深入了解新名词：安全性透明度

ZDNet安全频道原创翻译 转载请注明作者以及出处

　　透明度是政府政策和华尔街如今讨论的一个常见话题。不论是2008年大选，救市的TARP方案，还是金融机构的危机处境，各种话题都离不开透明度这个词。而在信息安全方面，当很多安全专家谈论透明度时，很少有人能从宏观角度出发对这个词进行定义。

　　我觉得现在是时候让信息安全专家们深入思考到底安全领域的透明度该如何定义了。

　　安全性的透明度是什么意思?

　　教科书告诉我们，信息安全包括所谓CIA三方面：机密性，完整性以及可用性。当这三方面中有一方面出现了问题，整个平衡就被打破了。透明度意味着行为的公开性和问责制。透明度并不意味着成功或失败的信息安全;而是在十字路口进行行动。

　　信息安全专家们早已理解透明度的意思，但是我们并不是像经济学者或者政客那样使用这个词。作为信息安全专家，我们一般都使用行业术语，比如披露，处理过程，或者审核。每个术语都解释了安全团队以及公司是如何实现透明度的。当政客谈及透明度的时候，是假设每个人都知道他在说什么，并且都知道政府有关透明度的伟大概念。而另一方面，对于网络安全管理者来说，要让所有人都明白相同的问题就相当困难了。他也希望能有可靠的和清晰的对话。由于计算机和信息安全专家们已经习惯了并且依赖于基于互联网功能下的透明标准，这些概念必须被融入到他们专业工作的每个方面，才能在工作上获得成功。

　　安全透明性的厂商规则

　　厂商也可以学会透明，但是这是一个长期的过程。透明度是企业文化的一部分，也是业务决策以及公司基础的一部分。微软曾经也被认为是软件不安全并且在安全性上不透明的公司，但是现在也已经在安全性和透明性上取得了很大的进步。

　　Microsoft在去年12月的安全补丁MS08-078代表了一个典型的完全透明度的例子。在12月9日，媒体开始爆料IE新发现的漏洞。第二天，微软公开回应了这些报道，并提供了安全建议961051。这份建议包含了缓解风险和相关的操作信息。再接下来的数天时间里，微软又对这份建议进行了四次改动。在12月16日，微软发表公告，称第二天将发布针对此漏洞的补丁。12月17日，用户如期收到了微软发布的补丁文件。在整个过程中，微软持续升级安全建议的内容，并带有更改日志，另外还不断与媒体交流有关漏洞和安全建议的相关问题。如果你关注微软的安全建议，你会发现到现在仍然能看到安全建议的更改日志历史，和相应的补丁信息。这可以说是微软在2008年在透明度上的一个闪光点。

　　我并不是说微软总是拥有这种值得成为典范的透明度运作机制，但是毫无疑问，他们非常清楚自己应该做什么，至少在当时的情况下能够将他们所知的信息及时公布出来。

　　其它厂商从透明性方面学到了什么?

　　· 回应

　　微软首先做的就是公开回应漏洞的问题。也许你会说，如果不是媒体首先曝光，微软也不会公开承认软件漏洞。这就忽略了整个事件中最重要的一点。媒体在没有补丁推出的情况下就进行曝光，只会增加相应攻击的风险。

　　· 一系列工作

　　微软接下来所做的是通过一系列工作降低漏洞风险给用户带来的影响。作为信息安全专家，我们都知道风险来自多方面。管理者总是要求减少损失，就算不能立即通过补丁来消除漏洞的影响，能够有缓和的措施帮助将损失降到最低也是非常必要的。安全建议961051中包含了足够的技术细节，提供了足够的信息，可以让安全管理者理解风险并决定该采取何种措施降低风险。

　　· 对话

　　从最初的安全建议到最后的漏洞补丁的推出，微软积极的参与相关风险的公众对话。他们不断的用新信息更新安全建议，与媒体沟通并在他们自己的博客上提示用户该漏洞的问题和相应的风险。

　　· 消费者规则

　　厂商努力实现透明度，也是对消费者的一种尊重，而消费者也应该对此作出回应。对于一个厂商来说，承认自己的软件产品存在缺陷而且会导致安全问题是相当困难的，并且在透明度上做极大承诺。而消费者对于厂商出现安全漏洞的所呈现出的愤怒态度也是可以理解的。不过消费者也应该在这个过程中扮演积极的角色，促进厂商有勇气有意愿公布那些原先不愿公布的问题，实现真正的透明度。