6月(yuè)4日，美(měi)國國防信息系統局（DISA）發布《基于雲的(de)互聯網隔離方案》信息征詢書(shū)(RFI)，希望工業部門協助開發一種互聯網隔離方案，将國防部用(yòng)戶的(de)互聯網上網行爲與國防部網絡相隔離，以保障國防部網絡的(de)安全。

　　事件背景

　　“互聯網隔離”技術頗受企業的(de)歡迎，因爲采取這(zhè)種方式後，用(yòng)戶從内部工作機浏覽外部互聯網時(shí)将被“隔離”，不必擔心黑(hēi)客的(de)入侵。過去，這(zhè)種隔離是通(tōng)過虛拟化(huà)方式來(lái)實現的(de)。但虛拟化(huà)成本過高(gāo)，并且不能很好地進行擴展。目前，供應商正在探索新的(de)架構來(lái)隔離網絡浏覽活動。技術研究公司Gartner将浏覽器隔離列爲2017年11大(dà)安全技術之一。2017年，Symantec公司收購(gòu)了(le)一家名爲FireGlass的(de)以色列初創公司，以增強其在浏覽器隔離上的(de)技術實力。

　　主要内容

　　DISA尋求基于雲的(de)互聯網隔離能力，以支持該局的(de)終端安全解決方案。基于企業雲的(de)互聯網隔離可(kě)以防禦針對(duì)國防部網絡和(hé)終端客戶的(de)攻擊。這(zhè)項服務可(kě)以将網絡浏覽活動從終端用(yòng)戶的(de)桌面重定向到國防部信息網絡（DoDIN）以外的(de)遠(yuǎn)程服務器。

　　技術要求

　　方案必須能夠滿足以下(xià)能力和(hé)功能要求：

　　1.方案在必要時(shí)可(kě)利用(yòng)多(duō)個(gè)地理(lǐ)位置，可(kě)包括：華納羅賓斯（喬治亞州）、哥(gē)倫布(俄亥俄州)、聖安東尼奧(德克薩斯州)、北(běi)島(加利福尼亞州)、五角大(dà)樓（華盛頓特區(qū)）、漢普頓路(弗吉尼亞州)、橫田（日本）、拉姆施坦因（德國）、斯圖加特（德國）和(hé)希凱姆（夏威夷）。

　　2.方案須兼容聯邦信息處理(lǐ)标準（FIPS）140-2加密模塊，支持國防部公鑰基礎設施（PKI）認證，兼容國防部批準的(de)所有浏覽器，并使用(yòng)國防部提供的(de)用(yòng)戶配置文件的(de)目錄服務。系統可(kě)位于FedRamp II級認證數據中心。供應商可(kě)提供主機和(hé)構建“軟件即服務”（SaaS），并負責系統設置、服務器維護、中間件和(hé)操作系統支持以及托管/維護等。

　　3.基于企業雲的(de)互聯網隔離能力由以下(xià)幾個(gè)方面組成：

　　1）将浏覽器中用(yòng)戶互聯網活動的(de)全部或可(kě)配置部分(fēn)發送至國防部信息網絡（DoDIN）以外的(de)、基于雲的(de)供應商解決方案

　　2）安全存儲和(hé)傳輸數據，在此過程中藥确保數據的(de)機密性、完整性、可(kě)用(yòng)性及來(lái)源真實性。

　　3）在主機處包含一種内容控制軟件

　　4）可(kě)記錄所有的(de)Web請求，可(kě)将Web請求與特定用(yòng)戶綁定（從身份驗證至會話(huà)結束）

　　5）可(kě)允許不同的(de)組爲每個(gè)客戶端設置網絡使用(yòng)阈值。如果超過帶寬阈值，則向指定的(de)電子郵件地址自動發送電子郵件

　　6）支持浏覽器活動的(de)不可(kě)否認性(Non-repudiation)。不可(kě)否認性是指在網絡環境中，信息交換的(de)雙方不能否認其在交換過程中發送信息或接收信息的(de)行爲。

　　7）可(kě)配置用(yòng)戶會話(huà)的(de)“非活動超時(shí)”。

　　8）支持使用(yòng)安全套接字層（SSL）3.0和(hé)傳輸層安全性（TLS）1.0-1.3的(de)網站連接

　　9）滿足多(duō)項性能标準，比如能夠近實時(shí)地提供信息，将打開客戶端到浏覽會話(huà)開始的(de)時(shí)間控制在5秒之内等。