专家指点:更好的的发布和处理安全通告

ZDNet安全频道原创翻译 转载请以文字链形式注明出处

作者：乍得·佩林
 
卡内基-梅隆大学的一个研究小组正在对当出现了一种和信息安全相关的违规行为必须通知客户的法律和身份欺诈活动之间的统计关系进行研究。该小组的调查结果在下面的报告文件中，题目是“违反与数据披露相关的法律是否可以减少身份欺诈行为？”，这是一个可以下载的PDF格式的文件。作为一个专业的安全人员，你认为有什么样的问题需要被重视：

安全违反通告法带来了什么？

违反

当敏感信息的数据库被入侵，这可能会导致一些真正的安全问题。不过信息落入坏人手里会导致问题出现，那它就是敏感的。一个通用的例子就是，个人身份信息可以用于身份欺诈行为。

当然，我们应该关注与自己相关的违规行为并减少其发生率。为了实现这个目标，可以使用下面的一些方法：

·率先阻止那些企图犯下身份欺诈罪行的人
·警惕那些利用个人身份信息诱使我们相信的人
·只信任少量拥有个人识别信息的朋友
·让利用我们的个人识别信息进行身份欺诈的难度增加

谴责

有一个对付那些利用个人身份信息诱使我们相信的人的办法就是小心防范，并对不警惕的人实行严格的处罚。我不认为法律能够达到这样的效果，有很多方面的原因。实际上，有这样一个问题，法律的存在让人们难以将责任归咎于任何个人。

更糟糕的是，虽然它们伪装成提供更大安全敏感信息的手段，其中最重要的影响安全的“标准”是企业处理敏感资料的方式，以显示其履行应尽义务的努力，但却不关心安全是否实现了。这样的安全标准，对于许多公司来说，更多的是一种指标，而不是提高客户安全的手段。因为，当公司被迫因为客户的个人身份信息被未经授权的人访问的时间，它可以说，“我们已经尽力了。刚刚发生的这些事情不是我们的过错”。

违反通告

因此，如果安全违反通告法是希望促使企业更好地保护托付的个人身份信息的话，它是完全失败了。

通告的另一个目的。是希望你了解信用卡资料被歹徒获得了，这样你可以在他们使用以前取消掉信用卡。

安全违反通告法是希望公司提高安全手段。具体而言，它不是为了防止事件的发生，而是为了减轻事件发生造成的后果。安全违反通告法应该被当作保护人们的一种手段，让他们可以帮助自己。

脆弱性的通知

同样的原则适用于脆弱性的通知。在规定的选项中，有人发现了一个漏洞。其中包括：

·利用该漏洞进行恶意代码的攻击活动。显然，这是错误的答案。

·通知软件供应商或者保持沉默。你使用的大多数软件的供应商都采用这样的答案。大家最喜欢的例子就是微软，它坚持认为在其软件（例如Windows操作系统）出现一个应当通知的漏洞时，发现者要保持沉默，直到微软开发出一个脆弱性的修补程序为止。在此之前，让更多的人知道这个漏洞是没有必要的。

·告知公众。向他们表明，你将快速对漏洞进行处理。让他们可以对系统本身的危险进行控制，直到获得补丁为止。

供应商在任何时间都应该发出通告是一个单纯的想法。首先，它可能损害供应商的声誉，并且供应商不希望出现这种情况。再次，象微软这样的供应商，希望说服相关的安全研究人员保持沉默，因为公布漏洞的发现让“坏人”知道存在这种安全漏洞，从而在理论上增加了用户受影响的软件的风险。

不幸的是，向公众通告涉及恶意的安全漏洞这一想法象安全的谬论一样不了了之。事实真相是，漏洞是公开的，只要有相关的技能就可以发现它；如果你对发现的漏洞保持沉默，恶意黑客也可以找到。

一个妥协的办法是，要通知供应商，为了向公众负责，让其在提供修补程序之前宣布的某一段时间宣布漏洞。这个时间的长短是需要讨论的。微软希望的是尽可能长的时间。Windows操作系统的用户应该了解在获得保护之前需要花费多少时间。时间限制的原因有很多，但最大的好处就是让供应商提供补丁的速度变得最快。

等待与否？

公司没有权力躲在任何宽限期里。由于其软件的缺陷导致软件用户的个人身份信息，有可能被恶意工具所窃取。他们需要有减轻自己损失的权利。

另一方面，大量软件的最终用户并不会知道漏洞的存在，直到补丁出现以后。大部分潜在目标的身份欺诈也可能永远不会对声誉（包括金融声誉）产生影响。同样，如果在客户数据库中发现违反安全的行为，公司通过研究可能会发现是虚惊一场。这样，或许在实践中包含一些宽限期是合理的。

在大多数情况下，一个星期的时间是足够的。主要的开放源码软件项目经常在不到一天的时间就完成了安全修补程序，我们没有理由相信软件厂商不能够达到同样的纪录。但实际上，它们却要几个月甚至几年才能解决问题。严格的时间表可以让它们先解决优先级高的安全问题。