网络安全“白帽子”：不为赚钱 "黑"化只在一念间

？？？？通常理解下，“白帽子”是发现互联网企业安全漏洞，反馈给企业而不恶意利用的人。

？？？？“白帽子”可以帮助发现安全漏洞，帮助互联网企业完善安全体系。不过，如果“白帽子”对用户的数据产生侵犯，就可能触碰互联网企业的底线。szi鄂东网|www.xianzhaiwang.cn

？？？？一些“白帽子”对法律不了解，不知道行为界限在哪里；另一些“白帽子”了解法律，但管不住自己的好奇心，他们获得数据并不是出于违法目的，而是自律出了问题。szi鄂东网|www.xianzhaiwang.cn

？？？？近日，多起精准诈骗连续受到公众关注，人们的注意力转向个人信息安全保护。在互联网上有这样三个主体，他们共同的关注点是互联网安全，他们既是“同盟”又保留着一定程度的戒备，他们是“白帽子”、漏洞披露平台和互联网企业。szi鄂东网|www.xianzhaiwang.cn

？？？？8月15日至21日国家信息安全漏洞共享平台发布信息安全漏洞周报——互联网漏洞披露平台、互联网安全众测平台及其他个人“白帽子”，共向国家信息安全漏洞共享平台提交了36个以事件型漏洞为主的原创漏洞。而此前一周，这一数量更高达1568个。szi鄂东网|www.xianzhaiwang.cn

？？？？尽管三方正共同对维护互联网信息安全作出努力，但围绕“白帽子”，仍存在一些争议。如何解决围绕“白帽子”的争议，促进“白帽子”、漏洞披露平台与企业在互联网安全领域的合作？记者就此采访了互联网安全业内人士和互联网法律专家。szi鄂东网|www.xianzhaiwang.cn

？？？？“白帽子”是群怎样的人szi鄂东网|www.xianzhaiwang.cn

？？？？“白帽子”是什么样的人？互联网法律专家告诉记者，法律上并没有“白帽子”这个概念。szi鄂东网|www.xianzhaiwang.cn

？？？？“这个称谓是一个行业——网络安全为主的安全行业，对从业人员以及安全技术爱好者的一个称呼。”互联网法律专家赵占领告诉记者，即便在行业内，“白帽子”也没有严格的概念。通常理解下，“白帽子”是发现互联网企业安全漏洞，反馈给企业而不恶意利用的人。szi鄂东网|www.xianzhaiwang.cn

？？？？“‘白帽子’对网络安全技术提升有建设性作用。”赵占领这样认为。szi鄂东网|www.xianzhaiwang.cn

？？？？“能而不欲的人。”这是中国政法大学副教授朱巍对“白帽子”的形容。他认为，“白帽子”虽然有破坏网络或利用获得的信息赚钱的能力，但他们不做这样的事情。“白帽子”挖掘安全漏洞是为了堵住漏洞，或者单纯地为了“炫技”。szi鄂东网|www.xianzhaiwang.cn

？？？？谁戴着“白帽子”？朱巍告诉记者，互联网上活跃着大量的“白帽子”，他们有可能在政府部门、互联网技术企业、科研院校等单位工作。szi鄂东网|www.xianzhaiwang.cn

？？？？“互联网安全是一种动态的平衡。”朱巍说，技术每时每刻都在进步，今天是安全的，明天可能就不再安全。“‘白帽子’的存在是件好事。‘白帽子’发现漏洞并把漏洞展现出来，起到了预警效果”。szi鄂东网|www.xianzhaiwang.cn

？？？？江苏公安机关网络安全部门童姓民警说，目前，在WEB安全领域的“白帽子”比较多，原因是WEB安全领域入门比其他领域相对低一些，教材容易获得，测试环境也容易接触到。当然，在WEB安全领域存在的问题也更多一些。szi鄂东网|www.xianzhaiwang.cn

？？？？记者了解到，除了关注WEB安全领域的“白帽子”之外，还有一些“白帽子”会将注意力放在硬件安全或操作系统安全等方面。szi鄂东网|www.xianzhaiwang.cn

？？？？“黑”与“白”在一念之间szi鄂东网|www.xianzhaiwang.cn

？？？？既然“白帽子”是做好事的好人，为何引发关注和争议？记者了解到，“白帽子”与“黑客”的区别往往就在一念之差；并且，即使“白帽子”是善意的漏洞挖掘，也可能给企业带来困扰。szi鄂东网|www.xianzhaiwang.cn

？？？？“本公司求贤，年薪百万……”2016年7月，在一场“白帽子”交流大会上，一块大屏幕显示着参会者发布的弹幕。szi鄂东网|www.xianzhaiwang.cn

？？？？“相比‘白帽子’的能力而言，年薪百万真的不算多。”参会的“白帽子”张某告诉记者，他们若是做“黑客”，那些技术带来的利益可能会是上千万元。szi鄂东网|www.xianzhaiwang.cn

？？？？“与‘白帽子’相对应的是‘黑帽子’‘黑客’。”赵占领说，“黑客”发现安全漏洞后，利用漏洞从事破坏活动或非法谋取利益。szi鄂东网|www.xianzhaiwang.cn

？？？？在朱巍看来，“黑客”与“白帽子”的行为看起来有相似性，但目的却截然相反。“黑客”的目的是为了赚钱，或是为了破坏网络安全。szi鄂东网|www.xianzhaiwang.cn

？？？？某互联网企业安全部门负责人陈某，在多年前也是一个“白帽子”。他告诉记者，当时还没有“白帽子”“黑帽子”的说法，他喜欢研究互联网安全技术，发现了互联网企业的一些安全问题，当时没有什么途径通知厂商，只好自己想办法联系。他看到通讯录后，联系了对方公司的CEO。从那之后，他进入了互联网安全这个行业。szi鄂东网|www.xianzhaiwang.cn

？？？？站在“白帽子”和厂商的角度，陈某有一些体会。陈某告诉记者，“白帽子”一开始大都是技术驱使，他们进行学习、发现问题、练习技术。很多时候，“白帽子”好奇是不是可以发现更多的问题，但很容易收不住手，一步步走下去就可能越走越远。szi鄂东网|www.xianzhaiwang.cn

？？？？童姓民警讲述了一个案例，一个技术人员通过渗透入侵的方式进入一家网站并获取到了数据。此后，这些数据被他人加以利用，盗窃数百万元。szi鄂东网|www.xianzhaiwang.cn

？？？？“成功进入某公司网络或者成功测试漏洞后，‘白帽子’可能看到很多东西。人都是有好奇心的，我再进一步看看，我再多获取一点儿数据。”童姓网警说，“白帽子”在进行漏洞挖掘时，首先要做到的就是自律。szi鄂东网|www.xianzhaiwang.cn

？？？？赵占领认为，一些“白帽子”对法律不了解，不知道行为界限在哪里；另一些“白帽子”了解法律，但管不住自己的好奇心，他们获得数据并不是出于违法目的，而是自律出了问题。szi鄂东网|www.xianzhaiwang.cn

？？？？倚重与防备之间尴尬生存szi鄂东网|www.xianzhaiwang.cn

？？？？“互联网企业和‘白帽子’是相辅相成的，特别是互联网企业的安全部门非常倚重‘白帽子’。”陈某这样评价互联网企业与“白帽子”之间的关系，互联网企业有一项很重要的职责，就是保护好用户的信息安全。基于这一职责，互联网企业自身用各种各样的方法不断发现问题、解决问题，同时也欢迎“白帽子”做一些善意的测试，发现盲点，帮助厂商完善安全体系。szi鄂东网|www.xianzhaiwang.cn

？？？？“白帽子”提升了行业和厂商对安全的重视程度，但陈某也坦言，互联网企业也有害怕“白帽子”的时候。有些“白帽子”经意不经意的测试行为，可能导致数据被破坏，甚至一些打着“白帽子”旗号的人会贩卖数据。“白帽子”对用户的数据产生侵犯，就可能触碰互联网企业的底线。szi鄂东网|www.xianzhaiwang.cn

？？？？“白帽子”除了与互联网企业打交道，还会与漏洞披露平台产生联系。szi鄂东网|www.xianzhaiwang.cn

网络安全“白帽子”：不为赚钱 "黑"化只在一念间

文章地址: http://news.xianzhaiwang.cn/toutiao/404419.html