海外网络安全事故频发,也引起了国内对于网络安全重视。网络安全行业也获得更多的发展和机会。
网络上,有一群人被称为“白帽子”。他们通过自己专业能力,识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是通知企业、厂商及时修复,避免公众利益损失。而未修复前,绝不公开,这是白帽子们自觉维护一种较为广泛接受的文化和道德,维持网络的安全有序。
专家介绍,这些大家广为接受的机制包括:技术漏洞的上报通报机制、技术比武大会的保密机制、悬赏漏洞挖掘的激励机制、有偿漏洞挖掘服务的协议机制、白帽子论坛的适度文化。
简单来说,白帽子们,发现漏洞后,会及时通知给涉及企业、厂家,在他们修复漏洞前,不会擅自公开漏洞,以免造成公众利益损失。
虽然有竞争关系,但在安全面前公众利益第一
然而,在利益驱动下,有个别组织和个人违反了约定俗成的“行规”,破坏安全市场整体秩序的行为,严重的甚至危害到社会公众的利益。例如:
● 未将漏洞上报及通知相关厂商,即公开进行产品破解;
● 无现实危害发生时,模拟网络攻击并滥发预警信息;
● 在厂商还未完成漏洞修复时,披露漏洞利用技术细节和受影响的用户隐私数据;
● 以公开发布会的方式公开竞争对手的安全漏洞或系统风险,打击竞争对手产品的安全性,意图阻碍竞争对手业务发展;
● 为显示能力,发布公开计算机病毒、木马、勒索软件等恶意程序的源代码和制作方法;
● 夸大评价某些网络安全攻击、事件、风险、脆弱性状况,引发恐慌;
● 公开其它网络运营者的重要技术信息如系统架构、网络规划设计、拓扑结构、资产信息、软件代码等。
专家认为,上述行为的目的已偏离了正常的技术交流,其本质属于不正当的市场竞争行为,严重损害了安全技术领域的原有秩序和文化,甚而进一步危及到整个国家的网络安全。
针对这一行业乱象,国家互联网信息办公室近日发布《网络安全威胁信息发布管理办法(征求意见稿)》,明确规定不得利用网络安全威胁信息进行炒作或从事不正当竞争,要求坚持“客观、真实、审慎、负责”的原则发布网络安全威胁信息。办法明确,报刊、广播电视、出版物、互联网站、论坛、博客、微博、公众账号、即时通信工具、互联网直播、互联网视听节目、应用程序、网络硬盘等、公开举行的会议、论坛、讲座、公开举办的网络安全竞赛等作为信息发布平台,在发现违法发布行为和发布内容时,也应立即停止发布、采取消除等处置措施。
《网络安全威胁信息发布管理办法(征求意见稿)》对可能威胁网络正常运行的行为,用于描述其意图、方法、工具、过程、结果等的信息(如网络攻击、网络安全事件等)和可能暴露网络脆弱性的信息(如系统漏洞、网络规划设计)的发布进行了全面规范,从内容管理、前置上报及平台处置等角度进行管控。
此前,工业和信息化部曾在今年6月发布《网络安全漏洞管理规定(征求意见稿)》,要求第三方组织或个人通过网站、媒体、会议等方式向社会发布漏洞信息的行为遵循“必要、真实、客观、有利于防范和应对网络安全风险”的原则,不得在发布漏洞修补或防范措施之前发布相关漏洞信息、不得刻意夸大漏洞的危害和风险、不得发布和提供专门用于利用漏洞从事危害网络安全活动的方法、程序和工具,并同步发布漏洞修补或防范措施。
相信办法和规定的出台和生效将能够相辅相成,在客观、真实的原则下有效规制不当发布,避免行业乱象成为不成文的“行规”,正确引导从业人员、维护网络安全
文章来源:微信公众号计算机与网络安全,转载请标明出处,发布此信息的目的在于传播更多信息,如有侵权请联系删除。