“网络侠客”修补“安全漏洞” “盘今圆桌会”政产学研发声力挺

特斯拉上海超级工厂监控系统遭入侵、骗子破解人脸识别系统虚开5亿发票、视频会议工具Zoom频曝安全漏洞……随着数字时代的加速到来，漏洞的危害性与日俱增。数据显示，平均每一千行代码中就存在着4-6个漏洞，而软件系统越复杂，漏洞就会越多。

发现和修补无处不在的安全漏洞，不仅需要企业的意识及行动，国家级漏洞管理平台的响应与担当，更需要广发民间技术力量的支撑与参与，发挥好白帽子群体和漏洞社会化第三方平台的价值。今年两会期间，全国政协委员，360集团创始人、董事长周鸿祎就提案呼吁为白帽黑客正名，提供一系列激励政策，吸引他们为网络强国建设做贡献。

3月31日，由360集团举办的“盘今圆桌会”第1期正式召开，会议聚焦“白帽子职业规划与漏洞生态治理”，汇集了来自公安部第三研究所、西安交通大学苏州信息安全法学所、北京市朝阳区人民检察院、中国信息安全测评中心、中国信息安全法律大会专委会等机构多位专家学者献计献策。

360集团在会上发布了《白帽子安全漏洞挖掘与披露行为规范研究》和《安全漏洞生态治理的法治保障研究》两份报告，基于国内外现状，立足行业痛点，给出诸多设计构想，以推动行业生态建设。

漏洞生态治理需要民间力量白帽黑客成“关键先生”

所谓“盘今”，就是要盘点当今网络安全法治建设现状，盘理当前法治实践的攸关问题，盘清未来我国安全法治实践的趋势与进路。据360集团副总裁、总法务顾问张伟介绍，“盘今”首期活动直切网络安全“人的因素”，可谓要害。

[[391130]]

360集团副总裁、总法务顾问张伟

据了解，在新技术、新模式、新产业的推动下，数字经济迅速发展。但不能否认的是，网络安全问题也日益突出，并为社会平稳运行提出新的挑战。

“从研究角度上看，安全漏洞是网络空间系统构建的必然结果，缺陷是安全漏洞第一位的特质。”针对漏洞乱象和治理建议，公安部第三研究所信息安全法律研究中心主任、研究员黄道丽这样表示。

在黄道丽看来，“漏洞乱象”不仅与安全漏洞本身多重属性相关，还叠加、迭代着多重利益主体诉求、多重治理理念。因此，应建立以挖掘为起点的全周期，以发掘者、平台、厂商，直到监管为主体的治理架构，形成披露、限制与禁止的一般与例外规则和体系化的治理生态。

[[391131]]

公安部第三研究所信息安全法律研究中心主任、研究员黄道丽

而根据《安全漏洞生态治理的法治保障研究》，由于漏洞披露在漏洞生命周期中处于“由暗转明”的特殊环节，因此应借助市场化的披露主体，收集、披露和修复，乃至实现漏洞利用，把漏洞披露作为顺理成章的治理抓手。

在漏洞披露这一“抓手环节”，白帽黑客的贡献巨大。360BugCloud是中国首家开源漏洞响应平台，自2019年上线以来，已收到了白帽黑客提交的大量开源高危漏洞，目前累计发放漏洞奖金超5000万，收录的开源通用组件高危严重漏洞占比98%，涉及政府、企业、事业等数百余家单位，覆盖能源、金融、交通、医疗、电信、教育众多关键行业领域，挽救了全球数亿的价值损失。

360安全大脑漏洞云负责人胡晓娜直言道，作为民间重要的网络安全力量,“白帽子”已经引起行业的重视,其在对抗黑客攻击、完善网络安全环境、提升互联网环境等方面,扮演着更加重要的角色。

也正如360集团法务中心总监孙艳玲所言，“白帽子个人与群体的存在有其必然性与合理性，如果说漏洞披露是生态治理中最敏捷的抓手，白帽子就是其间最活跃的要素。”

引导、规范、激励专家为白帽黑客生态构建开“处方”

白帽子的合理存在构筑了网络安全的一道重要屏障，但需注意的是，网络空间也非法外之地，要通过规则构筑形成约束边界。

北京市朝阳区人民检察院检察官王爱强表示，刑法其实已经预留了相对自由的空间，白帽子应当，也可以做到对自己的手段和工具充分了解，确保知悉每一步的后果，自律其实就是最大的自由。

[[391132]]

北京市朝阳区人民检察院检察官王爱强

在规则指引上，360集团所发布的《白帽子安全漏洞挖掘与披露行为规范研究》，则首次对白帽子行为的红线和蓝线进行了强调与划分，为白帽子的合法、合规发展提供了正向引导。

据中国信息安全测评中心助理研究员杨诗雨介绍，鉴于国内外漏洞治理的相关经验，发展国家、社会、企业等多平台“协同”机制，也将为白帽子等主体提供更广阔的发展空间。

中国信息安全测评中心助理研究员杨诗雨

而有关渗透测试的合法边界，360法律研究院资深研究员马可分析，物联网和人工智能等的发展，会导致渗透测试在进行授权模式建立过程中，不仅需考虑传统的资产测试与保护边界，还将不得不增加考虑人身安全等更为复杂的测试环境。加之，网络安全是个整体，你中有我，我中有他，通过对第三方漏洞平台，以及平台注册白帽子的一系列、多层次的资质认证、认可，最终形成白帽子和漏洞平台的信任机制，可能是一个值得关注和努力的正确方向。

规范和边界的探寻之外，激励制度和适度容忍空间的赋予同样推动着白帽子正向评价的形成。胡晓娜补充称，做好对“白帽子”群体的扶持和激励，提升整个行业白帽待遇，对构建良性的漏洞生态具有积极的作用。基于此，360集团不断通过多种渠道发声，希望建立可落地，可执行的漏洞标准和管理办法，对行业进行必要引导和规范，从而应对未来更加多元、复杂、严峻的网络空间安全风险。

今年两会期间，360集团创始人、董事长周鸿祎还带来了一份《关于网安特殊人才认定和激励政策的提案》。他建议，要采取特殊人才认定和激励政策，提高社会对这个群体的理解和认可，也增强他们对国家的认同感，激励他们为网络强国建设做贡献。

漏洞是个永恒的话题，而漏洞的发现更多要靠人来解决。因此，只有通过对白帽子的正向激励政策和负面行为限定评价，对行业进行必要引导和规范，才能应对未来更加多元、复杂、严峻的网络安全风险。

文章来源网络，作者：运维，如若转载，请注明出处：https://shuyeidc.com/wp/145057.html<