网络安全能力成熟度模型:D2-网络文化与社会(四)
2019-10-23 09:00:22 Author: www.freebuf.com(查看原文) 阅读量:128 收藏

从本维度开始,从国家层面来探讨网络文化和社会的安全能力建设,并从战略和政策的高度来逐步执行。本章节为网络文化和社会维度的第四及第五部分,上报机制和媒体与社交网络。

PS:报告中淡紫色方框是对本段内容重点的提示、面临挑战和补充,淡蓝色方框是现行的一些最佳实践(政策、活动等)、橘黄色方框是要政府要着重关注的点、末尾灰绿色方框是本节报告所参考的资料。由于一些敏感词会背屏蔽,有些词会用错别字代替,各位请自行意会。

系列文章

网络安全能力成熟度模型:D2-网络文化与社会(一)

网络安全能力成熟度模型:D2-网络文化与社会(二)

网络安全能力成熟度模型:D2-网络文化与社会(三)

正文

Dimension II : Cyber Culture and Society

D 2.4 – Reporting mechanisms

概述

这一要素的重点是存在和使用报告机制及渠道,让用户报告网络犯罪,包括在线欺诈、网络欺凌、虐待儿童、身份盗窃、隐私和安全漏洞等事件。报告机制允许个人和企业直接向相关公共部门报告网络犯罪和网络攻击。它们可使用多种格式,包括在线web表单、专用电子邮件地址、电话热线、邮递、电子邮件客户端插件、浏览器插件,以及直接上传到数据库(通常只上传到企业)。这些报告通常在送交有关部门(例如国家CSIRT、执法部门)之前会集中处理。

实施有效的网络安全报告机制可带来许多运营和战略收益。首先,在执行层面,报告机制提供了集中式的工具,便于在国家级别向有关公共当局通报非法网络活动。如果没有适当的报告机制,这种通信可能不会发生,也不存在频繁度的问题。在短期内,这种沟通有助于公共当局根据需要对事件做出反应。从长远来看,收集到的信息使政府能够分析网络事件的各种趋势,并在未来改进能力,以便更好地预防和应对未来环境。在战略层面,集中的报告工具可以帮助包括执法和司法系统在内的公共部门协调各政府间的网络安全活动。例如,中央报告机制可用于跨政府分发和整理信息以及分析,以避免多个机构对同一报告或数据集进行相同的分析。

报告机制还有助于促进公共部门和私营部门之间更密切的合作,并有助于影响商业实践,使员工和管理者更深地了解网络安全问题。它们还可以帮助提高对在线法律法规的认识,并为工业领域和更广泛的公众提供教育工具的基础。

表2.4概述了提高国家在报告机制领域能力的建设步骤。

表2.4:改进报告机制的步骤(D2.4)

能力建设步骤

审查国家法规,确保现有刑事法规涵盖新出现的非法网络活动

“网络犯罪”一词可以指在准备或执行过程中涉及电子因素的任何非法活动。这可能包括的攻击:

个体层面,包括身份盗窃、个人数据盗取、欺诈和金融盗窃、电子名誉、在线性虐待和煽动种族仇恨。这通常通过恶意软件、垃圾邮件、网络钓鱼和其他社会工程技术来实现。

工业层面,包括盗取资金和数据,导致声誉受损、侵犯知识产权、中断或拒绝服务和业务。这通常通过僵尸网络、恶意软件、黑客、社会工程和情报收集来实现。

国家基础设施,包括攻击政府、执法机构和CNI(critical national infrastructure),使用上面列出的多种技术。

国家安全,包括间谍和恐怖主义活动,利用上面列出的多种技术。

随着新技术的发展和在社会各个领域的应用,网络攻击的类型、目标和频率都在不断变化。政策和立法很难跟上这一领域变革的步伐;在认识到新技术的潜在滥用方面,常常会出现拖延,调整或起草新的国家刑法也需要时间。

考虑到新类型的攻击和非法活动,有关非法网络活动的报告应转化为对刑法的不断更新。法律是调查和起诉网络犯罪的基础。如果现有法律不能充分说明目前非法活动的趋势,报告机制仍可用于核实信息和确定网络活动的趋势,但报告本身不能作为刑事调查的基础。有关网络趋势的信息可以被政府、企业和公民用来帮助更有效地保护自身的系统,并减轻各类攻击的影响。

改善起草网络犯罪立法的方法有很多,包括:

关注现有法规的漏洞:现有的法律往往涵盖许多类型的非法在线活动。例如,涉及伪造的法律通常可以适用于离线和在线伪造。重要的是要确定现有立法不包括的网络犯罪类型,并将资源集中在法律修正案或起草新法案上。

CSIRT(Computer Security Incident Response Team)咨询专家:可以帮助查明新技术的滥用情况,从而有助于调整国家法律。

在国际支持与合作下,开展新法规的起草工作:与国际伙伴合作,特别是那些拥有更先进的网络安全能力和法规的伙伴,可以帮助确定技术的快速发展,减少重复工作,并加强与其他法律法规的国际协调。

建立网上非法活动的报告机制,开展协调一致的活动,提高公众对这些机制和相关问题的认识和了解

第一次建立报告机制没有固定的公式。可以通过多种方式完成,使用不同的格式、资金结构、管理和组织结构。报告机制可以在不同的平台上提供,包括电话、互联网,并可以在不同程度上具体实施,从一般的网络犯罪到欺诈或儿童色情等特定领域的犯罪。

在建立报告机制时,有些通用方法可能会有帮助,包括:

定义报告机制的主要目标。这些报告是否用于执法调查、司法起诉、威胁分析或其他用途?拟定义的机制的目标对象是什么?

保持开放性思维。报告机制有时会针对特定的威胁而设立。然而,这种方法可以忽略个人和企业的关注与偏好。可以灵活地帮助组织者更好地、更有针对性地应对威胁。

使用最适合的交互界面。这可能取决于内部因素,如预算、技能的可用性、组织结构和领导力。此外,它还可以取决于外部因素,特别是用户的偏好。

简化操作并共享结果。额外重要的是,明确规定如何在公共机构和当局之间收集、分析和分发资料,以避免工作重复并改进相互协作。

在设计报告机制时,还应思考一些更常规性的考虑,包括:

政策和高层支持:这对于确保资金和人员,以及促进各级政府的(报告)机制非常重要。

利益相关者管理参与(如执法机关、CSIRTs、教育利益相关者):来自关键利益相关者的高级管理层应参与报告机制的管理,以确定并帮助解决在建立和运行阶段的问题。

由经验丰富的ICT项目经理和数字调查员负责实施:在设置阶段需要经验丰富的专家来安装ICT设备并定义报告机制工作的结构。在运营阶段,维护和完善平台,处理所有问题或投诉。

来自司法部门的支持:执法部门并不总是决定应追究和起诉哪些报告的最合适人选。这一过程除了司法机构的正式参与,还应得到具有与当前问题相关的技术和专业知识的其他利益相关者的支持。

互联网用户参与:与终端用户进行接触可以帮助确定报告机制需要什么、采用什么格式以及为何要这么做的原因。

衡量投资回报的能力:见下文。

开展对报告机制的宣贯:公民和企业对报告机制的了解是建立报告机制成功的关键。简而言之,如果人们不知道报告机制的存在和目的,他们也不可能使用这些平台来报告相关的网络事件。

定期评估报告机制的有效性,并根据结果审查其运作、资源分配和宣传活动

衡量并评估绩效可作为设计和实施改进的基础,同时,可显示对这些机制的财政投资是否与所达到的效果相符(投资是否值得)。评估可以考虑不同的因素,包括使用频率、易用性、成功起诉的比率(如相关)、物有所值、对未来发展的准备情况以及对理解网络威胁和趋势的影响。

其他参考资料

Dimension II : Cyber Culture and Society

D 2.5 –Media and social media

概述

该要素着眼于网络媒体和社交媒体对网络安全的影响,重点关注这些媒体在传播网络安全信息方面所扮演的角色,以及网络安全在多大程度上成为网络媒体和平台上讨论/辩论的主题。

与在线社交媒体(OnlineSocial Media, OSM)和在线媒体相关的网络安全,以及更广泛地与互联网信任和隐私问题相关的担忧两者彼此重叠。由于在这些平台上信息快速传播的潜力,这些可能在媒体和OSM环境中得到放大。在线媒体和OSM也容易受到传统网络攻击,如恶意软件和分布式拒绝服务(DDoS)攻击。DDoS攻击尤其严重,因为它会使整个平台暂时陷入沉默,从而使公开言论陷入沉默。也有人担心过度监管或过度监视会威胁公众对媒体和OSM的信任。

媒体和OSM的网络安全工作具有特殊性,这类挑战需要考虑并克服。示意关注的领域包括:隐私、个人信息使用、自由言论和传播“假新闻”(即以合法新闻报道为幌子传播的虚假、往往耸人听闻的信息)。

因此,重点是,政策制定者应确定监管OSM所使用的方法,同时确保用户隐私权和言论自由。表2.5概述了提高国家在这一领域能力的建设步骤。

表2.5:促进健康媒体和社交媒体发展的步骤(D2.5)

能力建设步骤

确保现有法律法规不会妨碍在国家媒体和社交媒体上公开讨论网络安全问题

虽然OSM和在线媒体技术在其他问题中提出了大量的信息管理方面的考虑(例如与个人身份信息相关的数据隐私、安全性、准确性和存储等问题),但目前还没有针对这些问题的国际标准。支撑传统信息监管的指导原则可以用于这一背景,但除此之外,随着OSM被快速的接受,在线媒体在当代社会中所扮演的角色已经超过了监管框架的发展。

如果人们不知道报告机制的存在和目的,他们也不可能使用这些平台来报告相关的网络事件。

通过国家管控媒体和提高意识的活动,促进网络安全相关问题的公开讨论

很多公共和私营实体以及非政府组织都可以在线上媒体和OSM上就与网络安全相关的问题展开公开辩论。OSM的使用已经成为政府机构和利益相关者与公众接触的一种日渐流行的方式。在此背景下,OSM为组织提供了一个良好的平台来传播对其工作和活动的认识。

随着有针对性在线营销的出现,组织可以更有效地接触到特定的用户群体。政府机构可以利用这一点,专门针对最容易受到网络攻击的人口群体。对网络安全特别感兴趣的OSM用户也可以通过宣传活动成为目标,希望他们将宣传活动推广到更广泛的网络和群体。本报告第3.1节提供了关于提高认识活动的进一步资料,包括其目的和建立这些活动的方法。

以上是网络安全能力成熟度模型的第二维度全部内容。后续第三、四、五维度内容将在个人专栏(宇宸的研究室)中连载,有兴趣的可以移步阅读。

*本文作者:宇宸默安,转载请注明来自FreeBuf.COM


文章来源: https://www.freebuf.com/articles/paper/216554.html
如有侵权请联系:admin#unsafe.sh