州和地方政府的网络安全优先事项
2025 年的网络韧性计划
美国网络安全和基础设施安全局 (CISA) 每年 11 月都会推出“关键基础设施安全与韧性月”活动,此举凸显了一个至关重要的现实:州和地方机构作为关键基础设施提供商,必须持续做好准备并进行投资,以应对未来的安全中断事件。
虽然该月的重点是网络安全韧性,但重要的是认识到其更广泛的影响范围。组织必须时刻做好准备,应对各种可能影响业务运营、客户互动和社区福祉的事件。近年来,现实和虚拟世界都可能受到以下因素的影响:
自然灾害,例如飓风海伦,摧毁了社会资源薄弱的地区,导致这些地区难以恢复
事故,例如马里兰州弗朗西斯·斯科特·基大桥因货轮撞击而坍塌,这扰乱了巴尔的摩港的交通和运营
蓄意攻击,例如波罗的海海底光缆断裂,可能影响全球互联网流量
供应链攻击,例如 Salt Typhoon 网络间谍活动,渗透了美国许多顶级电信运营商,以监听敏感的政府对话
在如今这个高度互联的世界,此类事件的影响远远超出了本地范围,造成了意想不到的后果。
我们的数字世界可以为某些事件提供韧性。例如,在发生自然灾害后,可以为分布式员工队伍提供支持。当然,这个数字世界也可能对当地社区以外的人们,甚至全世界的人们产生负面影响,一个典型的事例就是,由 Log4j 等恶意软件或最近的勒索软件攻击造成的网络中断。
由于互联网已经成为连接的关键来源,我们必须保护互联网,才能提供持续的服务,包括在危机期间。“决心保持韧性”是提高防范意识的口号,因为州和地方机构往往处于响应和恢复的最前线。
互联网在数字政府服务中的作用
过去五年来,数字政府一直是大多数 CIO 的首要任务。数字政府承诺带来了前所未有的透明度,以及对政府服务的访问。
客户体验也从数字政府的演变发展中受益匪浅。一个简单的现实验证方法就是与当地的机动车辆管理局 (DMV) 进行交易(例如:更新驾照)。您会发现,大多数服务都是转为数字和在线服务,人们实际上很少需要前往 DMV,更不用说排长队(由于转为在线服务,这种情况压根不存在)。
互联网是数字化的主要组成部分之一。它是大多数政府机构的关键基础设施,因为这是与公众沟通的主要接口。随着软件即服务 (SaaS) 和混合办公模式的普及,互联网也成为内部运营和�协作的重要载体。对互联网的依赖给 IT 部门提出了新的要求;而且,如果 IT 环境设计不当,有时还可能会带来负面影响。
想象一下,您的机构因遭受分布式拒绝服务 (DDoS) 攻击而失去互联网连接。您的员工或承包商可能会无法连接工作工具,居民也可能无法访问在线服务。随着越来越多的居民服务通过 Web 提供,连接中断的影响会蔓延开来。
但作为州或地方政府领导者,您如何保护互联网上的资产?如何优化客户体验并保护用户身份和数据?
您拥有比想象中更多的控制权。作为 2025 年网络韧性计划的一部分,支持互联网服务势在必行。有一些具体的重点领域可以帮助政府机构走上正确的韧性道路:审核 DNS 基础设施,保护 Web 应用和 API 服务,以及审核现代化网络服务。
实现 DNS 基础设施现代化
域名系统 (DNS) 服务是州和地方政府网络安全和运营基础设施中一个至关重要,却又常常被忽视的组成部分。这些服务负责将人类可读的网站地址转换为 IP 地址,在维护政府数字服务的安全性、可靠性和可访问性方面发挥着关键作用。
现代 DNS 服务提供必要的安全功能,有助于防范各种网络威胁,包括DNS 投毒、域名劫持和数据泄露。重要的是,DNS 通常是抵御网络威胁的第一道防线,现代 DNS 服务可以在恶意流量实际到达政府网络之前进行检测并阻止其入侵。
除了安全功能之外,DNS 服务还让州和地方政府机构能够:
维持关键在线服务的高可用性
实施地理负载平衡,提供更优质的服务
监测并分析网络流量模式
通过实现 DNS 现代化并充分利用 DNS 提供商的服务,决心提高韧性。方法如下所述:
采用 .gov 顶级域 (TLD)。韧性与信任密不可分,使用 .gov 域会提高信任度。一些州已经采取行动;例如,加州议会法案 1637 (AB 1637) 要求在 2029 年 1 月 1 日之前完成全面过渡。
使用防护型 DNS。防护型 DNS 是指利用现有 DNS 协议和架构,分析 DNS 查询并采取行动缓解威胁的一项安全服务。防护型 DNS 从源头阻止恶意软件、勒索软件、网络钓鱼攻击、病毒、恶意网站和间谍软件的访问,从而提高网络本身的安全性。
保护 DNS 基础设施。我们建议,企业采取措施保护 DNS 基础设施,例如定期查看审计日志和添加多因素身份验证 (MFA)。此外,机构应确保其服务提供商实施 DNS 安全扩展,并转为采用加密 DNS 协议,以更好地保护政府通信。
维持客户的存在感
政府机构日渐发现,自己身处网络安全新战场的最前线:保护 Web 应用和应用程序编程接口 (API)。Web 应用和 API 现已成为民众与政府服务机构互动的主要方式,涵盖从报税到福利管理等各种服务,这些数字接口每天处理数百万笔敏感交易。确保 Web 应用和 API 安全是维护公众信任的关键。与此同时,Web 应用和 API 攻击数量创历史新高。2022 年,每天记录的 Web 应用和 API 攻击超过 4 亿次。
传统的边界安全措施已远远不够。为了加强州�和地方政府的网络安全,我们需要采用全面的应用和 API 安全措施来抵御各种现代威胁,例如:
针对政府服务的复杂机器人攻击
可能泄露敏感数据的特定 API 漏洞
针对应用程序框架的零日漏洞
Gartner 将云 Web 应用和 API 保护 (WAAP) 定义为一类安全解决方案,旨在保护 Web 应用安全,无论其托管在哪里。通常,这些服务以一系列安全模块的形式提供,可抵御各种针对 Web 应用的运行时攻击。
通过利用 WAAP 工具确保客户应用受到保护,决心提高韧性。具体步骤如下所述:
利用内容分发网络 (CDN) 抵御 DDoS 攻击,并通过负载平衡增加韧性
部署 Web 应用防火墙 (WAF) 服务,过滤和监测 HTTP 流量,防范恶意机器人和 Web 爬网程序
对应用和 API 执行严格的身份验证和授权控制
使用 API 网关,保护、监测和管理 API 流量
执行持续的安全测试和漏洞评估
评估服务提供商的实时威胁检测和响应能力
通过实现网络服务现代化,确保业务连续性
在全国各州首席信息官协会十大优先事项清单中,旧版系统现代化经常入选。现代化需求持续增长的原因有很多。例如,企业继续使用过时和停止服务的基础设施组件,而 IT 部门往往无法跟上过去十年 IT 架构发生的令人难以置信的变化。引发变化的原因是向 SaaS 应用迁移、数据中心被云取代,以及混合办公模式的激增。所有这些因素都促使数据/流量工作流程从 80/20 公司内部/公司外部范式颠倒成 20/80 公司内部/公司内部范式。在这种重大转变背景下,必须更换或升级过去的轴幅式路由器网络,才能支持这种转型。
大多数政府机构和私营企业都在积极实现其网络基础设施现代化。由于如今的大多数 IT 资产和用户都在互联网而不是企业网络中,从性能和成本的角度来看,用互联网作为 WAN 来增强或取代传统 MPLS 网络是明智之举。从安全和使用的角度来看,采用基于云的服务来加速、优化和保护这些基础设施组件是有意义的。这种现代化方法会提供可扩展的带宽,且针对现代应用交付进行了优化,内置韧性,同时降低了复杂性和成本。
如今的网络韧性可以作为一种服务提供,类似于多年来数据中心和应用以服务形式(IaaS 和 SaaS)交付的方式。机构可以实施 WAN 即服务、防火墙即服务、DDoS 防护以及 SASE 框架。将互联网用作机构的主干网,或至少将其作为主干网的一个组件,这是可行的。
优势包括内置的韧性和可扩展性。即便出现电缆断裂、数据中心故障,甚至大规模 DDoS 攻击,都不会影响正常运行时间或性能。各机构可以保护、连接并加速网络,而无需支付运行或维护硬件的成本,也省去了复杂性。
增强数字化基础设施的步骤
随着政府机构不断扩展数字服务,它们必须转变 IT 架构和网络安全策略,以满足现代社会的需求。这种转型应包括保护由 Web 应用和 API 提供的面向民众的在线服务。安全、一致的在线状态对于维持公众信任和保护敏感信息仍然至关重要。鉴于网络威胁的日益演变,政府机构采取强大的安全措施不仅是一项技术要求,而且也是公共服务的基本义务。
Cloudflare 凭借其统一的云原生服务平台,帮助州和地方政府,以及公共部门组织取得成效。各机构可以使用 Cloudflare 的单个、统一平台来防范和应对各种破坏性威胁,同时控制成本和复杂性,而无需部署和管理众多分散的网络安全工具。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
本文最初发表于 Government Technology。
作者
Dan Kent - @danielkent1
现场首席技术官 - Cloudflare 公共部门
关键要点
阅读本文后,您将能够了解:
为什么州和地方政府机构必须立即为未来的服务中断做好准备
互联网在提供政府服务中的关键作用
增强数字化基础设施的三个步骤
相关资源
深入探讨这个话题
查看 Cloudflare for State & Local government 简介,进一步了解 Cloudflare 如何帮助州或地方政府机构应对网络安全挑战。