1996年国会听证会情报和安全
1996年国会听证会建立一个全面的计划来解决我们国家信息基础设施(NII)的漏洞是至关重要的。无论是通过白宫领导的特别工作组,还是通过类似的机制,这一威胁的跨学科性质要求全政府作出反应,同时应对私营部门的暴露。
美国必须制定国家政策,以促进其信息基础设施的安全。
目前,各机构受到现有特派团和司法任务的极大限制。不幸的是,这种威胁忽视了国界,在得到充分调查之前,常常是一个谜。基于我们的信息基础设施所面临的多维威胁,有必要建立一个独立的实体,能够对计算机攻击进行操作响应,并对我们政府的不同机构进行任务。
工作人员建议建立一个国家信息基础设施威胁中心,该中心将包括来自执法、情报和国防部门的代表,以及与私营部门的联络。该中心应具备24小时实时操作能力,并作为入侵报告的交换所ReportsReports.
目前还没有情报、反情报或执法机构对国家情报局的威胁进行评估。更重要的是,情报部门甚至难以收集必要的数据来准备这样的估计。收集数据必须成为情报部门的一个高度优先事项。
工作人员建议中央情报总监完成一份NII威胁评估。这份评估报告应该有一个非机密版本,可以提供给私营企业。
国际社会对信息基础设施面临的威胁反应不一,这给反入侵立法的执行带来了困难。目前只有少数几个国家拥有有意义的计算机犯罪调查能力,而一致性的缺失使潜在的攻击者得以逃避侦查或起诉。
工作人员建议美国推动建立一个具有紧急反应能力的国际计算机犯罪局。该科可被指派给国际刑警组织,并向外国执法机构提供教育和提高认识的培训,以促进建立专门的计算机犯罪单位或类似的能力,以及统一的调查和计算机法医实践。该科亦会像电脑事故协调中心(CERT)一样,采取行动支援电脑罪案。该局还将收集有关漏洞的数据,传播应对措施,并作为入侵事件的国际交流中心。
我们的政府必须培养一种重视我们国家信息基础设施(NII)漏洞的安全文化。我们需要维护一个更好的安全专业人员池,总体上提高我们的用户和管理人员的安全意识。政府雇员的计算机职业领域有好几种专业,包括计算机操作员、计算机技术员、计算机程序员和计算机分析师。网络管理员、计算机安全人员没有计算机职业领域的专业,计算机犯罪调查员也没有刑事侦查领域的专业。
为了确保计算机安全职位的人员都具有必要的经验和培训,工作人员推荐
建立一个政府计算机安全专家职业领域是否包括职业发展的潜力和合并的专业计算机安全培训。
为了促进美国政府内部信息安全管理人员的稳定,工作人员建议创建一个政府计算机系统管理员职业领域,其中将包括职业发展的潜力,并纳入专门的计算机安全培训。
为了提升和提高政府的电脑罪案调查能力,工作人员建议设立一个“政府电脑罪案调查员职业领域”,包括职业发展潜力和专门的电脑罪案调查培训。
对政府及与政府有关的电脑系统进行漏洞测试及评估,是提高公众对资讯基础设施漏洞认识的最佳方法。目前,只有国防部有一个激进的防御计划。
工作人员建议联邦政府定期对政府机构,特别是国防部以外的机构进行脆弱性评估,或称“红队”。工作人员还建议指定一个机构以与国防信息系统局(DISA)对武装部队进行此类评估相同的方式进行此类脆弱性评估。
计算机安全领域最重要的一个空白是,对政府系统以及其他涉及国家利益的系统的企图和成功入侵缺乏报告。强制报告政府系统的入侵将与国家情报研究所一起培养更大的安全文化。此外,重要的是要给私营企业一种机制,在这种机制下,它们可以报告入侵,而不必担心引发客户的不安全。
工作人员建议美国政府强制报告所有政府和政府利益系统的入侵和企图入侵。工作人员进一步建议联邦机构制定报告计算机入侵的协议和程序,随后将其转交给适当的犯罪机构或其他适当的机构,如拟议中的国家信息基础设施威胁中心。
工作人员进一步建议联邦政府鼓励私营企业工业和私营部门报告对私人信息的入侵系统。工作人员会进一步推荐政府推广私营企业通过建立匿名清算所或类似的方法。
虽然由司法部(Department of Justice)推荐,但政府电脑网络上的登录警告横幅并不强制要求用户使用政府电脑。登录横幅让用户意识到,他们对政府系统的隐私没有合理的期望,使用该系统构成同意监控。目前,当入侵发生在政府系统,缺乏这样的登录横幅妨碍调查努力和反应。
工作人员建议对所有政府和政府利益系统强制设置登录警告横幅。(见附录D例如 登录旗帜。)