的声明 主席先生,今天很荣幸来到这里与大家讨论国家信息系统保护计划1.0版。该小组委员会在关键基础设施保障问题上表现出了卓越的领导能力。我很感激有机会讨论政府�努力实现克林顿总统�年代的目标建立一个完整的作战能力来保卫美国的关键基础设施在2003年蓄意攻击旨在显著破坏的交付服务对于我国�年代国防至关重要,经济安全,人民的健康和安全。如果没有国会的支持和参与,这就无法完成。
一世。介绍
信息时代从根本上改变了我们对这些基础架构的依赖性的性质和程度。我们的政府、经济和社会正越来越多地连接到一个不断扩大和相互依赖的计算机和信息系统的数字神经系统。这种相互依赖带来了新的弱点。一个人在世界上的任何地方,只要有一台电脑、一个调制解调器和一条电话线,就有可能侵入敏感的政府文件,关闭机场的空中交通管制系统,或扰乱整个社区的911服务。
黑客、恐怖主义分子、犯罪组织和外国政府对我们关键的基础设施构成的威胁是真实的和日益增长的。确保通过我们的基础设施提供关键服务的需求不仅是国家安全和联邦执法部门关注的问题,也是商界日益关注的问题,因为信息基础设施的安全性是电子商务的一个重要元素。因此,充分利用联邦政府和私营部门的专业知识对有效解决这一问题至关重要。 克林顿总统在过去三年中大幅增加了对关键基础设施的投资,包括将2001财政年度预算增加15%至20亿美元。他还开发并资助了新的计划,以保护国家的计算机系统免受网络攻击。
自总统签署总统决定指令63以来的22个月,我们在保护我们的关键基础设施方面取得了重大进展。根据总统召开国家计划作为建立关键基础设施保护(CIP)能力的蓝图,国家信息系统保护规划上个月被释放。它是任何国家政府首次尝试设计一种方法来保护那些对提供电力、石油和天然气、通信、运输服务、银行和金融服务以及重要的人力服务至关重要的基础设施。这些基础设施越来越多地通过使用计算机和计算机网络来操作和控制。
目前该计划的主要版本主要侧重于联邦政府努力保护民族的国内努力,以保护全国关键的网络基础设施。之后的版本将侧重于基础设施所有者和运营商的工作,以及风险管理和更广泛的商业社区。随后的版本也将在更大程度上反映国会和公众根据他们的反馈所表达的利益和关注。这就是计划被指定的原因版本1.0和字幕邀请对话——表明它仍然是一项正在进行的工作,如果计划在范围和治疗中真正是�国�,则必须考虑更广泛的观点。
II。计划:概述和亮点
克林顿总统指导制定了这项计划,为在2003年底前实现国家能力保卫我们的关键基础设施指明了道路。为了满足这一雄心勃勃的目标,该计划设立了10个实现三个广泛目标的方案。它们是:
目标1:准备和预防采取必要措施,将我们的关键信息网络遭受重大和成功攻击的可能性降至最低,并建立一个在面对此类攻击时仍然有效的基础设施。
计划1呼吁政府和私营部门识别关键信息网络的重要资产、相互依赖关系和漏洞,并制定和实施切实可行的方案来弥补这些漏洞,同时不断更新评估和补救工作。
目标2:检测和响应:开发所需的方法,以及时识别和评估攻击,遏制此类攻击,迅速从攻击中恢复,并重建受影响的系统。
计划2.将在敏感计算机系统上安装多层保护,包括高级防火墙、入侵检测监视器、异常行为标识符、企业范围的管理系统和恶意代码扫描仪。为了保护重要的联邦系统,计算机安全操作中心将收到来自这些检测设备以及计算机应急响应小组(CERTs)和其他手段的警告,以便分析攻击,并帮助站点击败攻击。
计划3.将发展健全的智力和法律执行能力,以保护关键信息系统,符合法律。它将协助、改造和加强美国执法和情报机构,使其能够应对一种新的威胁和一种新的犯罪——一种针对计算机网络的犯罪。
计划4.要求更有效的全国范围内系统及时分享攻击警告和信息。这包括改善联邦政府内的信息共享,并鼓励私营行业,以及州和地方政府来创造信息共享和分析中心(ISACS)将分享公司和国家和地方政府之间的信息,并可以从联邦政府收到警告信息。程序4另外调用removal是信息共享的现有法律障碍。
计划5.将建立应对、重组和恢复能力,在攻击发生时限制攻击,并将应对信息攻击的能力纳入公司和机构的连续性和恢复计划。政府的目标和行业的建议是,每个关键的信息系统都有一个恢复计划,包括迅速采用额外的防御措施(例如,更严格的防火墙指令)的规定,在某些预先确定的情况下(通过企业范围内的管理系统)切断或关闭部分网络,将最基本的操作转移到清洁系统,并快速重建受影响的系统。
目标3:打好坚实的基础:采取一切必要的行动,建立和支持国家的承诺,准备、预防、检测和响应对我们的关键信息网络的攻击。
计划6.将系统地确定实施该计划所需的研究需求和优先事项,确保资助,并创建一个系统,以确保我们的信息安全技术与威胁环境的变化保持同步。
计划7.将调查联邦政府和私营部门信息安全专家所需的人员数量和技能,并采取行动培训现有的联邦IT工作者,招聘和教育更多的人员以弥补短缺。
计划8.将向公众解释现在就采取行动的必要性,在灾难性事件发生之前,提高我们抵御蓄意网络攻击的能力。
计划9.将制定支持其他方案提出的举措所需的立法框架。该行动需要在联邦政府,包括国会和政府和私营行业之间的强烈合作。
计划10构建突出显示的机制,并在每个节目开发中突出和解决隐私问题。金博宝正规网址实现基础设施保障目标的方式必须是维护甚至加强美国人的隐私和公民自由。该计划概述了九种具体的解决方案,其中包括与不同的社区进行协商;关注并突出项目对个人信息的影响;致力于多个行业各工作组开发的公平信息实践和其他解决方案;并与国会密切合作,确保每个项目都符合现有国会保护规定的标准。
我想在其余的证词中突出一些节目。在这些项目中,政府寻求实现该计划的两个主要目标:建立美国政府作为基础设施保护的典范,以及发展公私伙伴关系来保护我们的国家基础设施。
一个。联邦政府作为信息安全的典范
我们经常说,超过90%的关键基础设施既不拥有,也不是联邦政府运营。因此,与私营部门、州和地方政府的合作不仅是必要的,而且是关键基础设施保护的基本方面。然而,总统在PDD-63中正确地挑战了联邦政府作为关键基础设施保护的一个模型,先把我们自己的房子整顿好。鉴于这个问题的复杂性,我们需要利用联邦政府内部广泛的专门知识,确保我们争取那些具有特殊能力和与私营企业有关系的机构,以最大限度地追求我们的共同目标。
国家计划的联邦成员在两个部分中介绍,一个描述民事联邦部门和机构保护其关键系统的努力,另一个描述了辩护部的努力。鉴于其保卫国家的使命,国防部是第一批应对保护本国基础设施挑战的机构之一。它是其他部门和机构的典范;它的节目值得单独和详细的注意。
因此,我将把我的评论限制在民用联邦部门和机构正在进行的CIP努力上,听从国防资金助理部长有关国防部项目的意见。
总统为以下旨在保护联邦政府计算机系统的关键举措开发并提供了全额或试点资金:
联邦计算机安全要求和政府基础设施依赖项.这项努力的一个组成部分支持积极的,政府范围的联邦计算机安全要求和漏洞分析。因此,为了支持国家计划的发布,总统宣布,他的意图于在商品厅(NIST)的商学院创建常设专家审查团队(ERT)。ERT将负责帮助各机构识别漏洞,规划安全系统,并实施关键基础设施保护计划。根据现有的国会授权和行政要求,该团队的负责人将与管理和预算办公室以及国家安全委员会就该团队的计划进行协商,以保护和加强联邦机构的计算机安全。2001财年的总统预算将向ERT提出500万美元。
根据PDD-63,主席指示CIAO协调美国政府对关键基础架构的依赖性的分析。许多支持我们国家国防和安全的关键基础设施是由许多国家共享的机构。即使在政府内,关键的基础设施中断也可能是级联和过度损害关键服务的交付。CIAO正在协调一个跨部门的努力,以开发更复杂的关键节点和系统识别,并了解它们对国家安全、国家经济安全、公共健康和安全的影响。这些努力支持ERT在识别政府信息基础设施漏洞方面的工作,并为机构规划安全计算机系统和实施计算机安全计划提供有价值的输入。该研究完成后,将允许联邦政府首先识别和纠正其最重要的关键基础设施薄弱环节,并为充分了解关键基础设施保护政策制定和预算决策提供必要的框架。
联邦入侵检测网络(FIDNET).PDD-63调动联邦政府资源,以改善机构间合作,以检测和响应侵入民用政府关键基础设施节点的重大计算机入侵。该计划很像一个集中的防盗报警系统,将在长期、完善的法律要求和涵盖隐私和公民自由的政府政策下运行。FIDNet旨在保护关键的民用政府计算机系统的信息,包括私人公民提供的信息。它不会监控或连接到私营部门计算机。FIDNET的所有方面都与保护美国人的公民自由和隐私权的所有法律完全一致。
为支持这一努力,政府将在总统2001财年预算(1000万美元)提出资金,以在一般服务管理(GSA)中创造集中入侵检测和响应能力。这种能力将在GSA�S联邦计算机事件响应能力的联合中起作用,并协助联邦机构进行:
Fidnet旨在促进对联邦民用计算机系统用户的信心。重要的是要认识到FIDNET有一个毕业系统,用于响应,报告攻击和入侵信息将由家庭代理专家收集和分析。只有系统异常数据将被转发给GSA以进行进一步分析。因此,入侵检测不会成为联邦调查局或其他执法实体的所有信息的传递。执法部门只会根据长期合法规则收到有关计算机攻击和入侵的信息�FITNET计划没有暗示或设想新的当局。
政府范围内的入侵检测的一个额外好处是提高计算机入侵报告和与现有政府计算机安全政策一致的事件信息的分享。各个当局要求机构向适当的执法人员报告刑事侵入,包括国家基础设施保护中心。
Fidnet将支持执法的责任,网络攻击是犯罪性或威胁国家安全的责任。
简而言之,FIDNet将: �由GSA经营,而不是FBI; �不监控任何专用网络流量; �在任何政府机构上没有任何新的当局;和 �完全符合隐私法和实践。
联邦网络服务(FCS)。该国在保护关键基础设施方面的战略缺陷之一是缺乏熟练的信息技术(IT)人员。在IT领域,信息系统安全人员的短缺是严重的。联邦政府技术熟练的信息系统安全人员的短缺已成为一场危机。这一短缺反映了大学毕业生和本科生信息安全项目的稀缺,以及政府无法提供与私营部门竞争这些高技能工人所需的薪酬和福利。通过联邦网络服务解决这个问题我们正在利用国防部、国家安全局和其他一些联邦机构的初步努力。2001财年的总统预算将向这项工作提出2500万美元。
总统在计划发布会上强调了联邦网络服务培训和教育计划,介绍了五个项目来帮助解决联邦IT安全人员的问题。
�由人事管理办公室进行的一项研究,旨在确定和发展联邦信息技术(IT)安全职位的能力,以及相关的培训和认证要求。
�IT卓越中心的发展,以建立能力和认证现有的联邦IT工作者,并在他们的职业生涯中保持他们的信息安全技能水平。
�创建服务奖学金(SFS)计划,通过授予信息安全研究奖学金,以承诺为联邦政府工作一段特定时间,招聘和教育下一代联邦IT经理。该项目还将支持信息安全学院的发展。
�开发一个高中外展和意识项目,为计算机安全意识课程提供课程,并鼓励在IT领域的职业发展。
�联邦信息安全意识课程的开发和实施,旨在确保整个联邦工作人员的计算机安全素养。
研究和开发。我们现在和未来的保护我们的关键基础设施能力的关键组成部分是一个强大的研发计划。作为PDD-63建立的结构的一部分,跨机构的关键基础设施协调小组(CICG)创建了一个过程,以确定支持该计划的技术需求。科学技术政策办公室主任(OSTP),研发子集团与机构和私营部门合作:
�就信息安全研究和开发的需求和优先事项达成一致;
�协调联邦部门和机构,以确保满足部门研究预算的要求,并防止部门之间的工作浪费或重复;
�与私营部门和学术研究人员沟通,防止联邦资助的研发重复私营部门或学术界先前的、正在进行的或计划中的项目;和
�找出市场力量没有在信息安全技术方面创造足够或足够研究努力的领域。
这一进程始于1998年,有助于把工作重点放在协调的跨政府关键基础设施保护研究上。该程序确定的优先事项包括:
�支持大规模网络入侵检测监控的技术
�人工智能等方法识别操作系统中的恶意代码(陷阱门);
�在发生攻击或灾难时,遏制、阻止或弹出入侵者,减轻损害或恢复信息处理服务的方法;
�技术提高网络可靠性,系统生存能力,以及关键基础设施组件和系统的鲁棒性,以及关键基础设施本身;和
�为基础设施响应攻击或失败建模的技术;确定相互依赖关系及其影响;定位关键的易受攻击的节点、组件或系统。
总统于2008财年的预算将向所有机构提出6.06亿美元,以便关键基础设施相关研发投资。
然而,需要协调不仅仅是联邦政府的研发努力,而且在公共和私营部门之间协调。信息基础设施保护研究所(I3.P)是一个创建的组织,以确定和资助研究和技术开发,以保护美国的网络空间免受攻击或其他故障。我会详细讨论我何时讨论公私伙伴关系问题。金博宝正规网址 公钥基础设施.保护联邦政府和私营部门的关键基础设施需要开发可互操作的公钥基础设施(PKI)。通过以安全、可扩展和可靠的方式分发包含公钥的数字证书(本质上是电子凭据),PKI能够通过公钥加密实现数据完整性、用户识别和身份验证、用户不可否认和数据机密性。PKI的潜力已经激发了许多联邦政府和私营部门的项目和试验。联邦政府积极推动公开密码匙基础建设技术的发展,并制定了一项战略,将这些努力整合成一个功能完备的联邦公开密码匙基础建设。2001财年总统预算将提出700万美元,以确保开发可互操作的联邦PKI。
为了实现集成联邦PKI的目标,并保护我们的关键基础设施,联邦政府正在与业界合作,实施以下活动计划:
�将代理宽的PKI联系到联邦PKI中:国防部、美国宇航局和其他政府机构正在积极实施全局性的pki,以保护其内部关键基础设施。虽然这是一个积极的步骤,但这些孤立的pki不能保护跨机构边界的基础设施。全面保护需要一个集成的、功能齐全的PKI。
�连接联邦PKI与私营部门PKI私营部门团体也在积极发展自己的pki。虽然这是一个积极的步骤,但这些孤立的pki不能保护跨越政府或工业部门边界的基础设施。
�鼓励开发可互操作的商用现货PKI产品:对单个供应商的限制可能是一个严重的障碍,因为大多数组织都有异质计算环境。消费者必须能够选择适合其需求的COTS PKI组件。
�验证PKI关键组件的安全性:保护关键基础架构需要声音实现。提供给关键基础架构的安全服务的强度取决于PKI组件的安全性。需要验证PKI组件的安全性,以确保关键基础架构充分保护。NIST正在追求PKI组件的验证计划。
�鼓励开发支持pki的应用程序:为了鼓励开发具有pki意识的应用程序,政府正在与关键应用领域的供应商合作。一个例子是与业界联合执行的安全电子邮件项目。
B。公私合作伙伴关系
相互依赖的计算机网络是信息时代商业活动的重要组成部分。美国在基本服务方面越来越依赖计算机网络,如银行和金融、应急服务、水、电、气的输送、交通以及语音和数据通信。在21世纪开展业务的新方法正在快速发展。企业在其商业交易和关键操作方面越来越依赖电子商务。与此同时,最近在一些最受欢迎的商业网站的黑客尝试强调美国,美国信息基础设施是故意攻击或破坏的有吸引力的目标。这些攻击的来源多种多样,比如恐怖分子、犯罪分子、敌对国家或偷车贼然而,无论是源头如何,对于我们国家安全和经济的网络损害是明显的。
面临风险的基础设施由私营部门拥有和经营。信息技术的使用是如此嵌入在核心运营和客户服务交付系统中,不可避免地,他们必须共同努力采取保护自己所需的步骤。我们可以帮忙。第一个重要的步骤是提高全行业对行业内领导者的商业行动的意识。维护一个安全的商业环境以确保公众对其机构的信心,符合它们的商业利益。我们还可以帮助确定问题,管理政策和战略的良好做法,并宣传他们,鼓励规划,促进研发,召开会议。简而言之,我们可以作为动员行业的催化剂。
私营部门与美国政府之间的合作与伙伴关系战略,以保护国家基础设施是这项努力的思考。总统致力与私营机构建立伙伴关系,透过以下措施保障我们的电脑网络:
信息基础设施保护研究所(I3.P)。该研究所将识别和解决严重的研发差距,既不私营部门也不会使政府的国家安全社区否则会解决,但有必要确保国家信息基础设施的强劲,可靠运行。总统宣布,他将在2001财年预算中为该研究所提出初步资金5000万美元。将通过商务部国家标准和技术研究所(NIST)提供资金。该研究所最初是由总统科学技术顾问委员会的科学家和企业官员提出的,并得到了主要企业首席技术官的支持。
关键基础设施安全伙伴关系。上个月,商务部长戴利会见了120多家大公司的高级代表,其中许多是财富500强公司,代表关键基础设施的所有者和运营商,他们的供应商和客户,组织一个关键基础设施安全伙伴关系。业界在这方面处于领先地位,并积极寻求确保提供关键服务的能力的方法。
合作伙伴关系将探讨行业和政府可以共同努力解决国家关键基础设施的风险。联邦领导机构目前正在与私营行业的各个基础设施部门建立伙伴关系,包括通信、银行和金融、交通和能源。该伙伴关系将成为一个论坛,通过这个论坛,各方将各自的努力汇聚在一起,促进跨部门相互依赖的对话,探讨共同的方法和经验,并吸引其他对基础设施保障感兴趣的重要专业人士和商界参与。通过这样做,伙伴关系希望在适当的情况下提高认识和理解,并在适当的情况下,作为关键基础设施的所有者和运营商,风险管理和投资社区,商业界的其他成员,和州和地方政府。
国家基础设施保障委员会(NIAC)。克林顿总统于1999年7月14日通过第13130号行政命令建立了NIAC。当它完全成立时,它将由多达30位行业、学术界、隐私界以及州和地方政府的领导人组成。NIAC将为总统就一系列与重要基础设施保障有关的政策事宜提供意见和建议,包括一般而言加强公私伙伴关系。
3结论
总之,国家计划是向前迈出的重要一步。我和我的工作人员致力于在这个有希望的开端上继续努力,将政府�的努力协调成一个关键基础设施保护的综合计划,以支持国家安全、基础设施保护和反恐协调员,以及联邦政府。我们还有许多工作要做,我希望在我们努力处理这一发展领域的时候,与这个委员会的成员,实际上是与整个国会一起工作。我期待你们的提问。 |