杜绝安全隐患 网络安全服务需要规范
前不久,人大通过了新刑法的修正案,笔者注意到了对刑法第二百八十六条的修改,增加对网络服务提供者的法律刑规,对出现的相关情节,可以追究相关责任人的刑责。这一点是非常有意义的,也是非常及时的,为此,笔者曾接受某记者采访,并谈及了相应的观点。
由此,笔者想到了另一个问题:网络安全服务的安全问题。目前,还没有相应的法律、法规对其进行规范,而确实非常需要有相应的规范。
安全服务是非常重要的,笔者一直把安全服务当成中医的补气,补阳。没有好的安全服务,安全产品可能就是一堆垃圾,甚至会起到破坏作用。在我们的IT界一直有,重产品、轻服务的问题,这个问题非解决不可,否则说网络空间安全就是一句空话。
二十年来,许多单位安全产品没少买,但安全问题并没有得到缓解,其中的一个原因就是缺少了恰当的安全服务。
目前的安全服务主要可以分为两大类,一类是依据相应的国家或国际标准进行安全服务,最具代表性的是“等级保护测评”,也包括风险评估等。这类服务是有标准依据的,如等级保护测评(包括分保的测评)依据是等级保护基本要求,(对于涉及国家机密系统来说就是分保的基本要求)。风险评估依据的标准,主要是ISO 27000系列标准。这一类的服务,不能说没有问题,存在的问题,不具有根本性,况且有相应的主管部门的监督、检查和指导。同时也有国家标准和国际标准的、及行政法规和规章的约束。
另一类服务,是市场的自发行为,基本上没有标准依据,各个厂商的服务模式也不一样,这类服务存在的安全隐患是明显的,笔者所说的“规范”主要指的是这类服务。
这类服务有:渗透性测试;漏洞挖掘;恶意代码的检查与清除;安全教育培训;安全设计与咨询;安全策略制定与部署;安全事件的应急响应,等等,笔者还不能全部的列出这类安全服务。
这类安全服务都会给被服务的对象引入新的风险,这是不可不防的。
最大的风险莫过于漏洞挖掘与发布,渗透性测试了。任意的发布某系统存在的漏洞,在渗透性测试中的随意性和没有相应的监管,都可能导致严重的后果。
笔者也曾经要求一些组织对辖区内的重要网站进行过渗透性检测,考虑到可能会发生的后果,要求进行渗透性测试的单位,必须搭一个环境,利用此环境进行的渗透性测试,笔者都是认可的,离开了这个环境进行的渗透性测试,笔者不承认其合法性。
同时,要求这个环境必须保留相应的日志,正式的渗透性测试流程单,报告必须加密等。这些做法,虽然还不能完全的保证渗透性测试的过程的安全,但起码是有一定规范的。现在的渗透性测试,几乎没人提出什么要求,只要你告诉我,我的系统有什么漏洞就行了。这是十分可怕的,很可能会带来严重的后果。
我们不能靠人的觉悟来保证安全服务,服务的安全,必须用制度来保证。