目前，當(dāng)企業(yè)遭到安全突破的時候，他們面臨一個核心的進(jìn)退兩難的問題：告訴世界并且希望這種誠實會幫助其他人，或者掩蓋這個秘密以避免破壞公司品牌和可能的法律訴訟。業(yè)界專家對此展開了爭論。從以下爭論的觀點中可以看到有一個問題是明確的：現(xiàn)在是政府消除這個等式中的疑問的時候了。

觀點1：披露安全漏洞信息是保護(hù)我們自己的重要的第一步

Fidelis公司總裁兼首席執(zhí)行官彼得·喬治(PeterGeorge)發(fā)表如下觀點稱，是的，應(yīng)該要求企業(yè)共享安全漏洞信息。這是保護(hù)企業(yè)的第一步。

在網(wǎng)絡(luò)世界，我們有一系列較小的報警信號。我們并不需要出現(xiàn)珍珠港式的暴雨性襲擊之后才開始防范。

在2011年5月，五位民主黨參議員聯(lián)名寫信給美國證券交易委員會主席瑪莉·夏皮羅(MarySchapiro)，提出了一項動議，要求企業(yè)披露他們的網(wǎng)絡(luò)風(fēng)險，意圖在于保護(hù)投資者。通過披露安全漏洞信息可以讓投資者做出更符合實際的決策。“對于安全漏洞，我們需要類似的要求以幫助加強(qiáng)我們的防御。”

最近的安全漏洞是有針對性的攻擊結(jié)果。這種攻擊首先是注入惡意軟件進(jìn)行初步感染。一旦進(jìn)入系統(tǒng)，這個程序就開始呼叫指揮與控制系統(tǒng)，然后進(jìn)入企業(yè)，感染更多的主機(jī)并且尋求更高水平的權(quán)限和直接訪問有價值的信息。目前信息是在網(wǎng)絡(luò)周圍分階段的和悄悄地竊取的。

按照定義，有針對性的攻擊是獨特的、專門設(shè)計的滲透到企業(yè)并且竊取信息的攻擊。但是，這種攻擊都采取類似方式并且會留下一些痕跡。收集這些痕跡，我們就能夠跟蹤這些腳印，監(jiān)視壞人使用的路徑。但是，我們需要共享每一次安全漏洞的信息以防止未來的攻擊。

因為潛在的經(jīng)濟(jì)利益，我們知道，即使我們阻止一個攻擊，這個攻擊還會轉(zhuǎn)向另一個目標(biāo)。對付這些敵人的唯一方法是采取防御措施。這就需要共享有關(guān)攻擊的知識。這種知識共享必須擴(kuò)展到聯(lián)邦機(jī)構(gòu)和私營部門。

作為一個初步步驟，美國政府需要創(chuàng)建一個信息交換中心。如果企業(yè)同意遵守一套嚴(yán)格的報告要求就可以訪問這些信息。我們還需要強(qiáng)制規(guī)定企業(yè)向這個信息交換中心提供有關(guān)網(wǎng)絡(luò)安全漏洞信息。所有這些信息將集中匯總，并且將制定一個溝通和協(xié)作的流程以便跟蹤在一個企業(yè)網(wǎng)絡(luò)中的每一個國外的腳印。

企業(yè)應(yīng)該披露網(wǎng)絡(luò)入侵和這種入侵的法律證據(jù)。這對于防止這些攻擊破壞我們的企業(yè)的生存能力和我們的國家安全利益是非常重要的。

雖然聯(lián)邦政府和私營企業(yè)的合作已經(jīng)有一段時間，但是，這種協(xié)作需要標(biāo)準(zhǔn)化。目前，政府可能警告一個企業(yè)有關(guān)可疑的活動，讓企業(yè)發(fā)現(xiàn)在其網(wǎng)絡(luò)上在發(fā)生什么事情。但是，沒有要求企業(yè)證實這個活動和共享企業(yè)所了解的信息。

2011年將是值得紀(jì)念的，因為Anonymous、LulzSec和黑客合伙采取了行動。黑客組織是聰明的。他們相互協(xié)作。我們也需要這樣做。

雖然在這方面看到團(tuán)隊的協(xié)作是令人興奮的，但是，現(xiàn)在是把這種努力放在動議中的時候了?，F(xiàn)在，壞人擁有優(yōu)勢。

改變這種力量的平衡需要更好的協(xié)作，共享信息并且通過技術(shù)創(chuàng)新和改善流程達(dá)到更好的安全態(tài)勢。我們不能再把安全突破看作是單獨的威脅。作為更大的難題的一部分，這些單獨的威脅總有一天會使我們能在這些威脅進(jìn)入我們的網(wǎng)絡(luò)之前就發(fā)現(xiàn)它們。

珍珠港是一個典型事件，證明了需要共享軍事情報的重要性。美國政府事后認(rèn)識到，這個獨立的事件是重大情報過失的結(jié)果：誤導(dǎo)的分析、協(xié)作的漏洞和敵人提供虛假信息進(jìn)行欺騙等綜合因素的結(jié)果。

我們可以找到一些蛛絲馬跡，因此，我們不能坐以待斃。采用適當(dāng)?shù)姆治觥⑿畔⒑蛥f(xié)作等措施可以防止數(shù)據(jù)突破。共享信息是理解和防止未來突破的第一步。

自從2002年以來，F(xiàn)idelis安全系統(tǒng)一直向機(jī)構(gòu)提供控制高級威脅和防止數(shù)據(jù)突破所需要的網(wǎng)絡(luò)可見性、分析和控制。#p#

觀點2：除非不得已，不要披露數(shù)據(jù)漏洞

Lieberman軟件公司總裁兼CEO菲利普·利伯曼(PhilipLieberman)提出了上述觀點。他說，如果一個企業(yè)要采取符合股東利益的行動，共享安全突破的細(xì)節(jié)沒有任何好處，除非法律要求披露這些信息或者披露這些信息會減少客戶、合作伙伴或者其他人的金融損失。至于披露安全突破的受托人責(zé)任，這仍然是法律的一個灰色區(qū)域。

如果披露安全突破信息將導(dǎo)致降低企業(yè)聲譽或者引起罰款以及管理機(jī)構(gòu)和行業(yè)組織的制裁，披露你的數(shù)據(jù)突破事件的細(xì)節(jié)會損害股東的價值。如果披露數(shù)據(jù)突破信息引起對該公司企業(yè)治理的疑問，這樣的披露信息會阻止企業(yè)使用私有部門或者公共部門的資本。這種披露信息也許還會引起不重要的以及有充分根據(jù)的法律訴訟。

最近的重要新聞證明，任何機(jī)構(gòu)都可能成為受害者，無論這些機(jī)構(gòu)是否事先曾投資安全。由于目前許多引人矚目的攻擊的動機(jī)似乎都是政治、貪婪和自私等因素，披露這些信息可能引起更多的攻擊。

向企業(yè)提供一個明確的報告安全突破的指南是美國政府的事情。這種報告的目的應(yīng)該是向執(zhí)法部門提供情報，幫助逮捕入侵者和起訴這種犯罪。另一個目的是適當(dāng)?shù)爻袚?dān)安全突破的責(zé)任，不進(jìn)一步危害企業(yè)及其客戶。

檢察官似乎錯誤地認(rèn)為保護(hù)隱私數(shù)據(jù)是企業(yè)的權(quán)利范圍內(nèi)的事情。實際上，目前的企業(yè)都期待著采用一個能夠抵御所有攻擊者入侵的防御措施。但是，沒有一種措施證明能夠擊敗一切入侵者。#p#

解決方案

聯(lián)邦政府曾提出一些規(guī)則。根據(jù)這些規(guī)則，如果企業(yè)通知執(zhí)法部門有關(guān)安全突破事件并且?guī)椭东@和起訴入侵者，企業(yè)會免除起訴。

州和聯(lián)邦政府還應(yīng)該做更好的工作，發(fā)布具體的和操作的安全標(biāo)準(zhǔn)，幫助保護(hù)遵守法規(guī)的企業(yè)避免受到攻擊。

共識審計指南(ConsensusAuditGuidelines)等發(fā)展中的標(biāo)準(zhǔn)是一個開端。最近的美國證券交易委員會的指南是鼓舞人心的。然而，到目前為止，聯(lián)邦和州政府幾乎沒有做任何事情來推廣類似的標(biāo)準(zhǔn)。

對于企業(yè)來說，缺少可操作的、明確的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)意味著什么都不做和做一切可能做的事情在信息技術(shù)行業(yè)的司法裁決中都是一樣的。

缺乏可操作的企業(yè)安全要求，以及沒有一個披露數(shù)據(jù)突破并且配合調(diào)查的企業(yè)的安全港，就產(chǎn)生了這樣一種環(huán)境。在這個環(huán)境中，除了法律要求的信息之外，披露任何多余的信息對于企業(yè)都是不利的。事實上，一位企業(yè)官員披露了超過法律最低要求的信息會被認(rèn)為是忽略了機(jī)構(gòu)對于股東的責(zé)任。

現(xiàn)在是聯(lián)邦政府發(fā)布其指南的時候了。聯(lián)邦政府應(yīng)發(fā)布企業(yè)披露安全突破信息的指南，規(guī)定企業(yè)如何通過做正確的事情使自己免于起訴。

利伯曼說，我認(rèn)為，起訴那些已經(jīng)采取合理的措施保護(hù)自己的系統(tǒng)的公司(無論是公共的還是私營的行動)是非建設(shè)性的和傷腦筋的事情。但是，在模糊的指南仍在起作用的時候，要阻止檢察官把事情搞亂是不可能的。

現(xiàn)在是聯(lián)邦政府告訴那些不擇手段的律師應(yīng)該如何做的時候了。這些律師的抨擊使一些企業(yè)破產(chǎn)。應(yīng)該允許企業(yè)披露安全突破信息而不受到懲罰。然而，企業(yè)現(xiàn)在不應(yīng)該共享安全突破信息。

Lieberman軟件向全球用戶提供有權(quán)限的身份管理和安全管理解決方案，其中包括40%的財富50強(qiáng)企業(yè)。

【編輯推薦】

1. 企業(yè)安全早設(shè)防 避免大意失荊州
2. 企業(yè)安全：如何積極的清除瀏覽器歷史記錄？
3. IIS Web應(yīng)用池保護(hù)有效保護(hù)企業(yè)安全
4. 企業(yè)安全保衛(wèi)戰(zhàn)：走出小思維圈