手机杀毒软件排行2017 2017年网络安全大事记(5)

3. 漏洞披露问题的两难

2017年，从发，到美国国防部“入侵空军”二期众测项目发放的26万美元，再到漏洞交易平台Zerodium的50万、100万、150万美元的漏洞征集奖金，一个问题浮出水面，漏洞到底值多少钱？

这个问题非常复杂，涉及到漏洞利用的时间周期、漏洞所在系统本身的价值、漏洞可能带来的危害程度、影响范围，漏洞防范的难易度等众多因素。但无疑，漏洞信息的机密程度是漏洞价值的最关键因素。知道的人少（即零日漏洞或N日漏洞）就越值钱，知道的人越多就越低廉。因此，才会有完全披露和负责任披露两种模式的出现。二者之间各有利有弊，是一个平衡取舍的问题。

11月15日，美国白宫发布《漏洞平衡政策》，十大部门形成审查委员会，根据漏洞的波及范围、利用难度、可导致的破坏，以及漏洞修复难度等，衡量漏洞的威胁程度，结合政府如何利用漏洞，以及利用漏洞的事实被公开将面临的政治风险，来审查漏洞，最终决定公开日期或保密。

漏洞审查委员会成员：

国防部（含NSA）

中央情报局

司法部（含FBI）

国务院国土安全部

国家情报总监办公室

财务部

能源部

商务部

管理与预算办公室

2017年的NVD漏洞总数约1.5万个，按照CVSS V3 的评级方法，仅高危漏洞就3千多个。况且，超过四分之三的漏洞在NVD发布之前就已经在新闻站点、博客、社交媒体，以及常人无法触及的暗网、论坛公布。因此该审查委员会，将特别针对零日漏洞做出披露决策。

三、行业市场篇

1. 会议活动空前热烈

2016年网络安全大事记曾写道，“2016年是信息安全会议活动最为集中的一年”，但2017年明显比去年更多，多到一一列出会占用太多的文章篇幅，因此今年的大事记只选出了非常重要或影响力较大的十个活动。

2017年十大顶级安全会议/活动：

√ RSA 2017 全球约有680余家机构参展，比去年约增长23%。以国别来看，参展机构数量中国排名第二（32家），较去年增长了82%。韩国增长速度最为迅猛，达到800%，部分体现出东亚地区在网络安全方面的进步。

√ 2017年国内网络安全相关会议活动总数预计超过300场。百人规模的活动超过100场，千人规模的活动也在10场以上。粗略估算会议成本约在1亿至3亿元左右。

√ 网络攻防比赛亦呈爆发态势。XCTF、WCTF、TCTF、X-NUCA、铁人三项，以及各地省市政府、协会组织的网络安全竞赛纷纷而起。安全竞赛的意义主要有二，一是增强网络安全在整个社会的影响力，向全社会推广网络安全的知识；二是形成良好的安全氛围，以及培养和发现优秀的安全人才。

√ 各种会议活动可大致分为国家与地方政府牵头的会议、综合性的产业会、展览会、技术研讨会、解决方案会、安全厂商渠道客户会、新品发布会、战略合作会、融资见面会等，再加上信息领域各大会议中的安全分论坛，大型互联网公司的SRC会和各机构举办的破解攻防大赛等。

√ 对于安全厂商来说，建议选择定位精准，性价比高，贴近行业，贴近用户的会议参加。而对于主办方来说，精选议题、演讲人，尽量为听众带来更有价值的内容，才是举办活动的根本意义。2017年用户或渠道大会明显增多，也从客观上反映出用户至上的办会趋势。

2. 融资规模前所未有

2017年，涉及到融资并购的安全企业，金额上亿美元的国外有约20余起，国内今年也创记录的有10余家创业公司的融资达亿元级别，为网络安全领域融资额最为爆发的一年。

2017年国外较大的融资并购事件

1月：

思科宣布将以37亿美元收购专注于改善应用程序性能的初创公司AppDynamics。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-56099-5.html