電子政務和網路安全並列為 NASCIO 的首要優先事項
如何在安全和數位服務中建立韌性
每年,美國洲際資訊長國家協會 (NASCIO) 都會發佈其十大策略優先事項清單。毫無意外,網路安全和風險管理在 2024 年再次登上榜首。隨著持續不斷的網路攻擊繼續影響著各州和地方機構,它十多年來一直位居第一。
然而,在 NASCIO 稱為「歷史性��首次」的情況下,數位政務服務今年與網路安全並列為第一名。數位政務服務(或稱「電子政務」服務)是指利用資訊和通訊技術向民眾和企業界提供服務。
NASCIO 執行長 Doug Robinson 這樣評價並列第一的情況:「網路安全和數位政務是各州 CIO 面臨的兩個關鍵問題,而且這種情況將持續一段時間。」
很少有人會對此提出異議,但請記住:這是一份有優先順序的清單。難道不應該只有一個第一名嗎?
數位政務服務現狀
隨著幾乎所有事情都能在線上完成,人們也希望政府能提供一流的數位服務。不同機構負責不同事務這一點不應該成為問題。民眾不應該需要在一長串機構清單中搜尋,找到正確的網站,還要另外建立帳戶才能與政府互動。任何人都不應該承受與複雜搜尋、令人困惑的流程、耗時的申請以及漫長的回應時間相關的「時間成本」。然而,這卻是當前許多地區政府服務的真實現狀。
州和地方政府對此有著深刻的認識。民眾可能意識不到,但政府領導者非常重視服務的提供,並且他們正在採取行動。
例如,各州正在投資於面��向公眾的 Web 入口網站,以便支援跨機構順暢存取其提供的每一項服務。在對應用程式進行現代化改造時,他們採用最新的以人為本設計原則,將使用者需求置於首位。它們將單一登入與無密碼多重要素驗證相結合,讓使用者只需管理單一憑證(無需密碼!)。此外,他們還利用 AI 驅動的數位助理進行創新,為政府服務帶來未來式的體驗。
毫無疑問,出色的數位體驗有助於建立對政府的信任。這種高度重視解釋了為什麼數位服務在 NASCIO Top 10 榜單一路攀升至第一名。然而,糟糕的安全性和隱私權保護措施可能會破壞一切,因此這也是排名第一的。因此,二者並列第一。
現在讓我們回到之前的問題:這真的讓人意外嗎?當然不。從民眾的角度來看,出色的數位服務和強大的安全性並不是分開的優先事項。它們本質上是同一回事。
為您的組織建立韌性
NASCIO 清單中最令人意外的或許是這一點:像「可用性」、「可靠性」和「韌性」這樣的優先事項竟然完全沒有出現。能夠削弱信任的事情不多,而服務無法正常運作絕對是其中之一。
當然,可用性與機密性和完整性一樣,都是網路安全的核心原則,因此可以說是隱含的。然而,近年來,「韌性」一詞越來越明確地成為可信賴系統的基礎。韌性聽起來像是用於表示可用性的一個更時髦的詞彙,但它的含義遠不止於此。韌性鮮明地突出了關鍵問題:建立信任。NASCIO 應該考慮像對治理、使用者體驗、可存取性和第三方風險所做的那樣,明確地闡述這一點。
為了幫助組織提升韌性,美國國家標準技術研究所 (NIST) 發佈了兩份 800-160 特別出版物,分別是關於可新人系統(第 1 卷)和網路韌性系統(第 2 卷)。有一句關鍵引言格外引人注目:「可信度是一個實體被證實的能力,也因此表明我們能夠信任該實體能滿足各種期望,包括在逆境中依然滿足期望。」換句話說,當您即使在困難時期也能持續交付成果時,就能贏得信任。
當系統執行變慢或停止回應時,情況可能迅速變得棘手。原因可能是網路問題,如勒索軟體或阻斷服務攻擊,但也可能是營運問題,例如意外的流量暴增或人為失誤,進而演變成一場全面的危機。很少有人會忘記,疫情期間全國各地的企業紛紛倒閉,數百萬人湧入各州的失業救濟申請系統,導致網站崩潰,並使重要的福利發放出現長時間延遲。在這樣一個關鍵時刻,這種在逆境中的失敗削弱了人們對政府的信任。
好消息是,有一本簡單的手冊可以幫您在數位服務中建立信任和韌性,而無需深入研究多達 500 頁的 NIST 出版物,也不必等待明年的十大清單。
州和地方政府的五大優先事項
好的,我們確實建議深入研究 NIST 800-160 系列,但要立即將韌性建置到網路安全和數位服務計畫中,應優先考慮以下五個首要任務:
DDoS 緩解
攻擊者使用分散式阻斷服務 (DDoS) 攻擊來中斷服務,或者有時只是為了轉移對另一起攻擊的注意力。DDoS 攻擊會利用來自多個來源的流量使系統不堪重負,即使對於上游網際網路服務提供者而言,此類攻擊也難以阻止。但情況也並非一定如此。如今,您可以將數位服務連接到一個現代的全球連通雲,其具備必要的可見度和專業知識,能夠識別並阻止 DDoS 攻擊。安全 DNS
與其他核心網際網路服務一樣,網域名稱系統 (DNS) 在設計之初並未考慮安全性。因此,攻擊者可以利用其弱點,降低服務品質,將使用者重新導向到惡意網站,或攔截電子郵件。網域名稱系統安全性延伸模組 (DNSSEC) 通訊協定等 DNS 增強功能經過演進,可以對 DNS 請求進行驗證,但仍然無法抵禦 DDoS 攻擊。因此,當務之急應該是採用一種將高效能 DNS 服務與 DNSSEC 和 DDoS 防護相結合的安全 DNS 解決方案,以確保您的服務始終可用並免受基於 DNS 的攻擊。Web 應用程式保護
Web 平台不斷受到層出不窮的威脅手段和策略的攻擊。無論是已知的、由開放式全球應用程式安全性專案 (OWASP) 定義的威脅,還是新興的零時差威脅手段,現代 Web 應用程式防火牆 (WAF) 都需要能夠在大規模範圍內應對這些挑戰。暴露憑證檢查、以 API 為中心的控制以及回應中的敏感性資料偵測,也是全面保護 Web 應用程式的關鍵因素。這些控制措施必須隨著不斷變化的環境持續更新。因此,請考慮選擇這樣一家 WAF 提供者,其利用由廣泛的全球感應器網路訓練的機器學習來識別和應對這些新興威脅。應用程式加速服務
推動數位服務中的使用者體驗,不僅僅圍繞應用程式架構和以人為本的设计原則,還包括向終端使用者提供內容的可用性與加速。內建於上述安全控制中的進階快取和內容管理功能,是推動效能、韌性以及最終在這些系統中建立信任的關鍵組成部分。為了有效實現這些目標,提供者必須擁有分散式的佈局,將加速與安全性緊密結合在一起。網路加速服務
提供者營運的網路骨幹網將其服務節點或原則實施點 (PEP) 互連,從而為韌性提供了另一個層面。例如,當出現瓶頸時,可以將流量重新路由到擁塞區域周圍的備用節點。這種能夠看到端對端路徑並根據即時條件控制請求和回應路由的能力,顯著提升了韌性和效能。考慮一下這樣一家雲端安全提供者,其不僅使用全球分佈的 PEP 來提供安全性和加速服務,而且還使用與這些 PEP 互連的網路基礎架構。
將服務韌性作為明確目標
NASCIO CIO 優先事項的並列情況可能是歷史性的第一次,但這絕對不令人意外。為了服務公眾並建立信任,各機構既需要強大的網路安全保障,也需要簡單易用的數位體驗。但信任也取決於韌性,能否確保關鍵服務在逆境中始終可用。我們討論的五大優先事項將在提供值得信賴且可靠的數位服務方面發揮重要作用。
若還不夠明確,在此給各州 CIO 一項關於考量 2025 年首要任務的關鍵建議:具體談談數位政府優�先事項中的「韌性」。這是至關重要的,而且比您想像的要容易。
Cloudflare 提供一套專為美國政府和公共部門組織設計的服務。這些服務能夠幫助組織建置快速、可靠且可擴展的服務,同時全面提升所有端點、使用者和雲端的安全性。這些服務從具有內建安全性和效能的全球高韌性雲端網路提供。藉助 Cloudflare,組織可以在不增加複雜性的情況下同時解決 NASCIO 的兩大優先事項。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其中之一。
本文最初是為 GovTech 而撰寫。
深入探討這個主題。
閱讀《Zero Trust 架構藍圖》指南,深入瞭解如何實現聯邦政府的 Zero Trust 安全性要求。
作者
Scottie Ray — @H20nly
Cloudflare 首席解決方案架構師
Steve Caimi — @stevecaimi
Cloudflare 首席產品經理
重點
閱讀本文後,您將能夠瞭解:
政府如何努力增強數位服務
為什麼韌性對於建立信任至關重要
在網路安全和數位服務中建立韌性的五大優先事項