網(wǎng)站防護(hù)能力薄弱已經(jīng)成為中國網(wǎng)絡(luò)安全的短板

　　中新網(wǎng)3月28日電 360公司今日啟動漏洞懸賞項目“庫帶計劃”，以現(xiàn)金獎勵方式征集開源建站系統(tǒng)漏洞，用以幫助軟件公司和開發(fā)者及時推出漏洞補(bǔ)丁，加強(qiáng)國內(nèi)數(shù)百萬家網(wǎng)站對黑客攻擊“拖庫”的防范能力。此舉同時也有助于提升360網(wǎng)站安全檢測平臺掃描、防御漏洞的能力。

　　通過現(xiàn)金獎勵方式征集技術(shù)高手報告0day漏洞，是國際領(lǐng)先的網(wǎng)絡(luò)安全防御趨勢。以惠普公司旗下ZDI(0day攻擊防御計劃)為例，明碼標(biāo)價征集漏洞，一方面可以通知相關(guān)廠商修復(fù)，另一方面也提升了自身安全產(chǎn)品的防護(hù)能力。今年3月，微軟最新推出的IE瀏覽器補(bǔ)丁程序修復(fù)了9個漏洞，其中6個漏洞由ZDI報告給微軟，其余3個漏洞由360等安全公司發(fā)現(xiàn)并報告微軟?？梢?，漏洞懸賞征集項目已經(jīng)成為促進(jìn)漏洞修復(fù)的重要動力。

　　360此次推出“庫帶計劃”，是國內(nèi)首個第三方漏洞付費收錄平臺，從而使中國網(wǎng)絡(luò)安全行業(yè)與國際規(guī)則接軌。360“庫帶計劃”目前主要針對開源建站系統(tǒng)漏洞進(jìn)行征集、報告處理和安全維護(hù)，獎勵金額從100元到10000元不等，按照漏洞危害等級確定額度。

　　2011年底，國內(nèi)多家知名網(wǎng)站遭黑客入侵竊取密碼數(shù)據(jù)庫，超過2億條帳號密碼在網(wǎng)上公開流傳。究其原因，網(wǎng)站存在漏洞是黑客入侵的主要途徑。據(jù)360網(wǎng)站安全檢測平臺調(diào)查，國內(nèi)有超過半數(shù)網(wǎng)站使用各種流行的開源建站系統(tǒng)。一旦建站系統(tǒng)出現(xiàn)沒有補(bǔ)丁的0day漏洞，往往會有數(shù)十萬甚至百萬級網(wǎng)站成為任由黑客宰割的“肉雞”。而在過去一年，360網(wǎng)站安全檢測平臺收錄的各種開源建站系統(tǒng)高危0day漏洞達(dá)到102個。

　　360總裁齊向東表示，防范黑客利用0day漏洞攻擊網(wǎng)站，最有效的方法盡快發(fā)現(xiàn)漏洞、并秘密通知廠商進(jìn)行修復(fù)。360“庫帶計劃”收到漏洞后，會第一時間將漏洞信息通報相關(guān)廠商、開發(fā)者和國家漏洞庫，并將漏洞掃描和防護(hù)規(guī)則加入360網(wǎng)站安全產(chǎn)品中，保護(hù)網(wǎng)站客戶不受漏洞影響。

　　齊向東強(qiáng)調(diào)，360“庫帶計劃”重獎收錄的漏洞，都會免費分享給國內(nèi)知名的網(wǎng)絡(luò)安全公司，幫助其他安全產(chǎn)品的網(wǎng)站用戶提升漏洞防御能力，實現(xiàn)全行業(yè)共贏。