為何IT現代化已成國家網路戰略中的關鍵所在

祁同偉發表於2017-07-24

美國總統川普提出的網路安全戰略要求對傳統計算機系統進行現代化轉型,從而解決此類計算機系統導致的資源佔用以及阻礙機構安全策略更新等問題。這方案將基於雲的新型服務方式被視為更加靈活、成本更低且在本質上更為安全的解決思路。

美國國土安全部(簡稱DHS)國家保護與計劃局網路安全與通訊副主任傑尼特·瑪弗拉解釋稱,“IT現代化與網路安全並不一定總能協同推進。不過政府當局必須清醒地意識到,現代化水平缺失本身就是政府的一大致命弱點。”

邊界為核心的保護思維已過時

將數百套聯邦政府機構網路整合成單一或者多套虛擬化網路正是這項戰略的一大重要組成部分。但同樣重要的是,美國政府還需要更換運營成本高昂且難以保護的各類陳舊基礎設施。瑪弗拉指出,政府必須停止當前所採取的這種以邊界為核心的安全保護思維(主要關注對網路本身的保護),轉而實施以資料為中心、強調保護駐留在網路上的資訊資產的指導方針。

對於安全專家而言,這樣的思維轉換並不算是什麼新鮮事物,但卻反映出美國政府在文化層面的大規模轉型。已經退休的前國家情報總署資訊長、空軍少將達爾·梅耶羅斯如今已經成為資訊保安專家兼顧問,在他看來對網路的保護本身正是造成防禦失敗的根源; 實際上防禦方最好假設敵人已經滲透進網路。

遊戲行業最擅長發現滲透者梅耶羅斯在今年3月於弗吉尼亞州雷斯頓市召開的網路彈性峰會上強調稱,“各個行業都面臨著惡意人士入侵與發現相關跡象之間存在時間滯後的難題。在這一領域,視訊遊戲行業最擅長發現滲透者——其能夠在平均不足一星期時長之內捕捉到入侵者的蹤跡。而表現最差的則是美國政府,成功入侵與被發現之間的時間間隔通常接近兩年。”

梅耶羅斯進一步指出,安全規範之所以無法起效,是因為在根本上就出現了關注點偏差。“惡意人士想要的並不是網路,而是我們儲存在網路當中的東西。”

從定義角度出發,雲服務模糊了傳統邊界安全的既有路線,並迫使CIO與首席資訊保安官(簡稱CISO)們專注於保護企業資料,而非系統本身。傳統系統在設計當中並不一定會考慮到網際網路、遠端訪問以及外部連結等因素;但在另一方面,雲環境的實現本身則完全依賴於全球化連線這一能力。

國土安全部的瑪弗拉在今年6月7日召開的關鍵資訊基礎設施論壇當中亦強調了這一重要機遇,他表示“現代化轉型的承諾使我們能夠真正實現安全流程的現代化改造。”

虛擬化網路與架構有利於現代化改造國土安全部技術長邁克爾·赫墨斯亦對此表示贊同。他指出“軟體定義基礎設施能夠切實幫助我們通過這段現代化轉型之旅邁向理想的安全彼岸,同時有能力適應各種實際變化。”傳統系統則缺少這種應對快速變化的威脅或者靈活性的客觀條件。相比之下,虛擬化網路與架構擁有幾乎無限的可能性,且幾乎能夠即時完成重構。“如果基礎設施的靈活性水平能夠滿足這種變化要求,那麼安全水平必然能夠提升到新的高度。”

如何實現現代化改造?

政府並非受到傳統IT難題困擾的唯一受害者。包括銀行、電力企業、航空公司、保險公司等各類大型組織機構也仍在使用所謂“弗蘭肯斯坦網路”,即大量遺留系統與現代前沿技術方案相混雜,給全面變革帶來巨大挑戰。

現代化改造第一步:系統劃分以保險巨頭Aetna公司為例,其首席安全官吉姆·羅思坦言稱,儘管私營部門與政府機構相比在收益等層面擁有更為明確的激勵效應與機遇,但雙方面臨的問題仍然非常相似。

羅思解釋稱,“實際情況是,脆弱的系統會帶來極高的維護成本。一般來講,這類存在安全缺陷的系統不會得到太多關注,甚至並不屬於核心業務系統。所以,採用具備新型安全功能的解決方案相較於繼續保留這些遺留系統,從經濟角度來看更具有成本效益。”

他也給出了自己的建議:

將各類遺留系統劃分為兩大類:受到高度關注的核心業務支援型系統;非核心業務相關係統。

淘汰或清理對那些與核心業務無關的系統。

赫墨斯指出,國土安全部在內部亦採用了決策框架以進行類似的評估工作。基於現有最佳實踐已經開始構建一套可以發現需要更新或者現代化轉型的系統,而此類實踐包括Gartner提出的TIME模型,這一縮寫詞分別代表著容錯、投資/創新/整合、遷移/現代化與清除。目前考慮的問題是如何利用這套統一化框架對資產進行評估,這對於大型機構擁有極為關鍵的現實意義。”

美國衛生與人類服務部(簡稱HHS)CISO克里斯托弗·烏拉欽解釋稱,他所在的機構亦採用組織化框架以優化各類現代化需求。去年,該機構投入了120億美元用於採購資訊科技方案,具體涵蓋食品與藥物管理局、醫療保險與醫療補助服務中心以及國家衛生研究院等11個下轄部門,這些部門都擁有著獨特的威脅與風險特徵,使用者與需求也大不相同。

“如果弗蘭肯斯坦網路”的定義是在於將眾多彼此錯位的部分胡亂拼湊在一套中樞神經系統之上,HHS就符合這樣的情況。此次轉型的目標在於儘可能多地轉移到有意義的共享服務中,並在不適用於此類轉型的層面選擇更具合理性的雲解決方案以替代原本的專有系統。

考慮對關聯絡統的影響系統整合商General Dynamics資訊科技公司國土安全解決方案副總裁馬克·西科斯奇強調稱,“真正的挑戰在於這個問題影響面巨大,其中的一切皆相互關聯,對一套系統進行現代化轉型,將對其它所有系統產生連帶影響。首先需要確定最大的漏洞在哪裡,而後確定其調整優先順序,這還只是第一步。在此之後,需要認真評估每一項決策,以確保瞭解這項工作可能給其它生態系統造成的後續影響。”一旦出了差錯,複雜性可能如滾雪球般很快失控。

西科斯奇進一步補充稱,“你必須決定是否採取一次性完成全部現代化轉型工作的方式;抑或是逐步推進,認真剖解遺留系統的固有結構,且保證不會對任何業務流程造成破壞性影響。

然而如果採取後一種方法,將面對維持愈發過時的陳舊環境所帶來的負擔。

本文轉自d1net(轉載)


相關文章