6月4日,美國國防信息系統局(DISA)發佈《基於雲的互聯網隔離方案》信息徵詢書(RFI),希望工業部門協助開發一種互聯網隔離方案,將國防部用戶的互聯網上網行為與國防部網絡相隔離,以保障國防部網絡的安全。
事件背景
“互聯網隔離”技術頗受企業的歡迎,因為採取這種方式後,用戶從內部工作機瀏覽外部互聯網時將被“隔離”,不必擔心黑客的入侵。過去,這種隔離是通過虛擬化方式來實現的。但虛擬化成本過高,並且不能很好地進行擴展。目前,供應商正在探索新的架構來隔離網絡瀏覽活動。技術研究公司Gartner將瀏覽器隔離列為2017年11大安全技術之一。2017年,Symantec公司收購了一家名為FireGlass的以色列初創公司,以增強其在瀏覽器隔離上的技術實力。
主要內容
DISA尋求基於雲的互聯網隔離能力,以支持該局的終端安全解決方案。基於企業雲的互聯網隔離可以防禦針對國防部網絡和終端客戶的攻擊。這項服務可以將網絡瀏覽活動從終端用戶的桌面重定向到國防部信息網絡(DoDIN)以外的遠程服務器。
技術要求
方案必須能夠滿足以下能力和功能要求:
1.方案在必要時可利用多個地理位置,可包括:華納羅賓斯(喬治亞州)、哥倫布(俄亥俄州)、聖安東尼奧(德克薩斯州)、北島(加利福尼亞州)、五角大樓(華盛頓特區)、漢普頓路(弗吉尼亞州)、橫田(日本)、拉姆施坦因(德國)、斯圖加特(德國)和希凱姆(夏威夷)。
2.方案須兼容聯邦信息處理標準(FIPS)140-2加密模塊,支持國防部公鑰基礎設施(PKI)認證,兼容國防部批准的所有瀏覽器,並使用國防部提供的用戶配置文件的目錄服務。系統可位於FedRamp II級認證數據中心。供應商可提供主機和構建“軟件即服務”(SaaS),並負責系統設置、服務器維護、中間件和操作系統支持以及託管/維護等。
3.基於企業雲的互聯網隔離能力由以下幾個方面組成:
1)將瀏覽器中用戶互聯網活動的全部或可配置部分發送至國防部信息網絡(DoDIN)以外的、基於雲的供應商解決方案
2)安全存儲和傳輸數據,在此過程中藥確保數據的機密性、完整性、可用性及來源真實性。
3)在主機處包含一種內容控制軟件
4)可記錄所有的Web請求,可將Web請求與特定用戶綁定(從身份驗證至會話結束)
5)可允許不同的組為每個客戶端設置網絡使用閾值。如果超過帶寬閾值,則向指定的電子郵件地址自動發送電子郵件
6)支持瀏覽器活動的不可否認性(Non-repudiation)。不可否認性是指在網絡環境中,信息交換的雙方不能否認其在交換過程中發送信息或接收信息的行為。
7)可配置用戶會話的“非活動超時”。
8)支持使用安全套接字層(SSL)3.0和傳輸層安全性(TLS)1.0-1.3的網站連接
9)滿足多項性能標準,比如能夠近實時地提供信息,將打開客戶端到瀏覽會話開始的時間控制在5秒之內等。
閱讀更多 科技愛號者 的文章
