海外网络安全事故频发，也引起了国内对于网络安全重视。网络安全行业也获得更多的发展和机会。

网络上，有一群人被称为“白帽子”。他们通过自己专业能力，识别计算机系统或网络系统中的安全漏洞，但并不会恶意去利用，而是通知企业、厂商及时修复，避免公众利益损失。而未修复前，绝不公开，这是白帽子们自觉维护一种较为广泛接受的文化和道德，维持网络的安全有序。

专家介绍，这些大家广为接受的机制包括：技术漏洞的上报通报机制、技术比武大会的保密机制、悬赏漏洞挖掘的激励机制、有偿漏洞挖掘服务的协议机制、白帽子论坛的适度文化。

简单来说，白帽子们，发现漏洞后，会及时通知给涉及企业、厂家，在他们修复漏洞前，不会擅自公开漏洞，以免造成公众利益损失。

虽然有竞争关系，但在安全面前公众利益第一

然而，在利益驱动下，有个别组织和个人违反了约定俗成的“行规”，破坏安全市场整体秩序的行为，严重的甚至危害到社会公众的利益。例如：

● 未将漏洞上报及通知相关厂商，即公开进行产品破解；

● 无现实危害发生时，模拟网络攻击并滥发预警信息；

● 在厂商还未完成漏洞修复时，披露漏洞利用技术细节和受影响的用户隐私数据；

● 以公开发布会的方式公开竞争对手的安全漏洞或系统风险，打击竞争对手产品的安全性，意图阻碍竞争对手业务发展；

● 为显示能力，发布公开计算机病毒、木马、勒索软件等恶意程序的源代码和制作方法；

● 夸大评价某些网络安全攻击、事件、风险、脆弱性状况，引发恐慌；

● 公开其它网络运营者的重要技术信息如系统架构、网络规划设计、拓扑结构、资产信息、软件代码等。

专家认为，上述行为的目的已偏离了正常的技术交流，其本质属于不正当的市场竞争行为，严重损害了安全技术领域的原有秩序和文化，甚而进一步危及到整个国家的网络安全。

针对这一行业乱象，国家互联网信息办公室近日发布《网络安全威胁信息发布管理办法（征求意见稿）》，明确规定不得利用网络安全威胁信息进行炒作或从事不正当竞争，要求坚持“客观、真实、审慎、负责”的原则发布网络安全威胁信息。办法明确，报刊、广播电视、出版物、互联网站、论坛、博客、微博、公众账号、即时通信工具、互联网直播、互联网视听节目、应用程序、网络硬盘等、公开举行的会议、论坛、讲座、公开举办的网络安全竞赛等作为信息发布平台，在发现违法发布行为和发布内容时，也应立即停止发布、采取消除等处置措施。

《网络安全威胁信息发布管理办法（征求意见稿）》对可能威胁网络正常运行的行为，用于描述其意图、方法、工具、过程、结果等的信息（如网络攻击、网络安全事件等）和可能暴露网络脆弱性的信息（如系统漏洞、网络规划设计）的发布进行了全面规范，从内容管理、前置上报及平台处置等角度进行管控。

此前，工业和信息化部曾在今年6月发布《网络安全漏洞管理规定（征求意见稿）》，要求第三方组织或个人通过网站、媒体、会议等方式向社会发布漏洞信息的行为遵循“必要、真实、客观、有利于防范和应对网络安全风险”的原则，不得在发布漏洞修补或防范措施之前发布相关漏洞信息、不得刻意夸大漏洞的危害和风险、不得发布和提供专门用于利用漏洞从事危害网络安全活动的方法、程序和工具，并同步发布漏洞修补或防范措施。

相信办法和规定的出台和生效将能够相辅相成，在客观、真实的原则下有效规制不当发布，避免行业乱象成为不成文的“行规”，正确引导从业人员、维护网络安全

文章来源：微信公众号计算机与网络安全，转载请标明出处，发布此信息的目的在于传播更多信息，如有侵权请联系删除。