白帽子不可少，我國“白帽”管理制度亟待優化

白帽黑帽 2021-03-18 59 0

科個普

白帽子：正面的黑客，他可以識別計算機系統或網絡系統中的安全漏洞，但并不會惡意去利用，而是公布其漏洞。這樣，系統將可以在被其他人（例如黑帽子）利用之前來修補漏洞。

國內著名白帽子平臺“烏云”和“漏洞盒子”同時關閉

7月20日，國內著名的“烏云”和“漏洞盒子”兩大漏洞發布平臺均宣布停業整頓，由于二者皆是國家信息安全漏洞共享平臺的合作方且匯聚了大量的白帽子群體，此事引起了業內及社會的持續關注與討論。

“烏云”是國內最早的漏洞報告平臺，許多轟動社會的泄露事件最早均在烏云網上發布，如13萬條鐵路售票官網用戶數據泄露、7000萬QQ群用戶數據泄露等。分析認為此次停業或與漏洞披露細節觸犯法律有關。今年4月份，來自烏云平臺的白帽子袁煒因漏洞披露被捕，徹底暴露了白帽子行為的法律風險。

法律專家認為，目前國內白帽漏洞檢測可能涉及的刑法罪名主要有4條：一是非法侵入計算機系統罪；二是非法獲取計算機信息數據罪；三是破壞計算機信息系統罪；四是使用或者傳播計算機病毒等破壞性程序，并造成影響?？梢哉f，國內大部分漏洞檢測行為離觸及法律僅一步之遙。

國內外白帽平臺生存環境迥別

相比于國內大型漏洞發布平臺近期發生的異常，國外的白帽群體和平臺機構近來越發受到政府和企業的重視。

今年5月，美國國防部就完成了全球首個由政府發起的漏洞賞金計劃，吸引了上千名白帽子。同時，一些主流的漏洞平臺也是大型企業們競相合作的對象。

造成國內外白帽生存環境差異的原因，除雙方政府和企業支持程度不同，黑客文化差異等方面的因素外，還在于對白帽行為管理制度有所差異。

以美國為例，在對白帽子的管理中已經形成了一些預防性規范，如美國國防部限制白帽攻擊的網站范圍，企業要求白帽平臺需在其授權下進行漏洞收集和披露，且無特殊要求不能接觸漏洞細節等，這些預防性的規范切實規避了一些白帽觸及竊取信息等罪名的風險。

創造適宜的環境，白帽才能成為網絡空間安全主動防御的有效手段

業界對白帽披露漏洞的行為有著兩極化的評價，但不可否認的是，白帽的出現確實幫助很多企業彌補了大量系統漏洞。

從美國國防部以及部分大型互聯網企業的做法來看，利用好白帽就等于掌握了一項有效的主動防御手段，這也顯現出未來網絡空間安全防御可能由被動轉向主動的趨勢。

國內也需盡早研究完善對白帽的培養、招募和管理制度，包括監管制度和法律約束等，應使這樣的群體為網絡安全作出更大的貢獻。

聯系方式

客服QQ： 1483340977 。
客服電話： 18038047036 。