布会，在京召开

漏洞盒子企业SRC（安全应急响应中心）发布会于5月5日在北京湖北大厦举行。会议由上海斗象信息科技有限公司（以下简称斗象科技）主办, 中央网信办下属中国网络安全产业联盟、国家互联网应急中心（CNCERT）、国家信息技术安全研究中心等相关领导、斗象科技高层、众多国内企业信息安全部门负责人，企业SRC代表，信息安全白帽子和媒体人士共70余人参加和见证了企业SRC产品的发布。

中国网络安全产业联盟秘书长 陈兴跃

中国网络安全产业联盟陈兴跃秘书长和国家互联网应急中心运营部李佳副主任分别为发布会致开场辞，陈兴跃秘书长表示：“我个人觉得今天的漏洞盒子企业SRC发布会很创新，它的发布也是在促进网络安全白帽子、企事业单位，更好的解决了在当前黑客攻击泛滥的情况下，企业网络安全威胁情报所获取的及时性、有效性问题。”

国家互联网应急中心（CNCERT)运行部副主任 李佳

李佳副主任也提到近年来，信息网络安全越来越重视，已经上升为国家战略层面。CNCERT监测发现：针对网站的攻击事件中，有超过70%是针对企业的。“在此我很高兴的看到漏洞盒子平台推出企业SRC这样的产品和服务，帮助企业建立信息安全威胁信息和情报的搜集渠道，主动地提前和提早感知企业信息安全威胁，做到预防、判断和预先解除，从安全地应急和协调处理地角度，做到了防微杜渐或者说减少了安全危险产生更大地损失。“

上海斗象信息科技有限公司联合创始人兼CTO张天琪

斗象科技联合创始人CTO张天琪代表公司欢迎和感谢大家参加此次发布会，同时他也讲到当前企业SRC的管理强调“三分建设，七分运营”，而企业运营自身又面临这样的问题：“对于大企业来讲，资源虽然不是问题，但SRC毕竟不是核心业务，投入有限。而中小企业本身资源有限，重业务而轻安全是普遍现象，在安全当中的投入非常之有限，且人员配备不足。”

漏洞盒子企业SRC应运而生。为解决上述问题，“我们本身拥有安全行业的资源和力量，投入将会是十足和长久的；且在漏洞管理和处置体系方面拥有三年的实践经验；针对平台宣传，市场团队则会定期策划线上线下活动，日常运营工作得以持续进行、推陈出新；我们自身的财务流程也更容易把控，以适应平台处置流程。”

如同CTO张天琪所谈到的，作为企业SRC代表——完美世界信息安全部信息安全总监何艺在发言中也谈到：作为企业SRC负责人，运营好一个SRC是个耗精力、耗资源、耗技术的苦力活，但漏洞盒子因为拥有白帽子生态资源，所以运营能力具有天然优势。

漏洞盒子产品经理 来勇

作为发布会的重头戏，漏洞盒子产品经理来勇则从产品、功能特性和对企业信息安全建设的价值及合作模式等方面，介绍了漏洞盒子企业SRC。众多大型互联网企业已经建立了自己的安全应急响应中心，更多企业面对企业SRC心有余而力不足，那么建立一个企业SRC究竟会面对多少问题？

“针对企业SRC运营成本较高、软件设施不全、宣传效果不好、人员流动性大、平台稳定性不强、团队技术性不强、漏洞响应不够及时等问题，漏洞盒子企业SRC提出了自己的解决方案。漏洞盒子拥有专业SRC安全运营团队和成熟的国际漏洞审核体系，以多年众测服务的经验为基础，积极运营企业SRC。

具体流程一般是，白帽子在平台提交漏洞后，由平台或企业自行来审核漏洞，核实后再发放奖励。此前，漏洞审核流程周期一般在1~3个月，漏洞修复后再发放奖金。而白帽子通常会在确认漏洞后，急于知道奖金额度及发放时间，会不停催促询问漏洞盒子官方，官方又会来催问企业，中间耗时耗力。因此，漏洞盒子企业SRC平台将奖励发放调整到漏洞确认环节，整个流程缩短至1~7天，同时要求厂商在平台公布自己的奖金设置等级及额度。另外，平台还会根据漏洞有效性、级别、报告质量、涉及资产范围等维度进行计算，进行积分和奖金的排名，以此激励白帽子。同时帮助入驻的企业SRC进行持续性宣传、白帽子KOL管理、线上线下活动策划，日常纳新、留存和促活等活动支持。

所以漏洞盒子企业SRC作为连接白帽子和企业的桥梁，才能够起到协助企业构建定制化SRC的作用；为企业提供一站式全托管模式与半托管安全托管服务，帮助企业实现更便捷高效的SRC运营。

发布会现场，中国网络安全产业联盟秘书长陈兴跃、国家互联网应急中心（CNCERT）运行部副主任李佳、国家信息技术安全研究中心安全处副处长曹岳、斗象科技CTO张天琪、联想集团信息安全高级经理宋文宽、完美世界信息安全部安全总监何艺，共同为漏洞盒子企业SRC产品的发布进行了揭幕，标志着漏洞盒子企业SRC正式对外向企业进行开放注册使用，助力和提升企业信息安全建设。

同时，联想集团安全应急响应中心作为支撑联想集团全球信息安全建设的重要部门，紧紧把握信息安全行业的发展趋势，也借本次发布会正式入驻漏洞盒子企业SRC，与漏洞盒子建立长期的战略合作，并且在发布会上进行了联想集团SRC入驻漏洞盒子企业SRC的授牌仪式，联想集团信息安全高级经理宋文宽先生代表联想集团出席并接受了授牌。

漏洞盒子企业SRC产品发布会的召开，旨在：在白帽运营成本逐年上升，团队水平参差不齐，人才流失严重，宣传效果不佳，运营经费管理复杂的时代背景下，作为企业SRC的创新解决方案，漏洞盒子企业SRC将为企业提供定制化的SRC运营管理方案；并通过一站式全托管、半托管的形式，为企业提供可量化的漏洞生命周期管理，帮助企业实现更便捷高效的SRC运营。

关于上海斗象科技：

上海斗象信息科技有限公司是国内领先的创新型互联网安全服务商，始终致力于为企业提供优质的网络安全解决方案。旗下品牌包括 互联网安全新媒体 FreeBuf（www.freebuf.com），互联网安全服务平台 漏洞盒子（www.vulbox.com），基于SaaS模式的企业级风险监控与感知系统 网藤风险感知（www.riskivy.com）。

关于漏洞盒子：

漏洞盒子是斗象科技旗下安全产品之一，是目前国内首家链接安全专家资源与自有安全团队，通过再现真实环境进行漏洞挖掘,为企业用户提供高效、透明的互联网安全测试服务平台。利用全球互联网安全专家资源，模拟真实环境的黑客漏洞挖掘与演练，将产品安防壁垒做到最高。漏洞盒子安全测试将自有安全团队、核心白帽子团队、认证白帽子专家结合，服务全程可靠安全。