美國(guó)聯(lián)邦政府如何保護(hù)互聯(lián)網(wǎng)安全？

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

摸底排查

美國(guó)聯(lián)邦政府正通過一項(xiàng)目標(biāo)宏偉、步伐快速的計(jì)劃，取消容易受到攻擊的互聯(lián)網(wǎng)連接，保護(hù)網(wǎng)絡(luò)安全。

在過去的九個(gè)月里，聯(lián)邦政府把自己運(yùn)營(yíng)的外部網(wǎng)絡(luò)連接的數(shù)量從8000多條減少到約2700條。到明年，聯(lián)邦政府計(jì)劃減少到不足100條，其中許多連接由多個(gè)政府部門共享。專家們表示，私營(yíng)部門的大公司最好也能仿效這種做法。

美國(guó)聯(lián)邦政府剩余的互聯(lián)網(wǎng)接入點(diǎn)將采用最先進(jìn)的安全策略和托管安全服務(wù)，包括反病毒、防火墻、入侵檢測(cè)和流量監(jiān)控等。

布什政府官員表示，這項(xiàng)整合工作將幫助政府部門防御一大批病毒、蠕蟲、拒絕服務(wù)攻擊及其他攻擊；同時(shí)在黑客突破了多層防御機(jī)制后，還能增強(qiáng)響應(yīng)能力。

行政管理和預(yù)算局（OMB）的電子政務(wù)和IT管理員Karen Evans說：“這將減小我們面臨的風(fēng)險(xiǎn)。我們會(huì)更加清楚地意識(shí)到網(wǎng)絡(luò)上出現(xiàn)的情況，那樣就能采取相應(yīng)行動(dòng)，有助于增強(qiáng)美國(guó)公眾對(duì)我們的信任：我們?cè)诒Ｗo(hù)他們的信息。”

OMB在去年11月宣布了可信互聯(lián)網(wǎng)連接（TIC）計(jì)劃。它結(jié)合了另外幾項(xiàng)旨在增強(qiáng)網(wǎng)絡(luò)安全的政府計(jì)劃，包括對(duì)筆記本電腦上的數(shù)據(jù)進(jìn)行加密、讓政府部門改用標(biāo)準(zhǔn)的桌面操作系統(tǒng)配置。

美國(guó)各大運(yùn)營(yíng)商AT&T、Level 3、Qwest、Sprint和Verizon在起草定于8月中旬提交的方案，為剩余的互聯(lián)網(wǎng)網(wǎng)關(guān)提供托管安全服務(wù)。美國(guó)政府計(jì)劃在11月把合同授予部分或者所有這些運(yùn)營(yíng)商，以支持TIC計(jì)劃。

Qwest政府服務(wù)公司的高級(jí)副總裁兼總經(jīng)理Diana Gowen說：“聯(lián)邦政府遭到了外國(guó)機(jī)構(gòu)發(fā)動(dòng)的一系列網(wǎng)絡(luò)攻擊，它需要采取相當(dāng)快的行動(dòng)。這整個(gè)TIC計(jì)劃已促使安全方面不如情報(bào)部門和國(guó)防部來得精通的民間部門切實(shí)加強(qiáng)安全工作。”

Verizon聯(lián)邦服務(wù)公司的副總裁Susan Zeleniak說：“要是管理不善，互聯(lián)網(wǎng)接入會(huì)帶來安全風(fēng)險(xiǎn)。政府在尋找一種辦法來整合互聯(lián)網(wǎng)接入，以便更簡(jiǎn)單、更有效地采取適當(dāng)?shù)陌踩袆?dòng)……政府會(huì)立馬看到這項(xiàng)工作帶來的成效?！?/P>

不管誰在11月贏得總統(tǒng)大選，行業(yè)觀察人士預(yù)計(jì)TIC計(jì)劃都會(huì)繼續(xù)開展下去。市場(chǎng)研究公司FedSources的高級(jí)副總裁Ray Bjorklund說：“網(wǎng)絡(luò)安全是極其重要的一個(gè)問題，不僅涉及政府部門，還涉及整個(gè)經(jīng)濟(jì)。每個(gè)人都認(rèn)識(shí)到，現(xiàn)在外頭有眾多威脅。存在的故障點(diǎn)越多，出現(xiàn)故障的可能性就越大。TIC計(jì)劃很有必要?！?/P>

摸底排查

TIC計(jì)劃要求政府部門對(duì)網(wǎng)絡(luò)進(jìn)行摸底排查，查明現(xiàn)有的公共互聯(lián)網(wǎng)連接以及值得信任的商業(yè)合作伙伴。政府部門如今制訂了計(jì)劃，把接入點(diǎn)合并成為兩三個(gè)；或者與比較大的部門共享互聯(lián)網(wǎng)接入點(diǎn)。

Evans表示，OMB驚訝地發(fā)現(xiàn)：聯(lián)邦政府的外部網(wǎng)絡(luò)連接居然有8000多條――比預(yù)計(jì)的大概多出一倍。連接數(shù)量這么多，是因?yàn)槌嘶ヂ?lián)網(wǎng)連接，還包括與銀行等商業(yè)合作伙伴相連接的網(wǎng)關(guān)。

她說：“我們?cè)詾橥獠窟B接會(huì)在4000條或者5000條。我們很快把數(shù)量減少至4500條，因?yàn)樗胁块T都在開展IT整合工作?！?/P>

OMB希望2009年12月之前數(shù)量能控制在100條以下。OMB最初希望把互聯(lián)網(wǎng)接入點(diǎn)的數(shù)量控制在50個(gè)以下，但后來發(fā)現(xiàn)這個(gè)要求太高了。

Evans說：“大型政府部門大多在采用兩個(gè)接入點(diǎn)，但有些部門由于工作原因需要兩個(gè)以上的接入點(diǎn)?！彼硎?，把政府部門的互聯(lián)網(wǎng)接入點(diǎn)減少至100個(gè)以下是切實(shí)可行的。她說：“OMB、國(guó)土安全部以及服務(wù)提供商們認(rèn)為，從技術(shù)層面來講，這沒有理由做不到。眼下我們要做的就是清查每個(gè)部門的接入點(diǎn)，確保它們都有冗余、彈性和故障切換機(jī)制?！?/P>

OMB表示，剩余的互聯(lián)網(wǎng)網(wǎng)關(guān)會(huì)采用一套標(biāo)準(zhǔn)的軟件工具，這有望加快安全補(bǔ)丁工作。

Evans說：“如果你有標(biāo)準(zhǔn)化的配置，就能步調(diào)一致地部署及監(jiān)控。反對(duì)TIC的主要觀點(diǎn)之一就是，每個(gè)人都知道你采用了標(biāo)準(zhǔn)化配置，這些接入點(diǎn)因而成了攻擊目標(biāo)。不過，配置方面需要你投入大量資源，包括具有分析能力的人員；一旦其中一個(gè)接入點(diǎn)出了問題，他們就要采取相應(yīng)的行動(dòng)?！?/P>

專家們表示，TIC計(jì)劃的主要優(yōu)點(diǎn)是實(shí)現(xiàn)了聯(lián)邦安全環(huán)境的一致性。AT&T公司Networx項(xiàng)目辦公室的執(zhí)行主管Jeff Mohan說：“TIC帶來的一大驚訝發(fā)現(xiàn)就是，整個(gè)政府部門之前沒有統(tǒng)一實(shí)施嚴(yán)格的控制措施。有些部門的控制非常嚴(yán)，而有些部門根本沒弄清楚自己有多少個(gè)接入點(diǎn)……現(xiàn)在普遍認(rèn)識(shí)到網(wǎng)絡(luò)安全是每個(gè)人的使命?！?/P>

Mohan表示，TIC計(jì)劃已幫助各部門發(fā)現(xiàn)及關(guān)閉連接到互聯(lián)網(wǎng)的未授權(quán)門戶。他說：“這也促使各部門可能換一個(gè)稍有不同的角度看待網(wǎng)絡(luò)架構(gòu)、看待自己在如何通過公共互聯(lián)網(wǎng)與市民進(jìn)行雙向聯(lián)系。進(jìn)出互聯(lián)網(wǎng)的門戶各有一個(gè)，可以進(jìn)行負(fù)載均衡，并獲得有效的控制和陷阱統(tǒng)計(jì)機(jī)制。”

除了互聯(lián)網(wǎng)接入點(diǎn)的標(biāo)準(zhǔn)化配置外，運(yùn)營(yíng)商還將提供全天候的托管安全服務(wù)，如預(yù)測(cè)流量分析、事件響應(yīng)和攻擊后取證等服務(wù)。

Evans表示，聯(lián)邦政府將得益于把互聯(lián)網(wǎng)連接安全外包給運(yùn)營(yíng)商的做法，因?yàn)檫\(yùn)營(yíng)商在這方面更有專長(zhǎng)。他說：“因?yàn)檎块T有接入提供商在看管自己的對(duì)外流量，它們可以把更多精力放在提高安全的內(nèi)部工作上。它們可以維護(hù)日志、查看誰在訪問哪些信息；還可以把分析能力和技能組合運(yùn)用于內(nèi)部威脅?！?/P>

所有剩余的互聯(lián)網(wǎng)網(wǎng)關(guān)還會(huì)配上傳感器，與聯(lián)邦政府的“愛因斯坦計(jì)劃”相銜接，從而可以監(jiān)控及分析網(wǎng)絡(luò)流量，查明聯(lián)邦政府網(wǎng)絡(luò)上的未授權(quán)用戶和軟件。這些傳感器再把數(shù)據(jù)饋送到設(shè)在卡內(nèi)基?梅隆大學(xué)的美國(guó)計(jì)算機(jī)緊急響應(yīng)小組。