肖廣濤

摘要：隨著國(guó)內(nèi)網(wǎng)絡(luò)安全問(wèn)題日漸突出， 如何提高國(guó)內(nèi)網(wǎng)絡(luò)安全平臺(tái)的運(yùn)作效率也成為了熱點(diǎn)。文章以國(guó)內(nèi)第三方漏洞平臺(tái)為研究對(duì)象， 通過(guò)整理國(guó)內(nèi)外相關(guān)研究， 從知識(shí)共享視角提出建設(shè)性的研究思路。

關(guān)鍵詞：網(wǎng)絡(luò)安全;第三方漏洞平臺(tái);知識(shí)共享

一、研究背景

（一）網(wǎng)絡(luò)的發(fā)展及網(wǎng)絡(luò)安全問(wèn)題的泛濫

近年來(lái)，隨著信息技術(shù)的不斷發(fā)展與普及，互聯(lián)網(wǎng)改變了人們的生活方式，網(wǎng)民數(shù)量持續(xù)增長(zhǎng)，與此同時(shí)，網(wǎng)絡(luò)安全事件也頻頻發(fā)生，網(wǎng)絡(luò)安全已經(jīng)被放到了戰(zhàn)略層面。國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心于2016年年底發(fā)布了《2016年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》。2005～2016年移動(dòng)互聯(lián)網(wǎng)惡意程序的趨勢(shì)如圖1所示。

可以看出，近十年來(lái)我國(guó)移動(dòng)互聯(lián)惡意程序數(shù)量逐年增加，并且從2011年開(kāi)始呈指數(shù)型飛速上漲，到2016年已經(jīng)有205萬(wàn)之多。這些都說(shuō)明我國(guó)近年來(lái)網(wǎng)絡(luò)安全事件頻發(fā)，并且呈現(xiàn)逐年增長(zhǎng)的趨勢(shì)。

（二）當(dāng)前我國(guó)漏洞平臺(tái)的迅速發(fā)展

國(guó)家級(jí)官方漏洞組織是國(guó)家相關(guān)職能部門維護(hù)的安全漏洞信息共享知識(shí)庫(kù)，負(fù)責(zé)收集各種類型的安全漏洞，進(jìn)行漏洞分析和風(fēng)險(xiǎn)評(píng)估，保障我國(guó)信息安全，主要是2009年建立的國(guó)家信息安全漏洞共享通報(bào)平臺(tái)（CNVD）和中國(guó)國(guó)家信息安全漏洞庫(kù)（CNNVD）;行業(yè)第三方漏洞平臺(tái)是一個(gè)介于白帽子和企業(yè)之間的進(jìn)行漏洞發(fā)布和反饋的平臺(tái)，主要包括烏云網(wǎng)、漏洞盒子、補(bǔ)天360等;企業(yè)自建應(yīng)急響應(yīng)中心（SRC）是通過(guò)網(wǎng)絡(luò)安全專家?guī)椭髽I(yè)和組織提高網(wǎng)絡(luò)安全防御能力，2012年騰訊網(wǎng)絡(luò)建立國(guó)內(nèi)第一家應(yīng)急響應(yīng)中心，隨后包括網(wǎng)易、百度、新浪等在內(nèi)的幾十家知名互聯(lián)網(wǎng)企業(yè)都建立了自己的應(yīng)急響應(yīng)中心。目前國(guó)內(nèi)漏洞披露平臺(tái)格局已經(jīng)逐漸成熟，基本形成了國(guó)家官方漏洞通報(bào)機(jī)構(gòu)、行業(yè)第三方漏洞平臺(tái)和企業(yè)自身應(yīng)急響應(yīng)中心的三梯結(jié)構(gòu)。與國(guó)內(nèi)的其他平臺(tái)相比，第三方漏洞平臺(tái)起步相對(duì)較早，漏洞提交和白帽子的數(shù)量較高并且發(fā)展很快，是國(guó)內(nèi)安全漏洞披露的主要力量。

但是關(guān)于漏洞平臺(tái)的研究卻嚴(yán)重不足，僅進(jìn)行介紹性的綜述研究，而關(guān)于第三方漏洞平臺(tái)面臨的披露效率不高，平臺(tái)建設(shè)等問(wèn)題的研究更是少之又少。

二、國(guó)內(nèi)外相關(guān)研究現(xiàn)狀

（一）國(guó)外相關(guān)研究現(xiàn)狀

Mansfield-Devine S研究了“白帽子”如何進(jìn)行滲透測(cè)試。Tracey Caldwell認(rèn)為道德黑客正在迅速成為企業(yè)網(wǎng)絡(luò)安全武器的重要組成部分，“白帽子”在滲透測(cè)試之外的作用越來(lái)越大。Conrad J認(rèn)為“白帽子”可以減少企業(yè)的網(wǎng)絡(luò)安全損失，并且對(duì)于“白帽子”在信息安全領(lǐng)域的發(fā)展持積極態(tài)度。L Wilbanks介紹了黑客交流的形式，特別是持續(xù)多年的黑客大會(huì)已經(jīng)發(fā)展成為了網(wǎng)絡(luò)安全信息技術(shù)和最新安全研究的重要交流方式。Holmes G研究了“白帽子”的成長(zhǎng)歷程和如何得到專業(yè)技能。Jackson M等探討了授權(quán)可能與技術(shù)的制造商和供應(yīng)商有關(guān)，并能夠被黑客非法獲取，最后對(duì)現(xiàn)行法律進(jìn)行了討論。P Zhou等等調(diào)查了不同國(guó)家和地區(qū)的文件下載漏洞的情況，從黑客的角度考察了他們的可利用性，并成功地揭示了在今天的網(wǎng)絡(luò)中的漏洞防護(hù)措施，并且證實(shí)了其廣泛的可利用性。Brown C研究了“白帽子”黑客與黑帽子黑客之間的競(jìng)爭(zhēng)是如何影響企業(yè)利益。

（二）國(guó)內(nèi)相關(guān)研究現(xiàn)狀

楊詩(shī)雨和郝永樂(lè)對(duì)國(guó)家信息安全漏洞庫(kù)（CNNVD）進(jìn)行了研究，指出國(guó)家安全信息漏洞庫(kù)的職能，并對(duì)未來(lái)進(jìn)行了展望。2016年的“烏云事件”試探了“白帽子”和漏洞披露平臺(tái)漏洞挖掘、披露行為的安全邊界，于成麗對(duì)國(guó)內(nèi)外漏洞平臺(tái)的概況、運(yùn)營(yíng)模式和相關(guān)法律進(jìn)行了總結(jié)，探討分析了當(dāng)前國(guó)內(nèi)漏洞平臺(tái)發(fā)展面臨的挑戰(zhàn)，并給出了對(duì)策和建議。而吳昊依據(jù)國(guó)內(nèi)銀行業(yè)安全管理現(xiàn)狀，提出銀行業(yè)金融機(jī)構(gòu)通過(guò)借鑒第三方漏洞平臺(tái)的建設(shè)，設(shè)計(jì)了具體的銀行安全安全管理模型。

綜上所述，在以往的文獻(xiàn)中，對(duì)漏洞共享平臺(tái)及“白帽子”的研究主要是集中于對(duì)國(guó)家信息安全漏洞庫(kù)進(jìn)行數(shù)據(jù)分析和建設(shè)研究，對(duì)于“白帽子”的研究則集中于“白帽子”的合法性討論和“白帽子”能力的提升。

三、提高第三方漏洞平臺(tái)效率的研究新思路

（一）從知識(shí)共享角度

知識(shí)共享是指組織內(nèi)的個(gè)體之間通過(guò)線上或者線下的方式把個(gè)人的經(jīng)驗(yàn)和學(xué)識(shí)與他人分享，使知識(shí)從個(gè)人傳遞到組織里。知識(shí)共享的目的是破除不同知識(shí)擁有個(gè)體間的隔閡，實(shí)現(xiàn)知識(shí)在組織內(nèi)和組織間相對(duì)自由地流動(dòng)和使用，降低組織的知識(shí)獲取成本。組織內(nèi)的知識(shí)共享有以下作用。

1. 增強(qiáng)企業(yè)獲取知識(shí)的效率

知識(shí)在企業(yè)內(nèi)部具有更快的轉(zhuǎn)移效率，相比較企業(yè)外部，知識(shí)轉(zhuǎn)移的復(fù)雜程度也會(huì)降低，因此知識(shí)共享有助于增強(qiáng)企業(yè)獲取知識(shí)的效率。

2. 防止知識(shí)流失

知識(shí)作為一種特殊的物質(zhì)，具有倍增性，即在傳播過(guò)程中不會(huì)減少，反而會(huì)倍增，相反地，知識(shí)不使用的情況下反而會(huì)產(chǎn)生損耗。因此企業(yè)內(nèi)部的知識(shí)共享可以增強(qiáng)企業(yè)知識(shí)庫(kù)的生命力，降低經(jīng)營(yíng)風(fēng)險(xiǎn)。

3. 提高組織的核心競(jìng)爭(zhēng)力

在知識(shí)經(jīng)濟(jì)時(shí)代，創(chuàng)新是組織持續(xù)獲取和保持核心競(jìng)爭(zhēng)力的關(guān)鍵，而創(chuàng)新又與組織的知識(shí)儲(chǔ)備和組織內(nèi)的知識(shí)利用效率密切相關(guān)。要想獲取更強(qiáng)大的競(jìng)爭(zhēng)力，獲取新的知識(shí)，組織就必須將組織的顯性知識(shí)和隱性知識(shí)進(jìn)行充分交流和共享，因?yàn)閯?chuàng)新通常產(chǎn)生在不同知識(shí)的碰撞中。

第三方漏洞共享平臺(tái)本身就是知識(shí)密集型組織，對(duì)專業(yè)知識(shí)的要求非常高，網(wǎng)絡(luò)病毒無(wú)時(shí)無(wú)刻不在更新，每年都會(huì)產(chǎn)生新的更加復(fù)雜的漏洞，所以如何提高漏洞披露者的工作積極性和工作效率，在網(wǎng)絡(luò)安全上做到防微杜漸，是亟待解決的問(wèn)題。良好的知識(shí)共享無(wú)疑能幫助第三方漏洞平臺(tái)提高運(yùn)作效率。

（二）從演化博弈角度

傳統(tǒng)的博弈理論是基于“理性人”假設(shè)的完全信息博弈，但是在現(xiàn)實(shí)生活中，參與博弈的主體往往是有限理性的，并且不可能獲得完全信息，這是由于人有限的感知能力導(dǎo)致的，而演化博弈理論卻剛好能在這兩個(gè)條件下進(jìn)行。

演化博弈論起源于生物進(jìn)化理論，最早用來(lái)解釋生物進(jìn)化的過(guò)程，后來(lái)被經(jīng)濟(jì)學(xué)家運(yùn)用到經(jīng)濟(jì)學(xué)領(lǐng)域，是一種將動(dòng)態(tài)進(jìn)化過(guò)程與博弈理論相結(jié)合的現(xiàn)代分析手段。知識(shí)共享中往往會(huì)出現(xiàn)很多問(wèn)題，“搭便車”現(xiàn)象就是典型問(wèn)題?！按畋丬嚒爆F(xiàn)象是指組織中的個(gè)體為了爭(zhēng)取自我權(quán)益的最大化，在知識(shí)共享的過(guò)程中只從其他個(gè)體吸取知識(shí)，而不貢獻(xiàn)自己的相關(guān)核心知識(shí)的一種自私行為。這種行為會(huì)對(duì)企業(yè)內(nèi)的知識(shí)共享造成嚴(yán)重的損害，會(huì)嚴(yán)重打擊共享者的積極性，削弱組織的凝聚力，形成各自為政的局面。但是“搭便車”現(xiàn)象又是必然會(huì)出現(xiàn)的，因?yàn)楦鶕?jù)理性人原則，組織中的成員雖然在道德上被要求以組織目標(biāo)為重，甚至?xí)盏浇M織發(fā)放的知識(shí)共享激勵(lì)，但是當(dāng)這些收益的總和依舊小于“搭便車”帶來(lái)的收益時(shí)，“搭便車”行為就有可能產(chǎn)生。

所以為了促進(jìn)白帽子群體間的知識(shí)共享，避免“搭便車”現(xiàn)象的發(fā)生就可以運(yùn)用演化博弈方法，根據(jù)組織的具體情況對(duì)參與安全知識(shí)共享的“白帽子”的行為進(jìn)行模擬，通過(guò)參數(shù)設(shè)置和界定主體建立演化博弈模型，并根據(jù)不同的情況算找出穩(wěn)定策略，建立復(fù)制動(dòng)態(tài)方程，對(duì)平衡點(diǎn)進(jìn)行分析。

四、結(jié)論

為了提高第三方漏洞平臺(tái)的運(yùn)作效率，本文從知識(shí)共享和演化博弈的視角指出第三方漏洞平臺(tái)的研究新思路，豐富了相關(guān)研究的方法。

參考文獻(xiàn)：

[1]Mansfield-Devine S. Hiring ethical hackers： the search for the right kinds of skills[J].Computer Fraud & Security， 2017 （02）.

[2]Tracey Caldwell. Ethical hackers： putting on the white hat[J].Network Security，2011（07）.

[3]Conrad J. Seeking help： the important role of ethical hackers[J].Network Security，2012（08）.

[4]Wilbanks L. When Black Hats Are Really White[J].It Professional，2008（05）.

[5]Jackson M， Shelly M. Black Hats and White Hats： Authorisation of Copyright Infringement in Australia and the United States[J].International Journal of Law & Information Technology，2008（01）.

[6]Zhou P， Gu X， Chang R K C. Harvesting File Download Exploits in the Web： A Hackers View[J].Computer Journal，2016（04）.

[7]Brown C. White or Black Hat？ An Economic Analysis of Computer Hacking[J].Working Papers，2015.

[8]楊詩(shī)雨，郝永樂(lè).強(qiáng)化漏洞管控機(jī)制，加快國(guó)家漏洞庫(kù)建設(shè)[J].中國(guó)信息安全，2016（07）.

[9]于成麗.我國(guó)漏洞披露平臺(tái)安全問(wèn)題分析及對(duì)策建議[J].保密科學(xué)技術(shù)，2017（01）.

[10]吳昊.互聯(lián)網(wǎng)安全應(yīng)急中心運(yùn)行模式對(duì)加強(qiáng)銀行業(yè)網(wǎng)絡(luò)安全管理的啟示[J].中國(guó)信用卡，2017（03）.

（作者單位：江蘇大學(xué)管理學(xué)院）