6月4日，美國國防信息系統局（DISA）發布《基于雲的互聯網隔離方案》信息征詢書(shū)(RFI)，希望工業部門(mén)協助開(kāi)發一種互聯網隔離方案，将國防部用戶的互聯網上(shàng)網行(xíng)為(wèi)與國防部網絡相隔離，以保障國防部網絡的安全。

　　事件背景

　　“互聯網隔離”技(jì)術(shù)頗受企業的歡迎，因為(wèi)采取這種方式後，用戶從內(nèi)部工作(zuò)機浏覽外部互聯網時(shí)将被“隔離”，不必擔心黑(hēi)客的入侵。過去，這種隔離是通(tōng)過虛拟化方式來(lái)實現的。但(dàn)虛拟化成本過高(gāo)，并且不能很(hěn)好地進行(xíng)擴展。目前，供應商正在探索新的架構來(lái)隔離網絡浏覽活動。技(jì)術(shù)研究公司Gartner将浏覽器(qì)隔離列為(wèi)2017年11大(dà)安全技(jì)術(shù)之一。2017年，Symantec公司收購了一家(jiā)名為(wèi)FireGlass的以色列初創公司，以增強其在浏覽器(qì)隔離上(shàng)的技(jì)術(shù)實力。

　　主要內(nèi)容

　　DISA尋求基于雲的互聯網隔離能力，以支持該局的終端安全解決方案。基于企業雲的互聯網隔離可(kě)以防禦針對國防部網絡和(hé)終端客戶的攻擊。這項服務可(kě)以将網絡浏覽活動從終端用戶的桌面重定向到國防部信息網絡（DoDIN）以外的遠程服務器(qì)。

　　技(jì)術(shù)要求

　　方案必須能夠滿足以下能力和(hé)功能要求：

　　1.方案在必要時(shí)可(kě)利用多(duō)個(gè)地理(lǐ)位置，可(kě)包括：華納羅賓斯（喬治亞州）、哥(gē)倫布(俄亥俄州)、聖安東尼奧(德克薩斯州)、北島(加利福尼亞州)、五角大(dà)樓（華盛頓特區(qū)）、漢普頓路(弗吉尼亞州)、橫田（日本）、拉姆施坦因（德國）、斯圖加特（德國）和(hé)希凱姆（夏威夷）。

　　2.方案須兼容聯邦信息處理(lǐ)标準（FIPS）140-2加密模塊，支持國防部公鑰基礎設施（PKI）認證，兼容國防部批準的所有(yǒu)浏覽器(qì)，并使用國防部提供的用戶配置文件的目錄服務。系統可(kě)位于FedRamp II級認證數(shù)據中心。供應商可(kě)提供主機和(hé)構建“軟件即服務”（SaaS），并負責系統設置、服務器(qì)維護、中間(jiān)件和(hé)操作(zuò)系統支持以及托管/維護等。

　　3.基于企業雲的互聯網隔離能力由以下幾個(gè)方面組成：

　　1）将浏覽器(qì)中用戶互聯網活動的全部或可(kě)配置部分發送至國防部信息網絡（DoDIN）以外的、基于雲的供應商解決方案

　　2）安全存儲和(hé)傳輸數(shù)據，在此過程中藥确保數(shù)據的機密性、完整性、可(kě)用性及來(lái)源真實性。

　　3）在主機處包含一種內(nèi)容控制(zhì)軟件

　　4）可(kě)記錄所有(yǒu)的Web請(qǐng)求，可(kě)将Web請(qǐng)求與特定用戶綁定（從身份驗證至會(huì)話(huà)結束）

　　5）可(kě)允許不同的組為(wèi)每個(gè)客戶端設置網絡使用阈值。如果超過帶寬阈值，則向指定的電(diàn)子郵件地址自動發送電(diàn)子郵件

　　6）支持浏覽器(qì)活動的不可(kě)否認性(Non-repudiation)。不可(kě)否認性是指在網絡環境中，信息交換的雙方不能否認其在交換過程中發送信息或接收信息的行(xíng)為(wèi)。

　　7）可(kě)配置用戶會(huì)話(huà)的“非活動超時(shí)”。

　　8）支持使用安全套接字層（SSL）3.0和(hé)傳輸層安全性（TLS）1.0-1.3的網站(zhàn)連接

　　9）滿足多(duō)項性能标準，比如能夠近實時(shí)地提供信息，将打開(kāi)客戶端到浏覽會(huì)話(huà)開(kāi)始的時(shí)間(jiān)控制(zhì)在5秒(miǎo)之內(nèi)等。