您当前位置:首页 > 资讯

360发布“安全漏洞”双报告 政产学研发声力挺“白帽黑客”

来源:
33分钟前

       特斯拉上海超级工厂监控系统遭入侵、骗子破解人脸识别系统虚开5亿发票、视频会议工具Zoom频曝安全漏洞……随着数字时代的加速到来,漏洞的危害性与日俱增。数据显示,平均每一千行代码中就存在着4-6个漏洞,而软件系统越复杂,漏洞就会越多。

  发现和修补无处不在的安全漏洞,不仅需要企业的意识及行动,国家级漏洞管理平台的响应与担当,更需要广发民间技术力量的支撑与参与,发挥好白帽子群体和漏洞社会化第三方平台的价值。今年两会期间,全国政协委员,360集团创始人、董事长周鸿祎就提案呼吁为白帽黑客正名,提供一系列激励政策,吸引他们为网络强国建设做贡献。

  3月31日, 由360集团举办的“盘今圆桌会”第1期正式召开,会议聚焦“白帽子职业规划与漏洞生态治理”,汇集了来自公安部第三研究所、西安交通大学苏州信息安全法学所、北京市朝阳区人民检察院、中国信息安全测评中心、中国信息安全法律大会专委会等机构多位专家学者献计献策。

  360集团联合西交苏州信息安全法学所在会上发布了《白帽子安全漏洞挖掘与披露行为规范研究》和《安全漏洞生态治理的法治保障研究》两份报告,基于国内外现状,立足行业痛点,给出诸多设计构想,以推动行业生态建设。

  漏洞生态治理需要民间力量 白帽黑客成“关键先生”

  所谓“盘今”,就是要盘点当今网络安全法治建设现状,盘理当前法治实践的攸关问题,盘清未来我国安全法治实践的趋势与进路。据360集团副总裁、总法务顾问张伟介绍,“盘今”首期活动直切网络安全“人的因素”,可谓要害。

点击进入下一页

360集团副总裁、总法务顾问张伟

  据了解,在新技术、新模式、新产业的推动下,数字经济迅速发展。但不能否认的是,网络安全问题也日益突出,并为社会平稳运行提出新的挑战。

  “从研究角度上看,安全漏洞是网络空间系统构建的必然结果,缺陷是安全漏洞第一位的特质。”针对漏洞乱象和治理建议,公安部第三研究所信息安全法律研究中心主任、研究员黄道丽这样表示。

  在黄道丽看来,“漏洞乱象”不仅与安全漏洞本身多重属性相关,还叠加、迭代着多重利益主体诉求、多重治理理念。因此,应建立以挖掘为起点的全周期,以发掘者、平台、厂商,直到监管为主体的治理架构,形成披露、限制与禁止的一般与例外规则和体系化的治理生态。

点击进入下一页

公安部第三研究所信息安全法律研究中心主任、研究员黄道丽

  而根据《安全漏洞生态治理的法治保障研究》,由于漏洞披露在漏洞生命周期中处于“由暗转明”的特殊环节,因此应借助市场化的披露主体,收集、披露和修复,乃至实现漏洞利用,把漏洞披露作为顺理成章的治理抓手。

  在漏洞披露这一“抓手环节”,白帽黑客的贡献巨大。360BugCloud是中国首家开源漏洞响应平台,自2019年上线以来,已收到了白帽黑客提交的大量开源高危漏洞,目前累计发放漏洞奖金超5000万,收录的开源通用组件高危严重漏洞占比98%,涉及政府、企业、事业等数百余家单位,覆盖能源、金融、交通、医疗、电信、教育众多关键行业领域,挽救了全球数亿的价值损失。

  360安全大脑漏洞云负责人胡晓娜直言道,作为民间重要的网络安全力量,“白帽子”已经引起行业的重视,其在对抗黑客攻击、完善网络安全环境、提升互联网环境等方面,扮演着更加重要的角色。

  也正如360集团法务中心总监孙艳玲所言,“白帽子个人与群体的存在有其必然性与合理性,如果说漏洞披露是生态治理中最敏捷的抓手,白帽子就是其间最活跃的要素。”

  引导、规范、激励 专家为白帽黑客生态构建开“处方”

  白帽子的合理存在构筑了网络安全的一道重要屏障,但需注意的是,网络空间也非法外之地,要通过规则构筑形成约束边界。

  北京市朝阳区人民检察院参会代表王爱强表示,刑法其实已经预留了相对自由的空间,白帽子应当,也可以做到对自己的手段和工具充分了解,确保知悉每一步的后果,自律其实就是最大的自由。

点击进入下一页

北京市朝阳区人民检察院参会代表王爱强

  在规则指引上,360集团所发布的《白帽子安全漏洞挖掘与披露行为规范研究》,则首次对白帽子行为的红线和蓝线进行了强调与划分,为白帽子的合法、合规发展提供了正向引导。

  据中国信息安全测评中心助理研究员杨诗雨介绍,鉴于国内外漏洞治理的相关经验,发展国家、社会、企业等多平台“协同”机制,也将为白帽子等主体提供更广阔的发展空间。

点击进入下一页

中国信息安全测评中心助理研究员杨诗雨

  而有关渗透测试的合法边界,360法律研究院资深研究员马可分析,物联网和人工智能等的发展,会导致渗透测试在进行授权模式建立过程中,不仅需考虑传统的资产测试与保护边界,还将不得不增加考虑人身安全等更为复杂的测试环境。加之,网络安全是个整体,你中有我,我中有他,通过对第三方漏洞平台,以及平台注册白帽子的一系列、多层次的资质认证、认可,最终形成白帽子和漏洞平台的信任机制,可能是一个值得关注和努力的正确方向。

  规范和边界的探寻之外,激励制度和适度容忍空间的赋予同样推动着白帽子正向评价的形成。胡晓娜补充称,做好对“白帽子”群体的扶持和激励,提升整个行业白帽待遇,对构建良性的漏洞生态具有积极的作用。基于此,360集团不断通过多种渠道发声,希望建立可落地,可执行的漏洞标准和管理办法,对行业进行必要引导和规范,从而应对未来更加多元、复杂、严峻的网络空间安全风险。

  今年两会期间,360集团创始人、董事长周鸿祎还带来了一份《关于网安特殊人才认定和激励政策的提案》。他建议,要采取特殊人才认定和激励政策,提高社会对这个群体的理解和认可,也增强他们对国家的认同感,激励他们为网络强国建设做贡献。

  漏洞是个永恒的话题,而漏洞的发现更多要靠人来解决。因此,只有通过对白帽子的正向激励政策和负面行为限定评价,对行业进行必要引导和规范,才能应对未来更加多元、复杂、严峻的网络安全风险。

相关阅读

3月30日,为巩固拓展消费扶贫成果,表彰先进,树立典型,广东省扶贫开发办公室发布《关于表扬2020年广东省消费扶贫突出贡献单位和个人的通报》。其中,敏捷集团凭借对[详细]

2021-04-06 15:11:02

特斯拉上海超级工厂监控系统遭入侵、骗子破解人脸识别系统虚开5亿发票、视频会议工具Zoom频曝安全漏洞……随着数字时代的加速到来,漏洞的危害性与日俱[详细]

2021-04-06 14:49:26

由工业和信息化部人才交流中心主办的2021第四届“优路杯”全国BIM技术大赛近日正式启动。大赛旨在推动BIM(建筑信息模型)技术在建筑信息化发展中的应用,深[详细]

2021-04-06 14:48:13

为保障献血者权益,云南昆明血液中心积极落实国家相关政策要求,通过搭建“智慧+无偿献血服务平台”为广大市民以及献血者提供更为便捷、高效、安全的&ldq[详细]

2021-04-06 14:45:28

近日,兴业银行在股份制银行中首家推出以“关爱农民工”为主题的普惠金融综合服务方案,为广大城乡务工人员量身打造涵盖专属银行卡、专属增值服务、专属金[详细]

2021-04-06 14:44:39

4月3日,古井贡酒春糖展厅开放的第一天,古井贡酒携手黄鹤楼、老明光共同向消费者、客商展示“三个品牌”“四种香型”“三地产区”独[详细]

2021-04-06 14:41:38

4月6日,在线旅游平台去哪儿携手中国扶贫基金会,共同推出“去哪儿住·百美村宿”正式上线“去哪儿旅行”。未来,百美村宿将在在去哪儿的[详细]

2021-04-06 14:38:45

近日,针对网上关注的近期个别鞋款价格波动的情况,得物方面表示,已第一时间核查,并对网传图中三款卖家所标价格波动过大的球鞋进行下架处理。  得物App称,在平[详细]

2021-04-06 14:34:24

  • 意见反馈:g2416238474@163.com
  • 稿件投诉:g2416238474@163.com
  • 网站首页:www.udlsy.com
  • 客服联系:g2416238474@163.com
  • 关注我们