主席，小组委员会的成员，大家下午好。我的名字是斯蒂芬·卡茨，我是首席信息安全官花旗银行。

我想感谢你机会出现这个小组委员会听证会，讨论“计算机安全的作用，保护美国基础设施”之前，和大家分享一下我们的看法和私营部门的政府的适当角色在确保this country�s information and telecommunications infrastructures.

我将着重谈以下几点:

• 框架;什么是信息安全?
• 有关银行业资讯保安状况的背景说明
• 漏洞、风险和风险评估
• 关于政府和私营部门在确保信息和电信基础设施安全方面的适当作用的建议。

首先，我想说，银行提供的主要产品是信任;我们与客户签订了信任合同，以确保数据的完整性、保密性和可用性。而且，在今天的世界，那是一天24小时，从世界任何地方。任何破坏这种信任关系的行为都会给发生问题的银行带来风险，任何发生在一个或多个货币中心或超级区域银行的重大妥协都会给国家的金融服务基础设施带来重大风险。

更进一步，我们期待看到基于互联网的商业的虚拟爆炸。虽然对互联网商务价值的预测各不相同，但大部分(如果不是全部的话)行业观察人士认为，在未来几年内，将有数十亿美元的商业活动转移到互联网上。促进这种转移的最重要工具是银行和客户之间传输信息的安全性和保密性，以及确定我们与谁在做生意。缺乏安全几乎会阻止这种迁移的发生。

我们可从以下七个基本问题的答案，了解资讯保安的实质及减低对银行服务基础设施的威胁的要点:

1. 我们是否知道谁在使用该服务？� What methods/technologies (e.g., passwords, one time password generators, digital certificates) are being used to verify the identity of someone attempting to use or access a bank service?
2. 我们能控制他们的行为吗?�一旦我们验证了客户的身份，安全服务是否可以将客户传送到他们被授权使用的系统/产品?并确保它们仅限于此类系统/产品?
3. 我们能保证信息的私密性吗?�我们是否使用了有效的加密技术，以确保只有授权系统或用户才能阅读信息?
4. 我们可以防止未经授权的信息更改吗?我们是否采用了能确保我们立即知道发送给银行的信息已被更改的技术?
5. 我们能保证交易的不可抵赖性吗?我们是否采用了一种有效的方法来对提交给银行的交易、信息或指令进行数字签名，以防止对该信息的否认责任?
6. 我们是否知道是否存在问题，是否能很快采取适当的行动?该行业的一个关键问题是，系统管理员要么没有意识到未经授权的尝试访问一个系统，要么发现得太晚，无法采取有意义的行动。事实上，这是GAO报告中强调的一个问题。ReportsReports
7. 我们能确保访问服务吗?�采用了哪些工具或技术来降低系统遭到拒绝服务攻击的风险?如果拒绝访问系统，是否已经开发和测试了业务计划的有效连续性?

首先，我想借此机会纠正一个重要的误解。与媒体报道的相反，银行必须并始终如一地遵守广泛的监管要求，报告因信息安全漏洞造成的损失。此外，1996年6月5日举行的美国参议院常设小组委员会网络空间安全调查听证会的少数员工声明没有发现任何金融机构未能报告或试图掩盖任何电子入侵的证据。

我的评估是，银行是全面实施信息安全项目的领导者，银行往往意识到并采取行动，尽量减少威胁和漏洞。银行一直是加密技术的最大用户之一，以确保客户信息的保密性和完整性，我们是最早的适配器和领导者之一，采用最先进的技术，以电子方式验证使用我们服务的客户的身份。

一般来说，银行内，我们努力使信息安全风险管理的一个组成部分，并确保高级管理层负责实行安全有效的水平。此外，我们也倾向于以确保信息安全问题作为企业和产品的开发力度部分解决。金博宝正规网址这有多种原因：

• 稳健的经营实践，要求我们确保公众的信心，通过满足我们与客户的信托合同;

• 我们受到众多机构的严格监管，包括联邦储备委员会(Federal Reserve Board)、OCC、FDIC、OTS和各州银行监管机构，所有这些机构都要求我们实施信息安全和业务项目的连续性;

• 投资者、证券分析师、客户和媒体密切关注行业运作、安全和技术的使用;

• 银行通常都有严格的内部审计程序，以监督是否遵守联邦和州规定的安全程序。
  

银行在开发、获取和实施自我评估技术方面也处于领先地位，以确保我们符合内部制定的信息安全政策和标准。此外，美国银行家协会(American Bankers Association)和纽约票据交换所(New York Clearing House)等协会多年来一直鼓励和促进银行信息安全官员之间的对话和信息共享。银行信息安全官员也一直是信息安全行业协会的主要参与者。

漏洞和威胁

银行和金融服务行业正在经历显著的变化。我们现在开始从世界上任何地方实行24时/天，7天/周电子商务服务给我们的客户。而且，我们作为一个行业都开始通过互联网来做到这一点。此外，银行的数量不断增加的外包运营和技术。由于银行的产品和服务都无情地交织在一起的技术，重要的是安全性提供的任何产品的一个基本组成部分。因此，必须有漏洞和威胁的持续评估。

一些特定威胁的/我们面临的漏洞包括：

• 通过互联网，大量黑客公告板、工具和恶意代码(如病毒、木马、拒绝服务程序和旨在窃取或破坏传输网络的数据或密码的程序)的全球可用性。

• 越来越多地使用电子商务需要多个进入世行系统的入口点，并可能需要新的基础设施，以适应新产品和对信息的需求。这有可能带来新的风险水平。因此，我们必须有效地实施防火墙、增强的访问控制形式和健壮的密码学来降低风险。

• 风险评估的弱点:确定风险的一个基本概念需要理解发生的概率。然而，实际上没有数据可以作出这一决定。我们可以确定脆弱性和威胁，我们可以评估事件的影响。我们在银行业所做的是，确定脆弱性、威胁以及单个事件的金融和声誉影响，而不是事件发生的概率，然后制定相关控制措施。

• 内部威胁:据估计，公司面临的最大风险来自内部人员造成的安全漏洞。他们拥有损害或关闭系统和网络的可用性、访问权和知识。然而，尽管银行定期进行毒品测试，向FBI提交指纹，并进行最低限度的背景调查，但我们没有机制来彻底和公开地检查现有和潜在雇员的背景和就业历史。

• 此外，对责任的担忧往往会阻止先前的雇主讨论员工的表现问题。金博宝正规网址事实上，通常只提供工作日期。我们没有任何类似政府用于安全审查的背景调查。

• 技术:新出现的技术要么没有有效的安全性，要么供应商倾向于在交付的硬件和软件中“关闭”安全功能。此外，大多数技术都启用了默认密码。因此，除非特别小心，否则后门、漏洞和未经授权的进入系统、网络和防火墙的入口都是开放的。

• 有最小的风险和攻击系统的惩罚。首先，它是很难赶上有人在行动。再有就是跟踪和定位引起问题的人的挑战。然后，我们面临逮捕，引渡可能再实际上定罪的人的难度。

• 教育和意识:在确保高级管理人员和政府官员意识到保护信息的必要性以及详细说明他们的责任以确保信息安全风险得到解决方面，几乎完全没有必要的公共项目。

• 入侵检测:目前很少有有效的工具可以作为“实时”防盗警报，通知安全人员任何实际的或企图的系统攻击。

• 安全评估工具:几乎没有有效的自动化工具可用于验证处理系统、网络和防火墙的安全状态。

声音实践信息安全：大约一年前，纽约联邦储备银行构成，负责制定信息安全“的良好做法”基于互联网电子商务的专案组。该工作组是纽约联邦储备银行的监管翼的主持下;然而，他们并没有使用考官带头努力。他们要求负责在纽约联邦储备银行的内部安全领导工作的人。他是知道的好，一些银行业和信息安全组织的活跃成员;和私营/银行业备受尊敬。

在制定标准惯例的过程中，特别工作组与35 - 40家银行、审计会计公司、咨询公司、大学和其他私营企业举行了多次会议。随着报告接近完成，美联储团队要求与会者对文件进行审查。其结果是一项杰出的工作，将有助于确定银行业信息安全政策、标准和实践的方向。

我建议政府成立并领导一个由公认的具有广泛实践经验的安全专业人员领导的小型工作组，为信息安全制定适用于政府和私营部门的“合理做法”。请注意，我并不提倡开发最佳实践，因为最佳总是一个不断变化的目标。我也不主张制定详细的、全面的标准。我所提倡的是制定一份信息安全“健全做法”文件。

风险意识：由于OCC圆形公元前177持有负责其有效的灾难恢复计划的董事会，所以也应该在板具有溢流和信息安全的责任。的安全和信息安全问题的国家需要进行常规的主任级别的主板解决。金博宝正规网址

隐私和保密:银行业受到众多联邦和州机构的严格监管。而且，数据恢复通常是监管机构进行的检查的一部分。再加上确保客户信息在全球网络传输和存储在银行系统中的隐私的要求，要求在全球范围内使用不受限制的、健壮的加密技术，无论密钥长度如何，这是必要的，也是合理的;无需强制密钥托管或密钥恢复。

由于电子商务是全球性和无边界的，世界各地的多个政府都可以使用托管密钥。因此，每个政府将负责建立和实现可审计的流程，以确保对这些密钥的访问，并确保他们能够防止未经授权的访问这些密钥。此外，它们还必须执行一项正在进行的安全评估程序，以确保安全仍然有效。这是一项巨大的努力，如果不能有效地完成，将对银行体系造成巨大的风险敞口。

围绕任何强制性密钥托管/密钥恢复过程的风险是显著的。此外，任何强制性的密钥托管/密钥恢复过程中，许多政府都可以访问加密密钥，并通过全球网络解密客户信息，这使得银行无法向客户保证他们的信息是机密的。

从历史上看，政府已经认识到在金融网络上需要额外的安全性，银行可以被信任以一种安全的、受限制的方式部署加密技术。因此，银行使用的加密产品的出口管制包括了特别豁免。重要的是，这些豁免不仅要继续，而且要扩大，以确保我们可以导出健壮的密码学，而不需要任何密钥托管/密钥恢复要求。此外，当需要出口许可证时，需要简化和加快获得出口许可证的程序。

我们也支持发展和提供的加密算法对银行系统的联邦参与。这是前提，该算法是公开审查和有没有内置的密钥托管/键恢复功能。

数字签名——许多州都颁布了某种形式的电子或数字签名立法。这些法律往往有很大的不一致性，并在这一领域创造了巨大的不确定性。为了在没有电子伪造威胁的情况下实现安全有效的电子商务，我们需要联邦法规首先确保美国境内银行的电子认证/数字签名得到一致的法律处理。然后，我们需要管理数字签名标准的国际条约/协议。

教育和意识:这是一个需要投入资金的重要领域。为了使其有效，必须在从幼儿园到大学的各个年级整合并加强强调计算机使用道德的程序。作为第一步，我鼓励成立一个特别工作组，由有课堂经验的教育专业人员、有宣传计划实践经验的保安专业人员、市场营销和公共关系专业人员以及适当的政府代表组成，起草计划和方法。

第二项工作需要针对企业和政府，帮助他们了解他们的信息安全风险，以及他们应对这些风险的责任。

供应商合同:公共和私营部门与硬件和软件供应商的合同需要定义安全需求。此外，这两个部门需要共同努力，说服商业的、现成的产品供应商，这些产品包括安全功能，在交付时完全启用和打开安全特性。此外，必须删除所有默认密码和已知的后门。

大学项目:政府资金需要投资于帮助大学开发计算机科学项目、商业项目、人文和法律项目的信息安全课程，

与行业/信息共享的伙伴关系:有必要在政府、行业和教育部门之间建立非正式的伙伴关系，以共享信息安全实践以及教育和培训项目。

我们还需要从政府和整个行业获得更多关于识别新威胁和漏洞的可靠、最新的信息。私营企业从来都不确定政府是否意识到存在威胁、风险和漏洞，但没有共享。

该类型的信息被共享需要由经验丰富的安全practicioners谁在商业部门的功能来定义。此外，一旦标准被定义，信息共享必须通过特定的行业组织，如美国银行家协会，信任，其中一位不愿透露姓名的保障和责任是有限的气氛。

产品认证实验室:当我去纽约购买电子产品时，我会在购买之前寻找美国保险商实验室(Underwriters Laboratory)的认证。如果有认证，我就认为产品是安全的。我建议由政府和私营部门人员组成的小组制定产品认证标准，以评估商业产品的安全功能。然后，私营公司/实验室应获得许可，以认证产品符合各种安全级别，例如青铜、银和金级别的认证。

扩展背景调查:如你所知，银行通常会对新员工进行药物测试、指纹和最低限度的背景调查。然而，为了减少内部威胁的风险，如果政府用于批准安全许可的工具和设施能够提供给我们填补敏感职位，将是有益的。此外，还需要一种有效的限制责任的手段，以便我们能够从过去的雇主那里获得有关绩效的有意义的信息。

我的证词到此结束。我很乐意回答你们的任何问题。——谢谢。

传记

纽约，NY 10022