美國眾議院情報委員會的年度情報法案正盯上一個計劃,那就是由聯邦政府披露的網絡漏洞。
該法案在七月份以14比1的票數通過,要求美國情報委員會的每個部門領導向國會提交一份報告詳細闡述該計劃,并列出標準以判斷漏洞是否需要提交并接受VEP(Vulnerabilities Equities Process)審查。
VEP項目:
由奧巴馬政府創立的VEP項目,是政府的漏洞披露平臺,這些漏洞既有公眾披露的,也有網絡安全部門披露的。政府持有這些被曝光的漏洞(包括零日漏洞),作為收集目標情報的一種手段。VEP目前還僅限于一項政策,政府已經引入立法將其完善。
報告的相關要求
這些在美國眾議院情報委員會法案中作為概述出現的報告會提交給美國國會,報告本身或許不屬于加密文件,但卻可能包含機密內容。
此外,該法案指定了美國國家情報局的負責人每年至少要提交一份報告,詳述過去一年情報委員會提交的漏洞總量供審查,以及有多少漏洞披露給了需負責漏洞修復的廠商;有多少漏洞自上一次披露以來被修復,有多少自漏洞曝光180天以來尚未被修復。
同樣,美國白宮情報委員會的年度情報法案也要求出具網絡漏洞的報告。
一些全球網絡事件涉嫌利用從NSA竊取的漏洞制造混亂。政府持有這些曝光的漏洞作為獲取目標情報的一種方式。專家以及現任和前任政府官員都認為持有這些漏洞對于保障國家安全具有重要意義。但公民自由論者和私營IT公司則認為政府持有這些漏洞反而創造了一種危險的環境。
漏洞懸賞
美國眾議院情報委員會的這項法案還在政府內部解決了漏洞獎勵的問題,這個問題對于硅谷和私企而言是一個相對較新但又熟悉的事物,因為他們都會在公司內部設置漏洞賞金。
美國國防部設立了一個名為“黑入五角大樓”的賞金計劃,而后陸軍和空軍也紛紛效仿。
美國眾議院情報委員會的法案要求負責美國國土安全部的情報和分析的副部長提交一份戰略性計劃,以便在政府內部合適的機構中部署漏洞賞金計劃。
該報告還要對“黑入五角大樓”計劃和私企賞金計劃的有效性以及啟動賞金計劃的可行性做出評估。
京公網安備 11010502049343號