致企业信息安全负责人的一封信

尊敬的企业信息安全负责人:

您好。

我是"补天"漏洞响应平台的负责人赵武,给您写这封信,是希望邀您参与近期推出的"补天"漏洞响应平台。简单地讲,"补天"是为国内企业与网络安全专家搭建的对话交流平台,网络安全专家通过"补天"平台为企业提供漏洞,平台将根据业界通用的标准为漏洞确定不同的危险级别,在此基础上企业可以适当奖励发现漏洞的网络安全专家。

我们认为,"补天"漏洞响应平台有利于帮助企业提升企业网络信息安全防护能力,有利于建立一个对各方都有益的企业安全生态系统。

在互联网时代,企业面临的安全威胁,其重要性如何强调都不过分。国内超过95%的网站存在漏洞、超过40%的网站存在后门。因此,互联网上每天都在爆发"拖库"事件,从普通网站到手机应用软件,用户信息随时有大批量泄露的可能。一直以来,企业非常痛恨由漏洞导致的黑客攻击行为,但同时也没有更好的方式加以解决。黑客的攻击行为不仅对企业造成了直接经济损失,而且处理不当会形成公关危机,导致客户丧失对企业的信任。

面对企业安全漏洞风险,包括微软、Google、Facebook及Twitter等在内的国外知名企业提出了SRC(Security Response Center,安全应急响应中心)概念,其理念是发动全网有贡献精神的网络安全专家来为企业提交安全漏洞。

采用SRC方式提交的漏洞不会对外公开,因此不会形成品牌危机。目前,国内包括360、腾讯、百度、阿里巴巴等在内的知名互联网企业都建立了自己的SRC。事实证明,这种模式可以非常有效且快速的获取企业安全漏洞信息,提高企业安全防御能力。

然而,并不是每个企业都有能力建立SRC,因为这些企业缺乏安全技术积累(人员和技术),以及缺乏与众多网络安全专家建立联系沟通的机制和渠道。作为国内最大的互联网安全企业,360与国内外众多网络安全专家建立了良好的联系。360建立的"补天"漏洞响应平台,对愿意加入的企业来说,就是一个SRC, 网络安全专家通过补天平台负责任的披露漏洞信息,避免给企业品牌造成影响。 具体而言,"补天"漏洞响应平台能帮助企业建立SRC,让企业安全,让网络安全专家获益,360可以为用户提供如下服务:

  • 与网络安全专家建立联系,发动大家负责任的提交漏洞,确保企业最快最全面的发现安全漏洞
  • 针对提交的漏洞,我们会进行细致准确地审核,确保漏洞的真实有效性和不重复性
  • 协调企业与网络安全专家进行积极正向的沟通,保证更好更快地解决漏洞问题
  • 给予企业漏洞安全技术方面的指导,确保问题快速有效的进行修复

发现漏洞是网络安全专家的劳动成果,类似于知识产权,所以我们鼓励企业能够在"补天"平台上通过现金奖励的方式来表达对安全专家的认可和尊重。这样可以促进网络安全专家更积极的支持企业、更多的发现安全漏洞、更负责任的提交漏洞详情,以及更深入的协助企业进行漏洞修复,共同维护企业信息安全。

"补天"漏洞响应平台已于12月1日正式推出,欢迎大家积极参与,共同打造国内一流"企业-白帽子"交流对话平台,提升企业网络信息安全防护能力。

"补天"漏洞响应平台
2014年12月1日

微信二维码