民间网络漏洞挖掘平台备受争议 白帽黑客亟需行业规范

20.09.2016  16:08

  民间网络漏洞挖掘平台自诞生起,一直被认为行走在灰色地带,备受争议。在昨天活动现场,如何界定“白帽黑客”且规范其行为成为了热议话题。请听报道:

  世界上没有绝对安全的网站,随着互联网时代的到来,网络漏洞带来的网络安全风险如影相随。而“白帽黑客”就是发现互联网企业安全漏洞反馈给企业而不恶意利用的人。但今年年初,“白帽黑客”袁炜在乌云网提交世纪佳缘漏洞后遭警方刑事拘留,引发网友关注。漏洞银行创始人罗清篮认为,正是由于他对法律不了解,同时,业内行为规范也没有明确的定义,才导致出现了问题。

  实况:国家对整个白帽的群体还是认可的,只是说中间使用的技术手段,相应的规范现在还没有一个非常明确的定义。期待国家对白帽子行业的界定一种规范,对做事手段的具体界定。

  “白帽黑客”作为网络安全的正义力量,越来越得到世界网络安全界的共识和重视。在确保他们权益的同时,应当划出一条不可逾越的底线和红线。上海观安信息技术有限公司总经理张照龙表示,如果规定白帽黑客的权利和义务规范,对于漏洞挖掘明确一些豁免条件,让企业发出授权,让“白帽黑客”参与测试,带上明确个人信息。当企业认为“白帽黑客”测试有问题时,马上联系并终止测试。

  实况:像现在国家,包括像工信部,也都是在出一些相应的规范和规定,比如像白帽子你比如实名制,对一些做白帽子的企业怎么推动认证。比如说他的所有的白帽子渗透过程中请专业的技术专家介入,分析整个检查过程,渗透过程,是否合规,有没有违规,然后是不是合法。通过这样的一种方式起到一种监督作用,然后规范他们的行为。

  “白帽黑客”之所以备受争议,还因为其存在地下产业链。张照龙认为,这部分完全可以使其成为正常的购买服务,并纳入监管。

  实况:还是我们没有很好的引导,没有很好的市场和销售链,让他们有一个正常渠道,发挥他们的作用,如果这个渠道发挥作用了,我相信谁愿意在地下,都愿意漂白,成为真正当当,能够对外公开的,我是一个安全的从业者。

  2016信息安全技能竞赛在活动周期间举行,这个比赛是目前国内唯一面向行业管理运维团队开展的防御类赛事。上海市信息安全行业协会秘书长张凯说,举办这个赛事初衷,就是给更多人一个途径。

  实况:我们看到这样的情况,我们有两年的冠军高中就辍学了,他们因为自己的兴趣导向,在学业方面其他科目不太好,只有信息安全非常好。但是他可能没上过大学,可能他找工作非常困难,为了自己的生存只能做黑产,我们想通过比赛给他一个平台。更好的引导白帽子为社会服务。

  罗清篮表示,未来将打造一个属于白帽黑客的工会,参与工会的白帽黑客可以得到更多正当的权益,参与到甲方企业的安全工作中,让企业方帮助白帽黑客创造未来职业发展的机会。当白帽黑客实现了真正的价值,也就真正的走向了阳光。

  以上由东广见习记者车润宇报道