网站首页  词典首页

请输入您要查询的论文:

 

标题 提高国内第三方漏洞平台效率的研究新思路
范文

    肖广涛

    

    摘要:随着国内网络安全问题日渐突出, 如何提高国内网络安全平台的运作效率也成为了热点。文章以国内第三方漏洞平台为研究对象, 通过整理国内外相关研究, 从知识共享视角提出建设性的研究思路。

    关键词:网络安全;第三方漏洞平台;知识共享

    一、研究背景

    (一)网络的发展及网络安全问题的泛滥

    近年来,随着信息技术的不断发展与普及,互联网改变了人们的生活方式,网民数量持续增长,与此同时,网络安全事件也频频发生,网络安全已经被放到了战略层面。国家计算机网络应急技术处理协调中心于2016年年底发布了《2016年中国互联网网络安全报告》。2005~2016年移动互联网恶意程序的趋势如图1所示。

    可以看出,近十年来我国移动互联恶意程序数量逐年增加,并且从2011年开始呈指数型飞速上涨,到2016年已经有205万之多。这些都说明我国近年来网络安全事件频发,并且呈现逐年增长的趋势。

    (二)当前我国漏洞平台的迅速发展

    国家级官方漏洞组织是国家相关职能部门维护的安全漏洞信息共享知识库,负责收集各种类型的安全漏洞,进行漏洞分析和风险评估,保障我国信息安全,主要是2009年建立的国家信息安全漏洞共享通报平台(CNVD)和中国国家信息安全漏洞库(CNNVD);行业第三方漏洞平台是一个介于白帽子和企业之间的进行漏洞发布和反馈的平台,主要包括乌云网、漏洞盒子、补天360等;企业自建应急响应中心(SRC)是通过网络安全专家帮助企业和组织提高网络安全防御能力,2012年腾讯网络建立国内第一家应急响应中心,随后包括网易、百度、新浪等在内的几十家知名互联网企业都建立了自己的应急响应中心。目前国内漏洞披露平台格局已经逐渐成熟,基本形成了国家官方漏洞通报机构、行业第三方漏洞平台和企业自身应急响应中心的三梯结构。与国内的其他平台相比,第三方漏洞平台起步相对较早,漏洞提交和白帽子的数量较高并且发展很快,是国内安全漏洞披露的主要力量。

    但是关于漏洞平台的研究却严重不足,仅进行介绍性的综述研究,而关于第三方漏洞平台面临的披露效率不高,平台建设等问题的研究更是少之又少。

    二、国内外相关研究现状

    (一)国外相关研究现状

    Mansfield-Devine S研究了“白帽子”如何进行渗透测试。Tracey Caldwell认为道德黑客正在迅速成为企业网络安全武器的重要组成部分,“白帽子”在渗透测试之外的作用越来越大。Conrad J认为“白帽子”可以减少企业的网络安全损失,并且对于“白帽子”在信息安全领域的发展持积极态度。L Wilbanks介绍了黑客交流的形式,特别是持续多年的黑客大会已经发展成为了网络安全信息技术和最新安全研究的重要交流方式。Holmes G研究了“白帽子”的成长历程和如何得到专业技能。Jackson M等探讨了授权可能与技术的制造商和供应商有关,并能够被黑客非法获取,最后对现行法律进行了讨论。P Zhou等等调查了不同国家和地区的文件下載漏洞的情况,从黑客的角度考察了他们的可利用性,并成功地揭示了在今天的网络中的漏洞防护措施,并且证实了其广泛的可利用性。Brown C研究了“白帽子”黑客与黑帽子黑客之间的竞争是如何影响企业利益。

    (二)国内相关研究现状

    杨诗雨和郝永乐对国家信息安全漏洞库(CNNVD)进行了研究,指出国家安全信息漏洞库的职能,并对未来进行了展望。2016年的“乌云事件”试探了“白帽子”和漏洞披露平台漏洞挖掘、披露行为的安全边界,于成丽对国内外漏洞平台的概况、运营模式和相关法律进行了总结,探讨分析了当前国内漏洞平台发展面临的挑战,并给出了对策和建议。而吴昊依据国内银行业安全管理现状,提出银行业金融机构通过借鉴第三方漏洞平台的建设,设计了具体的银行安全安全管理模型。

    综上所述,在以往的文献中,对漏洞共享平台及“白帽子”的研究主要是集中于对国家信息安全漏洞库进行数据分析和建设研究,对于“白帽子”的研究则集中于“白帽子”的合法性讨论和“白帽子”能力的提升。

    三、提高第三方漏洞平台效率的研究新思路

    (一)从知识共享角度

    知识共享是指组织内的个体之间通过线上或者线下的方式把个人的经验和学识与他人分享,使知识从个人传递到组织里。知识共享的目的是破除不同知识拥有个体间的隔阂,实现知识在组织内和组织间相对自由地流动和使用,降低组织的知识获取成本。组织内的知识共享有以下作用。

    1. 增强企业获取知识的效率

    知识在企业内部具有更快的转移效率,相比较企业外部,知识转移的复杂程度也会降低,因此知识共享有助于增强企业获取知识的效率。

    2. 防止知识流失

    知识作为一种特殊的物质,具有倍增性,即在传播过程中不会减少,反而会倍增,相反地,知识不使用的情况下反而会产生损耗。因此企业内部的知识共享可以增强企业知识库的生命力,降低经营风险。

    3. 提高组织的核心竞争力

    在知识经济时代,创新是组织持续获取和保持核心竞争力的关键,而创新又与组织的知识储备和组织内的知识利用效率密切相关。要想获取更强大的竞争力,获取新的知识,组织就必须将组织的显性知识和隐性知识进行充分交流和共享,因为创新通常产生在不同知识的碰撞中。

    第三方漏洞共享平台本身就是知识密集型组织,对专业知识的要求非常高,网络病毒无时无刻不在更新,每年都会产生新的更加复杂的漏洞,所以如何提高漏洞披露者的工作积极性和工作效率,在网络安全上做到防微杜渐,是亟待解决的问题。良好的知识共享无疑能帮助第三方漏洞平台提高运作效率。

    (二)从演化博弈角度

    传统的博弈理论是基于“理性人”假设的完全信息博弈,但是在现实生活中,参与博弈的主体往往是有限理性的,并且不可能获得完全信息,这是由于人有限的感知能力导致的,而演化博弈理论却刚好能在这两个条件下进行。

    演化博弈论起源于生物进化理论,最早用来解释生物进化的过程,后来被经济学家运用到经济学领域,是一种将动态进化过程与博弈理论相结合的现代分析手段。知识共享中往往会出现很多问题,“搭便车”现象就是典型问题。“搭便车”现象是指组织中的个体为了争取自我权益的最大化,在知识共享的过程中只从其他个体吸取知识,而不贡献自己的相关核心知识的一种自私行为。这种行为会对企业内的知识共享造成严重的损害,会严重打击共享者的积极性,削弱组织的凝聚力,形成各自为政的局面。但是“搭便车”现象又是必然会出现的,因为根据理性人原则,组织中的成员虽然在道德上被要求以组织目标为重,甚至会收到组织发放的知识共享激励,但是当这些收益的总和依旧小于“搭便车”带来的收益时,“搭便车”行为就有可能产生。

    所以为了促进白帽子群体间的知识共享,避免“搭便车”现象的发生就可以运用演化博弈方法,根据组织的具体情况对参与安全知识共享的“白帽子”的行为进行模拟,通过参数设置和界定主体建立演化博弈模型,并根据不同的情况算找出稳定策略,建立复制动态方程,对平衡点进行分析。

    四、结论

    为了提高第三方漏洞平台的运作效率,本文从知识共享和演化博弈的视角指出第三方漏洞平台的研究新思路,丰富了相关研究的方法。

    参考文献:

    [1]Mansfield-Devine S. Hiring ethical hackers: the search for the right kinds of skills[J].Computer Fraud & Security, 2017 (02).

    [2]Tracey Caldwell. Ethical hackers: putting on the white hat[J].Network Security,2011(07).

    [3]Conrad J. Seeking help: the important role of ethical hackers[J].Network Security,2012(08).

    [4]Wilbanks L. When Black Hats Are Really White[J].It Professional,2008(05).

    [5]Jackson M, Shelly M. Black Hats and White Hats: Authorisation of Copyright Infringement in Australia and the United States[J].International Journal of Law & Information Technology,2008(01).

    [6]Zhou P, Gu X, Chang R K C. Harvesting File Download Exploits in the Web: A Hackers View[J].Computer Journal,2016(04).

    [7]Brown C. White or Black Hat? An Economic Analysis of Computer Hacking[J].Working Papers,2015.

    [8]楊诗雨,郝永乐.强化漏洞管控机制,加快国家漏洞库建设[J].中国信息安全,2016(07).

    [9]于成丽.我国漏洞披露平台安全问题分析及对策建议[J].保密科学技术,2017(01).

    [10]吴昊.互联网安全应急中心运行模式对加强银行业网络安全管理的启示[J].中国信用卡,2017(03).

    (作者单位:江苏大学管理学院)

随便看

 

科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。

 

Copyright © 2004-2023 puapp.net All Rights Reserved
更新时间:2025/3/21 17:45:11