[国会纪录:2011年4月14日(参议院)] [Page S2498]网络安全公众意识法佩特先生。主席先生,我谈谈2011年的网络安全公众意识法,我与参议员Kyl介绍。网络空间中的恶意活动造成的损害是巨大而无关的。每年,网络攻击对我们国家的消费者,企业和政府机构造成了巨大损害。这种恒定的网络攻击导致数百万美国人的身份盗窃;举行数十亿美元的知识产权;失去无数的美国工作;关键基础设施对破坏的脆弱性;和入侵成为敏感的政府网络。这些大规模的攻击并没有得到他们应得的关注。 Instead, we as a nation remain woefully unaware of the risks that cyber attacks pose to our economy, our national security, and our privacy. This problem is caused in large part by the fact that cyber threat information ordinarily is classified when it is gathered by the government or held as proprietary when collected by a company that has been attacked. As a result, Americans do not have an appropriate sense of the threats that they face as individual Internet users, the damage inflicted on our businesses and the jobs they create, or the scale of the attacks undertaken by foreign agents against American interests. We must not wait for a disaster before we recognize and respond to the cyber threats we face. A false sense of complacency is not a security strategy. For that reason, I believe that raising public awareness of cyber security threats is an important element of the substantial work that we in Congress must do to improve our Nation's cyber security. The Cyber Security Public Awareness Act of 2011 takes up that challenge. It will raise the public awareness of the cyber threats against our nation in a manner that protects classified, business- sensitive, and proprietary information. By doing so, it will provide consumers, businesses, and policymakers with the continuous flow of information necessary to secure our networks, identities, infrastructure, and innovation economy. The bill improves public awareness with respect to three key issues: attacks on the government, attacks on infrastructure, and attacks on businesses and consumers. The bill enhances public awareness of attacks on Federal networks by requiring that the Department of Homeland Security and the Department of Defense submit reports to Congress that detail cyber incidents on the ``.gov'' and ``.mil'' domains. These reports would provide aggregate statistics on breaches, the volume of data exfiltrated, and the estimated cost of remedying these breaches, as well as the continuing risk of cyber sabotage after an incident. The bill also improves government reporting in two other ways. It requires the Department of Justice and the Federal Bureau of Investigation to submit annual reports on their investigations and prosecutions of cyber crimes, as well as on the resources devoted to cyber crime and on any legal impediments that frustrate those efforts. It also requires the Department of Justice, in consultation with the Administrative Office of the Courts, to study the preparedness of the Federal courts to handle cases relating to botnets or other cyber threats, and to consider whether courts need improved procedural rules, training, or organization to handle such cases. The bill includes four provisions to enhance the awareness of threats against our nation's critical infrastructure. First, it requires primary regulators to report to Congress on the cyber vulnerabilities in our Nation's critical infrastructure, including our energy, financial, transportation, and communications sectors, and of recommended steps to thwart or diminish cyber attacks in each industry. Second, it requires the Department of Homeland Security to commission reports on improving the network security of critical infrastructure entities, including through the possible creation of a secure domain that relies on technical advancements or notice and consent to increased security measures. Third, it requires the Department of Homeland Security to identify producers of information technology that are linked directly or indirectly to foreign governments. This provision also requires reporting of the vulnerability to malicious activity, including cyber crime or espionage, associated with the use of these producers' technologies in the United States' telecommunications networks. And fourth, the bill requires the Department of Homeland Security, in consultation with the Secretary of Defense and the Director of National Intelligence, to submit a report to Congress describing the threat of a cyber attack disrupting the United States' electrical grid, the implications of such a disruption, the possibility of quickly reconstituting electrical service in the event of a cyber attack, and plans to prevent such a disruption. The bill also seeks to enhance cyber awareness in the private sector and among businesses and consumers using the Internet. It requires the Department of Homeland Security to report to Congress on policies and procedures for Federal agencies to assist a private sector entity in the event of a cyber attack that could result in the loss of life or significant harm to the national economy or national security. To ensure that our markets properly reflect cyber risks, the bill also tasks the Securities Exchange Commission with reporting to Congress on, first, the extent of financial risk and legal liability of issuers of securities caused by cyber intrusions or other cybercrimes, and, second, whether current financial statements of issuers transparently reflect these risks. Finally, the bill will help enhance consumer awareness of cyber threats by requiring a report to Congress on legal or other impediments to public awareness of common cyber security threats, the minimal standards of computer security needed for responsible Internet use, and the availability of commercial products to meet those standards. This provision also requires the Department of Homeland Security to report on its plans to enhance public awareness of common cyber security threats and to recommend congressional actions to address remaining impediments to appropriate public awareness of common cyber security threats. The Senate has a lot of work ahead as it seeks to improve our Nation's cyber security. One vital element of this work will be to ensure that we have an appropriate public awareness of cyber security threats going forward. I look forward to working with my colleagues on this important task as well as on cyber security issues more broadly. I would particularly like to thank Senator Kyl for working with me on this piece of legislation. Senator Kyl has worked on cyber security issues extensively in the past, and we have worked together on Intelligence issues, so I very much look forward to partnering with him on this and other cyber security bills. As demonstrated by the hearing we held this week in the Crime and Terrorism Subcommittee of the Judiciary Committee, as well as by the important work previously done by the Commerce, Homeland Security, Judiciary, and other Committees, this is a vitally important and urgent national security issue, but one that we can confront in a serious and bipartisan manner. ____________________
S 813是
112年大会 1日会议
美国813年
促进公众对网络安全的认识。
在美国参议院
2011年4月13日 怀特豪斯先生(为他自己和Kyl先生)介绍了以下条例草案;这是两次读两次并提到了国土安全和政府事务委员会
法案
促进公众对网络安全的认识。 由美国大众举办的参议院和众议院颁布了它,
第1.短头衔。
这项法案可以被引用为2011年的“网络安全公众意识法”。
秒。2。发现。
(a)国会发现以下内容:
(1)信息技术是行业和商业服务,武装部队和国家安全系统的有效性,效率和可靠性的核心,以及美国的关键基础设施。
(2)网络犯罪分子、恐怖分子和外国势力的代理人利用美国的互联互通,对美国的经济和国家安全利益造成重大损害。
(3)网络安全威胁是复杂,无情和大规模的,使美国的所有消费者暴露于大量危害的风险。
(4)美国的企业由于刑事网络攻击而导致巨大的损失,剥夺了可以在进一步的工作创新中再投资的艰苦利润的企业。
(5)黑客不断探讨联邦和州机构,武装部队和武装部队商业产业基地的网络,已经导致了大量损害和受损的敏感和分类信息。
(6)严重的网络安全威胁将持续,并且可能会增长,因为美国的经济增长更多的联系,犯罪分子在美国的消费者,行业和企业偷走的努力日益复杂,以及恐怖分子和外国国家继续使用网络空间作为反对美国国家和经济安全的攻击手段。
(7)公众对网络安全威胁的认识至关重要。只有知情人士的公共和国会才能使消费者,行业以及美国国家和经济安全所需的决定。
(8)截至2011年,公众对网络安全威胁的意识水平低得不可接受。只有一小部分相关网络安全信息向公众公开。针对联邦政府系统的攻击信息通常是保密的。针对私有系统的攻击信息通常是保密的。不存在足够的机制以非机密和匿名形式向公众提供有意义的威胁报告。ReportsReports
秒。3.对政府网络的网络事件。
(a)国土安全部 - 在本法制定日期后的180天后,此后每年,国土安全部长应向国会提交报告 -
(1)总结了涉及行政机构网络的主要网络事件(如第5条第105条所界定的,除国防部);
(2)提供关于执行机构网络违规行为的总统计数据,私人数据的数据量,以及估计违约的估计成本;和
(3)讨论网络破坏的风险。
(b)辩护部 - 不迟于颁布此法案后180天,并每年在此后,国防部长应向国会提交报告 -
(1)总结针对国防部和军事部门网络的重大网络事件;
(2)提供关于防御部和军事部门网络的违规行为的总统计数据,私人数据的数据量,以及估计违约的估计成本;和
(3)讨论网络破坏的风险。
(c)报告的形式 - 本ReportsReports条提交的每份报告应以未分类的形式,但可能包括保护来源,方法和国家安全的必要条件。
秒。4.对网络犯罪的起诉。
(a)一般来说 - 在本法制定日期后不迟于180天,司法部长和联邦调查局主任应提交国会报告 -ReportsReports
(1)描述司法部在上一年就网络入侵或其他网络犯罪进行的调查和起诉,包括——
(a)与此类犯罪有关的调查次数;
(b)与此类犯罪有关的逮捕次数;
(c)由于无法及时地将刑事被告带动或防止,延迟或阻止该犯罪的实例的数量和描述;和
(D)对这类罪行的起诉数量,包括——
(i)被告的人数被起诉;
(ii)检控是否导致定罪;
(iii)对被告被定罪的每个犯罪所施加的判决和法定最大值;和
(iv)对这种罪行定罪所施加的平均判决;
(2)确定用于执行、调查和起诉网络入侵或其他网络犯罪的员工人数、财务资源和其他资源(如技术和培训),包括调查人员、检察官、致力于调查和起诉网络入侵或其他网络犯罪的法医专家;和
(3)讨论根据美国法律或国际法的任何障碍,以对网络入侵或其他网络犯罪起诉。
(b)更新——司法部长和联邦调查局主任应当每年向国会提交报告更新报告提交下部分(a)与此同时,司法部长和导演提交年度报告404条款下优先资源和组织的知识产权的行为ReportsReports2008年(42 U.S.C. 3713d)。
秒。5.重要私人网络事件的援助计划。
(a)一般来说 - 在本法制定日期后180天后,此后每年,国土安全部长应提交给国会提交一份报告,该报告描述了联邦机构的政策和程序,以协助私营部门实体私营部门实体信息网络的捍卫可能导致生命损失或对国民经济或国家安全造成重大危害。
(b)报告的形式 - 本ReportsReports节提交的每份报告应以未分类的形式,但可能包括保护来源,方法,专有或敏感商业信息和国家安全等所必要的分类附件。
秒。6.向股东报告网络犯罪。
在本法案颁布后不迟于180天内,证券交易委员会应与国土安全部长协商,向国会提交一份关于——的报告
(1)网络入侵或其他网络犯罪对证券发行者造成的财务风险的程度,以及由此产生的任何法律责任;和
(2)当前发行人的财务报表是否透明地反映第(1)款向股东描述的风险。
秒。7.关键基础设施的主要监管机构。
(a)定义 - 在本节中,术语`初级监管机构负责每个关键行业的身体和经济安全性的意思 -
(1)能源行业,联邦能源管理委员会、核管理委员会和能源部长;
(2)对于金融服务业,联邦存款保险委员会,财政部长,以及证券交易委员会主席;
(3)对于航空,铁路和地面运输业,运输秘书;
(4)对于通信行业,联邦通信委员会;
(5)就食品供应行业而言,由食物及药物署署长负责;
(6)为供水行业,环境保护局管理员;和
(7)对于国土安全部长,联邦贸易委员会秘书的任何其他要素批评。
(b)报ReportsReports告 - 在本法制定日期后不迟于180天,此后每年为3年,每个关键行业的主要监管机构与国土安全部长协商,应提交国会报告描述 -
(1)脆弱性的自然和状态对本款(a)描述的每个行业的网络攻击;
(2)(a)款中描述的每个行业的网络攻击患病率和严重性;
(3)推荐步骤挫败或减少网络攻击;和
(4)由国防部国防工业基地开发的与私营部门合作伙伴开展的网络安全和信息保障合作活动的概念是否适用于第(a)款所述的关键行业。
(c)报告的形式 - 本ReportsReports节提交的每份报告 -
(1)是 -
(A)非保密形式;和
(b)作为秘书确定必要的保护机密商业信息;和
(2)可以包括保护来源,方法,专有或敏感商业信息和国家安全的必要条件。
秒。8.改善关键基础设施实体信息网络安全的研究报告。
(a)定义-在本节中,术语“关键基础设施”的含义与《美国爱国者法案》(42 U.S.C. 5195c(e))第1016(e)节中的术语相同。
(b)报ReportsReports告 -
(1)总的来说 - 国土安全部长应与国家研究委员会或其他联邦资助的研究和发展公司签订合同,理事会或公司应当向国会报告提供有关现有技术选择的大会,符合宪法ReportsReports和法定隐私权,加强拥有或管理关键基础设施的实体信息网络的安全 -
(a)技术改进,包括开发安全域;或者
(b)增加通知和同意使用技术扫描,检测和击败网络安全威胁,例如安全域中使用的技术。
(2)时间-根据第(1)款签订的合同应要求第(1)款所述的报告提交-
(a)在颁布此法案之日后不迟于180天;
(B)在根据第(1)段提交第一份报告后,每年提交一次,为期三年;和
(c)根据国土安全秘书根据出现的新风险或技术确定,更常见。
秒。9.联邦法院的准备,以促进网络安全。
在本法制定日期后不迟于180天,司法部长与美国法院的行政办公室协调,应提交一份报告 -
(1)关于联邦法院是否就与僵尸网络、其他网络犯罪和网络安全威胁有关的事宜及时给予救济;和
(2)酌情包括关于变更或改进的建议 -
(a)“联邦民事诉讼规则”或“联邦刑事诉讼规则”;
(b)提供支持联邦司法机构的培训和其他资源;
(C)可将此类案件指派给的法院的能力和专业化;和
(D)联邦民事和刑事法律。
10秒。。公众意识的障碍。
在本法制定日期后不迟于180天,此后每年3年(如果是国土安全部长申请申请)3年(或者更频繁地),国土安全部长应向国会提交报告 -
(1)合法或其他公众意识的障碍 -
(a)繁殖方法的性质,常见的网络安全威胁造成的损坏,如计算机病毒,网络钓鱼技术和恶意软件;
(b)负责互联网使用所需的计算机安全标准最小标准;和
(c)商业废弃货架技术的可用性,使消费者能够满足这样的计算机安全级别;
(2)国土安全部部长提高公众对常见网络安全威胁意识的计划摘要,包括国土安全部用于评估公众意识活动有效性的指标的描述;和
(3)国会行动的建议,以解决这些障碍,以适当的公众对共同的网络安全威胁的认识。
秒。11。保护美国的信息技术供应链。
(a)定义 - 在本节中 -
(1)“美国信息技术供应链”的术语是指美国的公共和私人电信网络;和
(2)“美国电信网络”的术语包括 -
(a)电话系统;
(b)互联网系统;
(c)光纤线条,包括电缆落地;
(d)计算机网络;和
(E)能源部正在开发的智能电网技术。
(b)报告 - 不迟于颁布该法案后90天,并每年在此后,国土安全部长应向国会提交报告 -
(1)识别直接或间接与外国政府联系的信息技术(包括设备,软件和服务)的外国供应商,包括 -
(a)与外国政府的军队联系;或者
(b)作为大量低利息或没有利息贷款,贷款宽恕或外国政府的其他支持;
(2)讨论根据第(2)段确定的供应商生产的商品在多大程度上已被纳入美国的信息技术供应链;
(3)识别美国的特定电信网络,包括根据第(1)段确定的信息技术;和
(4)根据第(3)款所确定的技术存在,评估对根据第(3)款所识别的美国的电信网络,包括网络犯罪或间谍活动,包括网络犯罪或间谍活动。
秒。12.保护美国的电网。
在本法案颁布之日起不迟于180天,国土安全部长与国防部长和国家情报局长协商,应向国会提交报告 -
(1)网络攻击的威胁扰乱美国电网;
(2)如果电网扰乱,则对美国国家安全的影响;
(3)美国和私营部门实体可提供的选择,以便快速重建电气服务,以提供美国国家安全,在合理的时间范围内,在合理的时间范围内重建美国内部的所有电气服务;和
结尾
(4)防止网络攻击造成美国电网中断的计划。