Logo
ICANN
ICANN
Filtered Search

Are you sure you want to sign out from http://www.icann.org?

If you want to sign out from both http://www.icann.org and ICANN Account, click here.

ICANN 博文

敬请阅读 ICANN 的博文,了解最新政策制定活动和区域事务等等。

强化 ICANN 的 IT 和数字服务

2015 年 06 月 9 日
作者: Ashwin Rangan
Ashwin Rangan

Ashwin Rangan

本部分内容不仅提供联合国六种官方语言版本,还提供以下语言版本

ICANN52 期间,许多社群成员问起 ICANN 数字服务的状态。此外,回应我之前的一个博文,部分同仁已与数字服务副总裁克里斯·吉夫特 (Chris Gift) 及我会面,以深入了解其状态和计划。在一份近期公告中,ICANN 称,我们应进一步分享多年以来的"数字服务强化"工作。我写这篇博客正是要启动这一流程,方便你们(我们的社群)了解和参与我们当前和计划的众多 IT 活动。

五"大类"IT 架构

为帮助设立良好的基准,我要重复之前一篇博客/播客中提到的部分消息。广泛意义上,ICANN 以"数字服务"形式提供五大类 IT 架构资产:

  1. 面向社群的网络服务
  2. 缔约方服务
  3. 针对社群的技术服务
  4. IANA 服务
  5. 面向工作人员的运营服务

正如大家料想,我们对待这些资产存在极大区别,尤其是从 IT 安全性角度来看。我们共有 80 多个此类数字服务使社群、董事会和 ICANN 工作人员受益。我曾谈到并书面提及过由这些服务收集、核对和策展的数据,认为该信息是 ICANN 保护的珍宝。以银行业为喻,ICANN 整体是"数据存储台",我们 IT 人士是这一数据的真实保管人。这是我们慎重对待的公众信任。

年度第三方审计落实

为保证我们恰当保护这些珍宝,2014 年 6-7 月,我们邀请领先的全球公认第三方彻底审计我们的全部 IT 资产。我们选择应用和用作评估我们系统的方法是 20 个关键安全控制框架(前称 SANS 研究所)。未来数年,我们将遵照此框架,以便 ICANN 通过世界级"镜子"审核其 IT 资产,了解我们的工作如何随着时间的流逝更改其"形象"。同时,我很高兴指出,同一第三方已经留下负责常规的年度审计,目前正审核我们在过去 12 个月的进步,我们很快便会知晓结果。

2014 年的评估结果表明,我们在一些领域做得很好,而在其他领域还有改善的空间。比这一总体评估更为珍贵的是一份明确的具体领域列表,我们可以立即关注这些领域并迅速落实改进。

我们接受了各个建议,并将它们按照多种方式分类。我们将建议归入重要性/紧急性矩阵图;我们为每个建议注明工作量水平 (LoE) 和预期的硬钱成本。然后,我们排出它们的处理先后顺序。

这产生了 2015 财年含 16 个项目的路线图,以及 2016 财年的部分项目。我们将它们视作当务之急,九个关键项目现已完成,包括:Windows 服务器高级入侵检测,全面实施的入侵检测解决方案 (IDS) 和入侵预防解决方案 (IPS),边界 IDS 解决方案,补丁管理集中监督,定期计划和监督的服务器软件管理,特权帐户的监督,等等。这些项目意义重大,已经开始成功处理 ICANN 最紧迫的部分需求。很多其他项目正在紧密进行中。

Salesforce.com 实施

第二方面,ICANN 单独采用了一家专业公司的服务,审核我们的 Salesforce.com 实施—数据库、代码库和配置。该次审核重点指出我们可以强化平台的几个领域。此后,为处理找出的多个潜在漏洞,我们发布了多个软件补丁。我们预计会在 2015 日历年结束前完成全部工作。我们将与这些平台的用户协作,保证在改善安全性的同时,尽量减少服务交付的中断。

ICANN 董事会新近批准款项,用于雇用类似的专业公司,审核 ICANN 所有数字服务交付平台所用的代码库。此后不久,ICANN 留用了两家此类公司的服务。这些公司将彻底审核一或两个平台(包括平台中托管的所有服务),并与我们一道解决发现的任何问题。这一工作完成后,我们将处理下两个平台。以此类推…直至我们处理完所有平台。

为网络安全威胁备战

第三方面,ICANN 工作人员同时已接受网络安全意识方面的强制培训。培训已落实评估测试,并定期跟踪和审核。因此,ICANN 工作人员现在对威胁载体的意识和警觉性高很多。为进一步加强学习,ICANN 选择了一家专注于社会工程的专业公司提供服务。该公司负责进一步强调需要(和正在实施)更多补救措施的具体领域。

ICANN 与其他知名组织一样,容易受到攻击,尤其是鉴于日益严峻的全球性 IT 威胁情形。我们不能控制攻击者及其攻击时间。但是...我们能选择在遭受攻击时保卫自己的武器。

为此,ICANN 计算机应急响应小组 (CIRT) 选择了一家主题问题专业公司,引导部分工作人员参与一系列桌面演练,帮助调整我们的响应节奏,为应对未来事件做好更充分准备。

我们还利用情景规划方法来制定、调整和实践灾难恢复计划。就像保卫家园防止入侵,这并不是一次便能作罢的实践。相反,这是深思熟虑的实践,落实多个计划和项目,系统性加强我们的防御。而和任何好计划一样,我们将定期重新评估计划,根据需要重设基准。

2016 财年和 2017 财年我们目前已经有重点突出的 IT 路线图,并有补助预算和适当工作人员资源做支撑。我们已做好实施的准备。我们的计划可见《2016 财年运营规划和预算》。

我们还定期向董事会风险委员会 (BRC) 介绍情况,IT 更新现已成为委员会议程的一个常规项。在为实施 ICANN 目前的全面 IT 安全计划获得需要的指导、急需资源和重点引领方面,委员会的参与弥足珍贵。

我经常计划分享关于进度和未来计划的更多观点。如果你们有建议或意见,欢迎通过 ashwin.rangan@icann.org 与我分享。更好的是,如果你们计划参加布宜诺斯艾利斯的 ICANN53 会议,也许我们能开会畅谈?

谢谢!

Authors

Ashwin Rangan

Ashwin Rangan

Ashwin Rangan

Ashwin Rangan

您还可能喜欢