2022年3月3日,美国国会政府问责局(GAO)网站发布报告,题为《Cybersecurity: Internet Architecture is Considered Resilient, but Federal Agencies Continue to Address Risks》。报告要点如下:
互联网是一个庞大的互联网络系统,使用者达数十亿人。它的架构(互联网的骨干)由世界各地的组织拥有和管理。没有任何组织对其政策、运营或安全负责。
通常,互联网架构被认为具有弹性,部分原因在于其分散的性质。但是,我们的审查报告和主题专家已经确定了互联网关键运营的风险。
许多联邦机构都参与了应对这些风险的工作,采取了诸如威胁信息通告和加入全球互联网治理团体等行动。
研究目的
互联网是一个全球互联网络系统,全球数十亿人使用它来执行个人、教育、商业和政府任务。随着时间的推移,美国政府已经放弃了对互联网的监督作用。由许多组织构成的全球多方利益共同体塑造了互联网政策、运营和安全性。但对互联网持续和日益增长的依赖强调了了解其底层架构风险的必要性。
随威廉 M.(Mac)索恩伯里2021财年《国防授权法案》一起发布的众议院军事委员会报告,包括一项要求 GAO 审查互联网架构安全性的条款。本报告:(1)确定了与互联网架构相关的安全风险,(2)确定了美国联邦机构采取行动解决互联网架构安全风险的程度。
GAO 收集并分析了来自联邦和非联邦组织的公开报告,以确定互联网架构各组成部分(互联网交换点、海底电缆、域名系统和边界网关协议等)的风险。GAO还审查了联邦法律和政策及其先前的工作,以确定联邦互联网架构安全角色和责任机构。GAO根据各机构的职责,收集并分析了相关文件,还与责任机构的官员进行了面谈。
此外,GAO还召集了两个主题专家小组。小组成员在互联网架构的各个方面都有经验,例如演掌管基础设施的组成部分以及对其进行运营、参与标准制定组织并为其做出贡献,以及研究和参与各种多方利益相关治理实体。
在小组会议期间,GAO 提出了先前确定的赛博和物理风险,并要求专家识别尚未确定的其它风险或担忧。GAO和专家们还讨论了联邦政府参与应对风险的问题。
主要发现
通信部门运营着构成互联网基础的多个独立网络。为了支持网络流量的交换,服务提供商管理和控制具有众多组件的核心基础设施元素,包括连接到国内和国际网络的互联网交换点和海底电缆登陆站(见图)。多家美国服务提供商运营着不同的核心网络,这些网络遍布全国并在多个点相互连接。
尽管专家认为互联网架构具有弹性,但它仍然面临着可能影响其组件的各种网络和物理风险;此类风险可能是有意或无意的。特别是,与网络相关的风险可能会影响确保基于互联网的服务中所用名称的唯一性和为数据包路由提供便利所需的两组协议。具体来说,域名系统将名称(例如 www.gao.gov)转换为计算机和其它设备用来路由数据的数字地址。此外,边界网关协议用于交换网络可用性和有关各个网络(即目的地)的路由信息。这两种协议都受到恶意行为者故意滥用以及无意失败的威胁。此外,互联网架构可能会受到物理风险的影响,例如切割或移除光纤电缆。
如果意识到的话,一些风险可能会导致互联网正常运行中断的事件,包括中断、性能降级和流量拦截。在GAO召集的两个小组中任职的小组成员还表示,故意事件影响互联网架构的风险取决于恶意行为者的能力和动机。GAO和其它机构报告了犯罪集团和主权国家等构成的威胁,这些威胁可能会利用其能力影响互联网架构的组件。例如,2017年国土安全部完成的信息技术相关风险评估将有组织犯罪和主权国家确定为对域名路由运营服务的威胁。heavy fuel engine
随着美国政府减少其在互联网架构组件方面的作用,包括停用其开发的早期网络并放弃其对互联网技术功能的监督作用,这些责任转移到了全球多方利益相关共同体。没有一个组织负责整个互联网政策、运营和安全。然而,联邦政府履行了许多直接应对互联网架构风险的不同角色。为了履行这些职责,一些机构已采取行动。例如,国土安全部与通信和信息技术关键基础设施等部门的成员合作,对这些部门提供互联网功能的能力进行风险评估。此外,联邦通信委员会通过发放海底电缆和登陆站许可证,以及管理一项计划即移除和更换被确定对国家安全构成不可接受风险的设备,从而影响互联网架构的安全性。
