1月18日讯 世界经济论坛(简称WEF)正式发布了一份公私合作手册——《通过公私合作发展网络弹性手册》,旨在借此提高网络安全性水平,以便为即将于2018年1月23日至26日在瑞士达沃斯建立的全球网络安全中心铺路搭桥。
这份世界经济论坛手册的背景结合了各国政府为公民提供物理与网络安全保障时所面临的复杂性,考虑二者之间时有出现的冲突,例如考量如何避免不必要的个人隐私侵犯与对合法跨国企业的负面影响。
《通过公私合作发展网络弹性手册》内容解读
《通过公私合作发展网络弹性手册》声称,目标是否能够成功达成将“取决于公共与私营部门之间的合作成效。”
本份手册共分为两个部分:公私部门合作的参考架构与网络政策模式。手册当中并没有提出全球性规范,也没有针对具体政策模式的实施方法。这是一种“国内模式”,具体实施方法将由各个国家的独特价值取向所决定。
包含14个独立政策主题
本份手册共包含14个独立的政策主题,涵盖研究与数据共享、网络攻击归因、加密、主动防御乃至网络保险等。这些主题还共同建立起一大核心议题:
数据共享的明确界定;
白帽研究人员工作内容的法律澄清;
对称的国际政策响应影响;
合规性要求的成本与效果;
软件编码质量标准。
各个政策主题随后会从五个角度进行深入分析,具体为安全性、隐私性、经济价值、问责性以及公平性。在这方面,最值得注意的在于这份手册专门为各级政府机构所设计,旨在推动公私合作的发展——民间社会问题并未在其中得到认真讨论。
例:政府关于零日漏洞处理方法的基本分析模型
举例来说,第一种政策模式涉及政府对零日漏洞的潜在处理方法。零日漏洞的生命周期包括尚未被发现存在于代码当中、已被发现、利用以及缓解。尽管安全编码实践能够在一定程度上限制零日漏洞的出现,但“由于人为错误及其它因素的共同作用,零日漏洞仍将继续存在”。因此,政府自然有必要为此制定专门的零日漏洞管理政策。
手册中提出的两大主要选项分别为政府“完全退出零日市场,不再参与同软件漏洞发现相关的研究”; 政府出于自用目的而储备零日漏洞或向供应商披露相关信息。
手册接下来讨论了后一种选项的意义。不披露但加以储备的作法将增加恶意攻击者独立发现安全漏洞的可能性。由于研究人员可能会将零日漏洞出售给出价最高的竞标方——很可能是政府,因此购买零日漏洞的行为也会削弱现有Bug赏金计划的正常推进。
零日政策的实际成效则与五大安全领域有关。零日持续周期的增加将会损害商业(经济性)利益并引发更多违规(隐私性); 提升研究与资讯分享水平将带来收益(安全性); 而对零日资讯进行共享则将给销售商施加压力以尽快解决漏洞(问责性)。公平性的体现取决于具体政策选项。这就是政策主题的基本分析模型。
例:立足五大安全领域权衡利弊,讨论“主动防御”
《通过公私合作发展网络弹性手册》还立足五大安全领域(及其相互作用)进行讨论与权衡,并将结论应用于14大政策主题中的每一个进行讨论。
举例来说,“主动防御”拥有了自己的界定范围,即由“防御者与攻击者之间的技术互动”到“对敌对双方互相造成损害”。由此带来的一大显著风险在于引发报复性升级的可能性。
本份手册警告称,“对于民族国家敌对方加以响应的作法,有可能引发东道国承担重大的责任性义务。因此,决策者应考虑收敛对民族国家的攻击性政策,同时亦可能需要考虑尽可能避免向更为复杂的非国家性敌对方采用主动防御技术,从而预防此类敌对方获得更强大的身份混淆能力或致使危险地区冲突升级。”
接下来,主动防御政策的权衡还关系到五大安全领域。主动防御的广泛使用将增加成本,且不一定能够获得经济回报(经济性)。这会危害被指控敌对方及任何第三方附属组织的隐私(隐私性)。对整体安全态势的任何实质性影响可能都将取决于威慑(安全性)的实际成效。只有大型机构,特别是国防部门等国家支持下的行业才有可能采取主动防御(公平性)手段。然而,只有更为准确的归因能力(问责性)才是更加现实的选项。
总体概括
尽管其内容非常全面且相当复杂,但本份手册的目标却非常简单。世界经济论坛世界网络弹性项目负责人丹尼尔·道布里戈维斯基总结称:“本份文件中概述的框架与讨论内容,旨在确保公共与私营部门在保护共享数字化空间层面开展富有成效的合作时,能够具备必要的基础。我们有理由将网络安全视为一种公共利益,超越当前存在偏见性的安全辩论言辞,最终通过集体行动以应对全球范围内的网络安全挑战。”
尽管公共/私营部门间的安全对话必须接受各国政府的领导,但本份手册的发布确实很好地概述了各类商业机构目前所面临的安全问题。虽然手册当中并未提及与安全问题相关的技术性细节,但仍详细阐述了当今各类组织机构所面临的主要安全挑战以及不同解决方法所带来的对应影响。声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。