美国联邦政府如何保护互联网安全？

申请免费试用、咨询电话：400-8352-114

摸底排查

美国联邦政府正通过一项目标宏伟、步伐快速的计划，取消容易受到攻击的互联网连接，保护网络安全。

在过去的九个月里，联邦政府把自己运营的外部网络连接的数量从8000多条减少到约2700条。到明年，联邦政府计划减少到不足100条，其中许多连接由多个政府部门共享。专家们表示，私营部门的大公司最好也能仿效这种做法。

美国联邦政府剩余的互联网接入点将采用最先进的安全策略和托管安全服务，包括反病毒、防火墙、入侵检测和流量监控等。

布什政府官员表示，这项整合工作将帮助政府部门防御一大批病毒、蠕虫、拒绝服务攻击及其他攻击；同时在黑客突破了多层防御机制后，还能增强响应能力。

行政管理和预算局（OMB）的电子政务和IT管理员Karen Evans说：“这将减小我们面临的风险。我们会更加清楚地意识到网络上出现的情况，那样就能采取相应行动，有助于增强美国公众对我们的信任：我们在保护他们的信息。”

OMB在去年11月宣布了可信互联网连接（TIC）计划。它结合了另外几项旨在增强网络安全的政府计划，包括对笔记本电脑上的数据进行加密、让政府部门改用标准的桌面操作系统配置。

美国各大运营商AT&T、Level 3、Qwest、Sprint和Verizon在起草定于8月中旬提交的方案，为剩余的互联网网关提供托管安全服务。美国政府计划在11月把合同授予部分或者所有这些运营商，以支持TIC计划。

Qwest政府服务公司的高级副总裁兼总经理Diana Gowen说：“联邦政府遭到了外国机构发动的一系列网络攻击，它需要采取相当快的行动。这整个TIC计划已促使安全方面不如情报部门和国防部来得精通的民间部门切实加强安全工作。”

Verizon联邦服务公司的副总裁Susan Zeleniak说：“要是管理不善，互联网接入会带来安全风险。政府在寻找一种办法来整合互联网接入，以便更简单、更有效地采取适当的安全行动……政府会立马看到这项工作带来的成效。”

不管谁在11月赢得总统大选，行业观察人士预计TIC计划都会继续开展下去。市场研究公司FedSources的高级副总裁Ray Bjorklund说：“网络安全是极其重要的一个问题，不仅涉及政府部门，还涉及整个经济。每个人都认识到，现在外头有众多威胁。存在的故障点越多，出现故障的可能性就越大。TIC计划很有必要。”

摸底排查

TIC计划要求政府部门对网络进行摸底排查，查明现有的公共互联网连接以及值得信任的商业合作伙伴。政府部门如今制订了计划，把接入点合并成为两三个；或者与比较大的部门共享互联网接入点。

Evans表示，OMB惊讶地发现：联邦政府的外部网络连接居然有8000多条――比预计的大概多出一倍。连接数量这么多，是因为除了互联网连接，还包括与银行等商业合作伙伴相连接的网关。

她说：“我们原以为外部连接会在4000条或者5000条。我们很快把数量减少至4500条，因为所有部门都在开展IT整合工作。”

OMB希望2009年12月之前数量能控制在100条以下。OMB最初希望把互联网接入点的数量控制在50个以下，但后来发现这个要求太高了。

Evans说：“大型政府部门大多在采用两个接入点，但有些部门由于工作原因需要两个以上的接入点。”她表示，把政府部门的互联网接入点减少至100个以下是切实可行的。她说：“OMB、国土安全部以及服务提供商们认为，从技术层面来讲，这没有理由做不到。眼下我们要做的就是清查每个部门的接入点，确保它们都有冗余、弹性和故障切换机制。”

OMB表示，剩余的互联网网关会采用一套标准的软件工具，这有望加快安全补丁工作。

Evans说：“如果你有标准化的配置，就能步调一致地部署及监控。反对TIC的主要观点之一就是，每个人都知道你采用了标准化配置，这些接入点因而成了攻击目标。不过，配置方面需要你投入大量资源，包括具有分析能力的人员；一旦其中一个接入点出了问题，他们就要采取相应的行动。”

专家们表示，TIC计划的主要优点是实现了联邦安全环境的一致性。AT&T公司Networx项目办公室的执行主管Jeff Mohan说：“TIC带来的一大惊讶发现就是，整个政府部门之前没有统一实施严格的控制措施。有些部门的控制非常严，而有些部门根本没弄清楚自己有多少个接入点……现在普遍认识到网络安全是每个人的使命。”

Mohan表示，TIC计划已帮助各部门发现及关闭连接到互联网的未授权门户。他说：“这也促使各部门可能换一个稍有不同的角度看待网络架构、看待自己在如何通过公共互联网与市民进行双向联系。进出互联网的门户各有一个，可以进行负载均衡，并获得有效的控制和陷阱统计机制。”

除了互联网接入点的标准化配置外，运营商还将提供全天候的托管安全服务，如预测流量分析、事件响应和攻击后取证等服务。

Evans表示，联邦政府将得益于把互联网连接安全外包给运营商的做法，因为运营商在这方面更有专长。他说：“因为政府部门有接入提供商在看管自己的对外流量，它们可以把更多精力放在提高安全的内部工作上。它们可以维护日志、查看谁在访问哪些信息；还可以把分析能力和技能组合运用于内部威胁。”

所有剩余的互联网网关还会配上传感器，与联邦政府的“爱因斯坦计划”相衔接，从而可以监控及分析网络流量，查明联邦政府网络上的未授权用户和软件。这些传感器再把数据馈送到设在卡内基?梅隆大学的美国计算机紧急响应小组。