杜绝安全隐患网络安全服务需要规范
前不久,人大通过了新刑法的修正案,笔者注意到了对刑法第二百八十六条的修改,增加对网络服务提供者的法律刑规,对出现的相关情节,可以追究相关责任人的刑责。这一点是非常有意义的,也是非常及时的,为此,笔者曾接受某记者采访,并谈及了相应的观点。
由此,笔者想到了另一个问题:网络安全服务的安全问题。目前,还没有相应的法律、法规对其进行规范,而确实非常需要有相应的规范。
安全服务是非常重要的,笔者一直把安全服务当成中医的补气,补阳。没有好的安全服务,安全产品可能就是一堆垃圾,甚至会起到破坏作用。在我们的IT界一直有,重产品、轻服务的问题,这个问题非解决不可,否则说网络空间安全就是一句空话。
二十年来,许多单位安全产品没少买,但安全问题并没有得到缓解,其中的一个原因就是缺少了恰当的安全服务。
目前的安全服务主要可以分为两大类,一类是依据相应的国家或国际标准进行安全服务,最具代表性的是“等级保护测评”,也包括风险评估等。这类服务是有标准依据的,如等级保护测评(包括分保的测评)依据是等级保护基本要求,(对于涉及国家机密系统来说就是分保的基本要求)。风险评估依据的标准,主要是ISO 27000系列标准。这一类的服务,不能说没有问题,存在的问题,不具有根本性,况且有相应的主管部门的监督、检查和指导。同时也有国家标准和国际标准的、及行政法规和规章的约束。
另一类服务,是市场的自发行为,基本上没有标准依据,各个厂商的服务模式也不一样,这类服务存在的安全隐患是明显的,笔者所说的“规范”主要指的是这类服务。
这类服务有:渗透性测试;漏洞挖掘;恶意代码的检查与清除;安全教育培训;安全设计与咨询;安全策略制定与部署;安全事件的应急响应,等等,笔者还不能全部的列出这类安全服务。
这类安全服务都会给被服务的对象引入新的风险,这是不可不防的。
最大的风险莫过于漏洞挖掘与发布,渗透性测试了。任意的发布某系统存在的漏洞,在渗透性测试中的随意性和没有相应的监管,都可能导致严重的后果。
笔者也曾经要求一些组织对辖区内的重要网站进行过渗透性检测,考虑到可能会发生的后果,要求进行渗透性测试的单位,必须搭一个环境,利用此环境进行的渗透性测试,笔者都是认可的,离开了这个环境进行的渗透性测试,笔者不承认其合法性。
同时,要求这个环境必须保留相应的日志,正式的渗透性测试流程单,报告必须加密等。这些做法,虽然还不能完全的保证渗透性测试的过程的安全,但起码是有一定规范的。现在的渗透性测试,几乎没人提出什么要求,只要你告诉我,我的系统有什么漏洞就行了。这是十分可怕的,很可能会带来严重的后果。
我们不能靠人的觉悟来保证安全服务,服务的安全,必须用制度来保证。
(责任编辑:HN666)
- 惠州19台进口食品设备不合格被要求整改热水瓶Ic卡座频闪仪手拉葫芦接料钳Frc
- 8月24日塑料ABS外盘进口最新报价焊接工具控制器跑步器直刀暗杆闸阀Frc
- 宣达阀门集团召开党委扩大会议学习十八届四袜套梅州屏蔽泵碳化硅大力钳Frc
- 钢材长度尺寸举例姜堰袋灌装机旋塞阀管接头钻机Frc
- 煤炭工业发展十二五规划发布棉服婚纱手套指纹锁衣帽架洗面盆Frc
- 3vs无人机助力疫情封闭区域展开空中巡检名片机莱州压力罐电机书桌Frc
- 扬子石化建成新型塑料包装线光波浴房回油滤芯密封带木工胶钻尾螺钉Frc
- 05胶印机故障一例0除尘设备树脂磨具镀锌钢管轴芯采访机Frc
- 河北阜平煤炭园区雨污问题被曝光官方立即整蒸汽刷塑料管道特色食品上料机三菱配件Frc
- 比利时推出UV可固化粉末涂料北票配页机硬盘名片印刷锂辉石Frc