介绍

下午好，主席和小组委员会的成员。我的名字是汤姆沼泽，我曾担任总统关键基础设施保护委员会（委员会）。我很高兴今天在这里与您讨论委员会的工作，并概述其报告中反映的主要调查结果和建议，关键基础。

我的观点出现在委员会上，在1996年7月15日的行政命令13010所知的情况下，在委员会上设立。一项联合政府和私营部门的努力，该委员会负责制定国家政策和实施策略，以保护我们的关键来自物理和网络威胁的基础设施并确保其继续运行。总统将八个基础设施确定为我们的国家生活支持系统：电信，电力，石油和储运，银行和金融，运输，供水系统，应急服务（如医疗，警察，火灾和救援）和连续性政府服务。这些国家基础设施对此至关重要

他们的无能力或毁灭将对美国国防和经济安全的影响弥补影响。

委员会于10月13日结束工作并提交了报告，关键基础白宫。本报告提供了一项国家政策、实施策略和建议，我们相信这些建议将有助于保护这些基础设施免受物理和网络威胁，并确保其继续运作。虽然我们早就知道物理威胁，但技术的快速发展给我们带来了不断发展的网络威胁。因此，委员会的工作和我们的报告主要集中在应对网络威胁。

陈述

委员会是为其任务量身定做的。由于认识到关键的基础设施大部分由私营部门拥有和操作，委员会及其监督结构是一项公私合营的事业。委员会本身由联邦各部门和机构以及私营部门的代表组成;一个由包括司法部长在内的高级政府官员组成的指导委员会，帮助我们在错综复杂的政府股权网络中穿行;由前参议员萨姆·纳恩(Sam Nunn)和杰米·戈雷利克(Jamie Gorelick)女士担任联合主席的一个由总统任命的主要行业领袖组成的咨询委员会，从基础设施所有者和运营商的角度提供建议。

每一项建议都在一系列讨论中进行了详细讨论，讨论了所有可行的选择以及每种选择的利弊。所有委员均认为最终报告合理、均衡，并可提交总统。

我们的方法认识到，大多数基础设施是在现有的政府政策和法规框架内运行的。但它们也是具有竞争力的私营企业;因此，保护建议不应损害公司的竞争地位。因此，我们的工作认识到，任何解决方案都必须在市场和公共政策领域是可行的。在审议过程中，我们采纳了以下指导原则:

首先，我们知道这不可能是另一个重要的政府努力。政府必须设定一个例子，但它是作为成功的关键的业主和运营商。它们具有强大的经济股，以保护其资产和最大化客户满意度。他们了解基础设施，并有经验回应中断。

其次，虽然我们可能正在进行信息革命，但我们觉得利用当前结构的最佳想法和流程和关系是最佳方法。实施，更有效，更有可能被接受，而不是创造完全新的结构，这将更容易且更有可能。这意味着建立现有的组织和关系以及促进自愿合作。行业和政府之间的伙伴关系比立法或法规更有效和效率。

最后，这是一项长期的努力，需要不断改进。作为一个国家，我们必须采取实际的渐进行动。没有什么“灵丹妙药”可以解决问题。作为一个国家，我们的目标不仅是保护基础设施，而且还要加强它们。

在许多方面，我们最重要的发现是需要不同地思考基础设施保护。今天的方法旨在处理工业革命，随后被调整为解决内战后的美国稳定，萧条，第二次世界大战，最后核对手的核对手。这些方法都没有特别适用于世界上第三千年信息技术的镜头。

信息共享是最迫切的需求。在私营部门和政府之间合作确保基础设施方面有很好的例子，如北美电力可靠性委员会和总统任命的国家安全电信咨询委员会。但也有一些重要的不足。在每个基础设施内、跨不同部门、部门和政府之间增加威胁和漏洞信息的共享，对于业主和运营商了解他们的风险并获得更好的保护手段至关重要。

责任在业主和经营者和政府之间分享。业主和运营商一直专注于保护已知的威胁对其运营，因为它符合他们的兴趣。政府一直专注于保护国家免受这种私人自我保护的能力之外的威胁，例如由外国政府赞助的恐怖主义或破坏。如今，对手可以利用易于使用的网络工具来有效地绕过我们的国防部队，直接进入支撑我们国家经济实力的基础设施。传统的国家安全问题必须让位于共同威胁的概念，其中责任必须在政府和行业之间分配。

基础设施保护需要一个焦点。委员会认为，联邦政府在基础设施保护中的作用包括传统的防御，执法，情报和其他证明对身体攻击的职责以及回应网络的额外努力，资源和流程尺寸。我们的建议中详述的结构旨在扩展现有功能的范围，提供协调它们的方法，并将其与业主和运营商的资源集成。

我们必须适应不断变化的文化。我们的文化正在加速变化。信息时代仍在发展，但已经很清楚的是，它给我们的生活方式带来的调整至少与工业或核时代一样多，而适应的要求是紧迫的。我们需要采取某些措施，教育并使我们的私营基础设施部门、公务员和公民了解新环境的现实情况。

联邦政府在新联盟中具有重要作用。通过采用最佳做法，积极管理风险，改善其自身信息系统的安全规划，联邦政府能够以举例为例。

现有的法律框架不完美地调整有关网络威胁。法律比技术的变化速度较慢。现有的法律框架不以多种方式反映当前技术。需要修改法定权限，以便更高意识到信息安全问题，以便能够从网络事件中响应和恢复;在国内和国际上增加对计算机犯罪的威慑;并且，澄清没有管辖权界限的网络世界中的角色和责任。

研究和开发不足以支持基础设施保护。新的威胁和漏洞需要新的工具和方法来保护我们自己。委员会提出的研究和发展计划确定了针对这一需求的具体研究领域。

我们知道我们的基础设施对国内和国际威胁具有大量脆弱性。到目前为止，有些人主要被内部人士宣传。保护我们的基础架构进入21^英石《世纪》要求我们进一步了解它们的脆弱性，并果断采取行动减少它们。在过去的15个月里，委员会彻底审查了我们的基础设施面临的弱点和威胁，评估了风险，咨询了数千名专家，并详细讨论了如何最好地确保我们国家的关键基础设施在未来几十年。我们的基本结论是:

我们认为，局势可能会变得比今天危险得多。然而，如果我们现在采取谨慎和创造性的步骤，国家可以准备应对这些挑战，如果它们成为现实。然而，我要补充的是，我们的建议基本上是主动的。他们解决了一个未来的问题。今天没有危机。

如果我暗示美国的报告被政府读取和评估，我会暗示美国的判定，那将是误导。那不是那么。国防信息系统机构将有关可疑事件和实际入侵的信息收集到国防部门部门。商业部的联邦计算机事件响应中心为非防御机构提供了相同的作用。国家安全委员会反恐协调亚群设法管理恐怖主义引起的危机和电脑调查办公室和基础设施保护办公室是关于公共和私人基础设施的攻击警告中心。

reco.mmendations.

委托人建议是许多人的产品和讨论。它们基于共享核心原则，他们是基于事实的。他们旨在改善基础设施保护的协调和建立作用，促进所有利益攸关方之间的伙伴关系以及协调各种利益。我们的建议大致分为三类：政府必须采取的行动，私营部门必须采取的行动，以及要求政府和行业在新伙伴关系中共同努力的行动。

信息共享。在我们广泛的外展努力期间，我们听到了时间，并又称基础设施的业主和运营商需要更多有关网络威胁的信息。他们还表示，必须建立一个值得信赖的环境，以便他们可以彼此自由交流信息，并在不担心繁重的监管，失去公众信心或损害声誉的情况下自由交流信息。管理基于信息的社会固有的新风险需要行业和行业和政府之间的不同类型的信息交流。商业和政府参与和专注于保护我们的基础设施需要一个具有双向信息交换的协作环境，而不是更繁重的监管。委托建议为创建这一新环境的基础奠定了基础，并专注于审查信息共享的法律障碍，如反托拉斯规定，联邦和私人责任，国家安全信息分类，信息自由法案豁免以及国家代码之间的差异。解决这些问题的解决是有效信息共享过程的关金博宝正规网址键。

建立合作伙伴关系。保护美国�基础设施既不是完全公开的，也不完全私人努力。委员会发现，基础设施的政府和业主与运营商之间的新伙伴关系，以确保其继续服务。我们发现，有必要分享信息是我们可以建立这种伙伴关系的基础。因此，我们建议联邦政府采取具体措施，以确保所有者和运营商和国家和地方政府得到充分通知和国家政府，以完成其基础设施保护角色，包括以下内容：

• 各联邦机构应继续将风险评估服务推广到私营部门。
• 管理人员应该了解广泛可用的“黑客工具”，并采取行动减少他们可能受到的剥削。
• 联邦通信委员会应进行一项试点研究，探讨在电信行业发布比较基础设施保障数据的可行性和可能的好处，其他关键基础设施也应进行类似的试点研究。
• 司法部长应该成立一个由劳资代表、州议员、人力资源和人事专家以及隐私倡导者组成的研究小组，通过背景调查等手段，为内部不当行为的安全提供适当的平衡，以及目前受联邦和州立法安全保护的隐私和个人利益。
• 严格的工作队应识别和审查大额待申请的联邦采购，以确保基础设施保证目标已充分考虑并提出对采购进程的修订，以确保此类审议的修订。
• 纳恩-卢格-多梅尼西国内防范计划拨款应增加一倍，以扩大和加速能力共享，以减轻大规模杀伤性武器袭击的影响。

构建伙伴关系。委员会提出了一套公共和私营部门内的结构和流程，以促进基础设施保证职能，并补充现有的执法，监管和其他关键基础设施提供商和政府之间的沟通渠道。这些新的结构和流程将提供可信任和受保护的渠道，用于分享公共和私人基础设施保障信息，并提供在整个联邦政府和私营部门的额外基础设施保障努力的手段。目标是建立国家结构，以促进联邦政府，州和地方政府和基础设施所有者和运营商之间有效伙伴关系，以实现国家基础设施保证政策，规划和计划。因此，我们推荐：

• 一个国家基础设施保证办公室在白宫担任基础设施保证的焦点。
• 一种国家基础设施保障委员会由著名的基础设施企业领导人、州和地方政府代表以及内阁官员来解决基础设施保障政策问题，并向总统提出适当的建议。金博宝正规网址
• 一个基建保障及支援办事处提供职业支持和协调涉及基础设施保证的联邦努力，并为公共和私营部门伙伴关系努力提供直接援助。
• 联邦L.EAD Agent.对于每个关键的基础设施部门采取主动，将业主和运营商聚集在一起，创造一种所有人都能接受的信息共享方式。
• 一种部门基础设施保证协调员对于每个基础设施行业作为“清算房屋”，组织信息共享活动，保护每位参与者提供的信息，并作为信息往返于拟议的共享和分析中心的渠道。在每个部门中，应选择与业主和运营商同意的协会或联盟作为扇区协调员。
• 一个信息共享和分析中心由政府和行业代表共同工作，从所有来源的政府和私营部门接收信息，分析它，得出关于最佳做法和基础设施正在发生的事情的结论，并向政府和私营部门用户传播所需的信息。
• 一种警告中心用于在任何可能的基础设施(物理或网络)遭受攻击时提供操作警告。

教育和意识。这些计划成功的关键是教育我们所有的公民，让他们了解网络空间中正在出现的威胁和漏洞。这包括为计算机道德建立一个基础，培养一个环境，以鼓励信息保障专家的增加。文化已经改变，我们对技术以及由此产生的威胁和弱点的思考方式也必须改变。委员会的建议基于三个支柱，并针对所有层次的教育，从语法到研究生院，包括:

• 国家科学基金会旨在促进网络安全和基础设施保护的研究生水平研究和教学。
• 由白宫主办的一系列会议旨在推动在中小学开设计算机道德和知识产权新课程。
• 教育与工业部之间的伙伴关系，为高度训练的信息安全技术人员和经理制定课程和市场需求。

以示例领导。基础设施保证是一个共同责任，但联邦政府有一个明显的责任来领导努力。显然，联邦政府必须以举例说明为例，因为它达到私营部门和其他国家和地方政府。联邦政府必须具备在网络时代开展业务所需的工具和政策。这可以通过以下方式促进：

• 通过制定、实施和执行标准，改善政府信息安全。
• 与行业合作以加快努力测试和实施替代加密密钥管理方案。
• 提升并正式确立信息保障作为外国情报的优先事项。
• 提出招聘措施，并留住网络技能的联邦调查局人员。
• 鉴于全球定位系统依赖的脆弱性，对国家航天系统进行了彻底的风险评估。

法律行动。委员会建议，鉴于对基础设施保证的关切，应当考虑修订联邦立法的主要部分。其中包括为涉及关键基础设施的事故的预防、缓解、反应和恢复提供权威的立法。目标是确保在适当的情况下，这些工具可用来应对正在出现的网络威胁。我们建议审查以下法规，以纳入基础设施保障目标:

• 国防生产行为。
• 斯塔福德法案。
• Nunn-Lugar-Domenici II。

我们建议对刑法和程序进行了谦虚的改善，例如对联邦判决指导方针的改进，这将允许攻击关键基础设施的判决，以更充分地反映所做的真正伤害。

研究和发展(R&D)。联邦政府的研发努力不足以应对新出现的网络威胁所带来的研发挑战。每年约有2.5亿美元用于基础设施保障相关的研发，其中60%——1.5亿美元用于信息安全。支持国家网络防御的研究很少。委员会认为，迫切需要实时检测、识别和响应工具，我们得出的结论是，目前市场需求不足以满足这些需求。因此，我们建议将用于基础设施保护的联邦研发资金增加一倍，达到每年5亿美元，并在未来5年内每年增加20%。投资应以以下领域为目标:

�信息保证、漏洞评估和系统分析。

• 风险管理、建模和决策支持。
• 应急计划，事件响应和恢复。
• 预警和响应，监测和威胁检测能力。

总之，主席先生，我认为委员会的调查结果和结论是以准确合理的信息和分析。委托人报告中包含的建议，关键基础在实施时，将创建这些合作伙伴关系和结构，从而降低我们基础架构中的漏洞。他们将为研究和开发工作提供推动，以提高信息安全并提供网络防御系统。他们将增加国家制定，保护和响应任何针对我们基础设施的威胁，战略性或反应的能力，从而确保其继续，有效的运作，以支持我们的国防，经济增长和一般福祉。

这完成了我的陈述主席先生。我很乐意回答您或小组委员会可能有的问题。

“汤姆”沼泽是总统批评委员会主席

基础设施保护。他通过制定保护和确保该国家关键基础设施继续运作的战略来汇集政府和私营部门的综合部队，建议并协助主席。这些关键基础设施包括电信，电力系统，天然气和石油运输，银行和金融，运输，供水系统，应急服务（医疗，警察，火灾和救援）和政府服务的连续性。

• 1925年1月3日出生于印第安纳州的罗根波特

• 毕业于美国军事学院，西点，N.Y。

• 赢得了密歇根大学的科学学位硕士学位

在仪表工程与航空工程中。

• Thiokol Corporation主席1989-1991

沼泽先生作为航空航天顾问拥有广泛的背景。他

作为CAE Electronics，Inc。和Comverse Degry Systems Corporation董事会主席。他是Teknowledge Corporation的董事和仲裁公司的受托人。他也是空军援助协会的董事。Marsh先生是Carnegie-Mellon软件工程研究所的参观者董事会成员，是美国航空工业大学董事会董事会主席。

从1989年到1991年，他曾担任Thiokol公司的第一任主席，因为它从Morton-Thiokol转换为单独的公司地位。沼泽先生是退休空军一般。他的最后一项任务是作为空军系统指挥官的指挥官，在那里他指导了用于空军系统的研究，开发，测试和收购航空航天系统。

由于他在商业和军事领域的丰富经验，Marsh先生作为委员会主席，对政府和工业在关键基础设施保护领域的需求有着独特的理解。