在網(wǎng)絡(luò)安全領(lǐng)域�����,白帽子是一個(gè)特殊的群體���。他們挖掘漏洞提交給企業(yè)修復(fù),確實(shí)保護(hù)了用戶安全;但是以黑客技術(shù)挖漏洞�,又引發(fā)不少爭議甚至法律風(fēng)險(xiǎn)。
在2月23日360安全應(yīng)急響應(yīng)中心(簡稱360SRC)的三周年慶典活動上����,360董事長周鴻祎態(tài)度鮮明地表示,對于善意的白帽子�����,企業(yè)應(yīng)給予支持和理解的態(tài)度�,呼吁政府出臺政策對白帽子這類安全人才進(jìn)行保護(hù)和鼓勵。360還特別邀請了資深律師講解“白帽子的行為邊界”�,為白帽子保護(hù)自身利益提供法律援助。
未知攻,焉知防
白帽子是隨著網(wǎng)絡(luò)安全發(fā)展而出現(xiàn)的一個(gè)技術(shù)群體��,他們以推動企業(yè)修復(fù)漏洞為目的����,運(yùn)用黑客技術(shù)對企業(yè)網(wǎng)絡(luò)和產(chǎn)品進(jìn)行滲透測試。
360董事長周鴻祎認(rèn)為��,“很多系統(tǒng)漏洞都是未知的���,你根本不知道它存在����,怎么防御?常用的方式就是我通過模擬攻擊��,就像演習(xí)一樣����,也要有紅軍和藍(lán)軍,只有假想的對抗��,才能把漏洞找出來����。這個(gè)角色,除了企業(yè)自己的安全人員,只有白帽子能扮演����。”
在國外,谷歌�、Facebook等互聯(lián)網(wǎng)巨頭率先開始為報(bào)告漏洞的白帽子提供資金獎勵,去年美國國防部還專門舉辦了“攻擊五角大樓網(wǎng)絡(luò)”的黑客比賽��,吸引白帽子給自己找漏洞��。中國互聯(lián)網(wǎng)行業(yè)近年來也興起了SRC模式�����,就是由企業(yè)授權(quán)白帽子進(jìn)行漏洞挖掘���,并根據(jù)漏洞的危害程度、影響范圍提供對應(yīng)的獎金��。在過去一年�,360SRC為白帽子發(fā)放漏洞獎金達(dá)到上百萬元。
白帽子的“雙刃劍”
黑客挖掘漏洞具有雙面性����,既可能造成網(wǎng)絡(luò)攻擊,也有利于預(yù)防網(wǎng)絡(luò)攻擊。白帽子使用黑客攻擊技術(shù)���,和非法入侵之間界限模糊�����,加之國內(nèi)并沒有專門針對白帽子的相關(guān)政策�����,這也讓白帽子常常處在法律風(fēng)險(xiǎn)中�。之前有白帽子向某交友網(wǎng)站提交漏洞�,卻被報(bào)警抓捕,這也讓很多白帽子對于給企業(yè)報(bào)告漏洞心存忌憚����。
周鴻祎認(rèn)為,白帽子檢測一個(gè)系統(tǒng)是不是安全的過程���,本身應(yīng)該說都是灰色的�,如果沒有法律保護(hù)����,理論上會沒有人再愿意做白帽子��,這樣會掩蓋很多安全問題����,反而傷害到用戶利益�。
360SRC三周年活動慶典上,在網(wǎng)絡(luò)安全法領(lǐng)域有著深入研究的陳圣律師提出“白帽子的行為邊界”����,詳細(xì)解讀了我國現(xiàn)行法律法規(guī)中對白帽子挖掘安全漏洞的多重限制。從現(xiàn)行法律層面�����,對白帽子行為加以引導(dǎo)和規(guī)范��,從而更好地保護(hù)白帽子的人身安全���。
周鴻祎說,挖掘和修復(fù)漏洞對于建設(shè)網(wǎng)絡(luò)強(qiáng)國有戰(zhàn)略意義�,如果不能保護(hù)安全人才,就沒有安全技術(shù)的發(fā)展���,更談不上網(wǎng)絡(luò)安全���。
文章內(nèi)容僅供閱讀���,不構(gòu)成投資建議,請謹(jǐn)慎對待��。投資者據(jù)此操作����,風(fēng)險(xiǎn)自擔(dān)。
京公網(wǎng)安備 11010502041587號