中新網(wǎng)上海新聞5月29日電   作為首個面向民間安全群體(白帽子)和安全從業(yè)者、技術(shù)精英開放的，專注于漏洞響應(yīng)與防護的安全行業(yè)盛會，2019補天白帽大會29日在上海舉辦。

　　本屆補天白帽大會是奇安信集團正式躋身“國家隊”后首次舉辦的白帽大會，也是國內(nèi)規(guī)模最大的白帽盛典，業(yè)內(nèi)人才齊聚一堂，共同就漏洞技術(shù)、安全事件進行研討分享。

　　據(jù)了解，補天白帽大會由補天漏洞響應(yīng)平臺主辦，由公安部網(wǎng)絡(luò)安全保衛(wèi)局、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT/CC)、中國信息安全測評中心、國家信息技術(shù)安全研究中心、中共上海市委網(wǎng)絡(luò)安全和信息化委員會辦公室共同指導(dǎo)，聯(lián)合知名國際安全組織以及國內(nèi)外多家企業(yè)安全運營響應(yīng)中心(SRC)參與。

　　上海市委網(wǎng)信辦總工程師楊海軍，公安部網(wǎng)絡(luò)安全保衛(wèi)局副處長范春玲，國家信息安全研究中心副主任劉瑛煜，金融安全處副處長曹岳，中國信息安全測評中心 漏洞庫管理處處長時志偉、副處長郝永樂，國家信息安全漏洞共享平臺賈子驍，交通通信信息中心主任林榕，奇安信集團總裁吳云坤等嘉賓出席本屆補天白帽大會。

　　補天五星計劃發(fā)布 

　　當(dāng)前，隨著物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、5G等新技術(shù)新應(yīng)用的普及，海量數(shù)據(jù)大集中的趨勢日益明顯、企業(yè)數(shù)據(jù)聚集規(guī)模快速膨脹，利用漏洞竊取用戶數(shù)據(jù)、加密勒索等網(wǎng)絡(luò)安全風(fēng)險日益突出。

　　針對現(xiàn)階段中國政企機構(gòu)網(wǎng)絡(luò)安全所面臨的新風(fēng)險，2019補天白帽大會上補天漏洞響應(yīng)平臺發(fā)布了“補天五星計劃”，以“重塑安全屬性，再創(chuàng)漏洞價值”為主旨，將漏洞響應(yīng)范圍從原來的Web為主，升級化為Web、系統(tǒng)、 IOT、工控、移動等五大方向，覆蓋當(dāng)前新一代網(wǎng)絡(luò)安全環(huán)境下的漏洞風(fēng)險。由此，補天漏洞響應(yīng)平臺也為國內(nèi)第一家全面覆蓋各種漏洞種類的漏洞響應(yīng)平臺。

　　(圖/補天五星計劃發(fā)布儀式)

　　“過去、現(xiàn)在和未來，補天漏洞平臺都致力于做好三件事：維護企業(yè)網(wǎng)絡(luò)安全、解決數(shù)據(jù)泄露隱患、培養(yǎng)網(wǎng)絡(luò)安全人才。”補天漏洞響應(yīng)平臺負責(zé)人白健表示，隨著漏洞響應(yīng)品類的增多，白帽子應(yīng)該更有專業(yè)的平臺，把民間的網(wǎng)絡(luò)安全攻防技術(shù)達人與企業(yè)的安全，更好的關(guān)聯(lián)在一起。而補天五星計劃，作為一個長期計劃，將以“協(xié)同保護全社會網(wǎng)絡(luò)安全”為使命，堅持平臺的公益屬性，以互聯(lián)網(wǎng)眾包的方式匯聚白帽子的安全能力，持續(xù)為國內(nèi)企業(yè)的漏洞響應(yīng)提供支持，實現(xiàn)漏洞的發(fā)現(xiàn)與修復(fù)，維護企業(yè)網(wǎng)絡(luò)安全、解決數(shù)據(jù)泄露隱患、培養(yǎng)網(wǎng)絡(luò)安全人才。

　　解決網(wǎng)絡(luò)安全隱患

　　隨著信息化深入發(fā)展和安全問題的日益突出，高危漏洞的民用化和犯罪集團化特點越來越凸顯。

　　與會專家表示，整個漏洞交易變現(xiàn)的鏈條正在從上中下游協(xié)作向一步到位變現(xiàn)靠攏，同時變現(xiàn)的方式也從傳統(tǒng)貨幣升級為比特幣等數(shù)字貨幣。與此同時，利用漏洞發(fā)起的網(wǎng)絡(luò)攻擊，尤其是對關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊，將帶來不可估量的損失。

　　為此，在2019補天白帽大會上，業(yè)內(nèi)知名專家學(xué)者針對Web安全、移動安全、物聯(lián)網(wǎng)安全、工控安全、密碼安全、系統(tǒng)安全、二進制漏洞挖掘技術(shù)、軟件逆向技術(shù)、關(guān)鍵信息基礎(chǔ)設(shè)施保護、安全技術(shù)發(fā)展趨勢等前沿話題進行技術(shù)分享。

　　同時，針對關(guān)鍵信息基礎(chǔ)設(shè)施的攻防演練和安全體系建設(shè)以及紅藍對抗設(shè)，國家電網(wǎng)、華泰證券、平安金融等企業(yè)，分享了網(wǎng)絡(luò)安全體系建設(shè)經(jīng)驗。

　　與會技術(shù)專家提出，大型廠商應(yīng)對APT級別攻擊時，不僅要及時掌握最前沿的攻防技術(shù)，同時要進行縱深防御能力建設(shè)。

　　“網(wǎng)絡(luò)安全的本質(zhì)是攻防對抗。”奇安信集團總裁吳云坤在致辭中表示，應(yīng)通過“44333”(四個假設(shè)、四新戰(zhàn)略、三位一體、三同步和三方制衡)的新一代網(wǎng)絡(luò)安全體系思想，構(gòu)建起一種應(yīng)對和對抗“爭奪權(quán)利和利益”的攻擊者的能力。

　　吳云坤稱，“四個假設(shè)”是指假設(shè)系統(tǒng)一定有沒被發(fā)現(xiàn)的漏洞、假設(shè)一定有已發(fā)現(xiàn)漏洞沒打補丁、假設(shè)系統(tǒng)已經(jīng)被黑、假設(shè)有內(nèi)鬼。“四新戰(zhàn)略”是指以第三代網(wǎng)絡(luò)安全技術(shù)為核心的新戰(zhàn)具、以數(shù)據(jù)驅(qū)動安全技術(shù)為核心的新戰(zhàn)力、以零信任架構(gòu)為核心的新戰(zhàn)術(shù)、以“人+機器”安全運營體系為核心的新戰(zhàn)法。“三位一體”是高中低三位能力立體聯(lián)動的體系；“三同步”是指同步規(guī)劃、同步建設(shè)和同步運營；“三方制衡”是將用戶、云服務(wù)商和安全公司放在一個互相制約的機制下，從最大程度上杜絕漏洞，真正實現(xiàn)長治久安。

　　白帽子有望創(chuàng)造更大價值

　　“網(wǎng)絡(luò)安全的本質(zhì)是人與人之間的攻防對抗，再聰明的機器也不能取代人的作用。”吳云坤提出，新時代網(wǎng)絡(luò)安全防護需要以人為核心，關(guān)注人在安全中的能力和價值，實現(xiàn)安全與信息化的“全面覆蓋、深度結(jié)合、有效檢測、協(xié)同響應(yīng)”。

　　但目前網(wǎng)絡(luò)人才缺口絕大，在網(wǎng)絡(luò)安全領(lǐng)域，白帽子又是一個特殊的群體，國內(nèi)尚未有專門針對白帽子的相關(guān)政策。補天漏洞響應(yīng)平臺作為企業(yè)和企業(yè)和白帽子之間共贏的漏洞響應(yīng)平臺，在公益屬性基礎(chǔ)上，以互聯(lián)網(wǎng)眾包的方式匯聚白帽子的安全能力，實現(xiàn)漏洞的發(fā)現(xiàn)與修復(fù)，維護企業(yè)網(wǎng)絡(luò)安全、解決數(shù)據(jù)泄露隱患、培養(yǎng)網(wǎng)絡(luò)安全人才。這有望給白帽子提供更好的安全保障和價值平臺。