审计人员的主要角色之一是掌握可能影响业务的新法律、法规和行业遵从性需求。今年9月,《打击网络侵权和假冒行为法案》(COICA)被提出来考虑,该法案将赋予政府权力,阻止被认为促进盗版、盗窃知识产权和假冒商品的网站的访问。互联网服务提供商将被迫屏蔽像海盗湾和恶魔这样的网站,这将使司法部长和美国法院能够确定一个特定网站的意图,以及是否允许美国公民访问该网站。如果You Tube有用户提交的受版权保护的材料,它可能会根据这项法律被屏蔽。这在很多层面上都给我敲响了警钟。首先,我们看到国土安全部(Department of Homeland Securities)试图阻止一些人乘坐航空运输,用布鲁斯•施尼耶(Bruce Schnier)的话来说,这些人“太危险了,不能让他们坐飞机,但又没有危险到可以逮捕他们”。奶奶和孩子已经被列入臭名昭著的“禁飞名单”,需要付出巨大的努力和古老的西藏仪式才能被移除。如果这是政府将如何处理“禁止访问”网站列表的迹象,我有一种感觉,我们正处于艰难时期,因为技术人员试图在互联网上开展业务,安全研究人员试图揭示潜在的漏洞。法院系统可能成为拒绝服务的最终形式!
“黑名单”的概念并不新鲜。多年来,安全意识强的公司一直在限制对未分配或保留的互联网地址空间的访问,并经常在路由器上使用访问控制列表(Bogon lists)滥用网络地址。这与网关上的URL过滤一起提供了一种合理的机制,用于在组织内实施策略和遵从性。在思科,这些功能通过基于声誉的过滤功能得到了进一步的增强,该功能可以跟踪已知的恶意网站或承载恶意软件的不断变化的网址,作为一种机制,以解决这些“坏网站”的“打地鼠”性质。作为过滤机制的声誉已经被集成到思科的IPS、ASA和Ironport网络安全设备中。这些产品的目的是作为一种手段,为公司执行可接受的用户使用政策,这将允许企业遵守这样的法律。对这些不良网站的追踪是通过遍布全球的数千个网络设备完成的。为了识别这些“侵权网站”,政府是否进入互联网监视和监控业务或花费巨额金钱让法院添加和删除这些屏蔽名单上的网站?在我看来,这可不是在好好利用纳税人的钱。
如果政府真的走这条路,它将给服务提供商带来巨大的负担,并创造一个没有人真正想要的互联网警察。谁来负责识别恶意网站?国土安全部吗?如果一个公司的网站或服务被列在这个名单上,或者被勒令停止,那么该公司有什么追索权?上网时间以毫秒为单位;开庭时间以月或年计算。单是时间上的滞后就能扼杀一个企业。幸运的是,这项法案还没有成为法律,让我们有时间告诉我们的代表我们对这些措施可能产生的影响的想法。欲了解更多有关这项拟议法律的信息,以及查阅你可签署的阻止这项法案的请愿书,请浏览以下连结:
http://demandprogress.org/blacklist/
你觉得呢?政府的工作是过滤我们的互联网接入和警察网站吗?