中評社北京9月16日電/通常理解下,“白帽子”是發現互聯網企業安全漏洞,反饋給企業而不惡意利用的人。
“白帽子”可以幫助發現安全漏洞,幫助互聯網企業完善安全體系。不過,如果“白帽子”對用戶的數據產生侵犯,就可能觸碰互聯網企業的底線。
一些“白帽子”對法律不了解,不知道行為界限在哪裡;另一些“白帽子”了解法律,但管不住自己的好奇心,他們獲得數據並不是出於違法目的,而是自律出了問題。
近日,多起精准詐騙連續受到公眾關注,人們的注意力轉向個人信息安全保護。在互聯網上有這樣三個主體,他們共同的關注點是互聯網安全,他們既是“同盟”又保留著一定程度的戒備,他們是“白帽子”、漏洞披露平台和互聯網企業。
8月15日至21日國家信息安全漏洞共享平台發布信息安全漏洞周報——互聯網漏洞披露平台、互聯網安全眾測平台及其他個人“白帽子”,共向國家信息安全漏洞共享平台提交了36個以事件型漏洞為主的原創漏洞。而此前一周,這一數量更高達1568個。
儘管三方正共同對維護互聯網信息安全作出努力,但圍繞“白帽子”,仍存在一些爭議。如何解決圍繞“白帽子”的爭議,促進“白帽子”、漏洞披露平台與企業在互聯網安全領域的合作?記者就此採訪了互聯網安全業內人士和互聯網法律專家。
“白帽子”是群怎樣的人
“白帽子”是什麼樣的人?互聯網法律專家告訴記者,法律上並沒有“白帽子”這個概念。
“這個稱謂是一個行業——網絡安全為主的安全行業,對從業人員以及安全技術愛好者的一個稱呼。”互聯網法律專家趙占領告訴記者,即便在行業內,“白帽子”也沒有嚴格的概念。通常理解下,“白帽子”是發現互聯網企業安全漏洞,反饋給企業而不惡意利用的人。
“‘白帽子’對網絡安全技術提升有建設性作用。”趙占領這樣認為。
“能而不欲的人。”這是中國政法大學副教授朱巍對“白帽子”的形容。他認為,“白帽子”雖然有破壞網絡或利用獲得的信息賺錢的能力,但他們不做這樣的事情。“白帽子”挖掘安全漏洞是為了堵住漏洞,或者單純地為了“炫技”。
誰戴著“白帽子”?朱巍告訴記者,互聯網上活躍著大量的“白帽子”,他們有可能在政府部門、互聯網技術企業、科研院校等單位工作。
“互聯網安全是一種動態的平衡。”朱巍說,技術每時每刻都在進步,今天是安全的,明天可能就不再安全。“‘白帽子’的存在是件好事。‘白帽子’發現漏洞並把漏洞展現出來,起到了預警效果”。
江蘇公安機關網絡安全部門童姓民警說,目前,在WEB安全領域的“白帽子”比較多,原因是WEB安全領域入門比其他領域相對低一些,教材容易獲得,測試環境也容易接觸到。當然,在WEB安全領域存在的問題也更多一些。
記者了解到,除了關注WEB安全領域的“白帽子”之外,還有一些“白帽子”會將注意力放在硬件安全或操作系統安全等方面。
|
