规范网络安全服务 拒绝安全隐患2015-09-08

本文由易云高防服务器整理：前不久，人大通过了新刑法的修正案，笔者注意到了对刑法第二百八十六条的修改，增加对网络服务提供者的法律刑规，对出现的相关情节，可以追究相关责任人的刑责。这一点是非常有意义的，也是非常及时的。

由此，笔者想到了另一个问题：网络安全服务的安全问题。目前，还没有相应的法律、法规对其进行规范，而确实非常需要有相应的规范。

安全服务是非常重要的，笔者一直把安全服务当成中医的补气，补阳。没有好的安全服务，安全产品可能就是一堆垃圾，甚至会起到破坏作用。在我们的it界一直有，重产品、轻服务的问题，这个问题非解决不可，否则说网络空间安全就是一句空话。

二十年来，许多单位安全产品没少买，但安全问题并没有得到缓解，其中的一个原因就是缺少了恰当的安全服务。

目前的安全服务主要可以分为两大类，一类是依据相应的国家或国际标准进行安全服务，最具代表性的是“等级保护测评”，也包括风险评估等。这类服务是有标准依据的，如等级保护测评(包括分保的测评)依据是等级保护基本要求，(对于涉及国家机密系统来说就是分保的基本要求)。风险评估依据的标准，主要是iso 27000系列标准。这一类的服务，不能说没有问题，存在的问题，不具有根本性，况且有相应的主管部门的监督、检查和指导。同时也有国家标准和国际标准的、及行政法规和规章的约束。

另一类服务，是市场的自发行为，基本上没有标准依据，各个厂商的服务模式也不一样，这类服务存在的安全隐患是明显的，笔者所说的“规范”主要指的是这类服务。

这类服务有：渗透性测试;漏洞挖掘;恶意代码的检查与清除;安全教育培训;安全设计与咨询;安全策略制定与部署;安全事件的应急响应，等等，笔者还不能全部的列出这类安全服务。

这类安全服务都会给被服务的对象引入新的风险，这是不可不防的。

最大的风险莫过于漏洞挖掘与发布，渗透性测试了。任意的发布某系统存在的漏洞，在渗透性测试中的随意性和没有相应的监管，都可能导致严重的后果。

笔者也曾经要求一些组织对辖区内的重要网站进行过渗透性检测，考虑到可能会发生的后果，要求进行渗透性测试的单位，必须搭一个环境，利用此环境进行的渗透性测试，笔者都是认可的，离开了这个环境进行的渗透性测试，笔者不承认其合法性。

同时，要求这个环境必须保留相应的日志，正式的渗透性测试流程单，报告必须加密等。这些做法，虽然还不能完全的保证渗透性测试的过程的安全，但起码是有一定规范的。现在的渗透性测试，几乎没人提出什么要求，只要你告诉我，我的系统有什么漏洞就行了。这是十分可怕的，很可能会带来严重的后果。

我们不能靠人的觉悟来保证安全服务，服务的安全，必须用制度来保证。

文章整理自：赛迪网