您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner
> 首頁 > 資安新聞

資安新聞

美國頒布資安漏洞揭露準則

為了平息外界對政府擁有漏洞軍火庫的疑慮,美國政府於11/15公佈安全漏洞揭露原則,說明美政府如何判斷何種漏洞會公布、何種可以隱藏。自從史諾登(Edward Snowden)及維基解密(Wikileaks)相繼揭露美國情治機關如國安局(National Security Agency, NSA)、中情局(Central Intelligence Agency, CIA)等囤積了大量網路及電腦漏洞,以便用於入侵國內外的企業或政府網路、電腦與電信基礎架構,引發各方批評。2017年造成全球政府及企業陷入混亂的WannaCry勒索軟體,據信就是利用NSA所持有,但未向微軟舉報的Windows SMB協定漏洞。
 
前美國總統歐巴馬(Barack Obama)時期,美國政府建置了「漏洞權益處理流程」(Vulnerabilities Equities Process, VEP)的跨部門機制,以決定美國政府部門在發現廠商軟體漏洞後,是該通知廠商修補,還是該為了國家安全、讓政府或執法機關得以駭入電腦及系統而暫時不通知,但美國政府對這個機制一直沒有說清楚講明白,讓隱私權人士相當感冒。11/15由白宮網路協調官Rob Joyce公布的「美國政府漏洞權益評估政策與流程」(Vulnerabilities Equities Policy and Process for the United States Government)的文件,即是在透明化前提下說明該機制的運作。
 
根據文件,是否該揭露漏洞的決定主要是由權益審查委員會(Equities Review Board, ERB)來核決,該委員會包含商務部(Department of Commerce)、國土安全部(Department of Homeland Security)、國防部(Department of Defense)、能源部(Department of Energy)、特勤局(United States Secret Service)、財務部(Department of the Treasury)、司法部(Department of Justice)、國務院(Department of State)、行政管理和預算局(Office of Management and Budget)、白宮(White House),以及NSA、CIA等單位代表。同時由NSA擔任行政祕書,以便在成員部會意見相左時,協調各方對於漏洞通報進行辯論。而被隱而不宣的漏洞,每年也必須重新討論。此外,新原則也會要求提供包含非機密資訊的VEP年度作業報告,而基於透明原則,這份報告也將呈交國會。

Reference

資料來源:
https://www.wired.com/story/vulnerability-equity-process-charter-transparency-concerns/
https://www.uhwo.hawaii.edu/cyber/the-new-vulnerabilities-equities-policy-and-process-charter/
http://www.cna.com.tw/news/aopl/201711160067-1.aspx
https://www.ithome.com.tw/news/118297
完整準則請參閱:
https://www.whitehouse.gov/sites/whitehouse.gov/files/images/External%20-%20Unclassified%20VEP%20Charter%20FINAL.PDF
國家資通安全會報技術服務中心整理
 

Publish Date
2017/11/24 0:00:00