聚焦2017网络安全生态峰会 白帽子如何安全成长

本篇文章3479字，读完约9分钟

新华社北京7月28日电什么是白帽子？说到白帽子，许多人可能会感到困惑。但一提到黑客，每个人都会立刻想到那些手指在键盘上乱飞，肆意穿越防火墙获取信息，并能轻而易举地敲出一串代码，使目标机器发出一阵黑烟，掌握高超的计算机技术的黑人。

事实上，这不是黑客的真实写照。有一类黑客会让你在这群黑客中有一个全新的变化。他们以发现网站的程序漏洞为职业，并在它们被利用之前修复它们。他们就像网络世界中的流浪者，被称为“白帽子”。

4月，春秋时期src部落卫兵的集会命令的消息在白帽社区悄然传开。当时，许多通过严格筛选的白帽涌入桐城的一个域名站点进行渗透测试，在限定时间内提交的漏洞数量达到了上月的10倍。高风险漏洞占6%...

7月，src部落守护者的集合命令再次发布，白帽再次集合，对百度的一个域名站发起新一轮渗透测试...

为什么白帽子经常起作用？故事的序幕是这样开始的:

7月27日，阿里安全峰会主题为“在信息时代培育安全”的分论坛在国家会议中心圆满结束。本次论坛以“信息时代培育安全”为主题，由永新志诚作为监制，互联网安全志愿者联盟和支付宝安全教室联合举办。

阿里安保峰会是中国安保行业最早、规模最大、实力最强的嘉宾阵容和最具权威性的国际大型安保活动之一。今年的阿里安全峰会正式更名为“2017网络安全生态峰会”。以“新安全，共担责任”为主题，探讨如何维护网络安全，营造生态网络环境，促进中国互联网产业的安全发展。今年，国际空间站将联合讨论新的网络犯罪类型，剖析新的犯罪手段，使科学技术能够增强社会治理能力，联系社会各个部门和领域，共同承担新形式下的网络安全责任。

作为网络安全人才培养的第一品牌，我春秋学院积极响应阿里峰会“共担新安全责任”的号召，举办了“培养信息时代的安全意识”子论坛，聚集了众多网络安全专家和白帽。金星之星首席战略官潘、Lagou.com市场总监王霞军、蚂蚁金服高级安全专家、I春秋运营副总监张亚驰、网络安全志愿者联盟负责人共同出席本次子论坛，分享精彩话题，就信息时代安全的培育与防御、安全人才的成长与建设、网络安全法律时代如何安全成长白帽子等话题进行一系列思考。

在防御方面，白帽子在互联网中扮演着重要的角色

随着信息技术的发展和普及，网络安全领域对公众来说不再神秘。越来越多的年轻人开始学习信息安全技术并从事相关的网络安全工作。他们使用技术手段来识别计算机系统或网络系统中的安全漏洞，然后将其公之于众，或者将其提交给网络系统的管理员，并在其他人恶意利用它们之前进行修复。他们更像是互联网上的拾荒者，不知疲倦地清除对互联网的威胁，从而维护网络的安全。

为了支持这个家庭，白帽子也需要安全生存

随着信息社会的快速发展，网络安全越来越受到国家和公众的重视，许多高校也开设了信息安全专业。然而，高校培养的网络安全人才只有几万人，跟不上网络安全的需要。据统计，我国网络安全人才短缺达到70万人，每年增加1.5万人。

在“培养信息时代的安全感”子论坛上，拉古的运营总监王夏军。com表示:“进入2016年后，to b企业已经成为国内风险投资行业的新宠。因此，安全和企业服务已成为招聘需求增长最快的行业。根据拉古的数据。2017年春天，薪酬最高的10个行业在安全领域排名第六，平均工资为11.4千英镑。城市中的安全工作分布不均衡，一线城市占大多数，北京位居第一。在行业分布方面，移动互联网相关行业处于领先地位。”

面对困难，安全从业人员的竞争力是安全的

每个人都在谈论安全，但是什么是安全呢？安全从业者都觉得安全远非安全感，正如你主观上认为开车比坐飞机安全，但客观事实证明飞机的安全系数更高。事实上，安全感是一种安全体验，而传统的安全教育是“唐僧”教育，这使得用户容易产生不良体验。如何让安全教育成为“场景”，如何把握安全教育的契机？安全从业人员需要从上述角度探索一种新的安全教育模式，这也是安全从业人员提高自身“竞争力和安全性”的途径。

蚂蚁金服的资深安全专家龙图说:“各行各业都在进行安全教育，但蚂蚁金服有一些不同的探索。我们发现安全意识的培养不在于知识，而在于场景，没有场景的教育什么都不是。蚂蚁金服使用大数据来分析用户的属性、用户的安全意识以及用户可能面临交易风险的场景。通过“技术驱动的精准安全教育系统”，将安全教育实时推向用户和数千人，并对安全教育的效果进行评估。目前，我们的安全教育已达到每天100万实名用户，点击率为15%，用户安全意识提高了13%。”

走在薄冰上，白色帽子的红线是安全的

6月1日，备受关注的《网络安全法》正式实施。作为中国第一部全面规范空网络安全管理的基本法，它的实施标志着中国网络安全有法可依，网络空的治理、网络信息传播秩序的规范、网络犯罪的惩治即将翻开新的一页。但与此同时，《网络安全法》的正式实施也对《白帽子》产生了重要影响。

白帽修复网络漏洞的前提是发现网络漏洞。如果你想发现网络漏洞，你必须进入一个特定的网站，通过特定的技术手段对其进行扫描，这通常被恶意黑客所使用。白帽公司将面临的一个重要问题是利用漏洞是否合法以及如何继续合法地利用漏洞。

做贡献，一顶白帽子怎么能徜徉江湖

2016年9月，我春秋src部落诞生了。到目前为止，国内外已有50家src加入我们的行列。在与各大src厂商多次合作的基础上，我春秋学院开展了“src部落有信任和公开测试”的业务，帮助白帽规范其运作，合理合法地处理发现的漏洞，帮助企业快速消除漏洞的安全隐患，提高自身的安全能力。

2017年4月，知名网络安全企业永新志诚和桐城src联合发布了首个g001提交任务，通过了精英白帽的审核，对桐城src提供的目标域名进行了渗透测试，并提交了漏洞。g001漏洞提交活动中，src在同一流程中收到的漏洞数量是上月提交的10倍，高风险漏洞占6%。

7月，春秋学院src部落和百度src推出“百度杯”漏洞搜索计划，邀请经过严格筛选的精英白帽对测试目标进行渗透测试和漏洞检测。

我院运营部副主任张亚驰表示:“我们希望白帽子能够在我们的平台上学习，参与ctf的竞争，通过src渠道合理合法地提交漏洞进行技术实践。”最后，我们希望将这些白帽子传递给企业，为安防行业的发展创造更大的价值。从而形成培养安全人才的闭环。与此同时，我们也在努力引导白帽子保持对正确事物的敬畏。大多数时候，不是白帽子想作恶，而是它们不知道界限在哪里。哪一个比狗更危险？老虎，但每年都有更多的人被狗咬死打伤。”

铭记世界，每个人的力量凝聚了星星和大海

互联网时代的飞速发展给生活注入了更多的活力，但同时也滋生了许多网络安全隐患。木马病毒、网络犯罪等严重影响和威胁着个人、企业乃至国家安全和社会公共利益。如何确保网络世界的安全，营造网络生态环境，已经成为当前互联网大数据时代必须解决的问题。各种网站的程序漏洞层出不穷，恶意黑客技术越来越隐蔽，这也对白帽子形成了新的挑战。

“紧张的网络安全形势令人担忧，各种网络诈骗犯罪肆虐网络，给公众带来了很多担忧。我们希望得到广大白帽集团的帮助和支持，把自己的能力投入到社会公益事业中，在公众中普及信息安全意识，为促进网络安全的发展贡献自己的力量，维护清晰的网络空，为安全生态注入活力……”网络安全志愿者联盟的领导人魏宏如说。

坚守底线，在证券法时代如何安全成长

金星之星首席战略官潘·朱婷对“白帽”如何安全生长的问题做了精彩的总结:“我们必须承认，我们必须认识到这一严峻的现实。网络安全法和一系列法律法规使得打击坏人成为可能。然而，它也带来了许多安全研究人员无法获得和不清楚的红线，尤其是安全白帽。网络安全也是一个江湖。江湖上有“善恶是非”、“侠义恩怨”和“利弊得失”。那么一顶白帽子怎么能安全存在呢？在江湖上很难独善其身，所以第一步就是找到自己的部落和族群，我春秋学院的src部落就是这样一种社区形式。其次，白帽子需要坚守底线，不要因为贫穷而轻易被黑色产品诱惑。”

努力向前迈进，培养信息时代的安全感

作为中国最大的信息安全在线教育平台，我春秋始终扎根于网络安全人才的培养。我们以“培养信息时代的安全感”为使命，通过原创技术，凝聚和提炼了十多年来中国互联网安全的实践经验和理论体系，原创人才培养模式准确高效地为社会输送了具有实战能力的网络安全人才，赢得了广大网络安全人才和企业的认可。

今后，我春秋将继续深入探索网络安全人才的培养模式，为广大白领提供更多学习技术知识、锻炼技术能力的平台。与企业合作维护Contribute中的网络安全。