1998年国会听证会
情报和安全

主席先生及小组委员会成员:

我很高兴能有这个机会从用户的角度与您讨论NASA对信息安全的看法。作为首席信息官(CIO)，我负责提供建议，以确保信息技术的获得和管理符合现有的法律法规，并实现机构的使命。这些职责中的关键是确保NASA拥有一个安全的信息技术环境。

美国国家航空和宇宙航行局(NASA)被美国国家航空和宇宙航行局(National Aeronautics and Space Act)特许，预计将向公众公布其项目的结果。NASA每天都要传送近一百万封电子邮件。上个月，美国宇航局被雅虎命名为世界第一的网站。火星探路者任务传回的令人难以置信的图像和数据激发了全世界的想象力和兴趣。雅虎确认美国宇航局火星探路者网页是去年访问频率最高的网页，在1997年7月1日至8月4日期间，全世界有5.66亿次访问记录。这些大量的内部和外部信息传输带来了巨大的技术挑战——在保证NASA计算资源和数据的安全和完整性的同时提供高效的操作。我们开发、维护和操作超过50个主要系统，这些系统要么成本高，要么具有关键的管理重要性。这些投资代表了超级计算机、大型机、桌面和通信应用程序、能力和资产的广泛投资组合。NASA是一个重要的研究和发展机构;从航天飞机上的笔记本电脑到从新星系传输图像的通信网络，信息技术使美国宇航局得以履行其承诺，实现更好、更快、更便宜、更安全的任务和产品。

我们很高兴看到委员会将这次听证会的重点放在信息安全上。在过去的一年里，内部和外部的审查已经确定了对信息安全和数据完整性的日益关注。NASA的CIO社区已经把纠正我们的2000年计算机问题和提高信息安全放在了最高优先级。

我们的信息技术安全(ITS)项目涉及七个关键和相关领域，包括组织、政策/程序、培训、事件报告和漏洞纠正、技术、物理安全和刑事调查。在提供信息和信息系统的完整性、机密性和可用性的总体水平方面，每个领域都扮演着关键的角色。NASA在计算机安全领域的活动包括:

1.组织

NASA的首席信息官建立了一个主要的信息技术安全中心(ITS)，由其经理领导，该经理向我和艾姆斯研究中心(ARC)的主任报告。ReportsReports其经理确保一个密切的工作关系之间的NASA企业和NASA安装关于IT安全。it经理负责推荐信息安全政策、程序、指导、体系结构、标准和度量标准。这一职责与ARC作为NASA信息技术卓越中心的角色非常吻合。ARC位于硅谷，它的地理位置非常理想，可以促进新的计算机和通信安全技术和产品的输入，以满足NASA近期和长期的要求。为了更好地利用NASA各中心的丰富的专业知识，我们确定了专家中心并分配了其职能领域的职责。功能领域包括:通知、事件协调和响应——戈达德航天飞行中心(GSFC);培训和意识——刘易斯研究中心(LeRC);网络和通信-马歇尔空间飞行中心(MSFC);系统与应用-喷气推进实验室(JPL); Development - ARC.

2.政策/程序

我们的信息技术安全政策要求进行风险评估，为每个主要任务、项目或机构需求建立审慎的投资水平。我们的政策的第二个主要目标是促进IT安全架构和标准的发展，这有助于开放、标准、可扩展、互操作，但安全的IT环境。

我们正在重写现有的NASA安全政策和程序文件，以更新和增强我们整体的IT安全地位，因为它涉及敏感但非机密的IT系统和信息。其政策反映了NASA CIO的角色和相关的组织结构。作为我们制定和批准政策过程的一部分，NASA的企业和中心必须批准标准和架构建议。我们的政策是协调的，在适当的情况下，与其他联邦政策和程序，如那些由联邦CIO理事会及其相关委员会建立的。

美国国家航空和宇宙航行局正在制定健全和持久的程序和指导来解决它。度量标准的建立对于NASA信息技术安全(ITS)资源的全面管理至关重要。衡量ITS项目有效性的能力将转化为有效的投资策略，从而解决我们最重要的系统弱点。这些度量方法处理总体IT安全有效性以及培训、预防和检测活动有效性的具体措施。

我们的ITS项目的一个重要部分是其体系结构和标准的建立和文档化，其目的是更好地促进发展更统一和成本效益更高的全nasa解决方案。

3.培训

培训和意识是其项目成功的关键。基于对其弱点的了解，培训和认识可以带来巨大的投资回报。我们正在加强努力，提供有效的培训，以充分利用我们的资源

目前在这一领域的花费和确定我们可以改进的领域。LeRC正在研究IT安全培训的标准方法。这些培训项目正在采用其他政府机构和私营部门的最佳做法。例如，我们目前正在评估由美国陆军开发的计算机安全训练模块。目前正在制定战略，以确保公务员和承包商人员得到适当的培训和认证。关于适当的全部门IT安全培训计划和主培训计划的最终建议将与整个NASA CIO社区进行协调以进行审查和批准。

4.事件报告，漏洞修正

信息安全从回避开始。GSFC目前正在运行一个全局性的漏洞通知、紧急响应和事件处理，即NASA自动安全事件响应能力(NASIRC)。规避包括所有级别的意识，它促进了经过良好训练的安全和审计专业人员。由于我们在公共互联网上的强大存在，我们的计算资源面临着重大的安全风险。NASIRC为迅速处理事件提供了有效手段。

在97财年，NASIRC发布了244个警报、公告和后续技术报告。到目前为止，在98财年，NASIRC已经发布了112个这样的通知。每次NASIRC发布一个警报或技术咨金博宝正规网址询，它反映了我们与许多其他组织的合作，并确定了影响所有it系统用户社区的威胁和漏洞情况。我们与计算机应急响应小组(CERT)、联邦计算机事件响应能力(FedCIRC)和其他国际响应小组等警报服务密切合作，并监控供应商通知和新闻组。IT安全是一个世界性的问题，特别是对于那些有广泛的互联网连接的人。通过与世界各地的其他组织进行广泛的协调和协作，我们能够及时获得预警信息，以更好地保护我们的IT系统环境，并且我们能够与在可信事件处理领域中处理此类问题的其他人分享我们所学到的经验教训。金博宝正规网址

GSFC还致力于与其他政府机构建立一个机构间亲和力小组，以利用有限的资源，更密切地协调机构间应急响应和事件处理问题。金博宝正规网址律政司透过一份谅解备忘录，与我们共同努力。教育部和联邦航空管理局预计将在98财年第二季度加入这一跨部门的努力。

5.技术

新兴的信息安全技术对于满足数字签名、安全消息传递、电子商务和可信的基于web的应用程序的新需求至关重要。一项重要的技术是公钥基础设施(PKI)。PKI的重要要求包括易用性(与常用应用程序一起使用)、身份验证(知道您是谁)、认证策略(混合用户组)和可信的证书颁发机构(发送者身份验证、不可否认性和消息完整性)。ARC参与了几项提高信息安全和数据完整性的联合联邦活动。其中之一是协作互联网安全试验台。这项活动的结果可以在以下网址找到:http://cis.dyncorp-is.com/。同样，ARC一直在与联邦PKI指导委员会协调其部门范围的PKI活动。NASA一直在开发和部署PKI和数字签名的标准基础设施。这项技术提供了一种通用的安全基础设施，可以用来支持NASA内部的许多不同项目和项目。作为这项活动的一部分，我们开发了一个安全的消息传递系统，目前我们正在NASA所有中心测试该解决方案。 We developed and are currently pilot testing a secure electronic solicitation and review process for scientific grants with approximately 50 universities. The results to date are very promising. We also are working closely with private industry to develop and test secure web capabilities that could use the same common PKI technology. We are evaluating solutions at the transmission level which provide Virtual Private Network (VPN) capability. In all these efforts, we have focused on early commercial technology products which are compatible with NASA�s Agencywide architecture and standards.

6.物理安全

NASA对IT安全的各个方面采取了全面和分层的风险管理方法。在物理安全方面，我们关注的是能够访问NASA IT系统的人的行为，这些人会受到“可信内部人员”对小偷或恐怖分子的威胁。NASA会对每个需要进入我们IT系统的人进行筛选。根据系统建设和/或设施中包含的信息的危急程度，访问可能会受到各种访问控制设备的限制和保护，如NASA资源保护项目所述。进入NASA中心是最外层的边界，只有经过授权的人员和经过批准的访客才能进入。

JPL已经完成了对全部门病毒扫描态势的评估工作，并为获取、操作和维护标准病毒扫描软件/能力推荐了一种全部门标准方法。喷气推进实验室正在评估整个部门的态势，并推荐一种标准方法，用于获取、操作和维护NASA所有的网络入侵检测和分析软件/能力。

MSFC完成了对局域网(LANs)的评估，并推荐了一种全局域标准方法，用于获取、操作和维护总部和所有战场中心的标准防火墙软件/能力。作为对该机构支持的一部分，MSFC正在为中心级的实施提供指导。MSFC还在测试新电子设备和软件的有效性，这些设备和软件旨在防止计算机被盗，以便在全部门范围内实施。

7.刑事调查

NASA将继续与NASA监察长和其他执法机构密切合作，以支持他们在涉及所有中心信息技术资源的任何刑事调查中的努力。为了防止滥用，并通知所有用户，他们的使用可能被监视，NASA已经实施了一个警告横幅在所有适当的NASA计算机系统。这些条幅表明，如果你继续使用美国政府的电脑，你的按键和数据内容就会受到监控。这些条幅帮助执法部门进行调查。

NASA正面临着适应不断变化的IT环境的挑战，在这个环境中，漏洞日益严重和增多。信息共享对于NASA完成任务至关重要。作为互联网的主要组成部分，NASA不仅在国家信息基础设施中有强大的存在，而且必须保持独立和保护任务关键信息技术系统。作为我们在互联网上的强大存在的直接结果，我们必须成为跨联邦文职/军事政府、私营企业、学术界和外国合作伙伴的事件处理领域的重要参与者。纳斯里克已经成为联邦政府内部公认的典范。

为了保护我们的关键任务信息系统，NASA已经成为信息安全技术的早期采用者。在未来几个月，我们计划部署一个公钥基础设施，以支持安全消息传递、数字签名、电子采购应用程序和基于web的安全应用程序。我们在部署虚拟专用网络和防火墙方面的努力对我们全部门综合财务管理计划的成功和安全部署至关重要。

总之,我们认真对待我们的责任的管家公共�年代空间和航空信息技术系统,我们致力于与其他机构的行政部门和国会,以确保我们之间保持适当的平衡可访问性的研究结果和保护我们的投资。