6月4日，美(měi)國國防信息系統局（DISA）發布《基于雲的互聯網隔離方案》信息征詢書(RFI)，希望工(gōng)業部門(mén)協助開(kāi)發一種互聯網隔離方案，将國防部用(yòng)戶的互聯網上(shàng)網行爲與國防部網絡相隔離，以保障國防部網絡的安全。

　　事(shì)件背景

　　“互聯網隔離”技術頗受企業的歡迎，因爲采取這(zhè)種方式後，用(yòng)戶從(cóng)内部工(gōng)作(zuò)機浏覽外(wài)部互聯網時(shí)将被“隔離”，不必擔心黑客的入侵。過去，這(zhè)種隔離是通過虛拟化方式來(lái)實現(xiàn)的。但(dàn)虛拟化成本過高(gāo)，并且不能(néng)很(hěn)好(hǎo)地進行擴展。目前，供應商正在探索新的架構來(lái)隔離網絡浏覽活動。技術研究公司Gartner将浏覽器隔離列爲2017年11大(dà)安全技術之一。2017年，Symantec公司收購了(le)一家名爲FireGlass的以色列初創公司，以增強其在浏覽器隔離上(shàng)的技術實力。

　　主要内容

　　DISA尋求基于雲的互聯網隔離能(néng)力，以支持該局的終端安全解決方案。基于企業雲的互聯網隔離可以防禦針對(duì)國防部網絡和(hé)終端客戶的攻擊。這(zhè)項服務可以将網絡浏覽活動從(cóng)終端用(yòng)戶的桌面重定向到(dào)國防部信息網絡（DoDIN）以外(wài)的遠程服務器。

　　技術要求

　　方案必須能(néng)夠滿足以下(xià)能(néng)力和(hé)功能(néng)要求：

　　1.方案在必要時(shí)可利用(yòng)多個地理(lǐ)位置，可包括：華納羅賓斯（喬治亞州）、哥(gē)倫布(俄亥俄州)、聖安東尼奧(德克薩斯州)、北島(加利福尼亞州)、五角大(dà)樓（華盛頓特區(qū)）、漢普頓路(弗吉尼亞州)、橫田（日本）、拉姆施坦因（德國）、斯圖加特（德國）和(hé)希凱姆（夏威夷）。

　　2.方案須兼容聯邦信息處理(lǐ)标準（FIPS）140-2加密模塊，支持國防部公鑰基礎設施（PKI）認證，兼容國防部批準的所有浏覽器，并使用(yòng)國防部提供的用(yòng)戶配置文(wén)件的目錄服務。系統可位于FedRamp II級認證數據中心。供應商可提供主機和(hé)構建“軟件即服務”（SaaS），并負責系統設置、服務器維護、中間件和(hé)操作(zuò)系統支持以及托管/維護等。

　　3.基于企業雲的互聯網隔離能(néng)力由以下(xià)幾個方面組成：

　　1）将浏覽器中用(yòng)戶互聯網活動的全部或可配置部分發送至國防部信息網絡（DoDIN）以外(wài)的、基于雲的供應商解決方案

　　2）安全存儲和(hé)傳輸數據，在此過程中藥确保數據的機密性、完整性、可用(yòng)性及來(lái)源真實性。

　　3）在主機處包含一種内容控制軟件

　　4）可記錄所有的Web請(qǐng)求，可将Web請(qǐng)求與特定用(yòng)戶綁定（從(cóng)身份驗證至會(huì)話(huà)結束）

　　5）可允許不同的組爲每個客戶端設置網絡使用(yòng)阈值。如果超過帶寬阈值，則向指定的電子郵件地址自(zì)動發送電子郵件

　　6）支持浏覽器活動的不可否認性(Non-repudiation)。不可否認性是指在網絡環境中，信息交換的雙方不能(néng)否認其在交換過程中發送信息或接收信息的行爲。

　　7）可配置用(yòng)戶會(huì)話(huà)的“非活動超時(shí)”。

　　8）支持使用(yòng)安全套接字層（SSL）3.0和(hé)傳輸層安全性（TLS）1.0-1.3的網站(zhàn)連接

　　9）滿足多項性能(néng)标準，比如能(néng)夠近實時(shí)地提供信息，将打開(kāi)客戶端到(dào)浏覽會(huì)話(huà)開(kāi)始的時(shí)間控制在5秒之内等。