州和地方政府的網路安全優先事項
2025 年網路韌性計畫
每年 11 月,網路安全和基礎架構安全局 (CISA) 都會推出「關鍵基礎架構安全與韌性月」活動,這強調一個關鍵現實:作為關鍵基礎架構提供者,州和地方機構必須不斷為未來的中斷做好準備並進行投資。
雖然本月重點關注網路安全韌性,但認識到更廣泛的範圍也至關重要。組織必須隨時準備應對各種可能影響業務運作、客戶互動和社區福祉的事件。近年來,我們已經看到,實體世界和虛�擬世界都可能受到以下因素的影響:
自然災害,例如颶風海倫摧毀了社會脆弱地區,使這些地區的災後復原變得舉步維艱
事故,例如貨船壓垮馬里蘭州基大橋,擾亂了巴地摩港的流量和營運
蓄意攻擊,例如可能影響全球網際網路流量的波羅的海電纜切斷
像 Salt Typhoon 間諜行動這樣的供應鏈攻擊,滲透到我國許多頂級電信服務提供者,監視敏感的政府對話
在我們所處的這個高度互聯的世界中,此類事件的影響遠遠超出了當地範圍,並造成了意想不到的情況。
我們的數位世界能夠為某些事件提供韌性。例如,我們可以在發生自然災害時支援�分散的勞動力。當然,這個數位世界同時也可能對本地社群以外,甚至全球各地的人群造成負面影響,這從 Log4j 惡意程式碼引發的系統癱瘓,以及近期頻傳的勒索軟體攻擊事件便可见一斑。
網際網路已成為連線性的關鍵來源,我們必須保護它,才能持續提供服務(包括在危機期間)。「決心增強韌性」這一口號,正是為了提高準備狀態,因為州和地方機構往往處於應對和復原工作的前線。
網際網路在數位政務服務中的作用
過去五年來,數位政府建設已成為多數 CIO 的首要任務。數位政府的推動,已為民眾帶來前所未有的服務透明度與便捷性。
這場數位轉換為民眾體驗帶來顯著提升。以各地車輛管理局 (DMV) 的業務為例——像是駕照換發這類常見服務,現在多已實現線上辦理。民眾不僅大幅減少親臨現場的需求,更幾乎不需再忍受長時間排隊(因為絕大多數流程都已轉移到線上完成)。
網際網路是數位化的主要組成部分之一。它是大多數政府機構的關鍵基礎架構,因為它是與公眾的主要介面,而且隨著軟體即服務 (SaaS) 和混合勞動力的激增,它也是內部營運和協作的工具。對網際網路的依賴對 IT 部門提��出了新的要求——如果 IT 環境設計不當,有時還會帶來負面後果。
想像一下,您的機構因分散式阻斷服務 (DDoS) 攻擊而失去網際網路存取。您的員工或承包商可能會失去與工作工具的連線,居民也可能無法存取線上服務。隨著越來越多的公民服務透過 Web 提供,服務中斷的影響將更加廣泛。
但是,作為州或地方政府的領導,您如何保護網際網路上的資產?如何最佳化客戶體驗並保護使用者的身分和資料?
您擁有的控制力遠超您的想像。作為 2025 年網路韌性計畫的一部分,加強您的網際網路服務至關重要。以下是一些具體的重點領域,可以幫助任何機構走上正確的韌性之路:審查 DNS 基礎架構、保護 Web 應用程式和 API 服務,以及審查現代化的網路服務。
實現 DNS 基礎架構現代化
網域名稱系統 (DNS) 服務是州和地方政府網路安全與營運基礎架構中一個關鍵但經常被忽視的組成部分。這些服務將人類可讀的網站位址轉換為 IP 位址,在維護政府數位服務的安全性、可靠性和可存取性方面發揮著至關重要的作用。
現代 DNS 服務提供必要的安全功能,有助於防禦各種網路威脅,包括 DNS 投毒、網域劫持和資料外流嘗試。重要的是,DNS 通常是抵禦網路威脅的第一道防線,而現代 DNS 服務可以在惡意流量真正進入政府網路之前偵測並阻止其入侵。
除了安全性之外,DNS 服務還支援州和地方政府機構:
維持關鍵線上服務的高可用性
實施地理負載平衡以優化服務交付
監控和分析網路流量模式
透過實現 DNS 現代化並充分利用 DNS 提供者來提高韌性。方法如下:
採用 .gov 頂層網域 (TLD)。韌性與信任密不可分,使用 .gov 網域可以提升信任度。一些州已採取行動;例如,加州第 1637 號議會法案 (AB 1637) 要求在 2029 年 1 月 1 日前完成全面過渡。
使用保護性 DNS。保護性 DNS 是指任何能夠分析 DNS 查詢並採取措施緩解威脅的安全服務,它利用現有的 DNS 通訊協定和架構。保護性 DNS 可以從源頭阻止惡意程式碼、勒索軟體、網路釣魚攻擊、病毒、惡意網站和間諜軟體的存取,從而從本質上提高網路的安全性。
保護您的 DNS 基礎架構。我們建議組織採取措施來保護其 DNS 基礎架構,例如定期檢閱稽核記錄和新增多重要素驗證 (MFA)。此外,機構應確保其提供者實作 DNS 安全性擴充,並轉向加密的 DNS 通訊協定,以更好地保護政府通訊。
維持您的客戶服務
政府機構正日漸成為新一波網路安全戰場的前線——這場戰役的焦點在於保護 Web 應用程式與 API(應用程式設計介面)。Web 應用程式和 API 現在已成為居民與政府服務互動的主要方式,涵蓋從報稅到福利管理等各種服務,這些服務每天處理數百萬筆敏感交易。它們的安全對於維護公眾信任至關重要。
同時,Web 應用程式和 API 攻擊數量創歷史新高。2022 年,每天記錄的 Web 應用程式和 API 攻擊超過 4 億次。
傳統的邊界安全性已經遠遠不夠。為了加強州和地方政府的網路安全,我們需要能夠防禦現代威脅的全面應用程式和 API 安全措施,例如:
Gartner 將雲端 Web 應用程式和 API 保護 (WAAP) 定義為一類安全解決方案,旨在保護其託管位置的 Web 應用程式。通常,這些服務以一系列安全性模組的形式提供,可防禦各種針對 Web 應用程式的執行時間攻擊。
確保您的客戶應用程式透過利用 WAAP 工具受到保護,從而實現韌性,具體步驟如下:
利用內容傳遞網路 (CDN) 防禦 DDoS 攻擊並透過負載平衡增強韌性
實作 Web 應用程式防火牆 (WAF) 服務來篩選和監控 HTTP 流量並防禦惡意機器人和網路爬蟲
對應用程式和 API 使用強大的驗證和授權控制
使用 API Gateway 保護、監控和管理 API 流量
執行持續的安全測試和漏洞評估
評估提供者的即時威脅偵測和回應能力
透過實現網路服務現代化來確保業務持續性
在美國各州首席資訊長協會 (National Association of State Chief Information Officers) 的十大挑戰名單中,舊系統現代化改造始終榜上有名。現代化需求持續成長的原因有很多。例如,組織仍在使用過時且無法使用的基礎架構元件,而 IT 部門往往無法跟上過去十年 IT 領域發生的驚人架構變革。這些變革源自於向 SaaS 應用程式的遷移、資料中心被雲端取代以及混合辦公模式的激增。這些變革共同促使企業資料/流量模式從原本「80% 內部公司/20% 外部公司」的典型格局,逆轉為「20% 內部公司/80% 外部公司」的新態勢。隨著這一重大轉變,過去的中中樞和支點路由器網路必須更換或升級才能支援這種轉換。
大多數機構和私人企業都在推動網路基礎架構的現代化。由於大多數 IT 資產和使用者現在都位於網際網路而非企業網路上,因此從效能和成本的角度來看,以網際網路作為廣域網路 (WAN) 來增強或取代傳統的 MPLS 網路是明智之舉。從安全和使用的角度來看,採用基於雲端的服務來加速、最佳化和保護這些基礎架構元件也是明智之舉。這種現代方法提供了可擴展的頻寬,並針對現代應用程式交付進行了最佳化,具有內建的韌性,同時降低了複雜性和成本。
如今,網路韌性能夠以服務的形式交付,就像多年來資料中心和應用程式以服務形式(IaaS 和 SaaS)交付一樣。機構可以實施 WAN 即服務、防火牆即服務、DDoS 防護和 SASE 框架。使用網際網路作為機構骨幹網路的一部分,甚至是整個骨幹網路,不僅可行,而且通常是推薦做法。
其優點包括內建的韌性和可擴展性。電纜斷裂、資料中心中斷,甚至大規�模 DDoS 攻擊都不會影響正常運作時間或效能。機構可以保護、連接和加速其網路,而無需承擔運作或維護任何硬體的成本和複雜性。
強化數位基礎架構的步驟
隨著政府機構不斷擴展其數位服務,它們必須轉換其 IT 架構和網路安全策略,以應對現代社會的挑戰。這種轉換應包括保護透過 Web 應用程式和 API 提供面向民眾的線上服務。安全、一致的線上狀態對於維持公眾信任和保護敏感性資訊仍然至關重要。隨著網路威脅不斷演變,強大的安全措施不僅是技術要求,更是公共服務的基本義務。
Cloudflare 透過統一的雲端原生服務平台,協助州政府、地方政府以及公共部門組織取得成效。各機構無需部署和管理眾多分散的網路安全工具,而是可以使用 Cloudflare 的單一平台來預防和應對各種破壞性威脅,同時控製成本和複雜性。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
本文最初是為 Government Technology 而撰寫。
作者
Dan Kent — @danielkent1
Cloudflare 公共部門現場技術長
重點
閱讀本文後,您將能夠瞭解:
為什麼州和地方政府現在就必須為未來的中斷做好準備
網際網路在提供政府服務方面的關鍵作用
強化數位基礎架構的三個步驟
相關資源
深入探討這個主題。
閱讀《Cloudflare 州和地方政府解決方案》簡介,詳細瞭解 Cloudflare 如何協助您的州或地方政府機構應對網路安全挑戰。