在网络安全领域有一项共识:漏洞是网络安全的命门,牵一发而动全身。大部分的网络安全问题都来自于漏洞的发现与利用。漏洞一旦被恶意利用,后果不堪设想。漏洞管理贯穿国家、社会、企业、个人多个层次,涉及收集、验证、处置、响应多个环节,是网络安全行业有序发展的核心命题。
为加强网络安全漏洞管理,早在2009年,国家信息安全漏洞共享平台(CNVD)和国家信息安全漏洞库(CNNVD)分别成立,为网络安全漏洞的统一收集验证、预警发布和应急处置提供官方通道。2019年6月18日,工信部发布《网络安全漏洞管理规定(征求意见稿)》(即将正式出台),规定中明确提出“鼓励第三方组织和个人获知网络产品、服务、系统存在的漏洞后,及时向国家信息安全漏洞共享平台、国家信息安全漏洞库等漏洞收集平台报送有关情况。”
成立于2014年的漏洞盒子是国内领先的网络安全众测服务平台,旗下“公益SRC”板块也是业界知名的第三方漏洞收集平台。平台6.5万余名白帽子安全专家为众多企业提供了强有力的安全服务保障的同时,也为国家网络安全相关监管单位对漏洞的收集工作提供了有力支撑。
漏洞的公益性收集与保送
促进行业有序发展
尽管越来越多企业和单位意识到安全漏洞问题的重要性,但仍有大量厂商对漏洞的收集处置有心无力,甚至置之不理。
为了避免一些高威胁性安全漏洞由于得不到妥善处置而被不负责任的泄露至网络甚至被恶意利用。漏洞盒子平台“公益SRC”板块在严格遵守国家网络安全漏洞管理规定的基础上,对白帽子随机提交、平台公益性接收到的网络安全漏洞进行规范性处置,向国家级漏洞库单位建立了具备保密性和时效性的上报机制。
漏洞盒子平台所属公司斗象科技,已连续4届入选CNVD优秀技术支撑单位,是CNNVD二级支撑单位,CNCERT省级支撑单位。
规范与教育
引导民间白帽正向发展
白帽子可以发现计算机系统或网络系统中的安全漏洞,但并不会恶意去利用或传播,而是保护性报送相关责任方或第三方漏洞平台,以保证系统第一时间修补漏洞。
《网络安全法》等相关法律法规的出台,明确规定了网络违法犯罪行为的定义与边界。任何网络违法犯罪行为,没有“保护区”,更没有“补救站”—— 第三方漏洞平台不是不法分子的避风港,违法违规或恶意利用漏洞后提交第三方平台不能免责,所有违法行为都将接受相关法侓法规的制裁。
为此,漏洞盒子平台不仅制定了完善的平台规范,还通过“白帽公开课”“校园行”“法律讲座”等一系列的白帽活动,引导白帽力量正向发展,为守护企业网络安全,推动网络安全行业的发展做出更大贡献。
