美国政府正准备修订其保护联邦政府网络的战略规划,以抵御由外国政府和犯罪分子所发起的如潮水般的黑客攻击。和之前主要关注于巩固数千个政府文职机构的外部互联网连接不同,白宫管理和预算办公室目前正在指导政府部门部署一组标准的安全工具和处理流程,以巩固所有的互联网连接。
这种变化对于2007年11月由布什政府颁布的可信任互联网连接(TIC)方案来说,指明了一种新的方向。布什政府最初的目标是要减少文职机构的外部互联网连接数量,计划从8000多个连接入口减少到50个。而在余下的这些外部入口处,则部署标准的安全软件,包括防病毒软件、防火墙、入侵检测和流量监控等,而奥巴马政府则改变了TIC方案的重点,更加关注安全控制而不是网络的整固。
Qwest政府服务部的副总裁Diana Gowen证实,美国国防部已经制订了一项持续的采购计划,将在全球购买超过4000个互联网连接入口。“很显然,本届政府的关注点并不在整合上,”她说,联邦政府各部门一方面承受着巨大压力,要在2010年满足TIC方案的要求,另一方面,他们也在听取国土安全部的爱因斯坦软件所带来的好处,据说后者可以提供另外一层的网络防御。
重新排序优先顺序
TIC方案的设想是要减少由政府各机构自行管理的外部互联网入口数量,并对保留下来的入口建立基准的安全行为策略,将各机构的流量迁移到经过核准的入口上来。
“我们所做的并非要改变原先的目标,只是需要重新排定一下目标的实现顺序,”国土安全部(DHS)负责网络和基础设施安全的程序经理Sean Donelan说。“我们谈论的是首先要为所有经核准的TIC入口建立基准的安全行为……然后所有机构的连接性都将通过这些入口来进行。”
Donelan承认,这些日子以来他们较少关注网络的整合,而更多讨论的是安全行为。
“我们正试图将重点从连接数量上挪开,”Donelan解释说。“整合依然是目标,依然是计划的一部分。只不过不是要简单地减少连接数量而已。”
Donelan预计,到2010年底,会有超过半数的政府文职机构的网络流量都将通过遵从TIC方案的入口。
“我们将继续与各部门合作,争取在某个时间点上做到70%、80%或90%的流量都经由符合TIC要求的入口,”Donelan说,不过这一转移进程可能要花费3到5年时间。“有时候,有些较大型的传统应用可能不得不加以改变。”
Donelan称,联邦政府所管理的外部互联网连接数量问题和安全的入口相比,重要性要低一些。
“我们不要只关注数量问题,而是要关注安全的联邦网络的使命,”Donelan说。“即便我们把外部互联网连接减少到50个或者100个,这个数目也会随着各机构职能的变化而随之增加或者减少。”
TIC方案中未经奥巴马政府修订的一个方面就是仍将继续关注各项网络安全服务的部署。
大部分政府机构已经部署了符合TIC要求的防病毒和其他安全软件。但是TIC方案要求这些软件进行统一部署,时间印记和标准注册程序同步。
TIC方案还将会给美国计算机应急处理小组(US-CERT)提供有关网络攻击的常规信息。
TIC方案或许不能监测到或者消除所有的黑客攻击企图。例如它就不能防范DDoS攻击,但是它所提供的额外的网络安全服务层和它所施用的一致性方法将会帮助政府部门封锁基于邮件的攻击,例如病毒、蠕虫和恶意软件等。
Donelan认为,TIC方案最基本的益处就是可以达成政府范围内一致的处境意识。
“没有哪个单独部门是可以自己去完成一切事情的,尤其是当我们在处理安全威胁环境这一类事件的时候,”Donelan说。“即便是设备最先进的部门,有时候也会看不到攻击的威胁。”