在2月23日360安全應(yīng)急響應(yīng)中心(簡(jiǎn)稱360SRC)的三周年慶典活動(dòng)上,360董事長(zhǎng)周鴻祎態(tài)度鮮明地表示,對(duì)于善意的白帽子,企業(yè)應(yīng)給予支持和理解的態(tài)度,呼吁政府出臺(tái)政策對(duì)白帽子這類安全人才進(jìn)行保護(hù)和鼓勵(lì)。360還特別邀請(qǐng)了資深律師講解“白帽子的行為邊界”,為白帽子保護(hù)自身利益提供法律援助。
據(jù)介紹,黑客挖掘漏洞具有雙面性,既可能造成網(wǎng)絡(luò)攻擊,也有利于預(yù)防網(wǎng)絡(luò)攻擊。在網(wǎng)絡(luò)安全領(lǐng)域,白帽子是一個(gè)特殊的群體。他們挖掘漏洞提交給企業(yè)修復(fù),確實(shí)保護(hù)了用戶安全;但是以黑客技術(shù)挖漏洞,和非法入侵之間界限模糊,加之國(guó)內(nèi)并沒有專門針對(duì)白帽子的相關(guān)政策,又引發(fā)不少爭(zhēng)議甚至法律風(fēng)險(xiǎn)。之前有白帽子向某交友網(wǎng)站提交漏洞,卻被報(bào)警抓捕,這也讓很多白帽子對(duì)于給企業(yè)報(bào)告漏洞心存忌憚。
“排斥和掩蓋安全問題,只會(huì)帶來(lái)更大的風(fēng)險(xiǎn)”,360董事長(zhǎng)周鴻祎直言,任何產(chǎn)品都會(huì)出現(xiàn)漏洞,企業(yè)只有向安全社區(qū)開放合作,才能及時(shí)消除隱患,把用戶的風(fēng)險(xiǎn)降到最低。
周鴻祎認(rèn)為,“很多系統(tǒng)漏洞都是未知的,你根本不知道它存在,怎么防御?常用的方式就是我通過模擬攻擊,就像演習(xí)一樣,也要有紅軍和藍(lán)軍,只有假想的對(duì)抗,才能把漏洞找出來(lái)。這個(gè)角色,除了企業(yè)自己的安全人員,只有白帽子能扮演。”
據(jù)了解,在國(guó)外,谷歌、Facebook等互聯(lián)網(wǎng)巨頭率先開始為報(bào)告漏洞的白帽子提供資金獎(jiǎng)勵(lì),去年美國(guó)國(guó)防部還專門舉辦了“攻擊五角大樓網(wǎng)絡(luò)”的黑客比賽,吸引白帽子給自己找漏洞。中國(guó)互聯(lián)網(wǎng)行業(yè)近年來(lái)也興起了SRC模式,就是由企業(yè)授權(quán)白帽子進(jìn)行漏洞挖掘,并根據(jù)漏洞的危害程度、影響范圍提供對(duì)應(yīng)的獎(jiǎng)金。
事實(shí)上,360早在2012年就推出漏洞獎(jiǎng)勵(lì)機(jī)制,是國(guó)內(nèi)第一家為白帽子提供現(xiàn)金獎(jiǎng)勵(lì)的企業(yè)。2013年360SRC正式成立,迄今已有上千名白帽子加入360SRC,去年一年獎(jiǎng)金總額超過100萬(wàn),2017年的漏洞獎(jiǎng)金額度還會(huì)提升,預(yù)計(jì)今年總獎(jiǎng)金將達(dá)到200萬(wàn)元。
“通過這些方式,360壯大了中國(guó)白帽子隊(duì)伍,鼓勵(lì)他們從事正當(dāng)?shù)?、光明的職業(yè),也極大地加強(qiáng)了中國(guó)的網(wǎng)絡(luò)安全。”周鴻祎表示,360SRC平臺(tái)不僅讓白帽子們可以施展才華,保護(hù)了白帽子的生存空間,這些白帽子也成為協(xié)助保障360產(chǎn)品安全不可磨滅的重要力量,為360安全和整個(gè)互聯(lián)網(wǎng)安全作出巨大貢獻(xiàn)。
周鴻祎認(rèn)為,白帽子檢測(cè)一個(gè)系統(tǒng)是不是安全的過程,本身應(yīng)該說(shuō)都是灰色的,如果沒有法律保護(hù),理論上會(huì)沒有人再愿意做白帽子,這樣會(huì)掩蓋很多安全問題,反而傷害到用戶利益。
360SRC三周年活動(dòng)慶典上,在網(wǎng)絡(luò)安全法領(lǐng)域有著深入研究的陳圣律師提出“白帽子的行為邊界”,詳細(xì)解讀了我國(guó)現(xiàn)行法律法規(guī)中對(duì)白帽子挖掘安全漏洞的多重限制。從現(xiàn)行法律層面,對(duì)白帽子行為加以引導(dǎo)和規(guī)范,從而更好地保護(hù)白帽子的人身安全。
周鴻祎說(shuō),挖掘和修復(fù)漏洞對(duì)于建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)有戰(zhàn)略意義,如果不能保護(hù)安全人才,就沒有安全技術(shù)的發(fā)展,更談不上網(wǎng)絡(luò)安全。