APP下载

健全我国网络安全漏洞管控机制

2018-03-03

网络安全和信息化 2018年12期
关键词:赏金帽子黑客

2017年11月,白宫发布了《漏洞平衡策略》,规范了美国政府的零日漏洞发布流程。2018年5月,美众议院外交事务委员会提出“Hack Your State Department”法案,建议国务院建立漏洞赏金计划,引导联邦机构接受已在私营部门普遍实行的漏洞赏金活动。美国政府的漏洞挖掘、披露等行为日益规范化、常态化。与之相对,我国网络安全漏洞管控机制尚不健全,战略性零日漏洞外流现象较为严重。应借鉴美国经验,研究建立符合我国实际的网络安全漏洞管控机制。

加强漏洞挖掘领域的法律规范建设

完善相关法规制度,为“白帽子”的漏洞挖掘行为设置相应的免责条款,保护经当事人授权或在国家机关指导下的漏洞挖掘行为。推动建立“白帽子”主体身份备案制度,加强对“白帽子”身份的匿名化保护和行为的安全监管。尽快研究制定网络安全漏洞挖掘规范等国家标准,指导规范“ 白帽子” 黑客的漏洞挖掘行为。

打造漏洞挖掘的创新平台

一方面,推动政府机构采用众测众包方式发现和收集漏洞。加强政府与网络安全企业合作,充分利用网络安全企业的漏洞挖掘能力和情报优势,帮助政府及早发现和修复漏洞。在安全可控前提下,制定实施漏洞赏金计划,充分发动社会各界的网络安全力量发现和收集漏洞,提高网络安全整体防护能力。另一方面,重点打造“强网杯”全国网络安全挑战赛、WCTF世界黑客大师赛等网络安全竞赛,积极举办GeekPwn等大型国际黑客竞赛,加大竞赛的资金奖励和宣传报道,吸引国内外顶级黑客协助发现我信息技术产品的安全漏洞。

建立网络空间漏洞披露审查机制

出台漏洞管理的专门政策文件,对漏洞披露范围、流程等进行规范。建立零日漏洞安全评估和披露审批机制,充分考虑网络安全漏洞的特殊性,以零日漏洞影响产品的波及面、导致的破坏程度、漏洞利用难度、漏洞修复难度等为评估重点,对漏洞进行评级。视漏洞级别,决定是否披露漏洞、如何披露漏洞。严禁IT企业未经授权和安全评估,以竞赛、通报等形式私自披露漏洞。

猜你喜欢

赏金帽子黑客
欢乐英雄
多少个屁能把布克崩起来?
网络黑客比核武器更可怕
韩国赏金最高10亿,鼓动朝鲜人叛逃
现实世界真有赏金猎人吗?
赏金猎人
《赏金猎人》定档暑期,李敏镐钟汉良组“赏金CP”
Hat 我戴上了这顶帽子