目前，當企業(yè)遭到安全突破的時候，他們面臨一個核心的進退兩難的問題：告訴世界并且希望這種誠實會幫助其他人，或者掩蓋這個秘密以避免破壞公司品牌和可能的法律訴訟。業(yè)界專家對此展開了爭論。從以下爭論的觀點中可以看到有一個問題是明確的：現(xiàn)在是政府消除這個等式中的疑問的時候了。

觀點1：披露安全漏洞信息是保護我們自己的重要的第一步

Fidelis公司總裁兼首席執(zhí)行官彼得·喬治(PeterGeorge)發(fā)表如下觀點稱，是的，應該要求企業(yè)共享安全漏洞信息。這是保護企業(yè)的第一步。

在網(wǎng)絡世界，我們有一系列較小的報警信號。我們并不需要出現(xiàn)珍珠港式的暴雨性襲擊之后才開始防范。

在2011年5月，五位民主黨參議員聯(lián)名寫信給美國證券交易委員會主席瑪莉·夏皮羅(MarySchapiro)，提出了一項動議，要求企業(yè)披露他們的網(wǎng)絡風險，意圖在于保護投資者。通過披露安全漏洞信息可以讓投資者做出更符合實際的決策。“對于安全漏洞，我們需要類似的要求以幫助加強我們的防御。”

最近的安全漏洞是有針對性的攻擊結(jié)果。這種攻擊首先是注入惡意軟件進行初步感染。一旦進入系統(tǒng)，這個程序就開始呼叫指揮與控制系統(tǒng)，然后進入企業(yè)，感染更多的主機并且尋求更高水平的權限和直接訪問有價值的信息。目前信息是在網(wǎng)絡周圍分階段的和悄悄地竊取的。

按照定義，有針對性的攻擊是獨特的、專門設計的滲透到企業(yè)并且竊取信息的攻擊。但是，這種攻擊都采取類似方式并且會留下一些痕跡。收集這些痕跡，我們就能夠跟蹤這些腳印，監(jiān)視壞人使用的路徑。但是，我們需要共享每一次安全漏洞的信息以防止未來的攻擊。

因為潛在的經(jīng)濟利益，我們知道，即使我們阻止一個攻擊，這個攻擊還會轉(zhuǎn)向另一個目標。對付這些敵人的唯一方法是采取防御措施。這就需要共享有關攻擊的知識。這種知識共享必須擴展到聯(lián)邦機構和私營部門。

作為一個初步步驟，美國政府需要創(chuàng)建一個信息交換中心。如果企業(yè)同意遵守一套嚴格的報告要求就可以訪問這些信息。我們還需要強制規(guī)定企業(yè)向這個信息交換中心提供有關網(wǎng)絡安全漏洞信息。所有這些信息將集中匯總，并且將制定一個溝通和協(xié)作的流程以便跟蹤在一個企業(yè)網(wǎng)絡中的每一個國外的腳印。

企業(yè)應該披露網(wǎng)絡入侵和這種入侵的法律證據(jù)。這對于防止這些攻擊破壞我們的企業(yè)的生存能力和我們的國家安全利益是非常重要的。

雖然聯(lián)邦政府和私營企業(yè)的合作已經(jīng)有一段時間，但是，這種協(xié)作需要標準化。目前，政府可能警告一個企業(yè)有關可疑的活動，讓企業(yè)發(fā)現(xiàn)在其網(wǎng)絡上在發(fā)生什么事情。但是，沒有要求企業(yè)證實這個活動和共享企業(yè)所了解的信息。

2011年將是值得紀念的，因為Anonymous、LulzSec和黑客合伙采取了行動。黑客組織是聰明的。他們相互協(xié)作。我們也需要這樣做。

雖然在這方面看到團隊的協(xié)作是令人興奮的，但是，現(xiàn)在是把這種努力放在動議中的時候了。現(xiàn)在，壞人擁有優(yōu)勢。

改變這種力量的平衡需要更好的協(xié)作，共享信息并且通過技術創(chuàng)新和改善流程達到更好的安全態(tài)勢。我們不能再把安全突破看作是單獨的威脅。作為更大的難題的一部分，這些單獨的威脅總有一天會使我們能在這些威脅進入我們的網(wǎng)絡之前就發(fā)現(xiàn)它們。

珍珠港是一個典型事件，證明了需要共享軍事情報的重要性。美國政府事后認識到，這個獨立的事件是重大情報過失的結(jié)果：誤導的分析、協(xié)作的漏洞和敵人提供虛假信息進行欺騙等綜合因素的結(jié)果。

我們可以找到一些蛛絲馬跡，因此，我們不能坐以待斃。采用適當?shù)姆治觥⑿畔⒑蛥f(xié)作等措施可以防止數(shù)據(jù)突破。共享信息是理解和防止未來突破的第一步。

自從2002年以來，F(xiàn)idelis安全系統(tǒng)一直向機構提供控制高級威脅和防止數(shù)據(jù)突破所需要的網(wǎng)絡可見性、分析和控制。

觀點2：除非不得已，不要披露數(shù)據(jù)漏洞

Lieberman軟件公司總裁兼CEO菲利普·利伯曼(PhilipLieberman)提出了上述觀點。他說，如果一個企業(yè)要采取符合股東利益的行動，共享安全突破的細節(jié)沒有任何好處，除非法律要求披露這些信息或者披露這些信息會減少客戶、合作伙伴或者其他人的金融損失。至于披露安全突破的受托人責任，這仍然是法律的一個灰色區(qū)域。

如果披露安全突破信息將導致降低企業(yè)聲譽或者引起罰款以及管理機構和行業(yè)組織的制裁，披露你的數(shù)據(jù)突破事件的細節(jié)會損害股東的價值。如果披露數(shù)據(jù)突破信息引起對該公司企業(yè)治理的疑問，這樣的披露信息會阻止企業(yè)使用私有部門或者公共部門的資本。這種披露信息也許還會引起不重要的以及有充分根據(jù)的法律訴訟。

最近的重要新聞證明，任何機構都可能成為受害者，無論這些機構是否事先曾投資安全。由于目前許多引人矚目的攻擊的動機似乎都是政治、貪婪和自私等因素，披露這些信息可能引起更多的攻擊。

向企業(yè)提供一個明確的報告安全突破的指南是美國政府的事情。這種報告的目的應該是向執(zhí)法部門提供情報，幫助逮捕入侵者和起訴這種犯罪。另一個目的是適當?shù)爻袚踩黄频呢熑危贿M一步危害企業(yè)及其客戶。

檢察官似乎錯誤地認為保護隱私數(shù)據(jù)是企業(yè)的權利范圍內(nèi)的事情。實際上，目前的企業(yè)都期待著采用一個能夠抵御所有攻擊者入侵的防御措施。但是，沒有一種措施證明能夠擊敗一切入侵者。

解決方案

聯(lián)邦政府曾提出一些規(guī)則。根據(jù)這些規(guī)則，如果企業(yè)通知執(zhí)法部門有關安全突破事件并且?guī)椭东@和起訴入侵者，企業(yè)會免除起訴。

州和聯(lián)邦政府還應該做更好的工作，發(fā)布具體的和操作的安全標準，幫助保護遵守法規(guī)的企業(yè)避免受到攻擊。

共識審計指南(ConsensusAuditGuidelines)等發(fā)展中的標準是一個開端。最近的美國證券交易委員會的指南是鼓舞人心的。然而，到目前為止，聯(lián)邦和州政府幾乎沒有做任何事情來推廣類似的標準。

對于企業(yè)來說，缺少可操作的、明確的網(wǎng)絡安全標準意味著什么都不做和做一切可能做的事情在信息技術行業(yè)的司法裁決中都是一樣的。

缺乏可操作的企業(yè)安全要求，以及沒有一個披露數(shù)據(jù)突破并且配合調(diào)查的企業(yè)的安全港，就產(chǎn)生了這樣一種環(huán)境。在這個環(huán)境中，除了法律要求的信息之外，披露任何多余的信息對于企業(yè)都是不利的。事實上，一位企業(yè)官員披露了超過法律最低要求的信息會被認為是忽略了機構對于股東的責任。

現(xiàn)在是聯(lián)邦政府發(fā)布其指南的時候了。聯(lián)邦政府應發(fā)布企業(yè)披露安全突破信息的指南，規(guī)定企業(yè)如何通過做正確的事情使自己免于起訴。

利伯曼說，我認為，起訴那些已經(jīng)采取合理的措施保護自己的系統(tǒng)的公司(無論是公共的還是私營的行動)是非建設性的和傷腦筋的事情。但是，在模糊的指南仍在起作用的時候，要阻止檢察官把事情搞亂是不可能的。

現(xiàn)在是聯(lián)邦政府告訴那些不擇手段的律師應該如何做的時候了。這些律師的抨擊使一些企業(yè)破產(chǎn)。應該允許企業(yè)披露安全突破信息而不受到懲罰。然而，企業(yè)現(xiàn)在不應該共享安全突破信息。

Lieberman軟件向全球用戶提供有權限的身份管理和安全管理解決方案，其中包括40%的財富50強企業(yè)。