白帽子與網絡安全

邱元陽

1999年，科幻影片《黑客帝國》上映，“黑客”這一名詞開始深入人心，并成為很多年輕人崇拜的對象，似乎黑客就是智慧和技術的化身。

隨著互聯網的發展，病毒、木馬和網絡攻擊行為逐年增多，電信詐騙層出不窮，人們開始關注起身邊的信息和網絡安全問題。

在國家安全層面，網絡安全也至關重要。對核電站的黑客攻擊，對通訊指令的攔截破獲，在軍事沖突中都曾經發生。從某種意義上說，沒有網絡安全就沒有國家安全。在第八屆互聯網安全大會（ISC 2020）上，360董事長兼CEO周鴻祎說道：數字孿生時代，網絡攻擊堪比核彈。

“黑客”（Hacker）一詞，最初起源于對盜用電話系統人員的稱呼，后來泛指擅長IT和網絡技術的電腦高手，他們精通操作系統和各種編程語言，伴隨著計算機和網絡的發展而產生成長。對于那些專門入侵他人系統的黑客，人們又稱之為“駭客”（Cracker），而對于那些利用自己掌握的技術去維護網絡安全并對外來的網絡進攻進行還擊的黑客，國內則又稱為“紅客”（Honker）。

其實黑客一詞本身是中性的，根據他們的行為和目的，可以區分為白帽、灰帽、黑帽等。利用網絡和密碼破解技術進入對方系統的被稱為黑帽黑客，即黑帽子（black hat）;而義務調試和分析計算機系統安全的則是白帽黑客，即白帽子（white hat）。

互聯網的迅猛發展為人們提供了更多的方便、自由和財富，政治、經濟、科技、教育、軍事、文化等各個方面都越來越依賴于網絡，網絡已經成為人們工作生活和娛樂的一部分。在信息時代，信息已成為非常有價值的重要資源，可以帶來可觀的利益，在這方面產生不良居心的人也隨之出現，通過網絡非法進入未授權的系統進行一些操作或者竊取信息的行為正越來越多。在這種情形下，白帽子對網絡安全的維護和測試、警醒就非常重要。

很多情況下，大量的中小企業和個人都是在網絡上裸奔，要么是沒有網絡安全意識，要么是防護太過脆弱。而更可怕的是，雖然已經有了安全防護，但系統本身存在的漏洞卻又讓這些防護前功盡棄。如果這些漏洞是系統廠商自己發現或最早獲悉，并提供安全補丁，還不會造成太大的威脅;但如果是黑客先找到了這些漏洞并加以利用，可能后果就不堪設想。白帽子的工作，就是網絡世界的掃地僧，用自己的高超技術不斷找到這些系統漏洞和應用漏洞，并給出警醒，讓相關方可以有補救措施，最大限度地減少網絡安全風險。

但是白帽子對網絡安全的檢查和滲透測試也可能會越過邊界，對檢測對象造成侵權。騰訊的一名安全工程師，在新加坡參加網絡安全會議時，出于職業敏感對入住酒店服務器進行檢測時發現漏洞并越權訪問且公布出來，就導致了網絡安全局對他的抓捕。白帽子的工作屬性使其不可避免地會進入各個互聯網網站和系統，并可能使用黑客工具軟件，從而尋找和發現各種漏洞，但這種操作本身，就處于灰色地帶，已經游走在合法的邊緣。

目前，各行各業都已進入數字化新時代，新基建政策的落地更加快了數字化轉型的步伐，數字城市和工業互聯網成為重要的應用場景，在我們享受數字治理成果的同時，白帽子一直在網絡安全的后方緊緊盯視，默默奉獻，幫助我們應對未來的安全挑戰。而白帽子的邊界，關鍵就是自律，及對技術與法律的敬畏。