国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　透明度是政府政策和華爾街如今討論的一個(gè)常見(jiàn)話題。不論是2008年大選，救市的TARP，還是金融機(jī)構(gòu)的危機(jī)處境，各種話題都離不開(kāi)透明度這個(gè)詞。而在方面，當(dāng)很多安全專家談?wù)撏该鞫葧r(shí)，很少有人能從宏觀角度出發(fā)對(duì)這個(gè)詞進(jìn)行定義。

　　我覺(jué)得現(xiàn)在是時(shí)候讓信息安全專家們深入思考到底安全領(lǐng)域的透明度該如何定義了。

　　安全性的透明度是什么意思?

　　教科書告訴我們，信息安全包括所謂CIA三方面：機(jī)密性，完整性以及可用性。當(dāng)這三方面中有一方面出現(xiàn)了問(wèn)題，整個(gè)平衡就被打破了。透明度意味著行為的公開(kāi)性和問(wèn)責(zé)制。透明度并不意味著成功或失敗的信息安全;而是在十字路口進(jìn)行行動(dòng)。

　　信息安全專家們?cè)缫牙斫馔该鞫鹊囊馑?，但是我們并不是像?jīng)濟(jì)學(xué)者或者政客那樣使用這個(gè)詞。作為信息安全專家，我們一般都使用行業(yè)術(shù)語(yǔ)，比如披露，處理過(guò)程，或者審核。每個(gè)術(shù)語(yǔ)都解釋了安全團(tuán)隊(duì)以及公司是如何實(shí)現(xiàn)透明度的。當(dāng)政客談及透明度的時(shí)候，是假設(shè)每個(gè)人都知道他在說(shuō)什么，并且都知道政府有關(guān)透明度的偉大概念。而另一方面，對(duì)于網(wǎng)絡(luò)安全管理者來(lái)說(shuō)，要讓所有人都明白相同的問(wèn)題就相當(dāng)困難了。他也希望能有可靠的和清晰的。由于計(jì)算機(jī)和信息安全專家們已經(jīng)習(xí)慣了并且依賴于基于功能下的透明標(biāo)準(zhǔn)，這些概念必須被融入到他們專業(yè)工作的每個(gè)方面，才能在工作上獲得成功。

　　安全透明性的廠商規(guī)則

　　廠商也可以學(xué)會(huì)透明，但是這是一個(gè)長(zhǎng)期的過(guò)程。透明度是文化的一部分，也是業(yè)務(wù)決策以及公司基礎(chǔ)的一部分。曾經(jīng)也被認(rèn)為是軟件不安全并且在安全性上不透明的公司，但是現(xiàn)在也已經(jīng)在安全性和透明性上取得了很大的進(jìn)步。

　　在去年12月的安全補(bǔ)丁MS08-078代表了一個(gè)典型的完全透明度的例子。在12月9日，媒體開(kāi)始爆料IE新發(fā)現(xiàn)的漏洞。第二天，微軟公開(kāi)回應(yīng)了這些報(bào)道，并提供了安全建議961051。這份建議包含了緩解風(fēng)險(xiǎn)和相關(guān)的操作信息。再接下來(lái)的數(shù)天時(shí)間里，微軟又對(duì)這份建議進(jìn)行了四次改動(dòng)。在12月16日，微軟發(fā)表公告，稱第二天將發(fā)布針對(duì)此漏洞的補(bǔ)丁。12月17日，用戶如期收到了微軟發(fā)布的補(bǔ)丁文件。在整個(gè)過(guò)程中，微軟持續(xù)升級(jí)安全建議的內(nèi)容，并帶有更改日志，另外還不斷與媒體交流有關(guān)漏洞和安全建議的相關(guān)問(wèn)題。如果你關(guān)注微軟的安全建議，你會(huì)發(fā)現(xiàn)到現(xiàn)在仍然能看到安全建議的更改日志歷史，和相應(yīng)的補(bǔ)丁信息。這可以說(shuō)是微軟在2008年在透明度上的一個(gè)閃光點(diǎn)。

　　我并不是說(shuō)微軟總是擁有這種值得成為典范的透明度運(yùn)作機(jī)制，但是毫無(wú)疑問(wèn)，他們非常清楚自己應(yīng)該做什么，至少在當(dāng)時(shí)的情況下能夠?qū)⑺麄兯男畔⒓皶r(shí)公布出來(lái)。

　　其它廠商從透明性方面學(xué)到了什么?

　　· 回應(yīng)

　　微軟首先做的就是公開(kāi)回應(yīng)漏洞的問(wèn)題。也許你會(huì)說(shuō)，如果不是媒體首先曝光，微軟也不會(huì)公開(kāi)承認(rèn)軟件漏洞。這就忽略了整個(gè)事件中最重要的一點(diǎn)。媒體在沒(méi)有補(bǔ)丁推出的情況下就進(jìn)行曝光，只會(huì)增加相應(yīng)攻擊的風(fēng)險(xiǎn)。

　　· 一系列工作

　　微軟接下來(lái)所做的是通過(guò)一系列工作降低漏洞風(fēng)險(xiǎn)給用戶帶來(lái)的影響。作為信息安全專家，我們都知道風(fēng)險(xiǎn)來(lái)自多方面。管理者總是要求減少損失，就算不能立即通過(guò)補(bǔ)丁來(lái)消除漏洞的影響，能夠有緩和的措施幫助將損失降到最低也是非常必要的。安全建議961051中包含了足夠的技術(shù)細(xì)節(jié)，提供了足夠的信息，可以讓安全管理者理解風(fēng)險(xiǎn)并決定該采取何種措施降低風(fēng)險(xiǎn)。

　　· 對(duì)話

　　從最初的安全建議到最后的漏洞補(bǔ)丁的推出，微軟積極的參與相關(guān)風(fēng)險(xiǎn)的公眾對(duì)話。他們不斷的用新信息更新安全建議，與媒體溝通并在他們自己的博客上提示用戶該漏洞的問(wèn)題和相應(yīng)的風(fēng)險(xiǎn)。

　　· 消費(fèi)者規(guī)則

　　廠商努力實(shí)現(xiàn)透明度，也是對(duì)消費(fèi)者的一種尊重，而消費(fèi)者也應(yīng)該對(duì)此作出回應(yīng)。對(duì)于一個(gè)廠商來(lái)說(shuō)，承認(rèn)自己的軟件產(chǎn)品存在缺陷而且會(huì)導(dǎo)致安全問(wèn)題是相當(dāng)困難的，并且在透明度上做極大承諾。而消費(fèi)者對(duì)于廠商出現(xiàn)安全漏洞的所呈現(xiàn)出的憤怒態(tài)度也是可以理解的。不過(guò)消費(fèi)者也應(yīng)該在這個(gè)過(guò)程中扮演積極的角色，促進(jìn)廠商有勇氣有意愿公布那些原先不愿公布的問(wèn)題，實(shí)現(xiàn)真正的透明度。