8月16日,第四屆中國互聯網安全大會(ISC 2016)在京開幕。網站安全漏洞挖掘技術、報告、披露和利用成為近年來網絡安全領域的重要課題,尤其是一些白帽子挖洞被抓事件更成為業界焦點。
中國互聯網安全大會特設網絡安全與法治論壇,來自美國前國防部、韓國最高檢官員,以及來自國內網絡安全領域、國家互聯網應急中心等大批法學界、業界和管理層最為頂尖專家共同探討網絡安全共同體法律保障問題。
白帽子挖洞成為網絡安全正能量
世界上沒有絕對安全的網站,隨著萬物互聯時代的到來,網絡漏洞帶來的網絡安全風險也如影相隨,今年2月,孟加拉國央行在美國紐約聯邦儲備銀行的賬戶遭黑客攻擊,被竊8100萬美元。這是史上金額最大的銀行盜竊案之一。
有邪惡就有正義,白帽子作為民間重要的網絡安全力量已經越來越得到世界網絡安全界的重視。白帽子們在對抗黑客攻擊方面的作用有目共睹,但白帽子也存在著一些法律風險與安全風險。因此,推動中國網絡安全法治建設,規范網絡安全漏洞的挖掘、披露和交易行為,共建網絡安全共同體,已經是各界人士的共識。
國家互聯網應急中心運行部副主任、正高級工程師嚴寒冰,在論壇上詳細闡述了漏洞安全生態價值觀。據介紹,中國互聯網協會網絡與信息安全工作委員會發布了《中國互聯網協會漏洞信息披露和處置自律公約》,為更好利用白帽子提交的漏洞,保障網絡安全提供了條件。
“大咖”云集網站漏洞“亡羊補牢”
前不久,美國國防部征召全美1000多名白帽子對五角大樓國防部網站進行漏洞挖掘,國防部竟然邀請“外人”挖自家漏洞,這引起了國際網絡安全圈的震動。在論壇上,美國國防部前首席網絡政策戰略官、美國伯克利大學Reiber教授就美國白帽子黑客參與網絡安全建設的制度和實踐深入探討;韓國網絡安全界培養出屢屢在WCTF勇奪第一名的韓國神童,韓國大網絡檢察偵查官Chu Pill Hwan就韓國網絡安全法進行介紹和評價。
國內西安交通大學、北京郵電大學、公安部三所、中國信息通信研究院等網絡安全法方面的頂級專家也來到論壇。國家互聯網應急中心專家和大批網絡漏洞平臺白帽子前來參會,可以說聚集了國內外法學界、業界和管理層最為頂尖的智囊,為深入探討白帽子挖漏洞法律邊界問題提供了水平最高的平臺。
白帽子挖漏洞 需國家法律保障
在論壇上,公安部第三研究所網絡安全法律研究中心主任、副研究員黃道麗對我國漏洞挖掘的法律遵從框架及風險分析、和國外安全漏洞挖掘的最佳實踐及立法展開分析,并提出我國亟需從管理、技術和法律層面綜合提高應對網絡攻擊的防御能力,最大限度減少安全漏洞可能產生的危害,同時引導漏洞的合法挖掘、報告、披露和利用,為發展國家安全反制能力打下基礎,從整體上提升國家的網絡安全保障能力。
西安交通大學信息安全法律研究中心博士馬寧的演講細數了國家網絡安全審查的緣起和國家網絡安全審查的法理基礎。他認為國家網絡安全審查具有三個層次,兩大內容。三個層次包括信息技術產品和服務審查、CIIP持續性運營審查和國家網絡安全狀態審查。兩大內容包括人員安全審查和技術審查。
網絡安全需要白帽子、政府、安全廠商的共同努力,專家表示,我國要建立統一高效的網絡安全風險報告機制、情報共享機制、研判處置機制,準確把握網絡安全風險發生的規律、動向、趨勢;建立政府和企業網絡安全信息共享機制。此次與會專家在專業領域為我國構建國家層面網絡安全命運共同體提出了非常重要的對策和建議。
據悉,中國互聯網安全大會(ISC)是亞太地區規格最高、規模最大、影響力最深遠的安全峰會,ISC2016以“協同聯動:共建安全+命運共同體”為主題。經歷此前三屆大會的積淀,今年的第四屆大會分別召開了兩大安全峰會和14個專業論壇,分享了120個有關網絡安全戰略、技術和產業趨勢、投資創業、人才培養、法律法規等議題,并同步舉辦了安全訓練營、第二屆安全極客狂歡節(HackPwn)、安全創客匯等特色活動及賽事,吸引了近200家海內外媒體到場。
大會云集了全球數百名互聯網安全領域的知名專家、智庫,McAfee公司創始人約翰·邁克菲,前美國陸軍少將、美國Palo Alto Networks副總裁、首席安全官約翰·戴維斯,卡巴斯基全球安全服務主管、副首席技術官Sergey Gordeychik,俄羅斯安全互聯網聯盟主席Denis Davydor、著名刑事鑒識專家李昌鈺、微軟可信賴計算部網絡安全戰略總監褚誠云、360公司創始人周鴻祎等紛紛到場,共同論道互聯網安全。
京公網安備 11010502049343號