Crypto-Gram 15 октября 2002 года Национальная стратегия обеспечения Киберпространства Дополнение к криптоанализу AES
|
Национальная стратегия обеспечения Cyberspace 18 сентября Белый Дом официально выпустил Национальную стратегию обеспечения Cyberspace. Ее действительно не выпускали до этой даты; версии периодически просачивались на некоторое время. И это были, действительно, не национальные стратегии; это были просто некоторые комментарии. Но все-таки, это было кое - что. На неделе, на которой он был выпущен, я получал много писем читателей, спрашивающих меня, ни Я ли придумал это сообщение, независимо; рекомендации имели смысл, но почему-то определенные вещи были опущены. Моей первичной реакцией была: "Кто занимается этим? И кто опубликовал это сообщение". По некоторым причинам, Ричард Кларк продолжает полагать, что он может увеличить cyber-безопасность в стране. Правительство не занималось этим, и никогда не проводило такой работы. Этот Национальный документ стратегии не законен, и он не содержит нужные предписания для правительственных агентствов. Он имеет большое количество рекомендаций. Он рассматривает все виды процессов. Он имеет, все же, другой список предложенных лучших методов. Это - просто другой документ, содержащий все более и более большое число рекомендаций, чтобы сделать все лучше. (Администрация Клинтона имела "Государственный план по Информационной защите систем". И GAO и OMB издали документы, посвященные cyber-стратегии.) Но планы, независимо от того, насколько детальны и насколько точны они, ничего не гарантируют.Детальные и точные, они не обеспечивают что-нибудь для работы. Предварительные эскизные проекты плана имеют некоторые слова о беспроводной неуверенности, которые были удалены, поскольку беспроводная промышленность не хотела смотреться плохо в этом смысле. Предварительные тратты, включившие предложение, что ISPs обеспечит всех потребителей персональными firewalls; это было оформлено, поскольку на ISPs не хотели посмотреть плохо, как для уже сделанного. И так далее. Это - то, что Вы добираетесь с PR документом. Вы получаете большое количество изменений от всех видов специальных выводов, и Вы заканчиваете документом, который не оскорбляет никого, потому что не требуется ничего. Наихудшая часть его та, что некоторые люди, искренне практикующие безопасность, включали в письменной форме все в этот документ. Это должно быть жестким призывом допуска к ним, чтобы узнавать, как проходит такая работа в Вашингтоне. Вы можете сообщить, что многое продуманно, и включено в этот документ, и то, что это было в специальном документе, позорном, но типичном. Безопасность является общей. Подобно воздуху и водному и радио спектру, любое индивидуальное использование этого влияет на нас всех. Путь должен предохранить людей от злоупотребления общим и должно отрегулировать это. Компании не перестали сбрасывать токсичные отходы в реки, поскольку правительство не спрашивало их об этом всерьез. Компании прекращали, поскольку правительство сделало это незаконным. В его очерке по теме, Marcus Ranum отмечал эту согласованность. Согласованность безопасности заканчивается некоторыми хорошими решениями, но по большей части они плохи. Самостоятельно согласованность – не вредна; это - компромиссы, которые почти всегда вредные, поскольку, чем более партии, которые Вы имеете в дискуссии, тем более интересуется тем, что противоречит с безопасностью. Согласованность не работает, поскольку одна критическая партия на этих переговорах - нападающие – не сидя вокруг ведущего переговоры стола вместе со всеми. "И хакеры не ведут переговоры как-нибудь. Другими словами, это не имеет значения, если Вы достигаете согласованности...; прокладывает это или не подтверждает другая инструкция, та которую Вы хотите применять". Если правительство США хочет что-то сделать, они должны выпустить это в виде закона. Это уже делают некоторые правительства. Это не делается мандатом по специфическим технологиям, а издают в виде результата законы. Сделайте компании ответственными за неуверенность, и Вы будете удивлены, как быстро вещи становятся более безопасными. Оставьте чувствовать себя хорошо различную промышленность и торговые организации; это то, что они предполагают делать.Предварительное сообщение: <http://www.whitehouse.gov/pcipb/> Система правил для новостей: <http://www.bangkokpost.com/021002_Database/ 02Oct2002_dbcol10.html> <http://www.infoworld.com/articles/hn/xml/ 02/09/18/020918hnnatcyber.xml?s=IDGNS> <http://www.computerworld.com/securitytopics/ security/story/0,10801,74449,00.html> <http://www.computerworld.com/governmenttopics/ government/story/0,10801,74353,00.html> <http://www.news.com.com/2102-1023-958545.html> Очерк Ranum's Marcus:
<http://www.infowarrior.org/articles/2002-11.html> <http://online.securityfocus.com/columnists/110> <http://online.securityfocus.com/news/677> <http://www.zdnet.com/anchordesk/stories/story/ 0,10738,2882094,00.html> <http://www.avolio.com/columns/21-SecuringCyberspace.HTML>
Авторское право © 2002 Counterpa ne Internet Security, Inc.Русский материал Малютина А., редакция Малютиной Н.М.
|