據(jù)美國網(wǎng)絡(luò)可視化供應(yīng)商Lumeta公司的首席運營官Michael Markulec稱，正在進(jìn)行的美國國家網(wǎng)絡(luò)安全計劃包括“可信互聯(lián)網(wǎng)連接（Trusted Internet Connection，TIC）計劃”和“愛因斯坦計劃”，為私營企業(yè)實現(xiàn)網(wǎng)絡(luò)防御提供了路線圖。Markulec表示，網(wǎng)絡(luò)基礎(chǔ)設(shè)施屬于美國國家關(guān)鍵基礎(chǔ)設(shè)施的公司將可能執(zhí)行該計劃。在此次廣泛深入的采訪中，Markulec剖析了是否應(yīng)該使用深度包檢測來清除惡意流量、云計算如何改變企業(yè)部署網(wǎng)絡(luò)防御的方式以及利用所謂的端到端加密是否能夠真正保護(hù)信用卡資料等問題。Markulec認(rèn)為，良好的網(wǎng)絡(luò)安全仍可歸結(jié)為基本的深度防御方法。以下為訪談內(nèi)容：

您參與了美國“可信互聯(lián)網(wǎng)連接計劃”中的國家網(wǎng)絡(luò)安全項目，您對白宮解密“國家網(wǎng)絡(luò)安全綜合計劃（Comprehensive National Cybersecurity Initiative，CNCI）”行動綱要有何評論？

Michael Markulec：很高興能看到白宮解密CNCI。因為85%的關(guān)鍵基礎(chǔ)設(shè)施掌握在私營企業(yè)手中，如果要解決關(guān)鍵基礎(chǔ)設(shè)施問題，我們確實需要建立一種大家都可以利用的合作關(guān)系。Lumeta公司已經(jīng)獲得了許可，并與我們的一些客戶在其機密網(wǎng)絡(luò)上開展合作。人們可能希望這一計劃能夠囊括最先進(jìn)的技術(shù)，我認(rèn)為安全計劃的部分解密可以實現(xiàn)這一目標(biāo)。

具體到TIC計劃，美國政府正試圖將互聯(lián)網(wǎng)接入點的數(shù)量減少到可管理的程度。這一提議并沒有什么新意，許多企業(yè)組織在過去數(shù)年來一直都是這樣做的。政府網(wǎng)絡(luò)是一種獨特的網(wǎng)絡(luò)，因為政府的辦事機構(gòu)遍布全國各地。政府網(wǎng)絡(luò)涵蓋了你能想到的一切機構(gòu)，從科羅拉多大峽谷的護(hù)林站到退伍軍人醫(yī)療中心再到軍事基地，包含了成千上萬的互聯(lián)網(wǎng)鏈。TIC計劃旨在將互聯(lián)網(wǎng)接入點的數(shù)量減少到可管理的程度，從而可以監(jiān)控這些網(wǎng)關(guān)，以確保政府部門能夠識別進(jìn)出政府網(wǎng)絡(luò)的流量。我認(rèn)為許多部門已經(jīng)在整合網(wǎng)絡(luò)接入點方面取得了進(jìn)展，而我們現(xiàn)在要做的是仔細(xì)檢查這些可靠的連接。

從已披露的信息來看，“愛因斯坦計劃”有哪些令您感興趣的地方？

Markulec：事實上，“愛因斯坦3計劃”是要監(jiān)控政府網(wǎng)絡(luò)連接，以分析進(jìn)出政府網(wǎng)絡(luò)的流量。雖然“愛因斯坦計劃”的具體內(nèi)容尚未公布，但是大家都認(rèn)為，它將以線速對數(shù)據(jù)包進(jìn)行深度檢測，以查看數(shù)據(jù)包的實際內(nèi)容。因此，我認(rèn)為“愛因斯坦計劃”是控制對政府機密數(shù)據(jù)訪問的一個重要組成部分。

在今年的RSA大會上，隱私小組的一些專家提出，應(yīng)該允許政府授權(quán)互聯(lián)網(wǎng)服務(wù)提供商（ISP）進(jìn)行深度包檢測并清除惡意和非法的流量，您對此有何看法？

Markulec：政府管理和監(jiān)控他們自己的網(wǎng)絡(luò)，當(dāng)然有權(quán)在自己的網(wǎng)絡(luò)上這樣做。如果打算在ISP級檢測數(shù)據(jù)包，當(dāng)然會涉及到隱私問題。但我們同時也要看到，僵尸網(wǎng)絡(luò)、木馬、蠕蟲病毒以及其他的一般性非法程序在網(wǎng)絡(luò)上大行其道。因此，從理論上講，用戶也會希望ISP能夠過濾這些惡意流量。我理解關(guān)于ISP閱讀電子郵件的隱私問題。但我認(rèn)為，當(dāng)談到像拒絕服務(wù)攻擊（DoS）這樣的流量時，很明顯你將會保持中間立場；顯而易見的是，ISP具有監(jiān)控這種流量的工具。為什么不干脆清除這些流量，將其拋到九霄云外，以避免其影響最終用戶呢？我認(rèn)為我們確實有必要討論一下這個問題。實際上，在其他通訊方式和通訊系統(tǒng)中，我們已經(jīng)這樣做了。

多數(shù)企業(yè)是如何對待網(wǎng)絡(luò)防御的？在過去五年中，企業(yè)實現(xiàn)網(wǎng)絡(luò)防御的方法是否發(fā)生了改變？

Markulec：確實有一個成熟度曲線。政府部門、金融服務(wù)業(yè)和制藥業(yè)確實在微調(diào)其網(wǎng)絡(luò)防御系統(tǒng)。這些行業(yè)已經(jīng)部署了深度防御戰(zhàn)略，控制了其網(wǎng)絡(luò)上的所有資產(chǎn)和出入點，并確實在考慮微調(diào)其網(wǎng)絡(luò)防御系統(tǒng)。在過去的五年中，我看到越來越多的行業(yè)和企業(yè)正在沿著這條成熟度曲線向前邁進(jìn)，并達(dá)到金融服務(wù)業(yè)現(xiàn)在所處的位置。即使5到10年前根本不關(guān)心網(wǎng)絡(luò)安全的傳統(tǒng)行業(yè)（例如制造業(yè)和石油化工業(yè)），它們現(xiàn)在的控制系統(tǒng)——SCADA（監(jiān)控和數(shù)據(jù)采集）網(wǎng)絡(luò)和電網(wǎng)——也全部支持IP協(xié)議。你可以看到，這些行業(yè)確實在向前發(fā)展，而且在安全態(tài)勢方面實現(xiàn)了跨越式發(fā)展?；镜木W(wǎng)絡(luò)防御方法效果良好，有助于確定關(guān)鍵資產(chǎn)、部署深度防御戰(zhàn)略、主動監(jiān)控網(wǎng)絡(luò)邊界并識別內(nèi)部威脅。這些都是金融服務(wù)業(yè)和制藥業(yè)十年來一直津津樂道的內(nèi)容，現(xiàn)在正開始擴展到其他行業(yè)。

云計算如何改變企業(yè)實現(xiàn)其網(wǎng)絡(luò)防御的方式？

Markulec：作為一名真正的網(wǎng)絡(luò)人員，我可以說云計算很早就已經(jīng)出現(xiàn)了。X.25網(wǎng)絡(luò)和幀中繼網(wǎng)絡(luò)實際上都是云計算網(wǎng)絡(luò)，它們都屬于公共云，由多個用戶和企業(yè)（如AT&T）共享，提供存儲和其他基于網(wǎng)絡(luò)的服務(wù)。因此，我傾向于認(rèn)為“云計算”不是一個新概念，而是一個新名詞。但是，當(dāng)我們考慮云計算的不同層次時，將會面臨一系列問題。在基本的云計算層次——軟件即服務(wù)中，企業(yè)關(guān)注的是應(yīng)用和數(shù)據(jù)共享。在更高的云計算層次——平臺即服務(wù)中，你可以認(rèn)為Salesforce.com托管一個大型數(shù)據(jù)中心，支持多個客戶端登錄，并面臨一些物理連接問題——既要確保VLAN（虛擬局域網(wǎng)）設(shè)置正確，又要確保訪問控制列表和防火墻實現(xiàn)期望的功能。當(dāng)談到云計算時，我們最終指的是基礎(chǔ)設(shè)施即服務(wù)。即使在美國聯(lián)邦政府內(nèi)部，國防部信息系統(tǒng)局（DISA）還建立了自己的私有云，以便為不同機構(gòu)提供云計算服務(wù)。這就是所謂的快速域計算環(huán)境（Rapid Area Computing Environment，RACE）。但是，基礎(chǔ)設(shè)施即服務(wù)實際上與舊的幀中繼網(wǎng)絡(luò)類似，都允許多個用戶登錄同一個網(wǎng)絡(luò)——如何區(qū)分這些流量？如何確保它們進(jìn)入適當(dāng)?shù)乃淼?？以前的網(wǎng)絡(luò)防御方法確實有效，有助于你了解已配置的功能，并確保訪問控制列表和防火墻實現(xiàn)期望的功能。

支付業(yè)正在努力解決保護(hù)途經(jīng)不同網(wǎng)絡(luò)的信用卡持有人資料的問題。我們聽到許多對流經(jīng)網(wǎng)絡(luò)的信用卡資料進(jìn)行端到端加密的方案，您認(rèn)為端到端加密可行嗎？

Markulec：端到端加密只是解決問題的方法之一，而不是包治百病的靈丹妙藥。我們當(dāng)然不能將各種數(shù)據(jù)都放在互聯(lián)網(wǎng)上，并且指望在端設(shè)備之間互相加密和傳輸數(shù)據(jù)。當(dāng)然，你可能希望保護(hù)安全連接經(jīng)過的網(wǎng)絡(luò)。而在安全連接內(nèi)部，你可能又希望根據(jù)期望的安全級別加密數(shù)據(jù)。我認(rèn)為這是一種深度防御?？梢詫⒈Ｗo(hù)數(shù)據(jù)（無論是靜止的還是流動的）、保護(hù)連接（安全隧道）和保護(hù)網(wǎng)絡(luò)作為一個整體統(tǒng)籌規(guī)劃。如果部署了這種深度防御，那么你就有更大的可能確保交易安全，任何人都不能劫持你的信用卡信息。

【編輯推薦】

1. 企業(yè)網(wǎng)絡(luò)安全早防范
2. 網(wǎng)絡(luò)準(zhǔn)入，主動防御——終端安全面面觀