向美國國家網絡安全計劃取經
據美國網絡可視化供應商Lumeta公司的首席運營官Michael Markulec稱,正在進行的美國國家網絡安全計劃包括“可信互聯網連接(Trusted Internet Connection,TIC)計劃”和“愛因斯坦計劃”,為私營企業實現網絡防御提供了路線圖。Markulec表示,網絡基礎設施屬于美國國家關鍵基礎設施的公司將可能執行該計劃。在此次廣泛深入的采訪中,Markulec剖析了是否應該使用深度包檢測來清除惡意流量、云計算如何改變企業部署網絡防御的方式以及利用所謂的端到端加密是否能夠真正保護信用卡資料等問題。Markulec認為,良好的網絡安全仍可歸結為基本的深度防御方法。以下為訪談內容:
您參與了美國“可信互聯網連接計劃”中的國家網絡安全項目,您對白宮解密“國家網絡安全綜合計劃(Comprehensive National Cybersecurity Initiative,CNCI)”行動綱要有何評論?
Michael Markulec:很高興能看到白宮解密CNCI。因為85%的關鍵基礎設施掌握在私營企業手中,如果要解決關鍵基礎設施問題,我們確實需要建立一種大家都可以利用的合作關系。Lumeta公司已經獲得了許可,并與我們的一些客戶在其機密網絡上開展合作。人們可能希望這一計劃能夠囊括最先進的技術,我認為安全計劃的部分解密可以實現這一目標。
具體到TIC計劃,美國政府正試圖將互聯網接入點的數量減少到可管理的程度。這一提議并沒有什么新意,許多企業組織在過去數年來一直都是這樣做的。政府網絡是一種獨特的網絡,因為政府的辦事機構遍布全國各地。政府網絡涵蓋了你能想到的一切機構,從科羅拉多大峽谷的護林站到退伍軍人醫療中心再到軍事基地,包含了成千上萬的互聯網鏈。TIC計劃旨在將互聯網接入點的數量減少到可管理的程度,從而可以監控這些網關,以確保政府部門能夠識別進出政府網絡的流量。我認為許多部門已經在整合網絡接入點方面取得了進展,而我們現在要做的是仔細檢查這些可靠的連接。
從已披露的信息來看,“愛因斯坦計劃”有哪些令您感興趣的地方?
Markulec:事實上,“愛因斯坦3計劃”是要監控政府網絡連接,以分析進出政府網絡的流量。雖然“愛因斯坦計劃”的具體內容尚未公布,但是大家都認為,它將以線速對數據包進行深度檢測,以查看數據包的實際內容。因此,我認為“愛因斯坦計劃”是控制對政府機密數據訪問的一個重要組成部分。
在今年的RSA大會上,隱私小組的一些專家提出,應該允許政府授權互聯網服務提供商(ISP)進行深度包檢測并清除惡意和非法的流量,您對此有何看法?
Markulec:政府管理和監控他們自己的網絡,當然有權在自己的網絡上這樣做。如果打算在ISP級檢測數據包,當然會涉及到隱私問題。但我們同時也要看到,僵尸網絡、木馬、蠕蟲病毒以及其他的一般性非法程序在網絡上大行其道。因此,從理論上講,用戶也會希望ISP能夠過濾這些惡意流量。我理解關于ISP閱讀電子郵件的隱私問題。但我認為,當談到像拒絕服務攻擊(DoS)這樣的流量時,很明顯你將會保持中間立場;顯而易見的是,ISP具有監控這種流量的工具。為什么不干脆清除這些流量,將其拋到九霄云外,以避免其影響最終用戶呢?我認為我們確實有必要討論一下這個問題。實際上,在其他通訊方式和通訊系統中,我們已經這樣做了。
多數企業是如何對待網絡防御的?在過去五年中,企業實現網絡防御的方法是否發生了改變?
Markulec:確實有一個成熟度曲線。政府部門、金融服務業和制藥業確實在微調其網絡防御系統。這些行業已經部署了深度防御戰略,控制了其網絡上的所有資產和出入點,并確實在考慮微調其網絡防御系統。在過去的五年中,我看到越來越多的行業和企業正在沿著這條成熟度曲線向前邁進,并達到金融服務業現在所處的位置。即使5到10年前根本不關心網絡安全的傳統行業(例如制造業和石油化工業),它們現在的控制系統——SCADA(監控和數據采集)網絡和電網——也全部支持IP協議。你可以看到,這些行業確實在向前發展,而且在安全態勢方面實現了跨越式發展。基本的網絡防御方法效果良好,有助于確定關鍵資產、部署深度防御戰略、主動監控網絡邊界并識別內部威脅。這些都是金融服務業和制藥業十年來一直津津樂道的內容,現在正開始擴展到其他行業。
云計算如何改變企業實現其網絡防御的方式?
Markulec:作為一名真正的網絡人員,我可以說云計算很早就已經出現了。X.25網絡和幀中繼網絡實際上都是云計算網絡,它們都屬于公共云,由多個用戶和企業(如AT&T)共享,提供存儲和其他基于網絡的服務。因此,我傾向于認為“云計算”不是一個新概念,而是一個新名詞。但是,當我們考慮云計算的不同層次時,將會面臨一系列問題。在基本的云計算層次——軟件即服務中,企業關注的是應用和數據共享。在更高的云計算層次——平臺即服務中,你可以認為Salesforce.com托管一個大型數據中心,支持多個客戶端登錄,并面臨一些物理連接問題——既要確保VLAN(虛擬局域網)設置正確,又要確保訪問控制列表和防火墻實現期望的功能。當談到云計算時,我們最終指的是基礎設施即服務。即使在美國聯邦政府內部,國防部信息系統局(DISA)還建立了自己的私有云,以便為不同機構提供云計算服務。這就是所謂的快速域計算環境(Rapid Area Computing Environment,RACE)。但是,基礎設施即服務實際上與舊的幀中繼網絡類似,都允許多個用戶登錄同一個網絡——如何區分這些流量?如何確保它們進入適當的隧道?以前的網絡防御方法確實有效,有助于你了解已配置的功能,并確保訪問控制列表和防火墻實現期望的功能。
支付業正在努力解決保護途經不同網絡的信用卡持有人資料的問題。我們聽到許多對流經網絡的信用卡資料進行端到端加密的方案,您認為端到端加密可行嗎?
Markulec:端到端加密只是解決問題的方法之一,而不是包治百病的靈丹妙藥。我們當然不能將各種數據都放在互聯網上,并且指望在端設備之間互相加密和傳輸數據。當然,你可能希望保護安全連接經過的網絡。而在安全連接內部,你可能又希望根據期望的安全級別加密數據。我認為這是一種深度防御。可以將保護數據(無論是靜止的還是流動的)、保護連接(安全隧道)和保護網絡作為一個整體統籌規劃。如果部署了這種深度防御,那么你就有更大的可能確保交易安全,任何人都不能劫持你的信用卡信息。
【編輯推薦】
