合肥網(wǎng)站規(guī)劃，合肥建造網(wǎng)站哪家好，合肥網(wǎng)站制造

發(fā)布時(shí)間：2017-03-14 文章來(lái)源：瀏覽次數(shù)：3306

　　便捷的信息產(chǎn)品、服務(wù)和應(yīng)用已成為人類社會(huì)生活賴以運(yùn)轉(zhuǎn)的必需品，信息安全的重要性不言而喻。近年來(lái)發(fā)生的海量用戶數(shù)據(jù)泄露、智能設(shè)備遭非法遠(yuǎn)程控制、網(wǎng)絡(luò)勒索橫行等事件已成為全球性問(wèn)題。據(jù)估算，2016年網(wǎng)絡(luò)相關(guān)犯罪造成的損失超過(guò)4500億美元。如果說(shuō)網(wǎng)絡(luò)有江湖，那亦是風(fēng)雨飄搖，自古江湖正邪不兩立，既有惡人橫行，自有俠客出山。“白帽黑客”作為網(wǎng)絡(luò)江湖俠客，正逐漸走入人們的視野。
　　在這一背景下，2016年11月至今年1月，美國(guó)陸軍開(kāi)展了名為“黑進(jìn)軍隊(duì)（Hack The Army）”的賞金計(jì)劃，包括征兵網(wǎng)站和陸軍數(shù)據(jù)庫(kù)等重要信息系統(tǒng)在軍方授意下公開(kāi)經(jīng)受黑客的輪番測(cè)試。美國(guó)軍方共收到400多份漏洞報(bào)告，派發(fā)獎(jiǎng)金超10萬(wàn)美元。此外還將部分高危漏洞詳情向社會(huì)披露，并計(jì)劃篩選出優(yōu)秀“白帽”為國(guó)效力。
　　1 黑客和他們的“帽子”
　　黑客（Hacker）指精通計(jì)算機(jī)技術(shù)，專注于程序設(shè)計(jì)的電腦高手，通過(guò)挖掘安全漏洞進(jìn)而可以破解密碼、控制計(jì)算機(jī)、竊取數(shù)據(jù)的神秘群體。“黑客”的稱呼最初是中性甚至是褒義的，擁有“自由”“共享”“創(chuàng)造性”的獨(dú)特文化。黑客往往會(huì)通過(guò)漏洞工具自動(dòng)化掃描，獲得一幅系統(tǒng)“漏洞地圖”后嘗試對(duì)信息產(chǎn)品和服務(wù)進(jìn)行攻破。網(wǎng)絡(luò)上無(wú)所不能的神秘黑客，在現(xiàn)實(shí)生活中可能是普通學(xué)生、程序員、工程師、研究人員或自由職業(yè)者。
　　技術(shù)作為工具并無(wú)曲直，但使用者的目的卻大相徑庭。黑客大體可分為“白帽黑客”“黑帽黑客”和“灰帽黑客”三類。“白帽黑客”會(huì)利用自己的能力維護(hù)信息安全，發(fā)現(xiàn)漏洞后及時(shí)向廠商或有關(guān)部門進(jìn)行反饋，保證漏洞在被惡意行為者利用前及時(shí)修復(fù)，提升產(chǎn)品系統(tǒng)的安全性；“黑帽黑客”則是利用技術(shù)損害產(chǎn)品和用戶安全惡意獲利的一群人。媒體上有關(guān)黑客攻擊的報(bào)道指的就是“黑帽黑客”，例如臭名昭著的全球最大黑客組織“匿名者”，其核心成員超過(guò)千人，針對(duì)政府和企業(yè)系統(tǒng)發(fā)動(dòng)攻擊以表達(dá)不滿，五角大樓、美中情局、索尼公司、萬(wàn)事達(dá)公司和希臘央行等網(wǎng)絡(luò)系統(tǒng)均是其攻擊目標(biāo)。而“灰帽黑客”則是游走于二者之間，既不以維護(hù)網(wǎng)絡(luò)安全為己任，亦不齒于為害一方，其關(guān)注重心只在于純粹的炫技，追求的是技術(shù)超越帶來(lái)的成就感。
　　換言之，“白帽”為安全而技術(shù)，是網(wǎng)絡(luò)安全的建設(shè)者；“黑帽”為利益而技術(shù)，是網(wǎng)絡(luò)安全的破壞者。黑與白的界限往往非常模糊，仿佛蒼茫大海中的白濤與黑浪，游戲世界中的白魔法與黑魔法。白帽子一念之差可能鋌而走險(xiǎn)，黑帽子浪子回頭會(huì)變?yōu)榫W(wǎng)絡(luò)安全的堅(jiān)強(qiáng)捍衛(wèi)者。
　　2 網(wǎng)絡(luò)漏洞：黑客的獵物
　　無(wú)論戴著什么樣的帽子，對(duì)于黑客而言，唯一的“獵物”就是網(wǎng)絡(luò)漏洞。網(wǎng)絡(luò)漏洞是指在信息產(chǎn)品軟硬件、協(xié)議實(shí)現(xiàn)或安全策略上存在的缺陷，可以讓攻擊者在未授權(quán)的情況下訪問(wèn)或破壞系統(tǒng)。當(dāng)企業(yè)發(fā)現(xiàn)或被通知產(chǎn)品存在漏洞時(shí)，會(huì)積極進(jìn)行針對(duì)性地修復(fù)。漏洞具有全球化、通用性等特征，目前數(shù)量迅速增長(zhǎng)，影響范圍和程度不斷增大，是對(duì)國(guó)家安全、經(jīng)濟(jì)發(fā)展的巨大威脅。
　　打個(gè)比方，信息技術(shù)公司好比“錢莊”，負(fù)責(zé)保管用戶的各類財(cái)產(chǎn)——我們的言行、資料、財(cái)產(chǎn)均以數(shù)字化形式被“錢莊”收集、保存、分析和利用。漏洞就是“錢莊”整個(gè)運(yùn)行流程中的風(fēng)險(xiǎn)點(diǎn)，當(dāng)然，大多數(shù)“錢莊”的金庫(kù)圍墻不會(huì)有缺口，窗子也裝有護(hù)欄，會(huì)雇傭守衛(wèi)看護(hù)，用戶存取財(cái)產(chǎn)也需要提供憑證。但安全風(fēng)險(xiǎn)并未完全消除：惡意行為者可以雇傭大量閑散人員在柜臺(tái)排隊(duì)導(dǎo)致“錢莊”無(wú)法為真正的用戶提供服務(wù)；守衛(wèi)監(jiān)守自盜；年久失修的圍墻出現(xiàn)裂縫；市場(chǎng)上出現(xiàn)可以悄無(wú)聲息剪開(kāi)護(hù)欄鋼筋的便攜液壓剪；或者直接通過(guò)地道挖進(jìn)金庫(kù)。黑客就是不斷找出這些漏洞的一群人。
　　網(wǎng)絡(luò)漏洞具有全球化、通用性的特征，能夠以點(diǎn)破面，筑再高的墻，換再?gòu)?fù)雜的門鎖都難免疏漏。那么是不是把金庫(kù)建造成銅墻鐵壁、堅(jiān)不可摧、處處監(jiān)控、只進(jìn)不出甚至深埋海底就可以保障絕對(duì)安全了呢？答案是否定的。首先信息領(lǐng)域沒(méi)有“堅(jiān)不可摧”，安全系統(tǒng)很快會(huì)隨著技術(shù)更新變得不堪一擊，安全系統(tǒng)需要不斷更新維護(hù)；其次，互聯(lián)網(wǎng)的本質(zhì)是信息數(shù)據(jù)的自由流動(dòng)和充分利用，“錢莊”的龐大金庫(kù)需要被頻繁存取訪問(wèn)，易訪問(wèn)性必須得到保證，所以不具備絕對(duì)安全的條件。
　　因此，無(wú)論設(shè)計(jì)多么巧妙，實(shí)現(xiàn)能力多么強(qiáng)大，經(jīng)過(guò)多少輪測(cè)試檢驗(yàn)，任何信息產(chǎn)品和服務(wù)都不可避免地存在漏洞。信息產(chǎn)品安全不可能一蹴而就，需要在產(chǎn)品的整個(gè)生命周期中得到重視，能夠及時(shí)發(fā)現(xiàn)并修復(fù)漏洞才是負(fù)責(zé)任企業(yè)的正確做法。以安全著稱的蘋果iOS系統(tǒng)僅在2015年就有387個(gè)安全漏洞被曝出，而微軟的“視窗XP”系統(tǒng)在十多年的漫長(zhǎng)生命周期中也有726個(gè)漏洞被曝出。正是因?yàn)檫@些產(chǎn)品的關(guān)注度高、用戶量大，才會(huì)在“聚光燈”和“放大鏡”下被研究得更徹底，修補(bǔ)漏洞后的產(chǎn)品也才會(huì)更安全和完善。因此，致力于發(fā)現(xiàn)并修補(bǔ)漏洞的白帽黑客們無(wú)疑是信息安全保障的重要助力之一。
　　3 “白帽黑客”與江湖歷練
　　當(dāng)然，漏洞不光是黑客們的獵物，亦是傳統(tǒng)殺毒軟件公司的勢(shì)力范圍。只不過(guò)殺毒軟件是漏洞被利用后“亡羊補(bǔ)牢”，“白帽黑客”則是主動(dòng)在羊圈外“巡視缺口”，力爭(zhēng)未亡先補(bǔ)。“白帽黑客”作為維護(hù)網(wǎng)絡(luò)安全的民間力量不斷得到各方肯定與重視，同時(shí)他們也面臨各類誘惑和困境。
　　社會(huì)偏見(jiàn)。為吸引眼球，大眾媒體往往對(duì)于黑客相關(guān)的新聞過(guò)度神秘化，所有負(fù)面安全事件均歸結(jié)到“無(wú)所不能”的黑客身上。技術(shù)公司往往對(duì)“白帽黑客”未經(jīng)授權(quán)的測(cè)試行為不滿，并懷疑其主動(dòng)報(bào)告的動(dòng)機(jī)。政府往往抵觸“外部黑客”的幫助，更不會(huì)建設(shè)獎(jiǎng)勵(lì)機(jī)制，打造正向反饋。
　　金錢誘惑。在地下黑色產(chǎn)業(yè)鏈中，惡意利用漏洞變現(xiàn)的速度驚人，一個(gè)高危漏洞在黑市上可以買到六位數(shù)的高價(jià)，而“白帽黑客”通過(guò)正規(guī)渠道只能得到象征性的物質(zhì)獎(jiǎng)勵(lì)。盡管“白帽黑客”對(duì)技術(shù)和安全的追求高于對(duì)金錢追求，但面對(duì)數(shù)十倍的收入差距和一夜暴富的誘惑，心存“網(wǎng)絡(luò)犯罪難以追蹤”的僥幸，不少黑客且將白帽換黑帽，不可避免地進(jìn)入地下黑產(chǎn)鏈條。
　　年輕氣盛。年輕化是黑客團(tuán)體的一大特點(diǎn)。根據(jù)“HackerOne”漏洞報(bào)告平臺(tái)調(diào)查，35歲以下的黑客占比超過(guò)九成。手握最新技術(shù)、雄心勃勃但閱歷不足的年輕人面臨抉擇時(shí)即便不受金錢吸引，但難免不受聲名所累，迫切希望通過(guò)發(fā)起“破壞性”事件一舉成名。因此，作為一名“白帽黑客”，心志必須堅(jiān)定到年輕且耐得住寂寞。
　　行為邊緣。檢測(cè)漏洞行為處于法律和觀念的模糊邊緣。法律中對(duì)“白帽黑客”自發(fā)性檢測(cè)系統(tǒng)漏洞（如黑進(jìn)目標(biāo)網(wǎng)站但不進(jìn)行破壞）的行為是否構(gòu)成犯罪尚未有明確界限，諸多空白區(qū)亟待填補(bǔ)。就像在沒(méi)有得到授權(quán)的情況下，某人在“錢莊”外不停巡視，進(jìn)行“模擬攻擊”，利用各類工具試探圍欄結(jié)實(shí)與否，防盜門鎖安全強(qiáng)度如何，甚至使用偽造憑證辦理業(yè)務(wù)。這會(huì)讓大部分“錢莊”和執(zhí)法者警惕和懷疑。在一些公司眼中，“白帽黑客”就是“借機(jī)勒索的壞小子”。
　　不受重視。“白帽黑客”缺乏有效的報(bào)告渠道，往往只能向公司發(fā)送電子郵件。不僅耗時(shí)漫長(zhǎng)，面對(duì)“白帽黑客”報(bào)告的漏洞信息，政府和企業(yè)常常由于安全意識(shí)不到位而無(wú)動(dòng)于衷。美國(guó)“白帽黑客”David Helkowski曾在馬里蘭大學(xué)服務(wù)器發(fā)現(xiàn)能夠訪問(wèn)大量學(xué)生和教員的個(gè)人數(shù)據(jù)的安全漏洞，遺憾的是學(xué)校并未重視這份報(bào)告。沒(méi)過(guò)多久，超過(guò)30萬(wàn)名該校在校生和畢業(yè)生的社會(huì)安全號(hào)碼等個(gè)人信息遭黑客竊取并曝光。報(bào)告渠道受阻、回應(yīng)遲緩嚴(yán)重打擊“白帽黑客”的積極性。
　　江湖圍堵。由于將漏洞信息透明化公開(kāi)化，由于其行為事實(shí)上會(huì)阻斷黑色產(chǎn)業(yè)的利益鏈條，使得原本希望利用漏洞恐嚇公司和個(gè)人獲取暴利的安全公司或黑帽黑客惱羞成怒，“白帽黑客”不僅可能遭遇“單挑”，還極有可能面臨龐大黑色產(chǎn)業(yè)的圍堵。
　　4 “白帽黑客”的出路
　　道高一尺，魔高一丈。隨著萬(wàn)物互聯(lián)序幕的拉開(kāi)，安全漏洞風(fēng)險(xiǎn)如影相隨，安全能力建設(shè)形勢(shì)更趨嚴(yán)峻。“白帽黑客”作為維護(hù)網(wǎng)絡(luò)安全的重要組成力量，其特殊性正在得到越來(lái)越多的重視。社會(huì)需要給“白帽黑客”信任和展示能力的機(jī)會(huì)，為其設(shè)定行為邊界，并給出相應(yīng)激勵(lì)，否則“白帽黑客”只不過(guò)是一個(gè)帶有浪漫主義色彩的稱呼而已。當(dāng)前，美國(guó)政府、企業(yè)和相關(guān)機(jī)構(gòu)正在積極探索，以期為他們提供“光明大道”，通過(guò)一套較為完善的體系，正確引導(dǎo)和激勵(lì)“白帽黑客”釋放正能量。
　　實(shí)施“賞金計(jì)劃”。一直以來(lái)，美政府對(duì)獎(jiǎng)勵(lì)漏洞發(fā)現(xiàn)者不感興趣，對(duì)曝光的系統(tǒng)漏洞反應(yīng)較為遲緩。然而，安全風(fēng)險(xiǎn)日趨復(fù)雜，獨(dú)自應(yīng)對(duì)難以為繼，政府對(duì)黑客看法在不斷改變。努力探索保障網(wǎng)絡(luò)安全的新方法，積極為漏洞的提交廣開(kāi)言路是大勢(shì)所趨。2016年3月到5月，美國(guó)防部發(fā)起名為“黑掉五角大樓”競(jìng)賽項(xiàng)目，設(shè)置超過(guò)15萬(wàn)美元獎(jiǎng)勵(lì)吸引本國(guó)黑客向其信息系統(tǒng)發(fā)起攻擊。該項(xiàng)目取得巨大成功，兩個(gè)月的競(jìng)賽項(xiàng)目共吸引1400名黑客參與，發(fā)現(xiàn)的漏洞多達(dá)138個(gè)。若通過(guò)外部商業(yè)安全公司發(fā)掘同等數(shù)量和質(zhì)量的漏洞，政府將花費(fèi)超過(guò)100萬(wàn)美元。防長(zhǎng)卡特對(duì)結(jié)果非常滿意，國(guó)防部認(rèn)為演練有利于“發(fā)現(xiàn)漏洞并制定保護(hù)五角大樓網(wǎng)絡(luò)系統(tǒng)的應(yīng)對(duì)措施”。此次政府部門效仿商業(yè)公司獎(jiǎng)勵(lì)“白帽黑客”的行為具有里程碑意義，為未來(lái)與“白帽黑客”建立長(zhǎng)期信任和合作奠定了基礎(chǔ)。國(guó)防部嘗到甜頭后，宣布發(fā)展該項(xiàng)目為永久性項(xiàng)目，擴(kuò)大更多國(guó)防部系統(tǒng)和網(wǎng)絡(luò)加入測(cè)試。
　　除政府外，IT公司也積極行動(dòng)，轉(zhuǎn)變思路。過(guò)去很長(zhǎng)一段時(shí)間，美國(guó)大公司并不希望自身產(chǎn)品被曝光存在漏洞，有的公司甚至要求“白帽黑客”刪除相關(guān)漏洞信息。其一，公司往往懷疑“白帽黑客”的好意，認(rèn)為是在索要報(bào)酬。其二，若不及時(shí)“打補(bǔ)丁”，會(huì)遭遇針對(duì)該漏洞的頻繁攻擊。其三，擔(dān)心影響企業(yè)聲譽(yù)，曾有公司在產(chǎn)品漏洞曝光后股價(jià)暴跌。隨著企業(yè)對(duì)產(chǎn)品安全意識(shí)的增強(qiáng)，對(duì)“白帽黑客”提供的漏洞信息需求迅速上升，企業(yè)會(huì)直接對(duì)“白帽黑客”送出獎(jiǎng)勵(lì)。谷歌、雅虎、微軟等眾多IT巨頭設(shè)置本公司的漏洞獎(jiǎng)勵(lì)計(jì)劃和安全響應(yīng)中心，鼓勵(lì)“白帽黑客”測(cè)試其系統(tǒng)。例如“臉譜”網(wǎng)建立了針對(duì)自己產(chǎn)品平臺(tái)的漏洞提交和獎(jiǎng)勵(lì)頁(yè)面，充分尊重黑客的隱私權(quán)和知情權(quán)并提供不少于500美元的獎(jiǎng)勵(lì)。谷歌設(shè)立獎(jiǎng)勵(lì)計(jì)劃，為找到安卓（Android）系統(tǒng)安全漏洞的黑客提供最高20萬(wàn)美元的獎(jiǎng)金。
　　提供專業(yè)場(chǎng)所。普通企業(yè)一般不會(huì)專門設(shè)置安全部門或漏洞獎(jiǎng)勵(lì)項(xiàng)目，為有效對(duì)接企業(yè)需求和社會(huì)資源，“眾測(cè)”模式應(yīng)運(yùn)而生。“眾測(cè)”是一種由廠商提供產(chǎn)品和獎(jiǎng)金，漏洞平臺(tái)組織黑客為其尋找安全漏洞并分配報(bào)酬的生產(chǎn)模式。廠商在降低運(yùn)營(yíng)成本的同時(shí)，也充分調(diào)動(dòng)了“白帽黑客”勞動(dòng)的積極性。如美國(guó)舊金山的“HackerOne”漏洞平臺(tái)吸引了來(lái)自150個(gè)國(guó)家的3000多名黑客注冊(cè)，為包括雅虎、優(yōu)步、推特在內(nèi)的超過(guò)500家公司提供漏洞測(cè)試服務(wù)。擁有強(qiáng)大號(hào)召力的“HackerOne”宣稱77%的公司能夠在24小時(shí)之內(nèi)利用該平臺(tái)找到安全漏洞，目前已經(jīng)修復(fù)近四萬(wàn)個(gè)漏洞。“白帽黑客”注冊(cè)后提交漏洞信息，“HackerOne”通知公司進(jìn)行修復(fù)廠商對(duì)漏洞有效性、嚴(yán)重性和影響范圍做出評(píng)價(jià)，在漏洞未被解決之前，漏洞信息是加密的，甚至平臺(tái)也無(wú)權(quán)查看這些信息，充分保護(hù)企業(yè)和“白帽黑客”的權(quán)益。為吸引和鼓勵(lì)“白帽黑客”，“HackerOne”將漏洞獎(jiǎng)勵(lì)金額下限設(shè)置為100美元，并為高危漏洞提供獎(jiǎng)勵(lì)金額參考，最高漏洞獎(jiǎng)勵(lì)可達(dá)3萬(wàn)美元。
　　舉辦“武林大會(huì)”。黑客大會(huì)是黑客文化交流的嘉年華，來(lái)自全球各地的技術(shù)大咖齊聚一堂，公開(kāi)展示最新研究發(fā)現(xiàn)。如久負(fù)盛名的黑帽大會(huì)（BlackHat）作為全球頂尖的安全技術(shù)會(huì)議，是信息安全界每一位研究者的夢(mèng)想舞臺(tái)，會(huì)議內(nèi)容包括前沿技術(shù)培訓(xùn)，黑客安全團(tuán)隊(duì)講演、公司宣講等。RSA安全會(huì)議每年吸引數(shù)萬(wàn)人參會(huì)，幾乎所有安全研究人員都會(huì)參與其中，展示研究項(xiàng)目，研究行業(yè)熱點(diǎn)問(wèn)題。此外，CanSecWest、DEFCON、Qualcomm Mobile Security Summit、HITB（hack in the box）、POC （Power of community）、HITCON 、CodeBlue 等側(cè)重點(diǎn)各不相同的會(huì)議更是多點(diǎn)開(kāi)花，“白帽黑客”參與度空前高漲。
　　幫助驗(yàn)明正身。去年11月，美國(guó)防部制定了《漏洞披露政策》，為“白帽黑客”們提供政策安全保障。該政策允許自由安全研究人員通過(guò)合法途徑披露國(guó)防部面向公眾使用的信息系統(tǒng)存在的任何漏洞。該政策指出只要符合政策的限制和規(guī)定，將不會(huì)對(duì)黑客發(fā)起執(zhí)法和訴訟活動(dòng)，并可以為“白帽黑客”提供保護(hù)和證明。此外，美國(guó)防部高級(jí)研究計(jì)劃局（DARPA）的“Improv”項(xiàng)目和網(wǎng)絡(luò)挑戰(zhàn)賽，也正在積極發(fā)掘網(wǎng)絡(luò)漏洞和網(wǎng)羅全球優(yōu)秀的“白帽黑客”。近年來(lái)，美國(guó)執(zhí)法部門已經(jīng)開(kāi)始嘗試直接從黑客大會(huì)現(xiàn)場(chǎng)物色黑客提供技術(shù)或?yàn)橹ЯΑ?/span>
　　當(dāng)前我國(guó)正處網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略推進(jìn)的關(guān)鍵階段，信息技術(shù)能力和產(chǎn)業(yè)蓬勃發(fā)展的背后面臨日益增大的安全壓力。政府、企業(yè)、組織和民眾對(duì)網(wǎng)絡(luò)安全認(rèn)識(shí)和需求不斷提高，除建立健全政企網(wǎng)絡(luò)安全信息共享機(jī)制、完善政策法律保障、明確企業(yè)責(zé)任外，做好“白帽”人才儲(chǔ)備與有效使用亦應(yīng)成為重要一環(huán)。從當(dāng)前國(guó)際經(jīng)驗(yàn)來(lái)看，如能妥善引導(dǎo)和規(guī)范“白帽黑客”，保障“白帽黑客”合法權(quán)利，無(wú)疑能夠極大激發(fā)民間力量，為信息安全保駕護(hù)航。

上一條：百度推出了音頻轉(zhuǎn)文檔網(wǎng)頁(yè)...

下一條：建造網(wǎng)站制造需留意的事項(xiàng)...

合肥網(wǎng)站規(guī)劃，合肥建造網(wǎng)站哪家好，合肥網(wǎng)站制造

合肥網(wǎng)站規(guī)劃，合肥建造網(wǎng)站哪家好，合肥網(wǎng)站制造