摘要
- The Big Picture
- 法律视角
- 组织视角
- 经济视角
- 技术视角
一些最英明的审计师说,只有三种内部控制目标:确保财务报告的可靠性,符合法律法规,以及运营的效率和效果。——《凤凰项目 一个IT运维的传奇故事》第 241 页
The Big Picture
法律视角
The Red Army had been gone for years, but it still had the power to inspire controversy—and destruction……the same sorts of challenges the modern administrative state faces in fields like environmental law, antitrust law, products liability law, and public health law. —《Regulating Cybersecurity》 (forthcoming 2013)。
美国网络安全立法策略
学术界普遍认为国家的关键基础设施,如银行,电信网络,电网等等,非常容易受到灾难性的网络攻击。然而,现有的学术文献并未充分阐述这一问题,因其将网络安全的范畴过度狭隘化。作者认为,与其仅仅将这些私有企业视为网络犯罪的潜在受害者或是网络冲突的潜在目标,我们更应从行政法的范畴来看待他们。在诸如环境法,反垄断法,产品责任法,公共卫生法等领域也面临相似的挑战。这些法律范畴不仅产出一个思考网络安全的更丰富的分析框架,也提出了可能的应对策略。
- Environmental Law 环保法
- Antitrust Law 反托拉斯法 反垄断法
- Products liability Law 产品责任法
- Public Health Law 公共卫生法
a DDOS attack, and the company might notify other firms to use the same technique. Finally, an industry might agree to establish a uniform set of cyber-security standards, along with monitoring and enforcement mechanisms to ensure that all members are implementing the agreed-upon measures. They might, in other words, form something like a cartel.
例如,面对DDOS 攻击的严重威胁,作者提出行业公司可能会同意建立一套统一的网络安全标准,以及监测和执法机制,确保所有成员都执行商定的措施。类似于一个卡特尔组织。
a partnership among the U.S. Centers for Disease Control and Prevention, the CDC’s state level counterparts, and front line health care providers, such as hospitals, clinics, and individual medical practitioners.
又例如,借鉴公共卫生领域的诸多实践经验:强制接种(mandatory inoculations )、监测网(Monitor)、隔离(isolation and quarantine )、机构协作等。与其授权某个单独的监管者检测恶意代码爆发的网络流量,应该给私营企业分派任务,报告他们经历的漏洞和威胁信息,就像医院向公共卫生当局汇报一样。为了激励企业参与分布式检测网络,他们会获得不同的补助(基于网络安全数据是一种市场上供不应求的公共财产理论)以及免责权利(例如反垄断法豁免权)。
再比如:网络入侵的最优水平不为零,网络安全的支出最优水平是无穷的。从经济角度来说,目标是控制攻击数水平,而不是防止所有的攻击。
科斯的经济理论可以说是这篇文章的精魂所在。罗纳德·哈里·科斯(Ronald H Coase)——新制度经济学的鼻祖,美国芝加哥大学教授、芝加哥经济学派代表人物之一,1991年诺贝尔经济学奖的获得者。两篇代表作《企业的性质》和《社会成本问题》之中,科斯首次创造性地通过提出“交易费用”来解释企业存在的原因以及企业扩展的边界问题。
这样的例子还很多,感兴趣的朋友可以阅读原文。
作者NATHAN ALEXANDER,经历非常丰富。学术背景以外,还有美国司法部、国土安全部任职、海外派驻经历,从华盛顿出来之后,又回到学校去教书。可能是这些丰富地经历,造就了他开阔地思路,没有非敌即我的简单思维,有很强的经济学功底,环保法、反托拉斯法、公共卫生法信手拈来,对网络安全领域的参与主体、攻击技术、专业细节的掌握相当内行,和一般的学者不同。这套旋转门的制度设计还是很神奇地。
GEORGE MASON UNIVERSITY SCHOOL OF LAW,Arlington,VA
Assistant Professor of Law (January 2008)
DEPARTMENT OF HOMELAND SECURITY
Deputy Assistant Secretary for Policy Development(2006-2007)
GEORGETOWN UNIVERSITY LAW CENTER,Washington,DC
DUKE UNIVERSITY SCHOOL OF LAW,Durham,NC
组织视角
香港警务处网络安全与科技罪案调查科
网络安全和科技罪案调查科(Cyber Security and Technology Crime Bureau,缩写:CSTCB,简称科罪组)隶属于香港警务处刑事及保安处刑事部,主要责任为搜集及分析情报、调查严重科技罪案、作出法律及技术性研究,并且与业内专业人士和海外执法机关联络,防止科技罪案发生;与此同时,24小时监察香港(自愿登记参与)的主要电脑系统的网络数据流量变化,防范针对上述系统的网络攻击等科技罪行,确保网络安全。
more details >>>>
经济视角
实现安全性的目标必须强调可操作性
所有安全系统最终依赖于用户对安全重要性的认识,以及对其必然带来的限制的接受。安全取决于人:取决于系统用户对规则的遵守,取决于分析人员和监控人员在规则被破坏时能够发现。…… 糟糕的安全策略会导致用户不断地躲避检测,以便完成其工作,或者使用户不停地发脾气,这只会给你的防御人员带来额外的负担。—— Michael Collins《Network Security Through Data Analysis》
技术视角
- Cyber-Security: Linux 容器安全的十重境界
- Cyber-Security: 警惕 Wi-Fi 漏洞
- Cyber-Security: Web应用安全:攻击、防护和检测
- Cyber-Security: IPv6 & Security
- Cyber-Security: OpenSSH 并不安全
- Cyber-Security: Linux/XOR.DDoS 木马样本分析
- 浅谈基于数据分析的网络态势感知
- Packet Capturing:关于网络数据包的捕获、过滤和分析
- 新一代Ntopng网络流量监控—可视化和架构分析