最近在开发一个攻防演练系统,偶尔想到一个问题,关于如何保证裁判的公正性。
比如某市开展攻防演练,而因为某些商业原因或私人原因,可能会出现评分不公正情况。
比如攻击方和裁判所在公司是商业上的竞争对手,又或者防守方和裁判的关系比较好或差,都会影响评判的客观性。
在攻击报告中,不可避免的会出现具体的IP地址信息,比如xx攻击方提供的截图中显示xx县xx系统,这是不可避免的。
因为裁判需要判断该系统是否为靶标,或者需要根据系统的重要程度决定分数的高低。比如非靶标10万数据泄漏,和靶标10万数据泄漏给的分数肯定是有很大差距的。所以不论是攻击报告还是防守报告,都无法避免将必要信息给到裁判。而裁判或者裁判单位很多时候是和攻击方/防守方有商业上的交集(竞争/合作)。所以如何保证每份报告按事先拟定的标准进行公正的评判?大家有什么好的建议吗?技术层面、制度层面或者任何其他方面的想法都可以。
又或者说,这个问题本身就是多余的?因为攻防演练的目的不仅仅是为客户发现问题,更是网络安全生态中的商业一环。就类似于很多网络安全大赛,很多时候主办方或者承办方会提前将题目泄漏给商业生态中的利益相关方。
原文始发于微信公众号(信息安全笔记):网络安全攻防演练裁判公正性问题
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论