萨克斯顿主席,参议员贝内特,里德参议员和委员会成员。我很高兴能够支持您的网络安全检查的美国经济。这是一个艰难的,多方面的挑战。今天早上,我想简要地突出了几个有关网络安全的重大问题上,我认为需要注意,并且你可能希望更详细地检查。金博宝正规网址 声明
的
杜兰恩·p·安德鲁斯
公司执行副总裁
科学应用国际公司(SAIC)
之前
联合经济委员会
有线经济听证会:
网络安全和美国经济
六月21,2001对于角度来说,我已经参与了两个在政府和行业一段时间的网络安全问题。目前,上汽集团提供了国防部和一些民间机构,包括支持FEDCIRC事故报告和处理服务的支持,以及商业公司。我们开发,仍然有在商业安全公司的兴趣 - 全球整合 - 创建并运营的第一信息共享分析中心,或ISAC,为金融服务行业 - 以及全球企业和韩国ISACS。我个人与国家安全电信咨询委员会的行业执行小组委员会,俗称NSTAC活跃。在1994年和1999年,我在这两个解决网络安全等议题中央情报局赞助的联合安全委员会的国防部长/主任专员。我主持的信息防御战的1996年国防科学委员会特别工作组。而作为在上届布什政府辩护C3I的助理国务卿,我发起了国防信息安全保障方案和部门的信息战计划。
在自七年联合安全委员会的第一次报告,其中包括观察,即“信息系统和网络的安全性[是]这十年的重大安全挑战,并可能在下一个世纪......还有,我们在这一领域面临的严重风险的认识不足,”有有有了进展。ISACS正在使对网络威胁的一些行业领域共享信息。总统决定63有组织的努力,以解决美国的关键基础设施,以及类似的努力正在进行中的其他几个国家。国防部建立了一个联合特遣部队计算机网络防御和已分配的操作控制USCINCSPACE。防火墙被广泛使用,已有温和改善对如何应对网络事件,如病毒培养工作的力量。
然而,在我看来,进展的速度一直高于潜在威胁的增长放缓,以及整体我们已经失去了地面。许多国家正在发展信息战能力的;技术已经变得更加复杂;我们有电信行业的放松管制和正在进入的语音,视频和数据融合服务的时代;并且,我们的商业软件包是如此庞大而复杂,我们无法确定它们包含的内容。此外,互联网已经变得太大,有效监测。今年5月份,有超过1.22亿的互联网主机和加州伯克利大学的估计,有550个十亿网页访问的文档,以每天730万页增长。而在未来的一到两年的英语将不再是互联网的主要语言为亚洲大部分地区的上线时。
未能采取行动的另一个主要贡献者为什么我们失地。十年来,我们有报告指出,我们的经济和我们的国家安全依赖于信息的流动,这流动的风险后,研究和提出报告后研究。许多场景都建议,系统和级联效应的互连可能导致重大破坏我们的经济和我们的国家安全系统。
这些研究还表明,我们不必花费国民生产总值或等待十年显著改善我们的安全状况和我们可以采取的声音措施来保护系统和网络不践踏公民权利。
所以,问题是:为什么我们不是采取必要措施来解决网络威胁?我能想到的贡献四个因素。
要放大,我将与关键基础设施保护启动。这方面的努力追踪它的立法根国防授权法案1996年财年的1053节题为国家政策的报告,保护国家信息基础设施各项战略攻击。这被称为凯尔修订其发起人,参议员凯尔后。
- 一:这在技术上是复杂的,很难理解 - 高怪胎因素 - 这使得它很难为政策制定者参与。
- 第二,投入保护、检测和反应的每一美元,都来自于某种使命或商业功能。
- 三:没有持有联邦机构和关键业务功能的问责监督机制。和,
- 四:我们正在处理这作为一种战术,而不是战略的问题。
这项立法要求总统向国会提交一份报告,阐述对保护国家信息基础设施免受战略攻击的国家政策的审查结果。该报告旨在针对外国、团体、个人或任何其他实体针对国家信息基础设施发起的战略攻击(强调补充),提出建立必要的程序、能力、系统和流程的计划,以应对这些攻击。
随后,总统的关键基础设施委员会成立,该委员会发表了题为关键基础报告保护美国的基础设施。该报告中的建议,导致建立国家基础设施保护中心(NIPC)和相关的活动。在我看来,该委员会及其报告没有完全开始应付了由国会呼吁,而是转向了更容易处理战术问题的战略进攻的准备。
今年4月,总审计署发布了题为《关键基础设施保护:发展国家能力的重大挑战》的报告[GAO-01-323]。报告强调了在调查和响应支持方面取得的一些进展,同时指出了几个需要注意的领域,特别是在国家安全方面。
据我所知,目前政府正在解决政府的关键基础设施保护策略和NIPC的具体要求,并希望他们充分解决由GAO确定的挑战和不足。
将NIPC置于司法部的决定导致执法部门承担起网络防御前线的角色。这再次将努力集中在战术层面。如今,NIPC默认将网络入侵视为犯罪行为。这导致了对黑客和计算机病毒的关注。显然,这些活动需要引起注意,但我不认为它们上升到对国家信息基础设施的战略攻击。
这并不是说执法实体在打击网络犯罪时所做的重要工作或奉献精神有问题。只是执法并不是对这一战略挑战的充分回应。更重要的是,由于这一战术重点,作为一个国家,我们并没有着眼于能够阻止并确保我们能够从战略袭击中恢复过来的建筑战略和恢复能力。
国防科学委员会工作队防守信息作战,2000年夏季的研究,2001年3月,笔记“目前的政策,并在NIPC,联邦调查局和司法部司法解释......阻止,并及时对潜在的国家安全的信息共享风险“。
今天,有一个地方没有有效的过程,迅速地从执法姿势转移到一个国家的安全态势。也没有一个协调一致的努力,能够快速恢复是必不可少的国防或国家经济的重要功能。
这些都是需要注意的地方。国防部应要求,并授权,采取从计算机和网络的所有适当的步骤来从事和击退入侵者,而无需先诉诸刑事司法系统。当情况必要,美国国防部还应该准备参加至关重要的网络的国家经济安全的保护。保持敏捷,稳健,有能力捍卫国家必须通过刑事诉讼优先。
让我简略地谈谈责任。十几年来,联邦政府已经颁布声音信息安全策略0MB通告A-130。如果这一政策已经跟着多年来的信息在政府的保护将是更好的状态比今天。我怀疑行业将遵循政府主导,也提高了其安全状况。但是,我不知道任何人已经举办了以下不说清楚的政策负责。
国会解决了这个缺乏问责制与政府信息安全改革法案的颁布为2001财政年度国防授权法案的一部分。证券法指导机构负责人辨认,使用和共享最佳安全实践和发展机构范围内的信息安全计划,并保证足够的保护“的危险和损害可能导致的严重程度不相称。”
我很赞赏国会这项立法,敦促国会提供有力的监督,以确保这项立法之后的文字和精神,而不只是给唇部的服务,已经在过去十年的情况。但是,我希望,我们可能会看到“危险”和“损害”了一些有趣的解释,作为机构试图避免信息保护重新分配资金。
另一个需要注意的主要挑战是关于企业之间的网络事件,政府之间的信息共享,政府和商界和学术界实体之间。GAO报告我前面提到的报告一定的进展在这一领域,但指出,许多挑ReportsReports战依然存在。我政府和行业督促,揭示了网络的弱点更加自由地共享信息。我理解立法正在考虑以保护行业和政府之间的网络事件信息交流自发布根据信息自由法案,并提供行业组内的网络威胁的一些反垄断保护,信息共享。这种立法将是一个有益的步骤。
最重要的是,我认为我们必须开始从一个广泛的战略角度来处理网络和互联网问题,而不是过分关注任何特定政府支持者的权益。金博宝正规网址
总之,我认为我们需要通过或对国家的网络基础设施采取重新审视了战略进攻的挑战。我认为联邦政府需要进一步明确的问题,并更好地表征为私营部门的战略威胁。金博宝正规网址
这结束我的发言。我会很高兴回答你的任何问题。