無論你相信與否��,負責制訂網(wǎng)絡安全標準的團體(以下簡稱標準機構(gòu))的一此行為反而帶來了網(wǎng)絡威脅����。隨著政府和行業(yè)間為加強網(wǎng)絡安全不斷深化合作���,這些行為也開始作為網(wǎng)絡安全架構(gòu)整體受到關(guān)注����。
制訂安全標準涉及到多個步驟。首先����,專家同意旨在強化網(wǎng)絡安全的規(guī)范���。這些規(guī)范可被執(zhí)行團體獲得�����。隨著漏洞被發(fā)現(xiàn)以及當有必要完善時,規(guī)范將被升級�����。其次���,相關(guān)秘書處登記指定的執(zhí)行者技術(shù)參數(shù)或?qū)嵤┚V要��,這些將根據(jù)標準來操作。最后��,秘書處向所有執(zhí)行者公布這些信息����。
標準機構(gòu)的網(wǎng)絡威脅源自三個方面。最主要的威脅是網(wǎng)絡安全由營利性的大型組織把持著�����。這些組織能夠“綁架”規(guī)范以及所謂的“注冊參數(shù)”獲得程序�����,甚至看一下規(guī)范或參數(shù)都需要繳納大筆費用�����。
其次的威脅是,許多機構(gòu)無法使用方便的高可信性度Web平臺以確保標準或注冊參數(shù)的完善和安全�。第三個威脅為標準參數(shù)注冊機構(gòu)無法充分識別身份�。
多年來����,網(wǎng)絡安全領(lǐng)域內(nèi)的標準組織堅持營利,這嚴重危及了網(wǎng)絡安全的成效���,而政府機構(gòu)和用戶團體的態(tài)度是在忍受不良后果的同時,并對此睜一只眼閉一只眼�。如果我們嚴肅對待網(wǎng)絡安全��,這種模式將無法繼續(xù)下去���。
標準機構(gòu)作為安全體系鏈中的一部分�����,他們的所作所為必須納入評估程序中����,并切實承擔起他們的責任。那些沒有滿足當今需求反而帶來威脅的標準機構(gòu)將不應當再被政府和行業(yè)作為決策機構(gòu)使用�。
以下是一個如何正確履行的例子��。當你訪問這個網(wǎng)站時,你的瀏覽器URL處將變成綠色����,這告訴你這個網(wǎng)站使用了高信任度的擴展驗證證書�,其真實性被瀏覽器所檢測�����,你在訪問網(wǎng)站時使用了一個安全的SSL路徑��。
任何低于這種等級的可用性、信任性和安全性都不再被網(wǎng)絡安全標準領(lǐng)域所接受�����。對于多數(shù)標準機構(gòu)來說����,要想采取這些措施十分容易。不幸的是��,一些安全標準制訂活動成為了大型機構(gòu)的專利���,為了維護諸如秘書處和管理人員所帶來的成本等那些與安全無關(guān)的目標���,他們從標準制訂中獲利���。具有諷刺意味的是���,降低網(wǎng)絡安全威脅并不是這些機構(gòu)的目標�。
我們在前面說過�,第三個威脅是標準參數(shù)注冊機構(gòu)無法充分進行身份核對。不幸的是,這是威脅仍然被所有的標準機構(gòu)所忽略。對于標準參數(shù)和注冊的身份識別與生命周期管理準則留給了秘書處工作人員把關(guān)����,而通常情況下��,也就是最初發(fā)的電子郵件。由于成本原因,在網(wǎng)絡安全機構(gòu)需要和責令強化注冊身份管理前����,不會有任何重大變化發(fā)生��,即使如此,也可以通過增加注冊費的方式被架空��。
目前�����,政府機構(gòu)為了提高網(wǎng)絡安全投入了數(shù)億美元��。標準是提高網(wǎng)絡安全的一個重要組成部分。然而標準機構(gòu)自己也應當成為網(wǎng)絡安全生態(tài)系統(tǒng)中的一部分。在任何情況下��,政府的投資成效都不能成為標準機構(gòu)自身獲利和營利模式的犧牲品���。政府對民眾和行業(yè)有著不推托的責任�����,但是對標準機構(gòu)卻沒有這樣的責任。標準機構(gòu)自身不應當成為了網(wǎng)絡安全的威脅���。
京公網(wǎng)安備 11010802036102號