网络安全知识体系1.1法律法规（四十一）伦理学

2022年5月3日00:57:39评论19 views字数 4420阅读14分44秒阅读模式

13 伦理学

网络安全从业人员经常发现自己处于信任地位，在这些职位上，特殊的知识和技能可能会赋予他们不对称的权力来影响或破坏事务。的客户或其他公众成员。那些在特定客户关系之外行事的人，如产品开发人员和学术研究人员，以可能对各种第三方造成伤害的方式练习特殊技能。从业者的活动经常在闭门造车的情况下进行，远离公众监督的眩光。这是一个不稳定的组合。道德规范可能有助于遏制滥用信任地位或以其他方式对公众构成重大风险的行为。

早期的网络安全道德指南主要侧重于法律风险管理，例如知识产权，数据保护和隐私法下产生的责任。虽然从业者应该了解适用于其行为的法律，但遵守法律本身可能不足以指导从业者采取道德行为。

作为一种通常在没有正式的国家专业监管的情况下进行的做法，很难确定预期适用于活动的可推广规范。由安全从业人员承担。本节将调查一些反复出现的问题和潜在的指导来源。

13.1 对客户的义务

审查受监管专业人员通常对客户承担的一些义务可能会有所帮助，因为社会（和各种新生的专业机构）继续制定方法来履行网络安全从业人员应对其客户承担的义务。

至少，人们可以确定根据合同或侵权法产生的各种谨慎义务，以合理的方式和适当的专业知识开展涉及风险的服务和其他活动。产品设计师同样在侵权法的正常规则下承担各种法律义务。

受监管的专业人员通常应以客户的最佳利益行事，避免利益冲突并保持客户事务的机密性。虽然通过合同肯定地采用这些类型的义务通常是没有争议的，但是当担保从业人员和客户在特定情况下对最适当的行动方案存在分歧时，可能会出现困难。

在向有关第三方非强制性披露证据方面可能会出现挑战。如果从业人员发现不法行为的证据，并且没有额外的法律义务报告该证据，则从业人员和客户可能不同意向有关第三方披露此类证据例如相关警察当局、CERT或侵权受害者。

这些情况可能难以驾驭。在针对客户的经济犯罪证据（例如，小偷小摸）的情况下，客户可能认为公开披露比仅根据内部纪律处理案件更具破坏性。在发现员工通过疏忽等侵权行为伤害第三方的情况下，向受害者披露此证据可能会通过替代行为对客户公司造成财务损害。责任。

当从业者及其客户的利益不一致时，会出现其他困难的情况。例如，一些职业道德体系允许受监管的专业人员披露客户机密信息的某些部分，作为合法收单活动的一部分（例如，通过对与提供机密服务有关的违约行为提起法律诉讼）。此类披露通常必须限于进行收集所必需的信息，并且可能附带向法院寻求适当保护令的义务。

从业者干扰其客户基础设施的正常运行，试图对客户施加不当影响的行为充其量是令人讨厌的，并且在最坏的情况下，可能会越过一条线进入犯罪行为。明示或暗示威胁采取这种行动似乎也好不到哪里去。

网络安全从业者与客户的关系是否会在适当的时候成为正式的国家监管或许可的主题还有待观察。

13.2 行为守则

各种专业机构已经为网络安全从业人员发布了行为准则和道德准则。其中许多涉及高级道德原则，而没有更详细的指导，而这些指导是帮助从业者解释这些原则所必需的。196

下文列举了两个最近经过深思熟虑的行为守则的实例，供审议。一个是作为一般适用性的代码构建的，另一个是围绕定义的业务流程构建的。

计算机协会的历史可以追溯到二十世纪中叶，其全球会员人数超过100，000人。ACM道德和专业行为准则在2018年进行了广泛修订，以考虑数据连接的影响。修订后的ACM准则提供了与网络安全领域相关的多个指导点。ACM还提供补充材料，以帮助理解和应用该准则。

ACM准则清楚地表明了平衡道德要求的困难。在避免伤害的告诫（第1.2节）中，它指出“有一项额外的义务，即报告任何可能导致伤害的系统风险迹象”。虽然《守则》在适当情况下将“举报”作为一种报告技术的可能性，但它也警告说，“反复无常或误导性的风险报告本身可能是有害的。在报告风险之前，计算机专业人员应仔细评估情况的相关方面。

相比之下，CREST于二十一世纪初在英国成立，最初是作为提供渗透测试服务的公司的会员机构。在撰写本文时，它拥有180多家经认可的成员所。渗透测试是公众应该非常关注的服务的典型代表：信息不对称意味着客户通常无法区分良好做法和不良做法，服务是在远离公众监督的情况下秘密提供的，从业者错误可能会对客户或第三方造成不成比例的伤害。CREST合格个人行为准则为与提供这些服务相关的众多主题提供了指导，包括服务方法，道德商业惯例和对客户的义务。CREST准则还提供了客户投诉机制，该组织保留将那些不遵守CREST准则的人驱逐出会员资格的权利。如果客户要求相关服务的供应商保持CREST会员资格，这些授权可能会慢慢地将CREST从纯粹的自愿会员协会转变为提供这些服务的人的实际监管机构。

按照历史标准，网络安全提出了一套相对较新的方法和流程，这些方法和流程充其量只是公众知之甚少。像ACM准则这样的通用代码是有帮助的，因为它们指导了一个具有相关技术专长的人员社区，他们可能在研发或安全管理等不同领域工作。像CREST代码这样的服务特定代码是有帮助的，因为它们清楚地关注特定的高风险服务。随着网络安全从业者活动对公众的影响得到更好的理解，行为准则无疑将继续发展。

13.3 漏洞测试和披露

寻找、发现、披露和采取行动以应对安全漏洞的过程会导致反复出现的道德（和法律）问题。

13.3.1 漏洞测试

测试安全漏洞的从业人员应仔细考虑其活动的性质。仅仅研究和分析对象（如有形硬件产品、本地驻留许可软件或已发布的加密原语和通信协议）的行为通常都是没有争议。很难从单纯的分析行为到公共伤害之间划出因果关系的界限。

但是，从业人员应谨慎考虑所研究的安全对象的来源。例如，对硅芯片进行逆向工程以发现商业秘密加密方案的功能与对具有可疑来源的第三方软件进行逆向工程（体现相同的秘密方法）之间可能存在区别。虽然第一种可能一般允许，但第二种可能构成对商业秘密权利的侵犯，并导致责任或限制发布结果的能力（参见第8.4.2节和注释201中的讨论）。

远程执行漏洞测试时，测试方法可能会引发其他问题。从业人员必须首先认识到，未经授权访问计算机系统的努力通常被定义为犯罪（见第5节）。如《ACM守则》第2.8节所述，“可公开访问的系统本身并不足以暗示授权”。如果从业者正在测试“漏洞赏金”计划，他们应该仔细审查该计划的条款，以确保他们没有超出授权测试活动的范围。

从业人员还应考虑其测试方法对公共或私人基础设施稳定性的潜在影响，包括那些作为测试目标的基础设施以及中介和第三方系统。

13.3.2 漏洞披露

那些发现安全漏洞的人面临着如何处理他们新发现的知识的选择。从不披露到立即向全世界公布每个细节，存在着各种选择。在这两个极端之间，存在着一系列的可能性。

那些没有披露的人出于不同的原因选择这样做。有些人希望不作任何披露，以避免复杂的道德和潜在责任问题。很难将这一立场与ACM准则部分“报告任何可能导致伤害的系统风险迹象”中表达的道德原则相协调。

一些支持国家安全机构的人在决定披露的风险和利益超过维护保密的风险和利益后，可能希望保持漏洞的机密性。這種「股票」平衡過程的倫理是一個持續討論的話題。

选择在没有事先警告任何受影响人员的情况下立即公开披露漏洞的发现者可能会出于各种原因这样做。有些人认为，这是鼓励开发人员进行补救工作的唯一确定方法。有些人不希望投资于下文所述的进行私人和公开披露的耗时过程。一些人担心，与开发商接触会促使法律干预，禁止披露。199很难将这些论点与ACM准则的指导相协调，以尽量减少伤害。

许多从业者遵循一种称为“负责任披露”的原则。我们的想法是首先在保密的基础上向可能能够补救或减轻漏洞影响的个人或一群人披露。一段时间后，发现者可能会进入公开披露的第二阶段。从业者通常认为第二阶段的公开披露是合理的，因为发布将使其他从业者能够研究和避免类似的漏洞，和/或激励产品和服务提供商修复漏洞。

在编写本报告时，似乎没有关于适当进行负责任披露的普遍商定的原则。发散点包括：