2022年3月3日，美國國會政府問責局（GAO）網(wǎng)站發(fā)布報告，題為《Cybersecurity: Internet Architecture is Considered Resilient, but Federal Agencies Continue to Address Risks》。報告要點如下：

互聯(lián)網(wǎng)是一個龐大的互聯(lián)網(wǎng)絡系統(tǒng)，使用者達數(shù)十億人。它的架構(gòu)（互聯(lián)網(wǎng)的骨干）由世界各地的組織擁有和管理。沒有任何組織對其政策、運營或安全負責。

通常，互聯(lián)網(wǎng)架構(gòu)被認為具有彈性，部分原因在于其分散的性質(zhì)。但是，我們的審查報告和主題專家已經(jīng)確定了互聯(lián)網(wǎng)關(guān)鍵運營的風險。

許多聯(lián)邦機構(gòu)都參與了應對這些風險的工作，采取了諸如威脅信息通告和加入全球互聯(lián)網(wǎng)治理團體等行動。

研究目的

互聯(lián)網(wǎng)是一個全球互聯(lián)網(wǎng)絡系統(tǒng)，全球數(shù)十億人使用它來執(zhí)行個人、教育、商業(yè)和政府任務。隨著時間的推移，美國政府已經(jīng)放棄了對互聯(lián)網(wǎng)的監(jiān)督作用。由許多組織構(gòu)成的全球多方利益共同體塑造了互聯(lián)網(wǎng)政策、運營和安全性。但對互聯(lián)網(wǎng)持續(xù)和日益增長的依賴強調(diào)了了解其底層架構(gòu)風險的必要性。

隨威廉 M.（Mac）索恩伯里2021財年《國防授權(quán)法案》一起發(fā)布的眾議院軍事委員會報告，包括一項要求 GAO 審查互聯(lián)網(wǎng)架構(gòu)安全性的條款。本報告：（1）確定了與互聯(lián)網(wǎng)架構(gòu)相關(guān)的安全風險，（2）確定了美國聯(lián)邦機構(gòu)采取行動解決互聯(lián)網(wǎng)架構(gòu)安全風險的程度。

GAO 收集并分析了來自聯(lián)邦和非聯(lián)邦組織的公開報告，以確定互聯(lián)網(wǎng)架構(gòu)各組成部分（互聯(lián)網(wǎng)交換點、海底電纜、域名系統(tǒng)和邊界網(wǎng)關(guān)協(xié)議等）的風險。GAO還審查了聯(lián)邦法律和政策及其先前的工作，以確定聯(lián)邦互聯(lián)網(wǎng)架構(gòu)安全角色和責任機構(gòu)。GAO根據(jù)各機構(gòu)的職責，收集并分析了相關(guān)文件，還與責任機構(gòu)的官員進行了面談。

此外，GAO還召集了兩個主題專家小組。小組成員在互聯(lián)網(wǎng)架構(gòu)的各個方面都有經(jīng)驗，例如演掌管基礎(chǔ)設施的組成部分以及對其進行運營、參與標準制定組織并為其做出貢獻，以及研究和參與各種多方利益相關(guān)治理實體。

在小組會議期間，GAO 提出了先前確定的賽博和物理風險，并要求專家識別尚未確定的其它風險或擔憂。GAO和專家們還討論了聯(lián)邦政府參與應對風險的問題。

主要發(fā)現(xiàn)

通信部門運營著構(gòu)成互聯(lián)網(wǎng)基礎(chǔ)的多個獨立網(wǎng)絡。為了支持網(wǎng)絡流量的交換，服務提供商管理和控制具有眾多組件的核心基礎(chǔ)設施元素，包括連接到國內(nèi)和國際網(wǎng)絡的互聯(lián)網(wǎng)交換點和海底電纜登陸站（見圖）。多家美國服務提供商運營著不同的核心網(wǎng)絡，這些網(wǎng)絡遍布全國并在多個點相互連接。

盡管專家認為互聯(lián)網(wǎng)架構(gòu)具有彈性，但它仍然面臨著可能影響其組件的各種網(wǎng)絡和物理風險；此類風險可能是有意或無意的。特別是，與網(wǎng)絡相關(guān)的風險可能會影響確?；诨ヂ?lián)網(wǎng)的服務中所用名稱的唯一性和為數(shù)據(jù)包路由提供便利所需的兩組協(xié)議。具體來說，域名系統(tǒng)將名稱（例如 www.gao.gov）轉(zhuǎn)換為計算機和其它設備用來路由數(shù)據(jù)的數(shù)字地址。此外，邊界網(wǎng)關(guān)協(xié)議用于交換網(wǎng)絡可用性和有關(guān)各個網(wǎng)絡（即目的地）的路由信息。這兩種協(xié)議都受到惡意行為者故意濫用以及無意失敗的威脅。此外，互聯(lián)網(wǎng)架構(gòu)可能會受到物理風險的影響，例如切割或移除光纖電纜。

如果意識到的話，一些風險可能會導致互聯(lián)網(wǎng)正常運行中斷的事件，包括中斷、性能降級和流量攔截。在GAO召集的兩個小組中任職的小組成員還表示，故意事件影響互聯(lián)網(wǎng)架構(gòu)的風險取決于惡意行為者的能力和動機。GAO和其它機構(gòu)報告了犯罪集團和主權(quán)國家等構(gòu)成的威脅，這些威脅可能會利用其能力影響互聯(lián)網(wǎng)架構(gòu)的組件。例如，2017年國土安全部完成的信息技術(shù)相關(guān)風險評估將有組織犯罪和主權(quán)國家確定為對域名路由運營服務的威脅。heavy fuel engine

隨著美國政府減少其在互聯(lián)網(wǎng)架構(gòu)組件方面的作用，包括停用其開發(fā)的早期網(wǎng)絡并放棄其對互聯(lián)網(wǎng)技術(shù)功能的監(jiān)督作用，這些責任轉(zhuǎn)移到了全球多方利益相關(guān)共同體。沒有一個組織負責整個互聯(lián)網(wǎng)政策、運營和安全。然而，聯(lián)邦政府履行了許多直接應對互聯(lián)網(wǎng)架構(gòu)風險的不同角色。為了履行這些職責，一些機構(gòu)已采取行動。例如，國土安全部與通信和信息技術(shù)關(guān)鍵基礎(chǔ)設施等部門的成員合作，對這些部門提供互聯(lián)網(wǎng)功能的能力進行風險評估。此外，聯(lián)邦通信委員會通過發(fā)放海底電纜和登陸站許可證，以及管理一項計劃即移除和更換被確定對國家安全構(gòu)成不可接受風險的設備，從而影響互聯(lián)網(wǎng)架構(gòu)的安全性。