在網絡安全領域，白帽子是一個特殊的群體。他們挖掘漏洞提交給企業修復，確實保護了用戶安全；但是以黑客技術挖漏洞，又引發不少爭議甚至法律風險。

　　在2月23日360安全應急響應中心（簡稱360SRC）的三周年慶典活動上，360董事長周鴻祎態度鮮明地表示，對于善意的白帽子，企業應給予支持和理解的態度，呼吁政府出臺政策對白帽子這類安全人才進行保護和鼓勵。360還特別邀請了資深律師講解“白帽子的行為邊界”，為白帽子保護自身利益提供法律援助。

　　未知攻，焉知防

　　白帽子是隨著網絡安全發展而出現的一個技術群體，他們以推動企業修復漏洞為目的，運用黑客技術對企業網絡和產品進行滲透測試。

　　360董事長周鴻祎認為，“很多系統漏洞都是未知的，你根本不知道它存在，怎么防御？常用的方式就是我通過模擬攻擊，就像演習一樣，也要有紅軍和藍軍，只有假想的對抗，才能把漏洞找出來。這個角色，除了企業自己的安全人員，只有白帽子能扮演?！?/p>

　　在國外，谷歌、Facebook等互聯網巨頭率先開始為報告漏洞的白帽子提供資金獎勵，去年美國國防部還專門舉辦了“攻擊五角大樓網絡”的黑客比賽，吸引白帽子給自己找漏洞。中國互聯網行業近年來也興起了SRC模式，就是由企業授權白帽子進行漏洞挖掘，并根據漏洞的危害程度、影響范圍提供對應的獎金。在過去一年，360SRC為白帽子發放漏洞獎金達到上百萬元。

　　白帽子的“雙刃劍”

　　黑客挖掘漏洞具有雙面性，既可能造成網絡攻擊，也有利于預防網絡攻擊。白帽子使用黑客攻擊技術，和非法入侵之間界限模糊，加之國內并沒有專門針對白帽子的相關政策，這也讓白帽子常常處在法律風險中。之前有白帽子向某交友網站提交漏洞，卻被報警抓捕，這也讓很多白帽子對于給企業報告漏洞心存忌憚。

　　周鴻祎認為，白帽子檢測一個系統是不是安全的過程，本身應該說都是灰色的，如果沒有法律保護，理論上會沒有人再愿意做白帽子，這樣會掩蓋很多安全問題，反而傷害到用戶利益。

　　360SRC三周年活動慶典上，在網絡安全法領域有著深入研究的陳圣律師提出“白帽子的行為邊界”，詳細解讀了我國現行法律法規中對白帽子挖掘安全漏洞的多重限制。從現行法律層面，對白帽子行為加以引導和規范，從而更好地保護白帽子的人身安全。

　　周鴻祎說，挖掘和修復漏洞對于建設網絡強國有戰略意義，如果不能保護安全人才，就沒有安全技術的發展，更談不上網絡安全。

責任編輯：韓希宇