您当前位置:首页 > 资讯中心 > 信息安全

美国囤积零日漏洞的标准是什么

  政府应不应该囤积零日漏洞?对这个问题的回答见仁见智。有人觉得将软件漏洞秘而不宣会影响所有用户,无论如何都应当披露漏洞。另一方面,零日漏洞在一些人眼中与国家安全挂钩,认为只要能给本国带来战争或情报收集上的优势,就应该保密。
 
  零日漏洞
 
  还有一群人持第三种观点,他们清楚政府囤积零日漏洞的优势与后果,认为对待零日漏洞不能非黑即白,应根据当前状况与情势变化充分衡量这么做的利弊,酌情选择是披露还是保密零日漏洞。
 
  美国政府确实设置有衡量漏洞该不该披露的一个过程,名为“漏洞权衡过程(VEP)”。美国联邦政府采用该过程确定每个零日计算机安全漏洞的“待遇”:是向公众披露以改善计算机安全环境,还是加以保密留作对付政府假想敌的杀手锏?VEP在2000年代末期被制定出来,起因是公众对零日漏洞囤积行为的愤怒日益高涨。该过程较初呈保密状态,直到2016年电子前沿基金会(EFF)根据《信息自由法案》(FOIA)申请到了一份经脱密处理的文档。2017年年中,黑客团伙“影子经纪人”的曝光之后,白宫向公众披露了VEP的更新版本,试图提升该过程的透明度。那么,VEP到底是怎么进行的呢?
 
  今天的VEP过程
 
  该过程经白宫授权,由美国国家安全局(NSA)的代表和总统的网络安全协调官共同领导,NSA代表作为该过程的执行秘书听从国防部的指导,总统的网络安全协调官则是该过程的总监。其他参与者还包括来自10个政府机构的代表,他们组成了权衡审核委员会。
 
  该过程要求漏洞发现机构、执行秘书及权衡审核委员会成员之间展开对话。各方就内部披露的漏洞细节提出各自权益,比如“该漏洞可能对自身产生的影响”等等。然后漏洞报告者和权益要求者之间将开启新一轮讨论,确定是建议披露还是建议隐瞒该漏洞。权衡审核委员会较终达成共识,决定接受该建议还是另寻他策。如果达成披露决议,披露动作会在7天内开始。算算时间线的话,从发现漏洞到披露漏洞,整个过程耗时在一星期到一个月不等,已经是相当快速的政府流程了。
 
  VEP还要求做年报,年报至少要有漏洞公开的执行摘要,并包含有该过程整年的统计数据。个报告周期截止日期为2018年9月30日,也就是说,新的年报也不远了。
 
  不足与例外
 
  该过程显然不完美。除了时间安排,选择不披露操作的情形也很多,还有各机构间的踢皮球,所有这些都让政府更倾向于维持旧状,而不是努力达成VEP想要交付的公开透明。围绕该过程的一些现实问题如下:
 
  1. 保密及其他协议
 
  VEP在披露时会受到法律限制,比如保密协议、谅解备忘录和涉外国合作伙伴或私营产业合作伙伴的其他协议。这就留下了以这些协议为借口阻止披露的机会。
 
  2. 缺乏风险评估
 
  业界基于多种因素为漏洞打出评分。VEP却没有强制要求此类评估。这种分类或评分过程的缺乏可能导致年终数据失真。比如说,VEP可能公开宣称今年披露了100个漏洞,但由于缺乏漏洞上下文,这些漏洞有可能全都是对私营产业毫无影响的低风险威胁。
 
  3. NSA主导
 
  考虑到NSA实际上是较大的权益持有者,也是较有经验的漏洞处理者,其代表被选为委员会执行秘书毫不意外。该职位让NSA在VEP过程中享有了较大的权力。
 
  4. 不披露选项
 
  虽然公开披露是默认选项,但其他选项还包括:披露缓解信息而非漏洞本身;美国政府限制使用;秘密披露给美国盟友;以及间接披露给供应商。这些选项大多将漏洞瞒下,无视披露可能带来的好处。
 
  5. 缺乏透明性
 
  除此之外,该过程似乎没有纳入来自私营产业的监督。围绕零日漏洞的争论中一直存在信任问题。认为更好的安全需要任何漏洞都应披露的人,几乎不会接受内部人士所谓“因为值得保密而不能披露”的回复。组成权衡审核委员会的10个机构中既有商务部也有国土安全部,有人可能觉得这两个部门应该会将私营产业权益考虑进去。但安全倡导者不这么想,毕竟这些席位也都是政府指定的。
 
  由产业界代表和具安全权限的网络安全专家组成私营产业审核委员会是个不错的办法。这些委员会成员可以在一个月或一个季度的期限内审核VEP过程的结果。如果政府的委员会和业界专家组成的委员会都判定“值得保密”,安全倡导者接受起来也就没那么难了。

第二十八届CIO班招生
法国布雷斯特商学院MBA班招生
法国布雷斯特商学院硕士班招生
法国布雷斯特商学院DBA班招生
作者:grabsun - 发布时间:2019-02-09 - 点击量:5923
公司简介:大势至公司是国内较早的企业网管软件提供商,可以为企事业单位提供整体的企业网络管理方案和企业网络管理平台,通过全系列的公司监控员工电脑软件教你如何控制员工上网、如何控制局域网内电脑上网以及如何保护电脑文件安全等。公司核心产品“聚生网管系统”是一款专门的公司网管必备软件、查看网络流量软件、网络流量监控软件和办公室电脑监控软件;“网络特警”则是一款专门的网络流量监控设备、上网行为管理服务器、网络行为管理设备,可以实现更为强大的局域网网络行为管理;大势至USB接口禁用软件则是一款专门的数据防泄密产品、屏蔽U盘软件、电脑USB端口禁用软件,可以严防通过一切途径泄露电脑文件,保护单位无形资产和商业机密安全;大势至共享文件夹管理软件则是一款专门的共享文件权限设置软件和共享文件设置密码软件,全面保护共享文件安全;大势至共享文件审计系统则是一款专门的服务器共享文件夹设置软件、服务器共享文件访问日志记录软件,可以详细记录局域网用户访问共享文件的行为,更好地管理共享文件的安全;大势至局域网网络准入控制系统则是一款专门防止未经授权的电脑接入公司局域网的行为,防止外来电脑访问局域网共享文件、防止蹭网以及绑定IP和MAC地址,保护网络安全;大势至FTP服务器日志记录软件则是一款专门记录局域网用户访问FTP服务器日志的软件,可以有效保护FTP服务器文件安全。
联系我们