萨克斯顿主席、贝内特参议员、里德参议员和委员会成员。我很高兴能够支持您对美国经济中网络安全的研究。这是一个困难的、多方面的挑战。今天上午,我想简要地强调几个与网络安全有关的重大问题,我认为这些问题需要引起注意,您可能希望更详细地研究。乐动冠军 声明
的
杜安P.安德鲁斯
公司执行副总裁
科学应用国际公司(SAIC)
之前
联合经济委员会
听力上的有线经济:
网络安全和美国经济
2001年6月21日举例来说,我在政府部门和工业界从事网络安全事务有一段时间了。目前,SAIC为国防部和几个民用机构提供支持,包括支持FEDCIRC事件报告和处理服务,以及商业公司。我们发展了一家名为Global Integrity的商业安全公司,该公司为金融服务业创建并运营了第一个信息共享分析中心(ISAC),以及为全球企业和韩国企业服务的ISACs。我个人积极参与国家安全电信咨询委员会的行业执行小组委员会,俗称NSTAC。在1994年和1999年,我曾担任国防部长/中央情报局发起的联合安全委员会主任,该委员会主要讨论网络安全等问题。我曾担任1996年国防科学委员会信息战防御任务小组的主席。作为前布什政府负责C3I的国防部助理部长,我发起了国防信息保障计划和国防部的信息战计划。
从那以后的七年里联合安全委员会的第一份报告该报告指出,“信息系统和网络的安全(是)本十年、甚至下个世纪的主要安全挑战……人们对我们在这个领域面临的严重风险认识不足。”ISACs使一些行业部门能够共享有关网络威胁的信息。总统决定指令63有组织地努力解决美国的关键基础设施问题,其他几个国家也在进行类似的努力。国防部已经为计算机网络防御建立了一个联合特遣部队,并将操作控制分配给USCINCSPACE。防火墙得到了广泛的应用,在培训员工如何应对病毒等网络事件方面也有了一定的改进。
然而,在我看来,进展速度慢于潜在威胁的增长速度,总体而言,我们已经失去了阵地。许多国家正在发展信息战技能;科技变得更加复杂;电讯业已放宽管制,进入话音、视像和数据融合服务的时代;而且,我们的商业软件包是如此庞大和复杂,我们不能确定它们包含什么。此外,互联网已经变得太大,无法有效监控。今年5月,全球共有1.22亿个互联网主机,加州大学伯克利分校(University of California at Berkley)估计,全球有5500亿份可访问网络的文档,每天增加730万页。在接下来的一到两年里,英语将不再是互联网的主导语言,因为大部分亚洲国家都开始上网。
未能采取行动是我们失去阵地的另一个主要原因。十年来,我们进行了一项又一项的研究,一份又一份的报告指出,我们的经济和我们的国家安全依赖于信息的流动,而这种流动正处于危险之中。许多情况表明,系统之间的相互联系和级联效应可能对我们的经济和国家安全系统造成重大破坏。
这些研究还表明,我们不必花费国民生产总值或等待十年来显著改善我们的安全态势,我们可以采取稳妥的步骤,在不践踏公民权利的情况下保护系统和网络。
所以问题是:为什么我们还没有采取必要的措施来应对网络威胁?我可以想到四个因素。
为了进一步加强,我将从关键的基础设施保护开始。这项努力的立法根源可追溯至1996财政年度国防授权法案第1053条,题为《关于保护国家信息基础设施免受战略攻击的国家政策报告》。这被称为凯尔修正案,以其发起人参议员凯尔的名字命名。
- 第一:这在技术上很复杂,很难理解——这是一个极客的因素——这使得政策制定者很难参与进来。
- 二:将进入保护,检测和反应的每一分钱是来自一些任务或业务功能了美元。
- 第三,没有监督机制让联邦机构和关键的商业职能负责。而且,
- 第四,我们把这看作是一个战术问题,而不是一个战略问题。
这项立法要求总统向国会提交的一份报告阐明了国家政策的审查结果对防范战略攻击的国家信息基础设施。该报告是解决国家政策和管理建立过程,功能,系统的计划架构,并处理必须执行的指示,警告和关于战略攻击外国的国家,团体或个人,或[添加重点]评估职能任何其他实体对国家信息基础设施。
随后,总统成立了关键基础设施委员会,该委员会发布了一份题为《保护美国基础设施的关键基础设施》的报告。报告中的建议导致建立了国家基础设施保护中心(NIPC)和相关活动。在我看来,委员会及其报告并没有完全按照国会的要求处理战略攻击的准备工作,而是转向了更容易处理的战术问题。
在今年四月的总审计局公布的一份报告GAO-01-323]题为关键基础设施保护:发展国家能力的重大挑战。虽然突出了调查和应对的支持取得了一些进展,但报告指出几个方面需要注意,特别是在国家安全方面。
据我所知,本届政府正在处理政府的关键基础设施保护战略和NIPC的具体要求,并希望它们能充分解决GAO所确定的挑战和缺陷。
放置在司法部的NIPC的决定导致了执法假设作为一线ofcyber防御作用。这再一次集中在战术层面的努力。今天,默认情况下,NIPC认为一个网络入侵是一种犯罪行为。这导致了对黑客和电脑病毒很多重点。显然,这些活动需要注意,但我不相信他们上升到了国家信息基础设施的战略攻击的水平。
这并不是因为他们在网络领域打击犯罪的过错执法部门的重要工作和奉献精神。它就是这样的执法是不是这个战略挑战的充分反应。更重要的是,因为这个战术的重点,作为一个国家,我们都没有解决的架构策略和恢复功能,既可以遏制和确保我们可以从战略的袭击中恢复过来。
2001年3月,国防科学委员会关于防御信息行动的2000年夏季研究特别小组注意到“NIPC、FBI和司法部的现行政策和法律解释……阻止了有关潜在国家安全风险的及时有效信息共享。”
今天,没有有效的程序来迅速地从执法姿态转变为国家安全姿态。也没有协调一致的努力来迅速恢复对国防和国民经济至关重要的重要职能。
这些都是需要注意的领域。国防部应该被要求,并被授权,采取一切适当的措施,打击并击退来自其计算机和网络的入侵者,而不必首先求助于刑事司法系统。当环境需要时,国防部也应该准备好参与对国家经济安全至关重要的网络保护。保持敏捷、强健、保卫国家的能力必须优先于刑事起诉。
让我简单地谈谈责任。十多年来,联邦政府在0MB通告A-130中颁布了完善的信息安全政策。如果多年来一直遵循这一政策,政府中的信息保护将比今天的情况好得多。我怀疑业界会跟随政府的领导,并改善其安全状况。然而,我不知道是否有人因为没有遵守这一明确的政策而被追究责任。
国会通过了政府信息安全改革法案,作为2001财年国防授权法案的一部分,解决了责任缺失的问题。《安全法》要求各机构负责人识别、使用和分享最佳的安全做法,制定全机构的信息安全计划,确保“与可能造成的风险和危害程度相称”的充分保护。
我对国会通过这项法案表示赞赏,并敦促国会提供强有力的监督,以确保这项法案在字面和精神上得到遵守,而不是像过去十年那样只是说说而已。然而,我预计,当各机构试图避免重新分配资金用于信息保护时,我们可能会看到对“风险”和“损害”的一些有趣的解释。
另一个需要注意的重大挑战是企业之间、政府之间、政府与企业和学术实体之间关于网络事件的信息共享。我引用了美国政府问责局早先的报告,报告称在这方面取得了一些进展ReportsReports,但指出仍存在许多挑战。我敦促政府和业界更自由地分享暴露网络弱点的信息。我了解政府正在考虑立法,以保护行业与政府之间关于网络事件的信息交换,使之不受《信息自由法》的约束,并为行业集团内部关于网络威胁的信息共享提供一些反垄断保护。这样的立法将是有益的一步。
最重要的是,我认为,我们必须开始地址的网络和互联网的问题从宏观,战略的角度来看,没有得到过分集中于任何特定的政府选区的股票。乐动冠军
总之,我认为我们需要重新审视通过或针对国家网络基础设施的战略攻击所带来的挑战。我认为,联邦政府需要更好地澄清这些问题,更好地描述私营部门面临的战略威胁。乐动冠军
我的发言到此结束。我很乐意回答你的任何问题。