您當前位置:首頁 > 資訊中心 > 信息安全

美國囤積零日漏洞的標準是什么

  政府應不應該囤積零日漏洞?對這個問題的回答見仁見智。有人覺得將軟件漏洞秘而不宣會影響所有用戶,無論如何都應當披露漏洞。另一方面,零日漏洞在一些人眼中與國家安全掛鉤,認為只要能給本國帶來戰爭或情報收集上的優勢,就應該保密。
 
  零日漏洞
 
  還有一群人持第三種觀點,他們清楚政府囤積零日漏洞的優勢與后果,認為對待零日漏洞不能非黑即白,應根據當前狀況與情勢變化充分衡量這么做的利弊,酌情選擇是披露還是保密零日漏洞。
 
  美國政府確實設置有衡量漏洞該不該披露的一個過程,名為“漏洞權衡過程(VEP)”。美國聯邦政府采用該過程確定每個零日計算機安全漏洞的“待遇”:是向公眾披露以改善計算機安全環境,還是加以保密留作對付政府假想敵的殺手锏?VEP在2000年代末期被制定出來,起因是公眾對零日漏洞囤積行為的憤怒日益高漲。該過程最初呈保密狀態,直到2016年電子前沿基金會(EFF)根據《信息自由法案》(FOIA)申請到了一份經脫密處理的文檔。2017年年中,黑客團伙“影子經紀人”的曝光之后,白宮向公眾披露了VEP的更新版本,試圖提升該過程的透明度。那么,VEP到底是怎么進行的呢?
 
  今天的VEP過程
 
  該過程經白宮授權,由美國國家安全局(NSA)的代表和總統的網絡安全協調官共同領導,NSA代表作為該過程的執行秘書聽從國防部的指導,總統的網絡安全協調官則是該過程的總監。其他參與者還包括來自10個政府機構的代表,他們組成了權衡審核委員會。
 
  該過程要求漏洞發現機構、執行秘書及權衡審核委員會成員之間展開對話。各方就內部披露的漏洞細節提出各自權益,比如“該漏洞可能對自身產生的影響”等等。然后漏洞報告者和權益要求者之間將開啟新一輪討論,確定是建議披露還是建議隱瞞該漏洞。權衡審核委員會最終達成共識,決定接受該建議還是另尋他策。如果達成披露決議,披露動作會在7天內開始。算算時間線的話,從發現漏洞到披露漏洞,整個過程耗時在一星期到一個月不等,已經是相當快速的政府流程了。
 
  VEP還要求做年報,年報至少要有漏洞公開的執行摘要,并包含有該過程整年的統計數據。第一個報告周期截止日期為2018年9月30日,也就是說,新的年報也不遠了。
 
  不足與例外
 
  該過程顯然不完美。除了時間安排,選擇不披露操作的情形也很多,還有各機構間的踢皮球,所有這些都讓政府更傾向于維持舊狀,而不是努力達成VEP想要交付的公開透明。圍繞該過程的一些現實問題如下:
 
  1. 保密及其他協議
 
  VEP在披露時會受到法律限制,比如保密協議、諒解備忘錄和涉外國合作伙伴或私營產業合作伙伴的其他協議。這就留下了以這些協議為借口阻止披露的機會。
 
  2. 缺乏風險評估
 
  業界基于多種因素為漏洞打出評分。VEP卻沒有強制要求此類評估。這種分類或評分過程的缺乏可能導致年終數據失真。比如說,VEP可能公開宣稱今年披露了100個漏洞,但由于缺乏漏洞上下文,這些漏洞有可能全都是對私營產業毫無影響的低風險威脅。
 
  3. NSA主導
 
  考慮到NSA實際上是最大的權益持有者,也是最有經驗的漏洞處理者,其代表被選為委員會執行秘書毫不意外。該職位讓NSA在VEP過程中享有了最大的權力。
 
  4. 不披露選項
 
  雖然公開披露是默認選項,但其他選項還包括:披露緩解信息而非漏洞本身;美國政府限制使用;秘密披露給美國盟友;以及間接披露給供應商。這些選項大多將漏洞瞞下,無視披露可能帶來的好處。
 
  5. 缺乏透明性
 
  除此之外,該過程似乎沒有納入來自私營產業的監督。圍繞零日漏洞的爭論中一直存在信任問題。認為更好的安全需要任何漏洞都應披露的人,幾乎不會接受內部人士所謂“因為值得保密而不能披露”的回復。組成權衡審核委員會的10個機構中既有商務部也有國土安全部,有人可能覺得這兩個部門應該會將私營產業權益考慮進去。但安全倡導者不這么想,畢竟這些席位也都是政府指定的。
 
  由產業界代表和具安全權限的網絡安全專家組成私營產業審核委員會是個不錯的辦法。這些委員會成員可以在一個月或一個季度的期限內審核VEP過程的結果。如果政府的委員會和業界專家組成的委員會都判定“值得保密”,安全倡導者接受起來也就沒那么難了。

第二十八屆CIO班招生
法國布雷斯特商學院MBA班招生
法國布雷斯特商學院碩士班招生
法國布雷斯特商學院DBA班招生
作者:grabsun - 發布時間:2019-02-09 - 點擊量:2507
公司簡介:大勢至公司是國內較早的企業網管軟件提供商,可以為企事業單位提供整體的企業網絡管理方案和企業網絡管理平臺,通過全系列的公司監控員工電腦軟件教你如何控制員工上網、如何控制局域網內電腦上網以及如何保護電腦文件安全等。公司核心產品“聚生網管系統”是一款專門的公司網管必備軟件、查看網絡流量軟件、網絡流量監控軟件和辦公室電腦監控軟件;“網絡特警”則是一款專門的網絡流量監控設備、上網行為管理服務器、網絡行為管理設備,可以實現更為強大的局域網網絡行為管理;大勢至USB接口禁用軟件則是一款專門的數據防泄密產品、屏蔽U盤軟件、電腦USB端口禁用軟件,可以嚴防通過一切途徑泄露電腦文件,保護單位無形資產和商業機密安全;大勢至共享文件夾管理軟件則是一款專門的共享文件權限設置軟件和共享文件設置密碼軟件,全面保護共享文件安全;大勢至共享文件審計系統則是一款專門的服務器共享文件夾設置軟件、服務器共享文件訪問日志記錄軟件,可以詳細記錄局域網用戶訪問共享文件的行為,更好地管理共享文件的安全;大勢至局域網網絡準入控制系統則是一款專門防止未經授權的電腦接入公司局域網的行為,防止外來電腦訪問局域網共享文件、防止蹭網以及綁定IP和MAC地址,保護網絡安全;大勢至FTP服務器日志記錄軟件則是一款專門記錄局域網用戶訪問FTP服務器日志的軟件,可以有效保護FTP服務器文件安全。
收縮

售前咨詢

  • 電話:010-82825051
  • 電話:010-82825512
  • 電話:010-62656060

技術支持

  • 電話:010-82825052
  • 電話:010-82825062
木乃伊迷城电子游艺
山东十一选五的开奖 武汉麻将 五分赛车怎么看走势 炒股APP 未来云南麻将官网 山西11选5分布走势图 新手学炒股快速入门 陕西11选5遗漏 澳洲幸运8第一个数 辽宁快乐12走势图 极速十一选五-官方版APP下载 吉林麻将52麻将下载 gpk劈鱼游戏技巧 富贵乐园农场是骗局嘛 竞猜500比分完场直播 澳洲幸运8有什么漏洞