|
| 综合 |
| 13 |
12/13 |
11
|
12
|
13
|
>
|
>| |
|
|
PDF版 |
 |
|
|
特斯拉上海超级工厂监控系统遭入侵、骗子破解人脸识别系统虚开5亿元发票、视频会议工具Zoom频曝安全漏洞……随着数字时代的加速到来,漏洞的危害性与日俱增。数据显示,平均每一千行代码中就存在4至6个漏洞,而软件系统越复杂,漏洞就会越多。
发现和修补无处不在的安全漏洞,不仅需要企业的意识和行动、漏洞管理平台的响应与担当,更需要民间力量的支持与参与,需要发挥“白帽子”和第三方漏洞平台的作用。
“白帽子”又被称为“正面黑客”,他们通过技术手段扫描、检测各种单位的计算机或网络系统中的安全漏洞,但不会恶意利用,而是公布漏洞,提醒相关单位修补漏洞,以此获得报酬。今年全国两会期间,全国政协委员,360集团创始人、董事长周鸿祎带来一份关于网安特殊人才认定和激励政策的提案,建议为白帽黑客正名,通过采取特殊人才认定和激励政策,提高社会对这一群体的理解和认可,激励他们为建设网络强国贡献个人智慧和力量。
3月31日,360集团召开第一期“盘今圆桌会”。会议聚焦“白帽子职业规划与漏洞生态治理”,会集了来自公安部第三研究所、西安交通大学苏州信息安全法学所、北京市朝阳区人民检察院、中国信息安全测评中心、中国信息安全法律大会专委会等机构多位专家学者献计献策。
会上,360集团联合西安交通大学苏州信息安全法学所,发布《白帽子安全漏洞挖掘与披露行为规范研究》《安全漏洞生态治理的法治保障研究》两份报告,并基于国内外现状,立足行业痛点,提供诸多设计构想,推动行业生态建设。
漏洞生态治理需要民间力量
所谓“盘今”,就是要盘点当今网络安全法治建设现状,盘理当前法治实践的攸关问题,盘清未来我国安全法治实践的趋势与进路。据360集团副总裁、总法务顾问张伟介绍,“盘今”首期活动直切网络安全“人的因素”,可谓点中要害。
在新技术、新模式、新产业推动下,数字经济迅速发展。但不可否认的是,网络安全问题日益突出。“从研究角度看,安全漏洞是网络空间系统构建的必然结果,缺陷是安全漏洞第一位的特质。”针对“漏洞乱象”和治理建议,公安部第三研究所信息安全法律研究中心主任、研究员黄道丽表示。
在黄道丽看来,“漏洞乱象”不仅与安全漏洞本身的多重属性有关,还叠加、迭代着多重利益主体诉求和多重治理理念。因此,应建立以挖掘为起点的全周期,以发掘者、平台、厂商、监管为主体的治理架构,形成披露、限制与禁止的一般与例外规则和体系化的治理生态。
而根据《安全漏洞生态治理的法治保障研究》,由于漏洞披露在漏洞生命周期中处于“由暗转明”的特殊环节,因此,应借助市场化的披露主体进行收集、披露和修复,乃至实现漏洞利用,把漏洞披露作为顺理成章的治理抓手。
在漏洞披露这一“抓手环节”,白帽黑客的贡献巨大。360BugCloud是中国首家开源漏洞响应平台,自2019年上线以来,已收到白帽黑客提交的大量开源高危漏洞,目前累计发放漏洞奖金超过5000万元,收录的开源通用组件高危严重漏洞占比98%,涉及数百家政府和企事业单位,覆盖能源、金融、交通、医疗、电信、教育等众多关键行业领域,挽救全球财产损失价值数亿元。
360安全大脑漏洞云负责人胡晓娜直言道,作为民间重要的网络安全力量,“白帽子”已经引起行业重视,其在对抗黑客攻击、改善网络安全环境等方面扮演着更加重要的角色。
正如360集团法务中心总监孙艳玲所言:“‘白帽子’的存在有其必然性与合理性,如果说漏洞披露是生态治理中最敏捷的抓手,‘白帽子’就是其间最活跃的要素。”
为白帽黑客生态构建开“处方”
“白帽子”的合理存在构筑了网络安全的一道重要屏障,但是,需要注意的是,网络空间并非法外之地,要通过规则构筑形成约束边界。
北京市朝阳区人民检察院参会代表王爱强表示,刑法预留了相对自由的空间,“白帽子”应充分了解自己的手段和工具,确保知悉每一步的后果。
在规则指引上,360集团发布的《白帽子安全漏洞挖掘与披露行为规范研究》首次对“白帽子”行为的红线和蓝线进行了强调与划分,为“白帽子”的合法合规发展提供了正向引导。
据中国信息安全测评中心助理研究员杨诗雨介绍,借鉴国内外漏洞治理相关经验,建立国家、社会、企业等多平台协同机制,也将为“白帽子”提供更加广阔的发展空间。
关于渗透测试的合法边界,据360集团法律研究院资深研究员马可分析,随着物联网和人工智能的发展,渗透测试在授权模式建立过程中,不仅需要考虑传统的资产测试与保护边界,还需考虑人身安全等更为复杂的测试环境。网络安全是一个整体,你中有我、我中有他,通过对第三方漏洞平台以及平台注册“白帽子”的一系列、多层次的资质认证和认可,最终形成“白帽子”和漏洞平台的信任机制,可能是一个值得关注和努力的正确方向。
规范和边界的探寻之外,激励制度和适度容忍空间的赋予同样推动着“白帽子”正向评价的形成。胡晓娜补充称,做好对“白帽子”群体的扶持和激励,提升“白帽子”待遇,对构建良性的漏洞生态具有积极作用。
漏洞更多要靠人来解决,基于此,360集团不断通过多种渠道发声,希望建立可落地、可执行的漏洞标准和管理办法,制定对“白帽子”的正向激励政策和负面行为限定评价,对行业进行必要的引导和规范,应对未来更加多元、复杂、严峻的网络安全风险。
文/图 张晶
|
| 安全漏洞频发敲响警钟
|
| 360携手政产学研为“白帽群体”保驾护航
|
|
|
|
|
|
| ( 2021-04-07 ) 稿件来源: 法治日报综合 |
|
|
|
