在當(dāng)前階段，網(wǎng)絡(luò)安全防護(hù)體系的設(shè)計、建設(shè)和運營、事件響應(yīng)等環(huán)節(jié)更多地依賴于安全工程方法及其最佳實踐，例如設(shè)立DMZ(非軍事區(qū))、強(qiáng)制用戶口令的復(fù)雜度、安全告警時間的關(guān)聯(lián)處理、基于漏洞和補(bǔ)丁的響應(yīng)體系、SDL(安全開發(fā)生命周期)等等。如果能識別出若干基礎(chǔ)點和杠桿點，優(yōu)先予以建設(shè)，則能最大化資源利用，收到事半功倍的效果。

趙 糧

綠盟科技首席戰(zhàn)略官

最佳實踐應(yīng)該是在大量工程方法實踐、及其相應(yīng)結(jié)果有效性的評估基礎(chǔ)之上的，例如一定復(fù)雜度的、8位字符的口令可以讓攻擊者難以破解同時又比較方便用戶記憶，在多年安全運營活動中逐步成為“最佳實踐”。 很自然的推理，通過事故披露和案例分析對相應(yīng)的各種安全實踐進(jìn)行有效性評價、優(yōu)化甚至糾錯就是網(wǎng)絡(luò)安全工程方法整體得以不斷提升的重要基礎(chǔ)。

安全事故案例和分析，尤其是詳細(xì)的技術(shù)分析，極其匱乏。這使得很多“流行”的安全實踐缺少足夠的實例證明，從而實際效果上，最佳實踐近似或等同于“流行”實踐，從而降低了整體的資源使用效率和實際防護(hù)水平。因此建立有效的、能夠持續(xù)自我提升的網(wǎng)絡(luò)安全工程方法有以下幾個關(guān)鍵成功因素。

1 建立安全事故披露和案例分析制度

安全事故案例匱乏背后的重要原因是缺少對事故各方進(jìn)行準(zhǔn)確披露的責(zé)任約束。如果不披露沒有責(zé)任、披露卻需要承擔(dān)代價，那么具備“理性決策”能力的相關(guān)方一定會選擇不披露、或者少披露。

“不披露”的責(zé)任取決于各國的立法。美國和日本等發(fā)達(dá)國家在安全事故披露方面通過立法建立了較為完善的制度，故意隱匿安全事故會給相關(guān)方帶來嚴(yán)重的刑事、民事處罰。

安全事故的代價有以下幾項：應(yīng)急響應(yīng)和公共關(guān)系費用，律師費，IT系統(tǒng)體檢、取證調(diào)查費用，來自司法機(jī)構(gòu)和主管行業(yè)/協(xié)會等的罰款和問責(zé)，各種用戶通知更新費用，另外，還有其它多種非直接的費用，例如IT系統(tǒng)清理、數(shù)據(jù)丟失帶來的知識產(chǎn)權(quán)和商譽(yù)的損失等。

安全事故發(fā)生并披露后的代價、和“不披露”的責(zé)任放在一起，較低的那個，我們可以稱之為“有效代價”，其高低是企業(yè)和組織評估安全投入是否合理合算的重要依據(jù)。對于一個理性決策者來說，沒有必要和理由投入過高的資源去預(yù)防或阻止它。相反的，如果某類安全事件發(fā)生后的“有效代價”極其高昂，理性的決策者一定會投入相對應(yīng)的安全資源而將其降低到可以接受的水平。

另外，網(wǎng)絡(luò)安全具有外在性(externality)。個體在網(wǎng)絡(luò)安全上的成效和意義超出該個體自身的利益，對個體之外群體的利益產(chǎn)生影響。與此類似的有傳染病、消防、吸煙等。對于具有此類特性的社會事務(wù)，通常通過立法來進(jìn)行約束，取消個體的一些自主權(quán)，而進(jìn)行強(qiáng)制要求。

網(wǎng)絡(luò)安全“事故”是客觀存在的，只不過有檢測到的和沒檢測到的、披露的和沒披露的、有根源分析的和不明所以的之分。

當(dāng)某電商網(wǎng)站被“拖庫”時，不僅該電商的業(yè)務(wù)受到影響，用戶信息被泄露，可能被用以“撞庫”，而導(dǎo)致受影響用戶的其它信息和業(yè)務(wù)受到損失。當(dāng)沒有法律強(qiáng)行要求時，受損電商的理性選擇通常是將數(shù)據(jù)泄漏事件隱匿，或大事化小，從而降低自身的“代價”。但“捂蓋子”的做法卻增加了社會整體的潛在風(fēng)險。相反地，如果有相關(guān)法律強(qiáng)制要求圍繞安全事件的一系列責(zé)任，通過大幅增加“隱匿”安全事故的成本，將其理性選擇轉(zhuǎn)向客觀透明地披露報告安全事故、通知受影響用戶、主動或協(xié)助第三方進(jìn)行事故“根源分析”… 這樣長期實踐的綜合效果帶來的是社會整體風(fēng)險的降低，以及有數(shù)據(jù)支撐的、更為科學(xué)的公眾安全實踐。

2 明確界定安全“披露”責(zé)任

現(xiàn)代信息系統(tǒng)的高度復(fù)雜，安全事故發(fā)生的原因非常復(fù)雜，可能涉及到眾多的、直接或間接的、信息系統(tǒng)和安全系統(tǒng)的開發(fā)者、提供商、外包方等。

信息系統(tǒng)的所有者和運營者、及其安全管理和運營團(tuán)隊，也就是常說的“甲方”，在安全事故責(zé)任方面通常是“Accountable”，通過商業(yè)合約，甲方將安全責(zé)任部分轉(zhuǎn)移分解給了各個提供商、外包方，后者在安全事故責(zé)任方面成為“Responsible”，等，例如軟件提供商在獲知其軟件出現(xiàn)安全漏洞時，有責(zé)任通報給“甲方”并提供修復(fù)方案。在“甲方”組織內(nèi)部，“Accountable”又可以進(jìn)一步分解，決策層、管理層和運營層各自承擔(dān)什么職責(zé)。

當(dāng)前階段我國由于缺少相關(guān)的立法，網(wǎng)絡(luò)安全的相關(guān)法律責(zé)任非常模糊，沒有明確的界定，例如什么等級的安全事故必須披露、什么角色或職位負(fù)責(zé)披露、多大范圍內(nèi)披露、披露什么、尤其是不披露有什么罰則。

美國在網(wǎng)絡(luò)安全事件披露方面的立法實踐領(lǐng)先很多。例如美國加州2002年通過的法案S.B.1386，要求所有保存有加州公民私人信息的機(jī)構(gòu)在發(fā)生泄漏事件后必須及時向事件受害者披露，否則將會招致民事訴訟。這一法案將數(shù)據(jù)泄漏每個記錄的平均代價提升到了200美元左右。前不久，美國參院情報委員會以12比3的壓倒優(yōu)勢通過了一項關(guān)于網(wǎng)絡(luò)安全信息分享的法案。 該法案鼓勵私營企業(yè)和政府相互之間自愿地分享網(wǎng)絡(luò)威脅信息，而不用害怕那些瑣碎的訴訟和不必要的官僚障礙。

3 建立安全數(shù)據(jù)和響應(yīng)平臺

海量的安全“基礎(chǔ)”數(shù)據(jù)將會被收集、分析和分享，并用來評價各種安全實踐的有效性。多方參與的、開放的數(shù)據(jù)平臺將會是重要的使能者。

另外，Verizon每年一度發(fā)布的DBIR報告顯示，一次定向攻擊從開始到完成數(shù)據(jù)竊取平均只需要數(shù)小時，而受害方從攻擊開始到檢測到攻擊的平均時間則長達(dá)數(shù)月。巨大的反差折射出網(wǎng)絡(luò)安全行業(yè)的嚴(yán)峻挑戰(zhàn)，不僅僅是如何檢測到這些定向攻擊，并且還要在第一時間、在小時時間尺度上檢測到，否則實際效果就會大打折扣。

安全事故過程中的響應(yīng)活動需要有效協(xié)同相關(guān)各方資源、為安全事故的數(shù)據(jù)收集、披露、事后的根源分析提供便利、并保障業(yè)務(wù)恢復(fù)的時效性。

安全數(shù)據(jù)平臺有必要能夠支持安全響應(yīng)活動中及時地、準(zhǔn)確高效地收集相關(guān)數(shù)據(jù)并提供一定的分析能力，從而為當(dāng)下和以后的安全響應(yīng)活動提供指導(dǎo)。

4 結(jié)論

在現(xiàn)階段和可預(yù)期的未來時間里，網(wǎng)絡(luò)安全仍然強(qiáng)烈依賴于各種“最佳實踐”，也就是一系列經(jīng)過“驗證”的工程方法的集合。通過大量實踐、在網(wǎng)絡(luò)安全實戰(zhàn)對抗中不斷提升綜合的安全能力和最佳實踐才是更為現(xiàn)實、腳踏實地的路線。

有必要通過立法和管理手段，盡快建立安全事故披露和案例分析制度，明確信息系統(tǒng)相關(guān)各方在網(wǎng)絡(luò)安全事故披露方面的責(zé)任和義務(wù)，并通過數(shù)據(jù)和響應(yīng)平臺進(jìn)行持續(xù)的案例積累和最佳實踐優(yōu)化，持續(xù)提升我國的綜合網(wǎng)絡(luò)安全實戰(zhàn)能力。