杰克先生布鲁克 主席先生和委员会成员:
我很高兴在这里讨论S. 1993,政府1999信息安全法案,该法案寻求加强整个联邦政府的信息安全实践。这些努力是必要和关键的。我们的研究表明,几乎所有的政府机构都受到计算机安全问题的困扰。上个月发生的拒绝服务攻击等事件表明,当一个组织的计算机安全防御被攻破时,可能会造成损害。但是,主席先生,让我强调,造成更严重破坏的可能性是很大的。正如我在最近的证词中所说,我们国家的计算机基础设施正面临着越来越严重的破坏风险。计算机互联的急剧增加,虽然在许多方面都是有益的,但也提供了系统之间的通道,如果没有适当的保护,可以用于从远程位置获得未经授权的数据和操作访问。政府官员越来越担心来自怀有恶意的个人和团体的攻击,比如恐怖分子和参与信息战的国家。[我]
1993年修正案为解决这一问题提供了机会。它更新了支持联邦信息安全要求的法律框架,并解决了广泛存在的联邦信息安全弱点。特别是,该法案规定了以风险为基础的信息安全方法,并对安全控制进行独立的年度审计。此外,它从政府的角度来处理安全问题,采取措施来适应国家安全和民间机构行动中显著不同的信息安全需求。 主席先生,我想讨论一下这些建议如何能使联邦机构在处理计算机安全问题方面的表现得到实质性的改善。金博宝正规网址此外,我还想提出另外两个问题:更明确的控制标准和集中式领导的需要,如果得到解决,可能会进一步加强安全实践和监督。在委员会在这一领域开展工作时,这两个问题值得进一步注意。 信息安全改进 迫切需要改进机构的信息安全做法。1999年10月,我们对自己和监察长审计的分析发现,22个最大的联邦机构没有充分保护关键的联邦行动和资产免受基于计算机的攻击。(二)在过去的12个月里,Melissa电脑病毒和一系列联邦网站被入侵导致一些政府机构的运作中断,这一问题引起了人们的关注。同过去的分析一样,我们的结论是,要解决这一广泛而持久的问题,需要各机构的管理部门给予重大的注意和采取行动,并在政府一级加强协调和监督。 我们最近对环境保护署(EPA)的个别机构审查证实了我们在政府范围内的分析。[3]总的来说,我们发现EPA的计算机系统和依赖这些系统的操作非常容易受到篡改、中断和误用的影响。EPA自己的记录显示,在过去两年中,有几起严重的电脑事故给EPA的运作造成了损害和中断。此外,我们对基于计算机的控制的测试得出的结论是,支持EPA大部分任务相关和财务操作的计算机操作系统和机构范围内的计算机网络都存在安全漏洞。环保署目前正在采取重大措施解决这些弱点。然而,解决EPA的信息安全问题需要大量的持续的管理关注,因为到目前为止,安全计划的规划和管理基本上都是纸面上的练习,几乎没有实质性地识别、评估和降低该机构的数据和系统的风险。在这些根本的管理问题得到解决之前,环保署针对特定控制缺陷所做的任何修复都将是暂时的。金博宝正规网址 并非只有美国环保署有这种情况。在过去12个月里,我们已发现一些机构在管理和控制方面存在严重的弱点,这些弱点有效地破坏了它们的计算机安全操作的完整性。 1999年5月,我们报道[v]作为美国国家航空航天局(NASA)计算机控制测试的一部分,我们成功侵入了几个关键任务系统,其中一名负责计算每个轨道航天器的详细定位数据,另一名负责处理和分发从这些航天器收到的科学数据。获得访问权限后,我们可能会中断正在进行的指挥和控制操作,修改或破坏系统软件和数据。 1999年8月,一家独立的会计师事务所报告说(六)美国国务院用于国内操作的大型计算机很容易受到未经授权的访问。因此,使用这些计算机处理数据的其他系统也可能受到攻击。一年前,1998年5月,我们报道过(七)我们在国务院的测试表明,它的计算机系统及其维护的信息非常容易受到黑客、恐怖分子或其他未经授权的个人的攻击,这些人试图利用国务院的信息安全弱点破坏国务院的运作或获取经济利益。 1999年10月,我们报道(八)由于严重的弱点,属于退伍军人事务部(VA)的敏感信息有可能在未被发现的情况下被无意或故意误用、欺诈使用、不当披露或销毁。由于退伍军人事务部为退伍军人及其家庭成员收集并保存敏感的医疗记录和福利支付信息,并负责每年支付数百亿美元的福利,这样的发现尤其令人烦恼。 虽然这些机构和其他机构的业务性质和有关风险各不相同,但报告的具体弱点有惊人的相似之处。以下六个方面的管理和一般控制弱点在我们的审查中反复强调。 全实体安全计划规划和管理。每个组织都需要一套管理程序和组织框架来识别和评估风险,决定需要哪些政策和控制,定期评估这些政策和控制的有效性,并采取行动解决任何已识别的弱点。这些基本活动使组织能够有效地管理其信息安全风险,而不是在发现违规或报告审计发现后才对个别问题作出临时反应。尽管这方面的重要性,一个信息安全计划,我们继续发现,糟糕的安全规划和管理是规则,而不是例外。大多数机构没有为基于风险的主要系统制定安全计划,没有正式记录安全政策,也没有实施测试和评估它们所依赖控制的有效性的程序。
访问控制。访问控制限制或检测对计算机资源(数据、设备和设施)的不适当访问,从而保护这些资源免遭未经授权的修改、丢失和泄露。它们包括物理保护,如盖茨和警卫,以及逻辑控制,控制内置软件(1)要求用户通过密码来验证自己或其他标识符和(2)限制了文件和其他资源,经过身份验证的用户可以访问和他或她可以执行的行动。在我们的许多回顾中,我们发现管理人员没有识别或记录单个用户或组的访问需求,因此,他们为非常大的用户组提供了过度广泛的访问特权。此外,我们经常发现用户共享帐户和密码,或者公开发布密码,这使得我们无法追踪特定的交易或个人的修改。不幸的是,由于这些和其他访问控制弱点,对代理系统进行渗透测试的审计员几乎总是能够成功地获得未经授权的访问,从而允许入侵者以任何他们想要的目的读取、修改或删除数据。 应用软件开发和变更控制。应用软件开发和变更控制防止未经授权的软件程序或对程序的修改被执行。没有它们,个人可以偷偷地修改软件程序,使其包含处理步骤或功能,而这些步骤或功能后来可能被用于个人利益或破坏活动。在我们的许多审计中,我们发现:(1)测试过程是不规范的,并且不能确保实现的软件按照预期的方式运行;(2)实现过程不能确保只使用授权的软件;(3)对软件程序库的访问没有得到充分的控制。
种族隔离的职责。职责分离是指有助于确保一个人不能独立控制一个过程或与计算机相关的操作的所有关键方面,从而在不被发现的情况下进行未经授权的行动或获得未经授权的对资产或记录的访问的政策、程序和组织结构。例如,不应该允许一个计算机程序员独立地编写、测试和批准程序更改。我们通常发现,计算机程序员和操作人员被授权执行各种各样的职责,从而使他们能够独立修改、规避和禁用系统安全功能。类似地,我们还确定了与交易处理相关的问题,其中财务管理系统的所有用户都可以独立地执行启动和完成支付所需的所有步骤。 系统软件控制。系统软件控制、限制和监控对与计算机系统操作有关的强大程序和敏感文件的访问,例如:操作系统、系统实用程序、安全软件和数据库管理系统。如果在这方面的控制不充分,未经授权的个人可能会使用系统软件来绕过安全控制读取、修改或删除关键或敏感的信息和程序。这些弱点严重降低了由计算机系统支持的所有应用程序所产生的信息的可靠性,并增加了欺诈、破坏和不适当披露的风险。我们的审查经常识别出访问限制不够充分的系统,这使得知识渊博的个人有可能以各种各样的方式禁用或绕过控制。 服务连续性控制。业务连续性控制确保关键操作在意外事件发生时能够继续进行,例如临时断电、意外文件丢失,甚至是火灾等重大灾难。因此,机构应具备(1)适当的程序来保护信息资源,并将计划外中断的风险降到最低;(2)在中断发生时,应制定恢复关键操作的计划。在我们审查过的许多机构中,我们发现计划和程序是不完整的,因为没有充分分析业务和支助资源,以确定哪些是最关键的,需要首先恢复。此外,灾难恢复计划通常没有进行全面测试以确定其弱点。因此,许多机构对于在发生破坏性攻击后能够及时、有序地恢复行动能力没有足够的保证。
1993年的提案可以导致改进信息安全管理 1993年开始的基本前提是,计算机安全只能在机构内工作,如果一个强有力的管理框架是到位的。事实上,该条例草案纳入了我们在一九九八年应阁下要求所拟备的有关主要机构保安措施的报告中所载的良好保安管理的基本原则。(第九)该法案建议在三个重要方面进行改进: �遵循以风险为基础的资讯保安方法, �对安全控制进行独立的年度审计 �从政府的角度来处理安全问题,同时考虑到国家安全和民间机构行动的不同信息安全需求。
如果这些建议得到有效实施,将有助于联邦机构改善其信息安全做法,并在相当程度上加强行政部门和国会的监督。
第一个改进领域将需要由机构方案管理人员和技术专家共同实施一种风险管理方法。建立这样一种方法是重要的,因为各机构在评估其信息安全风险和实施适当控制方面通常做得很差。此外,我们对公共和私人最佳实践的研究表明,有效的安全项目管理需要实施一个提供 �评估项目运营和资产的信息安全风险,并确定相关的保护需求, �选择并实施满足这些需求的控制措施, �提高风险和责任意识,以及 �执行例行测试和评估政策和控制有效性的计划。 这个过程的关键是认识到信息安全不是锁定系统的技术问题,而是一个管理问题,需要了解程序操作和资产的信息安全风险,并确保采取适当的步骤来降低这些风险。因此,1993年修订案要求采用包含这些因素的风险管理方法是非常恰当的。 第二个提议的改进领域是要求对每个机构的信息安全项目进行年度独立审计。无论是单独的还是集体的,这些审计都可以提供急需的信息,以改善管理和预算办公室(OMB)和国会的监督。我们多年来审计机构安全项目的经验表明,独立的测试和评估对于验证基于计算机的控制的有效性至关重要。审计还可以评估机构实施管理措施,从而促进管理问责制。此外,对机构信息安全项目的年度独立评估将有助于推动改革,因为它将突出改善信息安全的障碍和进展,就像1990年《首席财务官法案》(Chief financial Officers Act of 1990)要求的财务报表审计一样。
作为其年度财务报表审计的一部分,机构财务系统已经受到这种评价。然而,我想指出的是,对于具有重大非金融业务的机构,如国防部和司法部,每年独立的信息安全审计要求将给现有的审计能力带来重大的新负担。因此,要使这些审计有效,就需要确保机构总检查员有足够的资源来执行或承包所需的工作。 第三,1993年S.通过适应广泛的信息安全需求和适用于所有机构的要求,包括那些从事国家安全的机构,采取了一种政府范围的信息安全方法。根据现行法律,国家安全系统与所有其他政府系统之间的区别,往往会阻碍建立政府范围标准和共享信息安全最佳做法的努力。1993年修订案应有助于消除这些区别,并确保在政府间开发共同的方法,以保护类似的风险,而不管涉及的机构。 这一点很重要,因为近年来,民间机构行动的信息安全需求与国家安全行动的信息安全需求已经趋同。在过去,当敏感信息更有可能保存在纸上或独立的电脑上时,人们主要担心的是数据的机密性,尤其是涉及国家安全机密数据的时候。现在,几乎所有的机构都依赖相互连接的计算机来维护信息并执行对其任务至关重要的操作。虽然这些数据的机密性需求各不相同,但所有机构都必须关注其系统和数据的完整性和可用性。重要的是,所有机构都要了解这些不同类型的风险,并采取适当的步骤来管理它们。
加强安全控制标准和领导也值得关注
虽然1993年修订案将更新当前的计算机安全立法框架,该法案没有提到的两个重要考虑因素——需要更明确的安全控制标准,以及需要澄清和加强政府内部对信息安全的领导——对于加强安全实践和监督至关重要。我想更详细地讨论这些问题,因为它们补充了1993年公约的目标,并可以大大加强公约的规定。 首先,需要更好地定义安全控制标准。目前,各机构在决定实施何种计算机安全控制以及执行这些控制的严格程度方面有广泛的自由裁量权。然而,正如前面提到的,我们的审计工作表明,各机构在评估风险和实施有效控制方面普遍做得很差。此外,这些审计表明,各机构在控制必须保护的不同类型的信息方面需要更具体的指导。目前OMB和国家标准与技术研究所(NIST)的指导不够详细,无法确保各机构在这一领域做出适当的判断,也无法确保在整个联邦社区中始终保护相同类型的数据。 更具体的指导可分为两部分:
�所有联邦机构都可以使用的一套数据分类,对它们生成和维护的数据的关键性和敏感性进行分类。这些分类可以从需要相对较低保护级别的非关键、公开可用的信息,到需要极高保护级别的高度敏感和关键信息。中级分类可涵盖一系列财务和其他重要和敏感的数据,这些数据需要重要的保护,但不是在非常高的级别。重要的是,这些数据分类应得到明确的定义,并附有关于属于每种分类的数据类型的准则。
�每种分类的最低强制性控制要求。这样的控制需求可以覆盖等问题(1)系统用户身份验证技术的力量(如密码、智能卡金博宝正规网址和生物识别技术)对于每一个分类,(2)适当类型的加密工具对于每一个分类,和(3)的频率和严格测试适合每个分类。
我们认为,要求制定这些标准,特别是在最低限度的强制性控制要求的情况下,是对贵国立法的最重要补充。更精确界定的标准将提供共同措施,以指导各机构制订所需的控制措施,并改善审计和评价的一致性和价值。 第二,在信息安全方面,需要强有力的中央领导。根据现行法律,指导和监督机构信息安全的责任由多个机构承担,包括OMB、NIST、总务管理局(GSA)和国家安全局。其他组织也通过政府的关键基础设施保护计划参与进来,包括司法部和关键基础设施保障办公室。虽然正在进行一些协调,但总的来说,这导致监督和援助责任重叠的组织激增。缺少的是强有力的领导声音,以及对角色和责任的清晰理解。 拥有强有力的中央集权领导是应对其他政府管理挑战的关键。例如,必须得到政府最高一级官员的大力支持,才能促使人们注意并采取行动解决2000年问题。同样,强有力的中央集权领导对于敦促各机构投资并完成《首席财务官法》规定的基本管理改革至关重要。为了在信息安全方面取得类似的成果,联邦政府必须得到最高领导人的支持,并为那些支持政府范围内倡议的组织更明确地定义角色。我们认为,在你们的立法中应该认真考虑明确负责政府范围内信息安全工作的组织的角色,例如,OMB、NIST、和GSA,并创建一个全国首席信息官,以提供更高的能见度和更有效的信息安全中央领导。 -- -- -- -- -- 总之,我们支持S. 1993。它为改革机构信息安全实践和政府范围的监督提供了必要的成分。特别是,它认识到联邦计算环境的高度网络化的本质;要求建立更加全面、基于风险的信息安全管理框架;它还规定每年对安全项目进行独立审计。基本上,该法案为解决信息安全问题提供了一个更好的管理框架,并提供了一个独立检查这些问题如何被解决的机制。金博宝正规网址正如我们所指出的,这一目标可以通过要求更明确的安全控制标准和加强政府领导来进一步加强。
主席先生和委员会成员们,我的证词到此结束。我们期待着与委员会合作,推进今天讨论的问题,并处理我们已分别提供的技术意见。金博宝正规网址我很乐意回答你们的任何问题。 [我]关键基础设施保护:对国家信息系统保护计划的评论(GAO/ t - aim -00-72, 2000年2月1日)。
(二)关键基础设施保护:全面战略可以借鉴2000年的经验(GAO/ aim -00-1, 1999年10月1日)。 [3]信息安全:根本性的弱点使环保局的数据和操作面临风险(GAO/ t - aim -00-97, 2000年2月17日)。 (四)国防部信息安全:严重的弱点继续使防御行动处于危险之中(GAO/ aim -99-107, 1999年8月26日)。 [v]信息安全:许多NASA关键任务系统面临严重风险(GAO/ aim -99-47, 1999年5月20日)。 (六)审计国务院1997年和1998年主要财务报表, Leonard G. Birnbaum and Company, LLP, 1999年8月9日。
(七)计算机安全:普遍的严重弱点危及国务院的运作(GAO/ aim -98-145, 1998年5月18日)。 |