6月4日,美国国防信息系统局(DISA)发布《基于云的互联网隔离方案》信息征询书(RFI),希望工业部门协助开发一种互联网隔离方案,将国防部用户的互联网上网行为与国防部网络相隔离,以保障国防部网络的安全。
事件背景
“互联网隔离”技术颇受企业的欢迎,因为采取这种方式后,用户从内部工作机浏览外部互联网时将被“隔离”,不必担心黑客的入侵。过去,这种隔离是通过虚拟化方式来实现的。但虚拟化成本过高,并且不能很好地进行扩展。目前,供应商正在探索新的架构来隔离网络浏览活动。技术研究公司Gartner将浏览器隔离列为2017年11大安全技术之一。2017年,Symantec公司收购了一家名为FireGlass的以色列初创公司,以增强其在浏览器隔离上的技术实力。
主要内容
DISA寻求基于云的互联网隔离能力,以支持该局的终端安全解决方案。基于企业云的互联网隔离可以防御针对国防部网络和终端客户的攻击。这项服务可以将网络浏览活动从终端用户的桌面重定向到国防部信息网络(DoDIN)以外的远程服务器。
技术要求
方案必须能够满足以下能力和功能要求:
1.方案在必要时可利用多个地理位置,可包括:华纳罗宾斯(乔治亚州)、哥伦布(俄亥俄州)、圣安东尼奥(德克萨斯州)、北岛(加利福尼亚州)、五角大楼(华盛顿特区)、汉普顿路(弗吉尼亚州)、横田(日本)、拉姆施坦因(德国)、斯图加特(德国)和希凯姆(夏威夷)。
2.方案须兼容联邦信息处理标准(FIPS)140-2加密模块,支持国防部公钥基础设施(PKI)认证,兼容国防部批准的所有浏览器,并使用国防部提供的用户配置文件的目录服务。系统可位于FedRamp II级认证数据中心。供应商可提供主机和构建“软件即服务”(SaaS),并负责系统设置、服务器维护、中间件和操作系统支持以及托管/维护等。
3.基于企业云的互联网隔离能力由以下几个方面组成:
1)将浏览器中用户互联网活动的全部或可配置部分发送至国防部信息网络(DoDIN)以外的、基于云的供应商解决方案
2)安全存储和传输数据,在此过程中药确保数据的机密性、完整性、可用性及来源真实性。
3)在主机处包含一种内容控制软件
4)可记录所有的Web请求,可将Web请求与特定用户绑定(从身份验证至会话结束)
5)可允许不同的组为每个客户端设置网络使用阈值。如果超过带宽阈值,则向指定的电子邮件地址自动发送电子邮件
6)支持浏览器活动的不可否认性(Non-repudiation)。不可否认性是指在网络环境中,信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为。
7)可配置用户会话的“非活动超时”。
8)支持使用安全套接字层(SSL)3.0和传输层安全性(TLS)1.0-1.3的网站连接
9)满足多项性能标准,比如能够近实时地提供信息,将打开客户端到浏览会话开始的时间控制在5秒之内等。 |