向美國國家網(wǎng)絡(luò)安全計(jì)劃取經(jīng)
據(jù)美國網(wǎng)絡(luò)可視化供應(yīng)商Lumeta公司的首席運(yùn)營(yíng)官M(fèi)ichael Markulec稱,正在進(jìn)行的美國國家網(wǎng)絡(luò)安全計(jì)劃包括“可信互聯(lián)網(wǎng)連接(Trusted Internet Connection,TIC)計(jì)劃”和“愛因斯坦計(jì)劃”,為私營(yíng)企業(yè)實(shí)現(xiàn)網(wǎng)絡(luò)防御提供了路線圖。Markulec表示,網(wǎng)絡(luò)基礎(chǔ)設(shè)施屬于美國國家關(guān)鍵基礎(chǔ)設(shè)施的公司將可能執(zhí)行該計(jì)劃。在此次廣泛深入的采訪中,Markulec剖析了是否應(yīng)該使用深度包檢測(cè)來清除惡意流量、云計(jì)算如何改變企業(yè)部署網(wǎng)絡(luò)防御的方式以及利用所謂的端到端加密是否能夠真正保護(hù)信用卡資料等問題。Markulec認(rèn)為,良好的網(wǎng)絡(luò)安全仍可歸結(jié)為基本的深度防御方法。以下為訪談內(nèi)容:
您參與了美國“可信互聯(lián)網(wǎng)連接計(jì)劃”中的國家網(wǎng)絡(luò)安全項(xiàng)目,您對(duì)白宮解密“國家網(wǎng)絡(luò)安全綜合計(jì)劃(Comprehensive National Cybersecurity Initiative,CNCI)”行動(dòng)綱要有何評(píng)論?
Michael Markulec:很高興能看到白宮解密CNCI。因?yàn)?5%的關(guān)鍵基礎(chǔ)設(shè)施掌握在私營(yíng)企業(yè)手中,如果要解決關(guān)鍵基礎(chǔ)設(shè)施問題,我們確實(shí)需要建立一種大家都可以利用的合作關(guān)系。Lumeta公司已經(jīng)獲得了許可,并與我們的一些客戶在其機(jī)密網(wǎng)絡(luò)上開展合作。人們可能希望這一計(jì)劃能夠囊括最先進(jìn)的技術(shù),我認(rèn)為安全計(jì)劃的部分解密可以實(shí)現(xiàn)這一目標(biāo)。
具體到TIC計(jì)劃,美國政府正試圖將互聯(lián)網(wǎng)接入點(diǎn)的數(shù)量減少到可管理的程度。這一提議并沒有什么新意,許多企業(yè)組織在過去數(shù)年來一直都是這樣做的。政府網(wǎng)絡(luò)是一種獨(dú)特的網(wǎng)絡(luò),因?yàn)檎霓k事機(jī)構(gòu)遍布全國各地。政府網(wǎng)絡(luò)涵蓋了你能想到的一切機(jī)構(gòu),從科羅拉多大峽谷的護(hù)林站到退伍軍人醫(yī)療中心再到軍事基地,包含了成千上萬的互聯(lián)網(wǎng)鏈。TIC計(jì)劃旨在將互聯(lián)網(wǎng)接入點(diǎn)的數(shù)量減少到可管理的程度,從而可以監(jiān)控這些網(wǎng)關(guān),以確保政府部門能夠識(shí)別進(jìn)出政府網(wǎng)絡(luò)的流量。我認(rèn)為許多部門已經(jīng)在整合網(wǎng)絡(luò)接入點(diǎn)方面取得了進(jìn)展,而我們現(xiàn)在要做的是仔細(xì)檢查這些可靠的連接。
從已披露的信息來看,“愛因斯坦計(jì)劃”有哪些令您感興趣的地方?
Markulec:事實(shí)上,“愛因斯坦3計(jì)劃”是要監(jiān)控政府網(wǎng)絡(luò)連接,以分析進(jìn)出政府網(wǎng)絡(luò)的流量。雖然“愛因斯坦計(jì)劃”的具體內(nèi)容尚未公布,但是大家都認(rèn)為,它將以線速對(duì)數(shù)據(jù)包進(jìn)行深度檢測(cè),以查看數(shù)據(jù)包的實(shí)際內(nèi)容。因此,我認(rèn)為“愛因斯坦計(jì)劃”是控制對(duì)政府機(jī)密數(shù)據(jù)訪問的一個(gè)重要組成部分。
在今年的RSA大會(huì)上,隱私小組的一些專家提出,應(yīng)該允許政府授權(quán)互聯(lián)網(wǎng)服務(wù)提供商(ISP)進(jìn)行深度包檢測(cè)并清除惡意和非法的流量,您對(duì)此有何看法?
Markulec:政府管理和監(jiān)控他們自己的網(wǎng)絡(luò),當(dāng)然有權(quán)在自己的網(wǎng)絡(luò)上這樣做。如果打算在ISP級(jí)檢測(cè)數(shù)據(jù)包,當(dāng)然會(huì)涉及到隱私問題。但我們同時(shí)也要看到,僵尸網(wǎng)絡(luò)、木馬、蠕蟲病毒以及其他的一般性非法程序在網(wǎng)絡(luò)上大行其道。因此,從理論上講,用戶也會(huì)希望ISP能夠過濾這些惡意流量。我理解關(guān)于ISP閱讀電子郵件的隱私問題。但我認(rèn)為,當(dāng)談到像拒絕服務(wù)攻擊(DoS)這樣的流量時(shí),很明顯你將會(huì)保持中間立場(chǎng);顯而易見的是,ISP具有監(jiān)控這種流量的工具。為什么不干脆清除這些流量,將其拋到九霄云外,以避免其影響最終用戶呢?我認(rèn)為我們確實(shí)有必要討論一下這個(gè)問題。實(shí)際上,在其他通訊方式和通訊系統(tǒng)中,我們已經(jīng)這樣做了。
多數(shù)企業(yè)是如何對(duì)待網(wǎng)絡(luò)防御的?在過去五年中,企業(yè)實(shí)現(xiàn)網(wǎng)絡(luò)防御的方法是否發(fā)生了改變?
Markulec:確實(shí)有一個(gè)成熟度曲線。政府部門、金融服務(wù)業(yè)和制藥業(yè)確實(shí)在微調(diào)其網(wǎng)絡(luò)防御系統(tǒng)。這些行業(yè)已經(jīng)部署了深度防御戰(zhàn)略,控制了其網(wǎng)絡(luò)上的所有資產(chǎn)和出入點(diǎn),并確實(shí)在考慮微調(diào)其網(wǎng)絡(luò)防御系統(tǒng)。在過去的五年中,我看到越來越多的行業(yè)和企業(yè)正在沿著這條成熟度曲線向前邁進(jìn),并達(dá)到金融服務(wù)業(yè)現(xiàn)在所處的位置。即使5到10年前根本不關(guān)心網(wǎng)絡(luò)安全的傳統(tǒng)行業(yè)(例如制造業(yè)和石油化工業(yè)),它們現(xiàn)在的控制系統(tǒng)——SCADA(監(jiān)控和數(shù)據(jù)采集)網(wǎng)絡(luò)和電網(wǎng)——也全部支持IP協(xié)議。你可以看到,這些行業(yè)確實(shí)在向前發(fā)展,而且在安全態(tài)勢(shì)方面實(shí)現(xiàn)了跨越式發(fā)展。基本的網(wǎng)絡(luò)防御方法效果良好,有助于確定關(guān)鍵資產(chǎn)、部署深度防御戰(zhàn)略、主動(dòng)監(jiān)控網(wǎng)絡(luò)邊界并識(shí)別內(nèi)部威脅。這些都是金融服務(wù)業(yè)和制藥業(yè)十年來一直津津樂道的內(nèi)容,現(xiàn)在正開始擴(kuò)展到其他行業(yè)。
云計(jì)算如何改變企業(yè)實(shí)現(xiàn)其網(wǎng)絡(luò)防御的方式?
Markulec:作為一名真正的網(wǎng)絡(luò)人員,我可以說云計(jì)算很早就已經(jīng)出現(xiàn)了。X.25網(wǎng)絡(luò)和幀中繼網(wǎng)絡(luò)實(shí)際上都是云計(jì)算網(wǎng)絡(luò),它們都屬于公共云,由多個(gè)用戶和企業(yè)(如AT&T)共享,提供存儲(chǔ)和其他基于網(wǎng)絡(luò)的服務(wù)。因此,我傾向于認(rèn)為“云計(jì)算”不是一個(gè)新概念,而是一個(gè)新名詞。但是,當(dāng)我們考慮云計(jì)算的不同層次時(shí),將會(huì)面臨一系列問題。在基本的云計(jì)算層次——軟件即服務(wù)中,企業(yè)關(guān)注的是應(yīng)用和數(shù)據(jù)共享。在更高的云計(jì)算層次——平臺(tái)即服務(wù)中,你可以認(rèn)為Salesforce.com托管一個(gè)大型數(shù)據(jù)中心,支持多個(gè)客戶端登錄,并面臨一些物理連接問題——既要確保VLAN(虛擬局域網(wǎng))設(shè)置正確,又要確保訪問控制列表和防火墻實(shí)現(xiàn)期望的功能。當(dāng)談到云計(jì)算時(shí),我們最終指的是基礎(chǔ)設(shè)施即服務(wù)。即使在美國聯(lián)邦政府內(nèi)部,國防部信息系統(tǒng)局(DISA)還建立了自己的私有云,以便為不同機(jī)構(gòu)提供云計(jì)算服務(wù)。這就是所謂的快速域計(jì)算環(huán)境(Rapid Area Computing Environment,RACE)。但是,基礎(chǔ)設(shè)施即服務(wù)實(shí)際上與舊的幀中繼網(wǎng)絡(luò)類似,都允許多個(gè)用戶登錄同一個(gè)網(wǎng)絡(luò)——如何區(qū)分這些流量?如何確保它們進(jìn)入適當(dāng)?shù)乃淼溃恳郧暗木W(wǎng)絡(luò)防御方法確實(shí)有效,有助于你了解已配置的功能,并確保訪問控制列表和防火墻實(shí)現(xiàn)期望的功能。
支付業(yè)正在努力解決保護(hù)途經(jīng)不同網(wǎng)絡(luò)的信用卡持有人資料的問題。我們聽到許多對(duì)流經(jīng)網(wǎng)絡(luò)的信用卡資料進(jìn)行端到端加密的方案,您認(rèn)為端到端加密可行嗎?
Markulec:端到端加密只是解決問題的方法之一,而不是包治百病的靈丹妙藥。我們當(dāng)然不能將各種數(shù)據(jù)都放在互聯(lián)網(wǎng)上,并且指望在端設(shè)備之間互相加密和傳輸數(shù)據(jù)。當(dāng)然,你可能希望保護(hù)安全連接經(jīng)過的網(wǎng)絡(luò)。而在安全連接內(nèi)部,你可能又希望根據(jù)期望的安全級(jí)別加密數(shù)據(jù)。我認(rèn)為這是一種深度防御。可以將保護(hù)數(shù)據(jù)(無論是靜止的還是流動(dòng)的)、保護(hù)連接(安全隧道)和保護(hù)網(wǎng)絡(luò)作為一個(gè)整體統(tǒng)籌規(guī)劃。如果部署了這種深度防御,那么你就有更大的可能確保交易安全,任何人都不能劫持你的信用卡信息。
【編輯推薦】
