本文承接《NSA窃听事件启示：网络工程师要意识到自己的企业网络也是潜在攻击目标》。

应对明镜周刊报道的NSA后门事件：与供应商沟通

思科及其他几个供应商已经公开否认参与或了解NSA的后门黑客和漏洞植入行为。思科已经表示公司正在调查这个问题，确保自己的产品是安全的。

Buraglio、Davis和Cardozo都认为这些供应商说的是实话。但是，IT人员应该更主动地与供应商严正交涉这些问题。

Cardozo说：“其中一个最大的问题是：‘我如何确定我数据中心的硬件就是从你那些购买的原版硬件？’如果他们能够给客户提供一些电路图，甚至派技术人员打开并检查设备，保证设备里没有额外的部件，那么或许这样才能消除客户的疑虑。”

供应商也需要把产品做得更安全，让NSA无从下手。Cardozo说：“如果这意味着需要移除JTAG（Joint Test Action Group，联合测试行为组织）端口，或者要移除I2C，那么硬件供应商就应该开始这样做。如果他们在主板上留下调试端口，那么就可能给NSA留下可乘之机。或许现在是时候开始在产品出厂之前关闭这些漏洞了。”

Buraglio准备与供应商沟通这些问题，不仅仅包括那些已经购买过他们产品的供应商。他希望从将来可能购买或推荐的供应商那里得到保证，其中不公限于明镜周刊所报道的供应商。他准备询问的一个主要问题就是，他们兼容联邦信息处理标准(FIPS)的设备是否提供了一些防御这些黑客和漏洞植入行为的保护措施。兼容FIPS的网络设备可以向工程师报告它们的完整性。

Buraglio说：“FIPS一定会验证系统二进制文件的完整性。它会以加密方式验证操作系统。如果有一些东西被修改过，那么密码就无法匹配。大多数人的网络设备都兼容FIPS，但是他们可能还没有用过，因为这有点复杂。我想知道它是否能够保护设备不受NSA攻击的影响。您也应该向供应商询问这个问题。”

Davis指出，他已经与供应商商定的约谈会议，讨论关于NSA泄密事件的短期和长期响应方式，但是他认为他还不能拆开各个设备逐一检查是否有监视程序植入。

他说：“即使我开始逐一检查所有设备，但是我的网络中一共有近25,000台设备，而且这还只是网络和防火墙设备。我们需要在系统级上定位这些设备。在不久的将来，防火墙供应商可能会提供一些工具，帮助我们检查这些设备是否有问题。”

一线希望

虽然NSA的行为可能危害了无数的网络，但是Davis认为，长期而言，网络行业可能会从中受益。

“我认为，从现在开始的3~5年里，我们将看到一种新的设备安全形态——打开新设备包装，在设备上执行检查程序，确认设备的各个部件没有被动过手脚。长期而言，这一定对于安全性产生积极作用。短期而言，它确实给我们带来了一个大难题。”