美國國家安全局(NSA)即將迎來其六十歲生日，該機構(gòu)在全球范圍內(nèi)共擁有員工約35000名，在美國馬里蘭州米德堡坐擁龐大的建筑群，并且，其墻壁內(nèi)裝有銅網(wǎng)以防止電子竊聽。該機構(gòu)有兩個主要任務(wù)：信號情報(SIGINT)和信息保障(IA)。

　　NSA通常被認(rèn)為是聯(lián)邦機構(gòu)中最高級機密機構(gòu)，NSA也會在其網(wǎng)站發(fā)布有價值的安全最佳做法報告。NSA信息安全保障局(IAD)的技術(shù)主管Neal Ziring最近接受了《Network World》的深度采訪。

　　NSA的信息保障是什么?

　　“對于我們而言，信息保障是讓我們的客戶(國家安全客戶)知道他們的信息只允許需要的人訪問，只允許需要的人在需要的時候進(jìn)行訪問，同時，信息具有完整性，沒有被改變，還有就是部署了網(wǎng)絡(luò)防御。”

　　“根據(jù)國家安全指令42條規(guī)定，我們具有一定的責(zé)任，我們需要為社會提供加密技術(shù)、某些類型的防御服務(wù)、安全指導(dǎo)、安全分析、安全架構(gòu)和工程服務(wù)，同時，我們代表社會執(zhí)行密鑰管理。”

　　你們?nèi)绾螌踩罴炎龇▊鹘o這么多的客戶?

　　“我們到底應(yīng)該如何傳給這么多的客戶?我們有太多客戶，并且分布廣泛，涉及所有的政府機構(gòu)和所有的軍事機構(gòu)，而我們最后決定直接向公眾發(fā)布，你們可以在我們網(wǎng)站上看到我們發(fā)布的安全指南等信息，這是最好的方式，因為我們所有的客戶都能夠看到。”

　　從安全的角度來看，在NSA工作是什么樣子?

　　當(dāng)你接近我們的安全門時，你需要將車速減慢，然后你會看到下圖中景象，到達(dá)安全門后你需要出示身份證明。

　　當(dāng)進(jìn)入建筑物后，你需要再次向安全人員出示你的安全徽章，在電子站需要第三次出示。如果你是團隊中進(jìn)入建筑的第一個人，你需要從墻式機中拿出鑰匙以進(jìn)入你的工作區(qū)，你不能帶手機進(jìn)入，將手機留在車上或者放在儲物柜中。

　　在工作中，工作人員能否訪問Skype、Facebook、Gmail、LinedIn等?

　　我們的工作人員在一個高端內(nèi)部機密網(wǎng)絡(luò)中工作，在這個網(wǎng)絡(luò)中，我們有一個社交網(wǎng)絡(luò)系統(tǒng)用于內(nèi)部協(xié)作。例如。

　　我們大多數(shù)人都能夠訪問互聯(lián)網(wǎng)(低端網(wǎng)絡(luò))，因為有助于我們查詢技術(shù)信息，或者發(fā)郵件給你的朋友等，但是這并不是主要用于處理私人事務(wù)的系統(tǒng)，而是用于政府目的，我使用互聯(lián)網(wǎng)主要是為了與業(yè)界和學(xué)術(shù)合作伙伴聯(lián)系。

　　你有沒有發(fā)現(xiàn)什么設(shè)備或者程序可以有助于捕捉安全威脅?

　　提高意識是關(guān)鍵，讓員工意識到政策和安全做法的重要性。

　　Ziring補充說，NSA已經(jīng)花了幾年與行業(yè)合作伙伴和客戶合作，來開發(fā)有效的白名單政策(以及使用軟件限制政策來列入白名單)和網(wǎng)絡(luò)訪問控制，這些政策都非常難以實施和維護(hù)，特別是在這個不斷更新和配置更改的世界。我們在這方面作出了很多努力，并且取得了成功。

　　NSA最擔(dān)心什么問題?

　　目前而言，我們最擔(dān)心的兩個問題就是移動性和云計算，因為政府想要的功能與企業(yè)一樣，但政府同時希望NSA告訴他們?nèi)绾未_保安全性。

　　現(xiàn)在一個很大的趨勢是IT消費化，很多人正攜帶個人設(shè)備進(jìn)入工作場所，并將其用于工作目的。在認(rèn)識到這種移動性的利與弊后，IAD發(fā)布了“個人管理Apple iPhone和iPad的安全技巧”，并且公布了NSA移動性計劃。

　　我們沒有發(fā)布很多關(guān)于云計算的報告，我們讓美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)來發(fā)布相關(guān)方面的信息，不過我們會對他們寫的內(nèi)容提供技術(shù)支持。事實上，NIST剛剛發(fā)布了“公共云計算中安全和隱私準(zhǔn)則”。

　　你們還專注于其他什么領(lǐng)域?

　　無線是IAD正在研究的一個大領(lǐng)域。你如何支持安全企業(yè)無線?如何保護(hù)無線網(wǎng)絡(luò)免受攻擊?

　　我們面臨的另一個挑戰(zhàn)是安全操作可視性和響應(yīng)。無論是在政府內(nèi)部還是外部，這都是個很重要的領(lǐng)域。隨著網(wǎng)絡(luò)威脅的加速發(fā)展，我們的響應(yīng)時間被縮短了。

　　首先，如果我是一名首席信息官，我不想聽到我的工作人員說：X產(chǎn)品公布了大量漏洞信息;我們擁有多少X產(chǎn)品以及我們潛在的暴露程度?

　　如果你的工作人員面面相覷地說“我們不知道”，那這就是一個問題。為了提高可視性和響應(yīng)時間，IAD基于不可管理網(wǎng)絡(luò)不安全的原則為首席信息官們和網(wǎng)絡(luò)管理員們發(fā)布了“可管理的網(wǎng)絡(luò)計劃”。首先需要讓你的網(wǎng)絡(luò)具有可管理性，然后你需要增加可靠性、安全性等。

　　IAD提供了非常具體的信息，例如，報告中指出了如果你使用的是傳統(tǒng)的無線技術(shù)(IEEE 802.11a/b/g)，轉(zhuǎn)移到802.11i/WPA2：傳統(tǒng)技術(shù)有嚴(yán)重的安全漏洞。報告中還建議對你的網(wǎng)絡(luò)文件進(jìn)行硬拷貝備份，因為如果沒有電源時，很難讀取在線文件。

　　在部署技術(shù)時，你需要采取符合行業(yè)和政府標(biāo)準(zhǔn)的方式以降低風(fēng)險。

　　什么事情讓你夜不能寐?

　　很多事情。網(wǎng)絡(luò)威脅的演變，特別是國家級網(wǎng)絡(luò)威脅。IE或信息環(huán)境的變化，以及我們?nèi)绾文軌蚶^續(xù)保持這些環(huán)境的安全性。我們應(yīng)該如何確保工作人員使用目前最新的技術(shù)?我們?nèi)绾翁岣呷藗兊膭?chuàng)新能力?

　　總結(jié)：NSA的歷史可以追溯到第二次世界大戰(zhàn)時期夏威夷的海軍信號辦事處。只是，當(dāng)時至少我們知道我們的敵人是誰，我們知道他們使用的武器是什么類型。而現(xiàn)在，NSA繼續(xù)在戰(zhàn)斗，不過這一次，這是一場網(wǎng)絡(luò)戰(zhàn)爭，對手是使用不斷變化的網(wǎng)絡(luò)武器的國家、恐怖組織、有組織的犯罪團體和個人。