通过事故披露和案例分析的网络安全最佳实践

当某电商网站被“拖库”时，不仅该电商的业务受到影响，用户信息被泄露，可能被用以“撞库”，而导致受影响用户的其它信息和业务受到损失。当没有法律强行要求时，受损电商的理性选择通常是将数据泄漏事件隐匿，或大事化小，从而降低自身的“代价”。但“捂盖子”的做法却增加了社会整体的潜在风险。相反地，如果有相关法律强制要求围绕安全事件的一系列责任，通过大幅增加“隐匿”安全事故的成本，将其理性选择转向客观透明地披露报告安全事故、通知受影响用户、主动或协助第三方进行事故“根源分析”… 这样长期实践的综合效果带来的是社会整体风险的降低，以及有数据支撑的、更为科学的公众安全实践。

2 明确界定安全“披露”责任

现代信息系统的高度复杂，安全事故发生的原因非常复杂，可能涉及到众多的、直接或间接的、信息系统和安全系统的开发者、提供商、外包方等。

信息系统的所有者和运营者、及其安全管理和运营团队，也就是常说的“甲方”，在安全事故责任方面通常是“Accountable”，通过商业合约，甲方将安全责任部分转移分解给了各个提供商、外包方，后者在安全事故责任方面成为“Responsible”，等，例如软件提供商在获知其软件出现安全漏洞时，有责任通报给“甲方”并提供修复方案。在“甲方”组织内部，“Accountable”又可以进一步分解，决策层、管理层和运营层各自承担什么职责。

当前阶段我国由于缺少相关的立法，网络安全的相关法律责任非常模糊，没有明确的界定，例如什么等级的安全事故必须披露、什么角色或职位负责披露、多大范围内披露、披露什么、尤其是不披露有什么罚则。

美国在网络安全事件披露方面的立法实践领先很多。例如美国加州2002年通过的法案S.B.1386，要求所有保存有加州公民私人信息的机构在发生泄漏事件后必须及时向事件受害者披露，否则将会招致民事诉讼。这一法案将数据泄漏每个记录的平均代价提升到了200美元左右。前不久，美国参院情报委员会以12比3的压倒优势通过了一项关于网络安全信息分享的法案。 该法案鼓励私营企业和政府相互之间自愿地分享网络威胁信息，而不用害怕那些琐碎的诉讼和不必要的官僚障碍。

3 建立安全数据和响应平台

海量的安全“基础”数据将会被收集、分析和分享，并用来评价各种安全实践的有效性。多方参与的、开放的数据平台将会是重要的使能者。

另外，Verizon每年一度发布的DBIR报告显示，一次定向攻击从开始到完成数据窃取平均只需要数小时，而受害方从攻击开始到检测到攻击的平均时间则长达数月。巨大的反差折射出网络安全行业的严峻挑战，不仅仅是如何检测到这些定向攻击，并且还要在第一时间、在小时时间尺度上检测到，否则实际效果就会大打折扣。

安全事故过程中的响应活动需要有效协同相关各方资源、为安全事故的数据收集、披露、事后的根源分析提供便利、并保障业务恢复的时效性。

安全数据平台有必要能够支持安全响应活动中及时地、准确高效地收集相关数据并提供一定的分析能力，从而为当下和以后的安全响应活动提供指导。

4 结论

在现阶段和可预期的未来时间里，网络安全仍然强烈依赖于各种“最佳实践”，也就是一系列经过“验证”的工程方法的集合。通过大量实践、在网络安全实战对抗中不断提升综合的安全能力和最佳实践才是更为现实、脚踏实地的路线。

有必要通过立法和管理手段，尽快建立安全事故披露和案例分析制度，明确信息系统相关各方在网络安全事故披露方面的责任和义务，并通过数据和响应平台进行持续的案例积累和最佳实践优化，持续提升我国的综合网络安全实战能力。

( 责任编辑: 佰佰安全网 )