乌云网惹众议 还是数据安全引发的是非

       谈起“乌云“这两个字的话，人们第一反应也许不是狂风暴雨前笼罩在天空那些暗沉乌黑的云朵了。它现在不仅仅是下雨前表示征兆的词语了，也是信息安全界所关注的焦点。没错，那就是最近频繁曝光各大知名网站安全漏洞的漏洞报告平台——乌云网。它已经成为了盖在众多企业头上名副其实的一朵“乌云”，无不令人恐慌。

       谈在舆论将携程推向风头浪尖之时，人们也对乌云网及其背后的IT技术人员“白帽子”充满了好奇——他们究竟是侠客？危险分子？或者只是一些网络维护人员眼中的“捣蛋鬼”？ 这究竟是怎样的平台，为何能连环曝出各大公司的漏洞？下面就让信息安全领域信息安全领域的专家山丽网安来带您去瞧一瞧吧。

       谈乌云背后的“月之眼”

       谈乌云网成立于2010年5月，主要创始人为百度前安全专家方小顿——这位1987年出生的国内知名黑客“剑心”，2010年2月和李彦宏一道参加湖南卫视《天天向上》节目，因为女友高歌一首而为人所知。此后，方小顿联合几位安全界人士成立了乌云网，其目标是成为“自由平等的”的漏洞报告平台。

       谈乌云网上线后，先后曝出知名IT社区CSDN、天涯、当当、京东商城等网站存在安全漏洞，于2011年声名鹊起。　　表面上看，“乌云”像是一个社区性质的网站，依托平台用户发现漏洞，然后曝光，可能无法保证问题的准确性。但是，根据已经公开的信息发现，乌云所曝光的漏洞基本都存在，能迅速得到相关企业的回应。

       谈尽管乌云将自己的形象打造为公益的第三方组织，以获取“白帽子”与社会的信任。但经过查证，乌云网并非一个公立第三方机构，而是纯粹的民营公司，其收入来源于其漏洞披露规则。

       谈漏洞披露，更是一场狂欢

       谈在普通公众心中，神秘和危险是黑客的代名词。但在黑客界，所有黑客主要被归为两种类型：“白帽子“与”黑帽子“，愿意向企业公布漏洞、不恶意利用漏洞的就是”白帽子“，而“黑帽子”则是以盗取信息牟利为生。

       谈“虽说乌云对漏洞的披露有保密期，但事实上我并不需要看什么漏洞详情。任何有经验的黑客，只要看下漏洞标题和简述，就能针对性的去测试，因此在大多情况下漏洞一旦公布，第一时间拿到漏洞细节并非难事。”黑客圈人士、曾在乌云提交过数十个漏洞的Z告诉笔者，“其实你们看到的，都是我们玩剩下的。”

       谈此次携程漏洞的发现者“猪猪侠”是乌云排名最高的白帽子，发布漏洞高达125个。3月22日晚，猪猪侠连续发布了两枚关于携程的严重安全漏洞，而在猪猪侠之前的战绩中，曾发布腾讯、阿里、网易、优酷、联想在内的多家知名企业漏洞，是一位名副其实的黑客高手。关于“猪猪侠”是何许人也，据透露其实是乌云网内部人士。

       谈事实上。厂商给予提交漏洞的“白帽子”报酬，比如送礼物或奖励。乌云网的发言人表示，在国内，由于厂商对提交会漏洞者的轻视或偏见，向第三方漏洞平台给予丰厚奖励的比较少(360、腾讯、新浪等企业对自己漏洞收集平台则有奖励规定)，大多是T恤衫、笔、水杯等纪念礼物，以及少量的奖金。

       谈黑客们的乌托邦，数据安全问题仍是关注焦点

       谈“因为未授权的黑盒安全测试是违法的，所以圈内流行这样一种做法：黑客们入侵网站盗取信息，最后只要在乌云网向厂商提交漏洞，就可以洗白。”

       谈据称，乌云网有一个非公开论坛，该论坛只有获得审核的“白帽子”才能进入。笔者在这个隐秘论坛中发现，黑色产业、网赚、网络战争等话题都有专门的讨论版块。众多“白帽子”摇身一变，在这个温室中讨论着漏洞利用技术，如何利用这些漏洞去做黑产，游走在法律的灰色地带。

       谈乌云网连续披露的安全事件引发了前所未有的社会关注。事实上，无论乌云网是帮助企业修补漏洞的“善意黑客“也好，还是只是以安全为名炒作自己、挟持企业的无良骇客也罢。有一件事是肯定的，现在的安全漏洞越来越多，而且真的威胁到每个人的实际利益。各个企业在探讨乌云网背后真面目的同时，更应该学会深入思考：如何尽快修复那些漏洞？如何让广大用户避免因漏洞而产生的不良后果呢？

       谈的确，在互联网普及的今天是无法彻底消灭漏洞存在的。虽然不能阻止漏洞的出现，但是对于企业和个人来说，我们可以运用功能强大的数据加密技术加以防御，坚持做到对网络信息安全进行全面有效的保护，消灭掉那些漏洞带给我们的不安因素。而这时候，使用国际先进的的多模加密技术无疑是最为明智的抉择。

       谈多模加密技术采用对称加密算法与非对称加密算法相结合的技术，在不同的工作环境之下为用户提供多种加密模式，灵活且有针对性。以多模加密技术为核心，山丽网安打造了山丽防水墙数据防泄漏系统。该系统通过山丽网安“双核双升”技术更新，不仅具有文件加密的功能，针对企业内部机密文件、企业外发文件、还有文件权限控制的特性。并用其独有的AUF监控内核为核心和国际先进的加密算法，纳入了成熟的计算机终端管理模式，在系统实施后可以达到技术手段的管理效果。 

       谈安全漏洞的公开是必要的，这不仅是对用户的负责，更是对企业安全的监督。但是，对于安全漏洞的防护更有必要。使用灵活且保护数据本源的加密技术及其软件永远是维护核心数据安全最好的办法！