这句话的语境是:
该报告发现,电子入侵者正在以越来越快的速度攻击数据网络,并且已经破坏了电话信令网络的一些部分。一名DISA高级官员直言不讳地说:“我们没有准备好迎接珍珠港事件的电子版本”,“我们的电子基础设施并不安全。”1999年,DISA使用广泛可用的技术攻击了近10,000个系统,测试了国防部信息系统的安全性。他们成功渗透了88%,其中只有4%被发现。美国国家安全局(National Security Agency)局长约翰·m·麦康奈尔(John M. McConnell)强调了我们国家风险的不对称性,他说,“我们比地球上任何其他国家都更脆弱。”外部威胁是真实存在的:情报数据显示,至少有30个国家正在积极开展信息战项目。
国防部以外的情况也不例外。电话系统、银行、信贷和联邦储备系统、股票交易所、电力和燃料分配系统、空中交通管制和其他智能交通系统、联邦选举系统,公共安全和执法都严重依赖网络信息系统,而网络信息系统很容易受到网络攻击。大多数观察人士都认为,商业损失是出了名的少报,但最近的一项媒体估计,过去一年中,仅通过互联网进行的计算机犯罪就给美国造成了50亿美元的损失。
联邦政府对NII执行关键政府职责(包括国家安全、国防、执法和公共安全职能)的高度依赖(并不断增加)突出了国家层面和问题的严重性。没有人知道政府对NII的可用性和完整性的确切依赖程度,但它是非常高的。知情的估计表明,执行政府基本职能所需的90%至95%的信息必须以某种方式由现有的国家信息研究所私人拥有和经营的部分的信息系统处理。
尽管这些组织在许多点上相互交叉,但总体情况是分裂、重复和低效率。这至少体现在四个方面。
(1)没有一个单一的实体具有足够的远见、责任和资源来有效地管理行政部门的努力,以实现信息基础设施保障的目标。兰德公司(Rand Corporation)的游戏项目《后天》(the Day After)最近强调了这一点。这次演习的大多数参与者都清楚,对美国发动致命的信息攻击是可行的,而且,由于这个“目标”是私人和国家分布式的,我们没有人负责,甚至没有人有能力共同采取必要的防御措施。正如国防科学委员会(Defense Science Board)在最近的一份报告中所指出的那样:“没有国家协调能力来对抗甚至检测结构性威胁。”
(2)行政部门目前没有有效的组织或实体充当“公平法院”在做出与安全有关的政策决定相当平衡 - 并广泛被认为相当平衡国家安全,执法,商务和个人隐私的有时竞争但合法的利益。目前在国家利益中需要仔细余额的争论领域包括国家加密政策,出口管制和信息系统标准。然而,随着数字网络占据主导地位信息宇宙,将存在其他复杂的政策和资源问题,这必须根据整个国家最适合的基础决定,而不是哪种特定的官僚主义/选项赢得了哪些特别的官僚主义/选区金博宝正规网址政策战斗。如果政府能够找到最佳,平衡的解决这些未来挑战的能力,它将在行政部门内需要一位技术称职,资源良好和权威的“公平法”。
(3)行政部门目前有四个重叠与安全相关的“运动”进行,他们的关系间和协调并不清楚。其中一项“运动”倾向于冠以“资讯保障”的旗号,由NCS/NSTAC领导。第二个密切相关的“运动”围绕着以国防部为中心的多样化的“防御信息战”努力。尽管防御性信息战的某些方面不属于信息保障/安全活动的范围(主要是预先信息战和情报战,大量的“防御性信息战”是传统信息系统安全(INFOSEC)活动和对策的同义词。这些信息安全活动和组织要素构成了执行部门内NII安全相关“运动”的第三个,也是最古老的,在国防部(特别是在NSA)和商务部(特别是在NIST)发展最迅速。第四种也是最近的一种“运动”是由各种各样的活动、委员会和工作组组成,主要在IITF的保护伞下,重点是“NII保护和隐私”。
(4)有限的联邦政府资源,以实现信息基础设施保证似乎效率低下,无效,在整个行政部门散落。1987年的《计算机安全法》(Computer Security Act)受到的广泛批评之一是,该法律将大量的计算机系统安全责任分配给了商务部,但实际上没有提供执行这些责任的资源。然而,这只是从国家的角度来考虑在整个行政部门分配稀少的信息安全和保障资源时所出现的不合理现象之一。卓越的技术中心当然存在,但它们能否有效地、高效率地应用于最优先的问题是值得怀疑的。同样,用于信息保障研究和发展工作的资源似乎没有从国家的角度加以考虑或管理,因此可能会出现研究差距,或出现不必要的重复。应急资源是另一个肯定需要增加的关键领域,但任何这种增加都应从国家的角度出发,并在经过认真考虑的国家优先事项的基础上进行。信息系统互联网络的巨大增长,我们的信息基础设施价值的惊人增长和我们的政府在执行关键功能时对它的依赖,以及对NII日益明显的威胁和漏洞,所有人都指出,必须认真审查和调整这些有限的资源。确保我们国家信息基础设施健康的整体挑战已经变得太重要了,无法通过行政部门的各种委员会、理事会和工作组来解决
这两项请求与其他国会会员和委员会的密切相关的评论,征求和立法提案,符合执行部门的总体需求,以阐明NII的漏洞和威胁,并提供真正的计划他们。到目前为止,没有行政部门实体出现在这一整体问题上回答国会邮件,并将一个凝聚力的国家政策和计划汇集在一起。鉴于我们目前的行政部门结构和资源,这些国会关切可能很快就会令人满意地解决。
批评人士指出如下事实:(1)董事会通过其国家安全顾问向总统报告;ReportsReports金博宝正规网址(2)董事会由DEPSECDEF和DCI共同担任主席;(3)委员会的全职工作人员由来自国防和情报部门的人员领导,并由大量人员组成。
除了对执行局是否有能力为更大的国家利益充当“公平法庭”的关切外,还有一个密切相关的基本辩论,即是否有一个单一实体- -任何实体,SPB或其他-可或应获授权制定适用于信息系统处理机密/国家安全信息及非机密/敏感信息的政府资讯安全政策。关于这个争论有很多不同的观点,但它们可以归结为两种相反的观点:
长期:越来越多的迹象(如果不是确凿的证据)表明,联邦政府可能有意或无意地打算成立一个部门或机构,更直接地处理新出现的NII所提出的无数问题。金博宝正规网址如果“信息资源部”、“国家信息基础设施局”、“联邦信息保障委员会”或……不管怎样,顺着这些线索…,那么在我们试图在现有的行政部门结构内处理当前问题时,记住这种可能性可能是有益的。金博宝正规网址
短期:SPB工作人员已确定若干可在短期内实施的方案。它们并不是相互排斥的,只是代表一些基本的方法,如果需要,可以进一步发展这些方法
优点:
+取决于用于“国家安全”的定义和边界,“政策”和“信息保证”,这不会被视为激进的举动,并且可能是政治上的可行模式。
+这将符合OMB通告A-130的修订草案,将SPB的INFOSEC权限限制在处理国家安全信息的系统上。
+在SPB级别,它将提供信息保证更高的知名度和个人资料,而不是当前的NSTISSC。“信息保证”是比Infosec更广泛的术语,这样的委员会名称远离与“安全”相关的有时负面行李“Infosec”,“防守”和“战争”。
+如果合适的话,它可以在以后进行修改或扩展,以解决所有信息保障问题,而不仅仅是国家安全系统。
-需要比SPB工作人员目前拥有的更多的工作人员支持。这至少需要国家技术支助委员会秘书处提供的工作人员支助。
-这可能会影响到未来的SPB发行系统,以确保它与NSTISSC的重要机构和前身组织发行的向后兼容。
-尽管限于“国家安全体系”,但仍可能遭到政治上的反对。
-它倾向于默认或赞同“机密”和“非机密”群体可以而且应该在信息系统安全政策上分开对待的观点。它只会避免这个基本问题。
(1)国家安全共同体,
(2)民间政府团体,和
(3)私营部门。
- 协调和巩固所有执行分支信息保证活动
-发布有关信息保障的国家政策和指示
- 提出和审查与信息保证的立法或触及触摸的立法
-审查整个行政部门的信息保障预算,包括研发预算;与管理和预算办公室和OSTP密切协调。
-编制和维护行政部门信息保证活动的总体计划
-在信息保障事务方面,担任行政部门的联络中心;特别是作为联邦政府其他分支机构的POC。