1997年国会听证会情报和安全
1997年国会听证会的声明
格伦·k·戴维森
执行副总裁
计算机和通信工业协会的
到
科学委员会的技术小组委员会
美国众议院
在
的报告和建议
总统的关键基础设施保护委员会
1997年11月6日
莫雷拉主席、戈登高级委员、小组委员会成员;
我是格伦·戴维森,CCIA计算机公司的执行副总裁
通信行业协会。感谢您的特权和荣誉
今天在你们面前讨论的工作和建议
总统关键基础设施保护委员会。
你可能知道,CCIA是一个计算机和通信协会
包括硬件制造商、软件开发商、
通信设备制造、电信及在线服务
供应商、系统集成商、第三方供应商等等。
自委员会成立以来,我们一直密切注视着委员会的工作
在1996年7月的时候,有时有机会同
佣金。事实上,它的前任主席,著名的汤姆·马什发言了
在去年六月的一次协会会议上。
我想说,从一开始,我们CCIA完全理解和
有必要防范任何可能使我们
国家一流的基础设施系统对正常生活绝对至关重要
我们的政府和经济运作。我们今天认识到这一点
信息时代,这样的攻击可以不仅仅是身体上的,而且
“技术恐怖主义”的危险是真实存在的。
但我们既不理解欧盟委员会的全面行动的基础
建议或其工作和报告被保密的原因
——尤其是当欧盟委员会欣然承认它没有证据
迫在眉睫的网络威胁。在报告的递交信里,马什将军
我引用他的话,“我们没有发现任何即将发生的网络攻击的证据
将对国家的关键基础设施产生削弱作用。”
为什么国家研究委员会可以做一些非常重要的事情呢
关于信息安全的决定——在其密码学报告中——
工作和报告都不保密吗?欧盟委员会为什么要隐藏
在机密信息的掩护下?
请允许我建议,如果公众,一般来说,以及行业,
具体来说,就是接受委员会的建议——
建议呼吁公众意识和教育,信息
共享,法律改革,以及潜在的开发和部署
相当昂贵的网络威胁应对措施——那么它必须提供更多
坊间证据。它必须拿出它的威胁评估
可以被公众讨论、辩论和理解。
现在请允许我谈谈委员会的报告和我们提出的建议
有担忧。
加密
报告呼吁立即和普遍执行各项
防护工具包括防火墙,密码控制,认证
防范网络攻击的机制和动作日志。在这我们
完全同意。
然而,该报告并未提倡使用现有的最强药物
加密,也许是对个人和公司来说最有效的手段
白领们,确保通讯安全,保护数字文件不受欺诈
犯罪,经济间谍,甚至恐怖主义。
尽管这份报告有178页长,但对“……”这个主题却连一页都没有
加密。在第74页,它说,“建立值得信赖的
密钥管理基础设施是启用加密的唯一方法
大规模的,大多数包括开发适当的标准
全球范围内的互操作性。”随你怎么称呼它……关键
管理,密钥回收或密钥托管,但行业会告诉你这样的
一个系统不能大规模运行。问问国家研究就知道了
委员会也得出了同样的结论。
随后,该报告敦促政府“……促进计划的努力
用于实现KMI[或密钥管理基础设施]
支持在国际基础上合法回收密钥。”我们已经知道
国际上不会像经合组织那样采用关键复苏
今年早些时候拒绝了政府的建议。
那么,为什么政府还在继续推动关键的复苏。是
政府在寻找通往我们信息网络的电子陷阱吗?
成本负担
报告还呼吁“发展和部署预防措施。
攻击,减轻损害,迅速恢复服务,最终
重建基础设施。”然而,没有讨论谁将会
承担做这件事的成本。政府会为“加固”买单吗?
我们的关键基础设施,以适应国家安全和法律
执行目标。还是供应商和用户才是关键
支付吗?
甚至在报告提交之前,委员会的方式就已经很清楚了
在这个问题上,它是否假定行业将不得不复苏
大部分账单。9月24日,他在纽约举行了一场有关银行业的新闻发布会
和证券业技术专家,马什将军表示,“一些
单就行业而言,建议的成本可能太高了。”他补充道:“在一个
因此,我们假设政府和企业的联合融资是最低限度的。”
在工业界,我们早就明白信息安全的必要性
网络的可靠性。公共交换网络的提供者和运营商
长期建立的冗余网络在自然事件中甚至
人为的灾难。而私有交换网络的提供商已经做到了
在客户的要求或坚持下都是一样的。我们也
开发和利用防火墙、密码控制、加密技术和
其他安全工具,以保护我们的系统的完整性。
然而,如果我们国家的安全和执法机构希望
提高我们系统和网络的安全性和可靠性
他们应该为此付出代价。成本之差
我们为客户提供什么,政府想要什么,都要承担
由政府。
正是在这里,我必须对该报告的一个基本前提提出异议。
该报告在其《前进》中表示,“国防不再是
政府专属保护...."我问你,从什么时候开始
国家防卫的责任…全部或部分……的
商业社会的?
随后,在第19页,报告继续写道“共同的威胁需要
共同应对,建立在政府和
我们基础设施的所有者和运营商。”对我来说,这个短语是“分享”
回应的意思是:你也要付出代价!
CCIA认为,要求美国工业承担建筑成本
这种超坚固的基础设施安全升级将构成
过度的财政负担会削弱美国的竞争优势
行业。
信息共享
该报告还呼吁业界相互分享信息
与政府�关于我们的基础设施的漏洞,
甚至关于渗透事件。
虽然我们在CCIA原则上并不反对共享这些信息,
我们关心的是如何把这项原则付诸实施。不知何故,我怀疑
政府和企业之间的信息共享将是双向的。
如果政府有意或无意地发布有关的信息
网络漏洞和安全漏洞,客户和客户可能
起诉供应商和经营者要求赔偿损失,声称这些公司知道这一点
存在着弱点,但没有采取足够的措施加以预防。
在工业界,我们需要保护,避免这种无聊的诉讼。
此外,如果一个主要的外国合作伙伴不能保证保密
在与美国合伙人的某些重要交易中,换句话说,如果
这些交易对美国政府来说是公开的,没有什么能阻止这一点
主要客户转向能保守秘密的日本公司
的秘密。在当今的全球经济中,这些担忧并非假设
他们是真实的。
委员会还建议修改我国的反托拉斯制度
这样公司就可以自由地彼此分享信息
和我们的政府。据我所知,勤奋并不是寻求避风港
从我们的反垄断法。请允许我说,如果不是因为美国
政府对反托拉斯法的有力执行,
具有创新精神、创业精神和竞争力的计算机和通信
我们今天所知并享受其果实的工业甚至不会
存在。我们的法律当然很灵活,允许提供一些信息
为互利目的进行交流。
法律行动
报告笼统地提到了其他法律的变化。这样的
它认为,为了保护我们的基础设施,改革是必要的。好吧,
坦率地说,一些设想中的变化让我们感到困扰。
在第98页,报告呼吁发起“立法活动
发现某些关键的基础设施是
州际贸易。”如果这意味着联邦政府对互联网的监管
我们必须反对万维网。”
组织“伙伴关系”
报告还讨论了建立全国性基础设施的必要性
发展产业合作和信息的组织结构
共享。在讨论各种新的“与基础设施相关的”角色时
报告第49页建议部门的领导机构
将负责根据需要起草新的法律和条例
并建议使用联邦激励措施来促进私人投资
保证项目。”我问你,这是新监管的开始吗
机构的结构和建立将决定什么行业
它必须提供的信息以及它必须做什么来保护基础设施
从攻击?
结论
最后,我建议我们以更慢、更多的速度来解决这个问题
合理的速度。让我们公布委员会的完整报告,并允许它这样做
公开讨论和辩论。如果马什将军真想看
正如报告第65页所指出的,所有部门都“买入”,然后是
美国人民需要也应该了解威胁评估,所以他们
可以欣赏和适应行动的变化,设想
在这里。
让我们让我们国家的基本原则,个人和
经济自由决定了我们前进的方向和方式。
我们可以保护我们引以为傲的复杂基础设施,
而不会对美国人施加任何不利的限制
公司。
非常感谢您的宝贵时间。
1997年11月4日
尊敬的康斯坦斯·a·莫雷拉
科技小组委员会主席
科学委员会
美国众议院
雷伯恩大厦办公楼2320室
华盛顿特区20515 - 6301
亲爱的主席Morella:
就我所知,是计算机和通信行业
我所属的组织
我将于11月6日星期四出席你们委员会的听证会
期间既没有收到联邦政府的拨款也没有收到合同
过去两个财政年度。
真诚地,
(原签署)
格伦·k·戴维森
执行副总裁
格伦·k·戴维森的传记
Glenn K. Davidson是执行副总裁,首席运营官
计算机与通讯工业协会的公司秘书。
更广为人知的名称是CCIA,该协会的成员包括计算机
硬件制造商,软件开发商,通信设备
制造商、电讯及网上服务供应商、分销商、
系统集成商和其他相关企业。这些
在该协会中,各公司由其最资深的公司代表
官员。(有关CCIA的更多信息,请浏览其网站:
http://www.ccianet.org)。
戴维森先生于1985年首次加入CCIA,但于1990年离开,在美国
时任弗吉尼亚州州长L.道格拉斯·怀尔德的政府。他曾
先后担任华盛顿特区的州长代表
弗吉尼亚州联络处主任;作为他的新闻秘书
对外联络部主任;最后是他的办公室主任和过渡官
导演。Davidson先生于1995年回到CCIA。
在加入CCIA之前,Davidson先生受雇于一家专业服务公司
公司,为如此多样化的企业提供战略规划和分析支持
客户是天然气研究所和美国国防部
能量。他还担任过几位国会议员和一名国会议员的助手
委员会。
他获得The
硕士学位,在科学,技术和
乔治华盛顿大学的公共政策专家。