扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
无论你相信与否,负责制订网络安全标准的团体(以下简称标准机构)的一此行为反而带来了网络威胁。随着政府和行业间为加强网络安全不断深化合作,这些行为也开始作为网络安全架构整体受到关注。
制订安全标准涉及到多个步骤。首先,专家同意旨在强化网络安全的规范。这些规范可被执行团体获得。随着漏洞被发现以及当有必要完善时,规范将被升级。其次,相关秘书处登记指定的执行者技术参数或实施纲要,这些将根据标准来操作。最后,秘书处向所有执行者公布这些信息。
标准机构的网络威胁源自三个方面。最主要的威胁是网络安全由营利性的大型组织把持着。这些组织能够“绑架”规范以及所谓的“注册参数”获得程序,甚至看一下规范或参数都需要缴纳大笔费用。
其次的威胁是,许多机构无法使用方便的高可信性度Web平台以确保标准或注册参数的完善和安全。第三个威胁为标准参数注册机构无法充分识别身份。
多年来,网络安全领域内的标准组织坚持营利,这严重危及了网络安全的成效,而政府机构和用户团体的态度是在忍受不良后果的同时,并对此睁一只眼闭一只眼。如果我们严肃对待网络安全,这种模式将无法继续下去。
标准机构作为安全体系链中的一部分,他们的所作所为必须纳入评估程序中,并切实承担起他们的责任。那些没有满足当今需求反而带来威胁的标准机构将不应当再被政府和行业作为决策机构使用。
以下是一个如何正确履行的例子。当你访问这个网站时,你的浏览器URL处将变成绿色,这告诉你这个网站使用了高信任度的扩展验证证书,其真实性被浏览器所检测,你在访问网站时使用了一个安全的SSL路径。
任何低于这种等级的可用性、信任性和安全性都不再被网络安全标准领域所接受。对于多数标准机构来说,要想采取这些措施十分容易。不幸的是,一些安全标准制订活动成为了大型机构的专利,为了维护诸如秘书处和管理人员所带来的成本等那些与安全无关的目标,他们从标准制订中获利。具有讽刺意味的是,降低网络安全威胁并不是这些机构的目标。
我们在前面说过,第三个威胁是标准参数注册机构无法充分进行身份核对。不幸的是,这是威胁仍然被所有的标准机构所忽略。对于标准参数和注册的身份识别与生命周期管理准则留给了秘书处工作人员把关,而通常情况下,也就是最初发的电子邮件。由于成本原因,在网络安全机构需要和责令强化注册身份管理前,不会有任何重大变化发生,即使如此,也可以通过增加注册费的方式被架空。
目前,政府机构为了提高网络安全投入了数亿美元。标准是提高网络安全的一个重要组成部分。然而标准机构自己也应当成为网络安全生态系统中的一部分。在任何情况下,政府的投资成效都不能成为标准机构自身获利和营利模式的牺牲品。政府对民众和行业有着不推托的责任,但是对标准机构却没有这样的责任。标准机构自身不应当成为了网络安全的威胁。(
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者