摘要 : 之所以黑客大行其道，主要還是利益相關，如果在將來，能夠讓白帽子的收入達到甚至超過黑客，對于整個網絡安全環境都是一件功德無量的事情。

這幾天的北京格外冷，據說還要有一股弱冷空氣來襲，這種情景與許多公司的心情十分契合。本周，有白帽子發布消息稱，智聯招聘存在安全漏洞，并已經造成86萬份用戶簡歷信息泄露。而就在12月4日，白帽子“路人甲”提交了一個名為“東方航空大量用戶訂單信息泄露”的漏洞，危害等級為高。加上今年上半年，攜程資料泄露事件，漏洞問題幾乎成了大部分網站的隱患。

不過，上述幾家公司在漏洞曝光之后，都及時做出了回應，比如，智聯招聘表示，漏洞中曝出的 IP 地址歸是一家新興招聘網站，被泄露信息的并不是智聯招聘的用戶。關于這份聲明，實際上一直爭議不斷，針對這一問題有不少討論。不過，在技術專家360網站安全總監趙武看來，這個爭論實際上是白帽子的技術語言與商業語言的無法契合導致的。

漏洞的定義有所不同

數據顯示，2013年，國內有超過95%的網站存在安全漏洞，40%的網站被植入后門，這些數據表明，幾乎所有網站都可能有漏洞，這個問題是長期存在的。為了保護網站安全，部分大公司建立了SRC(安全應急響應中心)，能夠發動全網白帽子為企業提交漏洞。但是，大部分企業沒有建立SRC。但這些企業對安全隱患是心知肚明的，它們當然不想問題暴露，所以問題的關鍵在于，企業如何與發現漏洞的白帽子進行溝通。之所以還會出現類似攜程、智聯招聘等公司的問題，主要有兩個原因。

第一，白帽子發現漏洞后遞交時存在顧慮。360網站安全總監趙武表示，刑法修正案有一項規定，如果安全人員獲取了敏感信息或提供了安全工具，有可能觸犯刑法。所以，當白帽子找到了網站的漏洞，由于涉嫌觸犯刑法，白帽子會考慮要不要告訴企業。而此前，有過這樣的案例，當白帽子告知企業網站存在漏洞時，廠商直接報警抓人。因此，白帽子不敢將漏洞報告給企業，隱患最終爆發也就很常見了。

第二，企業對漏洞的定義存在誤區。即便企業能夠接受白帽子提供的漏洞，在趙武看來，雙方對漏洞嚴重程度的評估存在分歧。對企業來說，某個漏洞也許不涉及核心部分，也就不嚴重。但在技術人員看來，這一漏洞存在很大的隱患，通過此漏洞侵入網站核心部分是很容易的。雙方在定級方面存在分歧，一旦談不攏，漏洞很有可能會被曝光。

綜上所述，如果沒有SRC，企業與白帽子溝通起來是很困難的，對雙方來說，都存在一定的風險，需要有一個中間方協調二者的關系。

平臺作用：讓技術語言與商業語言契合

在趙武看來，如果能像大企業一樣，為其他企業建立SRC，有兩個優點，一是能夠讓企業變被動為主動，主動發現網站的漏洞;二是有助有建立長效機制，保證企業避免受到攻擊。在這種情況下，360成立了補天平臺。

補天平臺主要的作用是幫助企業建立SRC(安全應急響應中心)，建立起廠商與白帽子之間的橋梁，最大程度避免企業由于安全漏洞遭受損失，讓白帽子獲得收益。在趙武看來，這樣可以保證白帽子與企業的利益。

第一，白帽子能夠獲得收益，增加動力。補天平臺可以建立一個有效的機制，企業為白帽子找到的漏洞支付報酬，發現漏洞的白帽子則將獲得與辛勞相匹配的物質獎勵，這樣一來，白帽子就會更有動力。據趙武透露，有白帽子通過找漏洞，一個周可以拿到幾千塊錢，這對白帽子來說是一個相當大的激勵。如果白帽子與企業對漏洞的定性依然存在問題，那么補天平臺會作為調停方進行協調，平臺的作用就發揮了出來。

第二，漏洞不會公開，防止被競爭對手利用。將漏洞毫無保留地公布，很有可能會被競爭對手和黑客利用，導致企業遭受到輿論壓力，面臨更大的被攻擊的風險。而在補天平臺上，除了漏洞發現者和相關企業之外，所有其他人員均不能看到漏洞相關細節，企業便可以安心修補漏洞。

綜合來看，補天平臺能夠兼顧網站站長、白帽子和第三方建站程序廠商的共同利益。便可以讓技術的“驢唇”和商業的“馬嘴”對上。

寫在最后：

攜程、智聯招聘等網站是無辜的，因為沒有百分之百的安全，總會不斷有漏洞出現。關鍵在于這個漏洞是被誰發現的，如何協調的。如果協調地順利，事情便不會發酵，企業利益也就能夠保障。

關于網絡安全，趙武表示，“希望能讓白帽子將愛好變成職業”。目前來看，之所以黑客大行其道，主要還是利益相關，如果在將來，能夠讓白帽子的收入達到甚至超過黑客，對于整個網絡安全環境都是一件功德無量的事情。