通常理解下,“白帽子”是发现互联网企业安全漏洞,反馈给企业而不恶意利用的人。
“白帽子”可以帮助发现安全漏洞,帮助互联网企业完善安全体系。不过,如果“白帽子”对用户的数据产生侵犯,就可能触碰互联网企业的底线。
一些“白帽子”对法律不了解,不知道行为界限在哪里;另一些“白帽子”了解法律,但管不住自己的好奇心,他们获得数据并不是出于违法目的,而是自律出了问题
近日,多起精准诈骗连续受到公众关注,人们的注意力转向个人信息安全保护。在互联网上有这样三个主体,他们共同的关注点是互联网安全,他们既是“同盟”又保留着一定程度的戒备,他们是“白帽子”、漏洞披露平台和互联网企业。
|
|
8月15日至21日国家信息安全漏洞共享平台发布信息安全漏洞周报——互联网漏洞披露平台、互联网安全众测平台及其他个人“白帽子”,共向国家信息安全漏洞共享平台提交了36个以事件型漏洞为主的原创漏洞。而此前一周,这一数量更高达1568个。
尽管三方正共同对维护互联网信息安全作出努力,但围绕“白帽子”,仍存在一些争议。如何解决围绕“白帽子”的争议,促进“白帽子”、漏洞披露平台与企业在互联网安全领域的合作?记者就此采访了互联网安全业内人士和互联网法律专家。
“白帽子”是群怎样的人
“白帽子”是什么样的人?互联网法律专家告诉记者,法律上并没有“白帽子”这个概念。
“这个称谓是一个行业——网络安全为主的安全行业,对从业人员以及安全技术爱好者的一个称呼。”互联网法律专家赵占领告诉记者,即便在行业内,“白帽子”也没有严格的概念。通常理解下,“白帽子”是发现互联网企业安全漏洞,反馈给企业而不恶意利用的人。
“‘白帽子’对网络安全技术提升有建设性作用。”赵占领这样认为。
“能而不欲的人。”这是中国政法大学副教授朱巍对“白帽子”的形容。他认为,“白帽子”虽然有破坏网络或利用获得的信息赚钱的能力,但他们不做这样的事情。“白帽子”挖掘安全漏洞是为了堵住漏洞,或者单纯地为了“炫技”。
谁戴着“白帽子”?朱巍告诉记者,互联网上活跃着大量的“白帽子”,他们有可能在政府部门、互联网技术企业、科研院校等单位工作。
“互联网安全是一种动态的平衡。”朱巍说,技术每时每刻都在进步,今天是安全的,明天可能就不再安全。“‘白帽子’的存在是件好事。‘白帽子’发现漏洞并把漏洞展现出来,起到了预警效果”。
江苏公安机关网络安全部门童姓民警说,目前,在WEB安全领域的“白帽子”比较多,原因是WEB安全领域入门比其他领域相对低一些,教材容易获得,测试环境也容易接触到。当然,在WEB安全领域存在的问题也更多一些。
记者了解到,除了关注WEB安全领域的“白帽子”之外,还有一些“白帽子”会将注意力放在硬件安全或操作系统安全等方面。
