汤普森主席、利伯曼高级成员、尊敬的参议员们，我很高兴今天有机会与你们谈论网络安全最佳做法。

思科系统(Cisco Systems)非常重视网络安全，也非常重视网络安全对美国和其他发达国家所依赖的关键基础设施的影响。思科预测，互联网将改变我们工作、生活、娱乐和学习的方式。就在四年前，这还被认为是一个大胆的声明，但今天很少有人会说互联网正在改变我们生活的方方面面。互联网经济正在为世界各地的公司、国家和个人创造一个公平的竞争环境。在21世纪，大公司的表现将不再优于小公司，而是快公司将击败慢公司。

互联网最初是为了在一个可信的学术环境中在科学家和其他研究人员之间共享信息而建立的。没有人考虑到信息安全的需要，也没有人想到信息安全的商业化会像现在这样迅速地进行。在过去的10年或15年里，我们逐渐变得依赖网络，不仅是为了进行电子商务，而且是为了提供重要的商品和服务，如电力、通信、水、石油和天然气，以及控制运输和金融交易。网络安全解决方案同样适用于私营部门和政府网络。尽管网络协议、漏洞、对策和最佳实践是常见的，但无论业务部门、职能或任务如何，任何两个公司或联邦部门在任何给定时间都不会有相同的需求或最佳解决方案。这些要求和解决方案会随着时间的推移而改变。

那么，您如何决定“最佳实践”解决方案呢?许多公司都有自己的解决方案，事实上，联邦首席信息官委员会(Federal Chief Information Officers Council)正在进行一项研究，以调查联邦部门和机构的最佳实践。我想提供一个简单的方法来组织网络安全技术和实践，并谈谈思科在客户网络中所看到的。

组织安全技术和活动的方法有很多种——重要的是选择一种，然后执行它。这是我们的——它叫做“安全轮”。

图1所示。安全轮

良好的安全必须以政策为基础。我们的一个团队正在安装一个入侵检测系统，公司的CEO想要一份员工访问次数最多的10个网站的清单。他还在购买第二条T-1线路，因为他的公司对带宽的需求不断增加。我们告诉他，前七名左右与他公司的业务无关——事实上，它们与体育比赛成绩、色情网站等有关。他气坏了，想知道谁是谁。“滚!”我们建议他，这份名单代表了他公司的大多数人，他会做得更好，建立一个简单的网络使用政策。他给所有员工发了一份备忘录，上面列出了“前十”名单，并声明用公司电脑浏览网络的非业务用途将被限制在工作时间前后和午餐时间。这告诉他的员工两件事:他能看到他们在做什么，他关心他们。几乎在一瞬间，他对第二辆T-1的需求消失了。

在制定了适当的策略之后，公司或组织必须有条不紊地将安全视为正常网络操作的一部分。这可以简单到配置路由器以不接受未经授权的地址或服务，也可以复杂到安装防火墙、入侵检测系统、集中式身份验证服务器和加密的虚拟专用网络。

军事战斗工程师的一个基本原则是，一个未被观察到的障碍最终会被突破。网络也是如此。黑客最终会找到通过或绕过静态防御的方法。计算机攻击的数量和频率一直在上升——没有“假期”。因此，安全轮的一个关键部分是监视一个人的网络基础设施，然后对企图(或成功)的攻击作出反应。

下一站是测试一个网络。组织应该定期扫描自己的网络，更新电子网络地图，确定哪些主机和服务正在运行，并对漏洞进行分类。他们还应该请专家每年进行一次或两次独立的网络安全态势审计，以提供更彻底的漏洞评估，并就对策、安全补丁和其他改进获得独立的外部建议。

最后，在每个“最佳实践”中都必须有一个反馈循环。必须授权系统管理员进行改进。高级管理人员必须对网络安全负责，参与日常运营的人员必须予以关注。只有收集和管理适当的网络安全数据，通过审计日志、入侵检测和响应系统、网络扫描等方式，管理人员才能做出明智的决策，提高网络的安全性。

如果你问我最重要的步骤是什么，我会给你两个答案:一个是短期的，一个是长期的。在短期内，任何公司或政府实体能做的最好的事情是在进行风险评估的同时进行安全态势评估，以建立基本的安全状态。如果不衡量你在哪里，你就不可能知道去哪里或如何去那里。

上周的信息周刊包括一份来自我们的安全咨询团队的报告，我们在对客户网络进行安全态势评估时看到的漏洞。我们将漏洞分为三类:拒绝服务、侦察和访问。拒绝服务漏洞允许外部人员阻塞到服务器的正常网络流量。侦察漏洞允许攻击者收集可能对未来攻击有用的信息。访问漏洞允许攻击者改变或操纵网络中的数据。我附上了一些关于识别和纠正最常见漏洞的建议，这些漏洞适用于任何网络，无论是公共的还是私有的。

从长远来看，我们能做的最好的事情就是消除令人担忧的技能差距。对高技能安全专家的需求增长的速度超过了所有培训项目加起来产生合格候选人的速度。大学很难同时吸引教授和学生。政府也很难留住熟练的安全专家。我们私营部门正在建设和维护最先进的安全培训项目，我们正在与教育机构和培训伙伴合作，为交付提供一个广泛的基础。我们还帮助人事管理办公室确定联邦IT安全人员的知识、技能和能力、持续培训需求、职业管理和指导思想。到目前为止，人力资源问题是我们面临的最关键的信息安全问题，解决方案必须基于政府、行业和学术合作。

该委员会最近提出了加强联邦网络安全的新立法，S. 1993。该法案的两项条款与我们工业界一段时间以来一直在说的内容非常相似:安全必须作为每个机构业务运作的组成部分加以推广，信息技术安全培训是任何网络安全改进计划成功的关键。每个部门和机构都应该根据量身定制的任务和风险分析来执行自己的项目。

公司网络的界限正在变得模糊。政府和企业之间的界限也是如此。互联网没有边界，我们都在一起。我们对新的关键基础设施安全伙伴关系(Partnership for Critical Infrastructure Security)非常感兴趣，这是一个由来自全国各地的大约120家公司组成的自愿组织，致力于改善我们关键基础设施的网络安全。我们已经看到了这一努力的早期成果:210名关键高管在这里参加了一个规划会议，开始解决相互依赖漏洞、信息共享、意识和外联、立法和监管问题、研究和开发以及劳动力发展问题。金博宝正规网址在我们进一步建立公共和私营部门之间的关系时，我们希望由商务部和关键基础设施保障办公室(Critical Infrastructure Assurance Office)领导的伟大合作精神将继续下去。

我们将继续共同努力，在全球范围内提高整体安全标准，以便我们能够使我们的公民和客户在互联网世纪充分利用互联网经济。

我很乐意回答大家的问题。

该表概述了思科安全咨询服务团队在过去六个月里最常遇到的漏洞。这些漏洞及其建议的修复程序适用于任何公共或私人互联网协议网络。