2022年3月3日，美國國會政府問責局（GAO）網站發布報告，題為《Cybersecurity: Internet Architecture is Considered Resilient, but Federal Agencies Continue to Address Risks》。報告要點如下：

互聯網是一個龐大的互聯網絡系統，使用者達數十億人。它的架構（互聯網的骨干）由世界各地的組織擁有和管理。沒有任何組織對其政策、運營或安全負責。

通常，互聯網架構被認為具有彈性，部分原因在于其分散的性質。但是，我們的審查報告和主題專家已經確定了互聯網關鍵運營的風險。

許多聯邦機構都參與了應對這些風險的工作，采取了諸如威脅信息通告和加入全球互聯網治理團體等行動。

研究目的

互聯網是一個全球互聯網絡系統，全球數十億人使用它來執行個人、教育、商業和政府任務。隨著時間的推移，美國政府已經放棄了對互聯網的監督作用。由許多組織構成的全球多方利益共同體塑造了互聯網政策、運營和安全性。但對互聯網持續和日益增長的依賴強調了了解其底層架構風險的必要性。

隨威廉 M.（Mac）索恩伯里2021財年《國防授權法案》一起發布的眾議院軍事委員會報告，包括一項要求 GAO 審查互聯網架構安全性的條款。本報告：（1）確定了與互聯網架構相關的安全風險，（2）確定了美國聯邦機構采取行動解決互聯網架構安全風險的程度。

GAO 收集并分析了來自聯邦和非聯邦組織的公開報告，以確定互聯網架構各組成部分（互聯網交換點、海底電纜、域名系統和邊界網關協議等）的風險。GAO還審查了聯邦法律和政策及其先前的工作，以確定聯邦互聯網架構安全角色和責任機構。GAO根據各機構的職責，收集并分析了相關文件，還與責任機構的官員進行了面談。

此外，GAO還召集了兩個主題專家小組。小組成員在互聯網架構的各個方面都有經驗，例如演掌管基礎設施的組成部分以及對其進行運營、參與標準制定組織并為其做出貢獻，以及研究和參與各種多方利益相關治理實體。

在小組會議期間，GAO 提出了先前確定的賽博和物理風險，并要求專家識別尚未確定的其它風險或擔憂。GAO和專家們還討論了聯邦政府參與應對風險的問題。

主要發現

通信部門運營著構成互聯網基礎的多個獨立網絡。為了支持網絡流量的交換，服務提供商管理和控制具有眾多組件的核心基礎設施元素，包括連接到國內和國際網絡的互聯網交換點和海底電纜登陸站（見圖）。多家美國服務提供商運營著不同的核心網絡，這些網絡遍布全國并在多個點相互連接。

盡管專家認為互聯網架構具有彈性，但它仍然面臨著可能影響其組件的各種網絡和物理風險；此類風險可能是有意或無意的。特別是，與網絡相關的風險可能會影響確保基于互聯網的服務中所用名稱的唯一性和為數據包路由提供便利所需的兩組協議。具體來說，域名系統將名稱（例如 www.gao.gov）轉換為計算機和其它設備用來路由數據的數字地址。此外，邊界網關協議用于交換網絡可用性和有關各個網絡（即目的地）的路由信息。這兩種協議都受到惡意行為者故意濫用以及無意失敗的威脅。此外，互聯網架構可能會受到物理風險的影響，例如切割或移除光纖電纜。

如果意識到的話，一些風險可能會導致互聯網正常運行中斷的事件，包括中斷、性能降級和流量攔截。在GAO召集的兩個小組中任職的小組成員還表示，故意事件影響互聯網架構的風險取決于惡意行為者的能力和動機。GAO和其它機構報告了犯罪集團和主權國家等構成的威脅，這些威脅可能會利用其能力影響互聯網架構的組件。例如，2017年國土安全部完成的信息技術相關風險評估將有組織犯罪和主權國家確定為對域名路由運營服務的威脅。heavy fuel engine

隨著美國政府減少其在互聯網架構組件方面的作用，包括停用其開發的早期網絡并放棄其對互聯網技術功能的監督作用，這些責任轉移到了全球多方利益相關共同體。沒有一個組織負責整個互聯網政策、運營和安全。然而，聯邦政府履行了許多直接應對互聯網架構風險的不同角色。為了履行這些職責，一些機構已采取行動。例如，國土安全部與通信和信息技術關鍵基礎設施等部門的成員合作，對這些部門提供互聯網功能的能力進行風險評估。此外，聯邦通信委員會通過發放海底電纜和登陸站許可證，以及管理一項計劃即移除和更換被確定對國家安全構成不可接受風險的設備，從而影響互聯網架構的安全性。