每年,美国州际首席信息官国家协会 (NASCIO) 都会发布其十大战略优先事项清单。毫无悬念的是网络安全和风险管理在 2024 年再次占据首位。由于无休无止的网络攻击持续影响各州和地方机构,网络安全和风险管理已连续十多年位居榜首。
然而,NASCIO 表示,数字政府服务与网络安全是今年并列第一的优先事项,这是“历史首次”。数字政府服务,或“电子政府”服务,是指利用信息及通信技术向公众和企业界提供的服务。
NASCIO 执行主任 Doug Robinson 这样评论两者并列:“网络安全与数字政府是州 CIO 面临的两个关键问题,而且这种情况还将持续一段时间。”
很少有人会对此提出异议,但请记住:这是一个优先事项清单。难道不应该只有一个“第一”吗?
由于几乎所有信息都可在线获取,人们也渴望获得政府提供的一流数字服务。不同的机构处理不同的事情,这不重要。人们本不应该筛选长长的机构列表、找到合适的网站,并创建另一个账户来与政府互动。任何人都本不应该承受与复杂的搜索、令人困惑的流程、耗时的申请,以及冗长的回复时间相关的“时间税”。但这正是当今美国大部分地区政府服务面临的现实。
州政府和地方政府对此有着敏锐的感知。公众或许并未意识到这一点,但政府领导人非常关心政务服务提供,并且他们正在采取行动。
例如,各州都在投资建设面向公众的 Web 门户,让用户能够无缝、跨机构访问其提供的每一项服务。在对应用程序进行现代化升级时,他们运用最新的人类中心设计原则,以人为本。它们将单点登录与无密码多因素身份验证相结合,用户只需管理一个凭据(无需密码!)。而且它们利用 AI 数字助理进行创新,将政府服务的未来设想变成现实。
毫无疑问,卓越的数字体验有助于建立对政府的信任。这种高度关注也解释了为什么数字服务在 NASCIO 十大优先事项榜单中一路攀升至首位。不过,糟糕的安全和隐私实践可能会产生破坏性影响,这也是网络安全排名第一的原因。因此,两者并列。
现在让我们回到之间的问题:这是否真的令人惊讶?当然不令人惊讶。从公众的角度来说,出色的数字服务与强大的网络安全并不是相互独立的优先事项。二者相互交织,同为一体。
NASCIO 清单最令人惊讶的也许是这一点:竟然找不到“可用性”、“可靠性”和“韧性”等优先事项。没有什么比无法正常提供服务更容易破坏信任。
当然,可用性与机密性和完整性一样,都是安全的核心原则,因此,可以说它隐含在内。但近年来,“韧性”一词已更明确地成为了可信赖系统的基础。韧性听上去像是可用性的一个更华丽的代名词,但它的真正含义远不止于此。韧性清晰地揭示了一个关键问题:建立信任。NASCIO 应该考虑明确阐述这一点,就像他们在治理、用户体验、无障碍访问和第三方风险方面所做的一样。
为了帮助组织增强韧性,美国国家标准与技术研究院 (NIST) 发布了两份 800-160 特别出版物:可信赖的系统((第一卷)和网络韧性系统(第二卷)。其中有一句重要引言引人注目:“可信度是指实体展现出的能力,因此也是指该实体值得信赖,能够满足期望,包括在不利情况下也能满足期望。”换句话说,即使在艰难时期,始终如一地持续提供服务就能赢得信任。
当系统运行速度变慢或停止响应时,情况可能会迅速变得艰难。其原因可能是网络问题,例如勒索软件或拒绝服务攻击,也可能是运营问题,例如意外流量峰值或人为错误演变成一场全面危机。很少有人会忘记,新冠疫情是如何导致全国各地的企业倒闭,数百万人纷纷访问各州的失业申请系统,导致网站崩溃以及重要福利的发放长时间延误。艰难 时期的这种系统故障,削弱了人们在关键时刻对政府的信任。
好消息是,有一份简单的行动手册可以帮助您在数字服务中建立信任和韧性,无需深入研究 500 页的 NIST 出版物,也无需等待明年的优先事项十大清单。
好吧,我们确实建议您深入阅读和了解 NIST 800-160 系列文章,但以下是立即构建网络安全和数字服务项目韧性的五大优先事项:
缓解 DDoS 攻击
攻击者会使用分布式拒绝服务 (DDoS) 攻击来破坏服务,或者,有时只是为了转移人们对其他攻击事件的注意力。DDoS 攻击会利用来自众多来源的流量压垮目标系统,使其难以检测和缓解,即便是上游互联网服务提供商可能也无法有效应对。但不一定非要面对这种情况。如今,企业可以将数字服务连接到现代化的全球连通云,该平台具有识别和阻止 DDoS 攻击所需的可见性和专业知识。
保护 DNS 安全
与其他核心互联网服务一样,域名系统 (DNS) 在设计过程中并未考虑安全性。因此,攻击者可以利用其弱点降低 服务质量,将用户重定向到恶意网站或拦截电子邮件。DNS 增强功能,例如域名系统安全扩展 (DNSSEC) 协议,虽然已发展到可以对 DNS 请求进行身份验证,但仍然无法抵御 DDoS 攻击。因此,首要优先事项应该是采用安全的 DNS 解决方案,将高性能 DNS 服务与 DNSSEC 和 DDoS 防护功能相结合,以确保服务始终可用并保护其免遭基于 DNS 的攻击。
Web 应用保护
Web 平台不断遭受各种新兴威胁手段和策略的攻击。无论是开放式 Web 应用安全项目 (OWASP) 定义的已知威胁,还是新兴零日威胁手段,现代 Web 应用防火墙 (WAF) 都需要能够大规模应对这两种威胁。暴露凭据检查、以 API 为中心的控制,以及响应中的敏感数据检测,也都是全面保护 Web 应用的关键要素。这些控制措施必须不断更新,以适应不断变化的威胁格局。因此,请考虑选择一个能够利用由广泛的全球传感器网络训练的机器学习技术来识别和应对这些新兴威胁的 WAF 提供商。
应用加速服务
提升数字服务的用户体验,不仅要关注应用架构和以人为本的设计原则,而且要关注内容对最终用户的可用性与加速服务。本质上,高级缓存和内容管理功能包含在上述安全控制措施中,是提 升系统性能、韧性和最终信任的关键组成部分。为了有效实现这些目标,提供商的基础设施必须跨多个地理位置分布式部署,将加速服务与安全性紧密结合在一起。
网络加速服务
运营着连接服务节点和策略执行点 (PEP) 的网络主干网提供商会带来另一层至关重要的韧性。例如,出现瓶颈时,流量可以绕过拥塞区域重新路由到备用节点。这种查看端到端路径,以及控制如何根据实时情况来路由请求和响应的能力,将显著提高韧性和性能。假设一家云安全提供商,它不仅运营着遍布全球的安全和加速服务 PEP,而且还运营着连接这些 PEP 的网络基础设施。
NASCIO 清单出现并列第一的 CIO 优先事项,这或许是历史首次,但的确不足为奇。为了服务公众并赢得公众信任,各机构需要提供强大的网络安全和简单的数字体验。但是,信任还取决于韧性,韧性是指确保关键服务在艰难时期也始终可用。我们前面所述的五大优先事项将对提供值得信赖、可靠的数字服务大有裨益。
如果这说得还不够明确,以下是给各州 CIO 在考虑 2025 年首要优先事项时提出的一项重要建议:在数字政府优先事项中,特别 强调“韧性”。这至关重要,但比您想象的更容易。
Cloudflare 提供专为美国政府和公共部门机构组织而设计的一套服务。这些服务让各机构组织能够构建快速、可靠且可扩展的服务,同时增强跨所有端点、用户和云的安全性。各项服务均由全球规模的、高韧性云网络提供,内置安全和性能功能。采用 Cloudflare 解决方案,组织可以同时满足 NASCIO 的两大优先事项,而不需增加复杂性。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其中之一。
本文最初发表于 GovTech。
阅读《Zero Trust 架构路线图》指南,进一步了解如何满足联邦政府的 Zero Trust 安全要求。
Scottie Ray — @H20nly
Cloudflare 首席解决方案架构师
Steve Caimi — @stevecaimi
Cloudflare 首席产品经理
阅读本文后,您将能够了解:
政府如何努力提升数字服务
为什么韧性对于建立信任至关重要
构建网络安全与数字服务韧性的五个优先事项
入门
资源
解决方案
社区
支持
公司