白宮評(píng)Heartbleed:“透明度是件復(fù)雜的事情”

責(zé)任編輯:王李通

2014-05-03 07:40:15

摘自:ZDNet安全頻道

白宮周二假總統(tǒng)特別助理和網(wǎng)絡(luò)安全協(xié)調(diào)官M(fèi)ichael Daniel之筆以博客文章發(fā)表聲明?!覀?cè)谶@以前不知道存在Heartbleed……有關(guān)漏洞的披露:政府機(jī)關(guān)認(rèn)真履行對(duì)開(kāi)放、可互操作的、安全的、可靠的互聯(lián)網(wǎng)的承諾。

白宮周二假總統(tǒng)特別助理和網(wǎng)絡(luò)安全協(xié)調(diào)官M(fèi)ichael Daniel之筆以博客文章發(fā)表聲明。博文談到Heartbleed漏洞以及政府決定何時(shí)及以什么方法披露技術(shù)漏洞的考量。

Daniel提到幾個(gè)要點(diǎn)。關(guān)于是否知道Heartbleed的存在:

……我們?cè)谶@以前不知道存在Heartbleed……

有關(guān)漏洞的披露:

政府機(jī)關(guān)認(rèn)真履行對(duì)開(kāi)放、可互操作的、安全的、可靠的互聯(lián)網(wǎng)的承諾。在大多數(shù)情況下,公開(kāi)新發(fā)現(xiàn)的漏洞顯然符合國(guó)民的利益,是一種負(fù)責(zé)任的做法。我們會(huì)繼續(xù)這樣做。有關(guān)分享使用互聯(lián)網(wǎng):

我們的大部分日常生活都依賴互聯(lián)網(wǎng)和連接系統(tǒng)。沒(méi)有這些,我們的經(jīng)濟(jì)就無(wú)法正常運(yùn)作。假若我們不依靠互聯(lián)網(wǎng)和連接系統(tǒng),我們對(duì)國(guó)外的影響力量也會(huì)被削弱?;谶@些原因,公開(kāi)漏洞通常是一種理性的做法。與其他人比,我們對(duì)這些系統(tǒng)安全的需要是有過(guò)之而無(wú)不及。

有關(guān)披露漏洞的得失:

披露漏洞有可能意味著我們要放棄搜集重要情報(bào)的機(jī)會(huì),而這些情報(bào)是可以用來(lái)挫敗恐怖襲擊、阻止有人盜竊我們國(guó)家的知識(shí)產(chǎn)權(quán),甚至可以用來(lái)對(duì)付黑客或其他對(duì)手,看他們是不是在利用更危險(xiǎn)的網(wǎng)絡(luò)漏洞。

如果一味地利用未公開(kāi)漏洞而同時(shí)又使得互聯(lián)網(wǎng)遭到攻擊使得美國(guó)人民不能得到保護(hù),這樣做是不符合我們國(guó)家安全利益的。但是也并不是說(shuō),我們就會(huì)完全放棄利用這種工具進(jìn)行情報(bào)搜集,從長(zhǎng)遠(yuǎn)來(lái)看,情報(bào)搜集是為了更好地保護(hù)我們的國(guó)家。權(quán)衡得失不是件容易的事,因此我們建立了一系列的規(guī)則用于在這方面指導(dǎo)各機(jī)構(gòu)的決策過(guò)程。

在談到各機(jī)構(gòu)之間就披露漏洞的決策進(jìn)程時(shí),Daniel指“并無(wú)硬性規(guī)定”,但他也提到一些機(jī)構(gòu)在考慮不披露有關(guān)信息時(shí)一系列的考量過(guò)程。

有關(guān)網(wǎng)絡(luò)安全和透明度的整體挑戰(zhàn):

一方面要考慮網(wǎng)絡(luò)安全及情報(bào)搜集,另一方面又要向公眾提供足夠的信息,這之間的透明度是頗為復(fù)雜的。透明度太少,民眾會(huì)失去對(duì)政府機(jī)構(gòu)的信心,披露過(guò)多則會(huì)導(dǎo)致無(wú)法搜集情報(bào),繼而無(wú)以保護(hù)國(guó)家利益。我們披露漏洞時(shí)有一個(gè)深思熟慮的過(guò)程,需要權(quán)衡這些因素,采取負(fù)責(zé)任的做法。我們希望通過(guò)以上各點(diǎn)的表述,大家都能對(duì)其中的利害關(guān)系有個(gè)了解。筆者以為正如大家可以想像得到,對(duì)白宮這個(gè)貼,有些人會(huì)覺(jué)得還可以接受,另外一些人會(huì)覺(jué)得窩心,還有人會(huì)覺(jué)得憤怒。在現(xiàn)實(shí)世界里,要確保國(guó)民和國(guó)家的安全是一場(chǎng)硬仗。有時(shí)候,政府情報(bào)機(jī)構(gòu)過(guò)早出手對(duì)國(guó)民來(lái)說(shuō)反而不安全。做這樣的決定是很難的。這也就是為什么要選出我們信得過(guò)領(lǐng)導(dǎo)人,能夠采取負(fù)責(zé)任的態(tài)度做出決策,并為自己的行動(dòng)負(fù)責(zé)。這一點(diǎn)是十分重要的。

筆者可以和大家分享一個(gè)好消息,那就是雖然我們選出來(lái)的大多數(shù)政客不是那么讓人振奮,但那些長(zhǎng)期在政府機(jī)關(guān)工作的人——比如我在各個(gè)情報(bào)機(jī)構(gòu)和國(guó)防機(jī)構(gòu)里碰到的人——卻是十分能干,令人印象深刻。他們的任務(wù)艱巨,卻又必須且行且兢兢。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)