美国国安局最担心移动性和云计算安全

美国国家安全局(NSA)即将迎来其六十岁生日,该机构在全球范围内共拥有员工约35000名,在美国马里兰州米德堡坐拥庞大的建筑群,并且,其墙壁内装有铜网以防止电子窃听。该机构有两个主要任务:信号情报(SIGINT)和信息保障(IA)。

NSA通常被认为是联邦机构中最高级机密机构,NSA也会在其网站发布有价值的安全最佳做法报告。NSA信息安全保障局(IAD)的技术主管Neal Ziring最近接受了《Network World》的深度采访。

NSA的信息保障是什么?

“对于我们而言,信息保障是让我们的客户(国家安全客户)知道他们的信息只允许需要的人访问,只允许需要的人在需要的时候进行访问,同时,信息具有完整性,没有被改变,还有就是部署了网络防御。”

“根据国家安全指令42条规定,我们具有一定的责任,我们需要为社会提供加密技术、某些类型的防御服务、安全指导、安全分析、安全架构和工程服务,同时,我们代表社会执行密钥管理。”

你们如何将安全最佳做法传给这么多的客户?

“我们到底应该如何传给这么多的客户?我们有太多客户,并且分布广泛,涉及所有的政府机构和所有的军事机构,而我们最后决定直接向公众发布,你们可以在我们网站上看到我们发布的安全指南等信息,这是最好的方式,因为我们所有的客户都能够看到。”

从安全的角度来看,在NSA工作是什么样子?

当你接近我们的安全门时,你需要将车速减慢,然后你会看到下图中景象,到达安全门后你需要出示身份证明。

当进入建筑物后,你需要再次向安全人员出示你的安全徽章,在电子站需要第三次出示。如果你是团队中进入建筑的第一个人,你需要从墙式机中拿出钥匙以进入你的工作区,你不能带手机进入,将手机留在车上或者放在储物柜中。

在工作中,工作人员能否访问Skype、Facebook、Gmail、LinedIn等?

我们的工作人员在一个高端内部机密网络中工作,在这个网络中,我们有一个社交网络系统用于内部协作。例如。

我们大多数人都能够访问互联网(低端网络),因为有助于我们查询技术信息,或者发邮件给你的朋友等,但是这并不是主要用于处理私人事务的系统,而是用于政府目的,我使用互联网主要是为了与业界和学术合作伙伴联系。

你有没有发现什么设备或者程序可以有助于捕捉安全威胁?

提高意识是关键,让员工意识到政策和安全做法的重要性。

Ziring补充说,NSA已经花了几年与行业合作伙伴和客户合作,来开发有效的白名单政策(以及使用软件限制政策来列入白名单)和网络访问控制,这些政策都非常难以实施和维护,特别是在这个不断更新和配置更改的世界。我们在这方面作出了很多努力,并且取得了成功。

NSA最担心什么问题?

目前而言,我们最担心的两个问题就是移动性和云计算,因为政府想要的功能与企业一样,但政府同时希望NSA告诉他们如何确保安全性。

现在一个很大的趋势是IT消费化,很多人正携带个人设备进入工作场所,并将其用于工作目的。在认识到这种移动性的利与弊后,IAD发布了“个人管理Apple iPhone和iPad的安全技巧”,并且公布了NSA移动性计划。

我们没有发布很多关于云计算的报告,我们让美国国家标准与技术研究院(NIST)来发布相关方面的信息,不过我们会对他们写的内容提供技术支持。事实上,NIST刚刚发布了“公共云计算中安全和隐私准则”。

你们还专注于其他什么领域?

无线是IAD正在研究的一个大领域。你如何支持安全企业无线?如何保护无线网络免受攻击?

我们面临的另一个挑战是安全操作可视性和响应。无论是在政府内部还是外部,这都是个很重要的领域。随着网络威胁的加速发展,我们的响应时间被缩短了。

首先,如果我是一名首席信息官,我不想听到我的工作人员说:X产品公布了大量漏洞信息;我们拥有多少X产品以及我们潜在的暴露程度?

如果你的工作人员面面相觑地说“我们不知道”,那这就是一个问题。为了提高可视性和响应时间,IAD基于不可管理网络不安全的原则为首席信息官们和网络管理员们发布了“可管理的网络计划”。首先需要让你的网络具有可管理性,然后你需要增加可靠性、安全性等。

IAD提供了非常具体的信息,例如,报告中指出了如果你使用的是传统的无线技术(IEEE 802.11a/b/g),转移到802.11i/WPA2:传统技术有严重的安全漏洞。报告中还建议对你的网络文件进行硬拷贝备份,因为如果没有电源时,很难读取在线文件。

在部署技术时,你需要采取符合行业和政府标准的方式以降低风险。

什么事情让你夜不能寐?

很多事情。网络威胁的演变,特别是国家级网络威胁。IE或信息环境的变化,以及我们如何能够继续保持这些环境的安全性。我们应该如何确保工作人员使用目前最新的技术?我们如何提高人们的创新能力?

总结:NSA的历史可以追溯到第二次世界大战时期夏威夷的海军信号办事处。只是,当时至少我们知道我们的敌人是谁,我们知道他们使用的武器是什么类型。而现在,NSA继续在战斗,不过这一次,这是一场网络战争,对手是使用不断变化的网络武器的国家、恐怖组织、有组织的犯罪团体和个人。