15 views

服务提供者在加强国家网络安全中的作用

By | 2019年1月29日

2013年11月,总统科学技术顾问委员会(PCAST​​)向美国总统巴拉克·奥巴马提交了一份公开报告。该报告“加强国家网络安全的直接机会”提供了关于国家网络安全需求和机遇的更全面但分类的评估的关键见解。

报告的目的有两个:

指出执行(即政府)行动可以加速保护国家信息系统和资产的领域,以及

建议采取多种方法鼓励在私营部门更多地采用安全做法(即,没有联邦法律规定的额外授权)。
如果报告中有一条总体信息,那就是通过一系列静态预防措施无法实现网络安全。相反,它需要一系列过程,不断将有关不断变化的威胁的信息与防御性反应和反应联系起来。更重要的是,公共机构和私营企业必须摆脱“合规复选框”的心态,并采取持续改进流程来加强其安全措施。

互联网服务提供商在网络安全方面的作用

鉴于互联网服务提供商(ISP)的“中心式”地位,该报告承认这些公司“通过实时行动有助于快速改善网络安全。”报告:

互联网服务提供商(ISP)在技术上和与客户的关系方面处于有利位置,有助于快速改进利用动态,实时响应可能性的网络安全。ISP控制其客户与互联网的实际连接 – 即所谓的第一跳。仅举一个例子,ISP可以唯一地进行入口验证,检查连接的机器是否正确地识别自己。在某些情况下,ISP既有快速检测受感染机器的方法(例如,招募到僵尸网络中的机器),也有能力对它们采取措施 – 例如,通知客户并提供解决问题的方法。但是,由于缺乏行为的法律义务和对后续责任的任何保护,互联网服务供应商的此类行动非常罕见。

该报告的作者提出了两项​​专门针对ISP的建议:

联邦政府应制定政策,将ISP描述的理想行为描述为最佳(或最低可接受)做法。

美国国家标准与技术研究院(NIST)应与互联网服务提供商合作,制定自愿措施标准,使ISP能够提醒用户,并在知道其机器或设备遭到入侵时将其引导至适当的资源。
至于上面的第一个建议,我不太确定联邦政府是否必须制定政策来描述互联网服务提供商在网络安全方面所期望的行为。相反,我认为市场力量会根据他们的安全实践决定哪些ISP成功。如果服务提供商本身没有实施良好的政策,客户将自己投票并转向其他更注重安全性的提供商,第一家公司必须加强,否则将面临对其业务的负面影响。

此外,对于公司向ISP等第三方供应商施压以验证他们对网络攻击做好准备的情况,有越来越多的趋势(由萨班斯 – 奥克斯利法案和其他法令规定的合规要求承担)。企业使用其供应商风险管理计划来验证云服务提供商实施的安全措施和其他控制的准确性。如果发现严重缺乏这些措施,企业可能会找到替代供应商。

ISP可以(并且应该)为客户提供干净的流量

我同意报告提出的一点 – 关于互联网服务供应商能够通过加强和向服务订户提供干净的互联网流量来改善其客户的安全状况。在这个时代,ISP没有理由将恶意或不需要的流量传递给其客户端。

例如,通过部署Corero First Line of Defense解决方案,服务提供商可以提供客户所需的性能,连接性和安全性。

ISP是否有义务提供干净的互联网流量?我相信他们这样做。除此之外,智能服务提供商将发现这可以是一种增值服务,这是一种竞争优势,甚至可能是新收入的来源

发表评论

电子邮件地址不会被公开。 必填项已用*标注