第1章:
接近下一个世纪
政府的首要职责是为其公民提供安全保障。这种安全有多种形式,包括强大的军事力量、强劲的经济和互利的国际关系。在民主体制下,人民的安全也取决于民主体制本身的健全。这反过来又取决于对民主进程的保护,以及在公众知情权和政府提供安全的责任之间谨慎地维持平衡。
随着二十世纪接近尾声,事件要求美国评估指导政府信息、设施和人员保护的基本假设和目标。我们对核毁灭幽灵的关注减少了;国家安全计划的资源急剧减少;信息时代已经不可逆转地改变了我们做生意的方式。同时,美国在世界政治、军事和经济事务中的持续卓越作用使我们的政府和工业活动成为外国列强的主要利益所在。在这种环境下,从第二次世界大战到1990年代发展起来的安全做法和程序需要进行根本性的重新审查。
一段时间以来,人们已经认识到安全系统支离破碎、复杂且成本高昂。时任中央情报局局长罗伯特·盖茨(Robert Gates)要求提交的《社区管理审查基础设施报告》将当前的安全政策和做法称为“对基础设施重大节约的最大阻碍”,并建议成立一个中央情报局安全委员会,以设计和实施新的安全系统。DCI的分类和控制标准工作组报告,俗称“Gries报告”,要求修订分类和控制系统,理由是它“不适合地缘政治和财政现实。海湾战争加强了军队分析大量信息并将其转移到遥远战区的需要。业界一直关注当前安全实践和程序的不一致性和成本。国会确信变革是必要的。
国防部长和中央情报局局长承认了这些关切,并于1993年5月成立了联合安全委员会。委员会的任务是审查安全政策和程序,有三个简单的目标:(1)找到有效的方法并保持;(2)确定什么东西不再起作用并修复;(3)确定未来的需求并实施。
自成立以来的九个月里,联合安全委员会试图通过在国防部和情报界进行广泛的安全审查来完成这项任务。在此过程中,委员会不仅寻求决策者、国会、工业领袖、军方和公共利益集团的观点,而且还寻求政府和工业安全人员的技术专门知识。许多人将承认他们在本报告案文中的言论和意见,我们对他们的贡献表示感谢。我们也赞扬许多已经在进行中的倡议,如国家工业安全计划和DCI安全论坛制定的,以精简和现代化政府的安全政策和实践,并纳入风险管理战略。
然而,委员会认为认为这些变化是不够的。安全系统不得克服过去的低效率,但也升级了未来的挑战。它必须是动态的,灵活的,前进的。
这一点在信息系统和网络领域表现得最为明显。委员会认为,信息系统和网络的安全是本十年乃至下个世纪的主要安全挑战,并认为对我们在这一领域面临的严重危险认识不足。这个国家越来越依赖于控制基础设施基本功能的大量信息系统和网络的可靠性能,这也增加了安全风险。信息从未像现在这样容易获取,也从未像现在这样容易受到攻击。这一漏洞不仅适用于政府信息,也适用于私人公民和机构持有的信息。我们既没有着手解决这一问题的严重性,也没有投入充分理解这一挑战所必需的资源,更不用说应付这一挑战了。这涉及到一些基本的和非常棘手的问题:政府在帮助保护私人掌握的信息资产和智力资本方面应该扮演什么样的角色?政府为保护机密信息而开发的技术应如何提供给私营部门以保护敏感但非机密的信息?保护国家公共和私人信息系统和信息资产的机密性、完整性和可用性必须是我们国家的最高优先事项之一。
委员会认为,安全结构和文化中必须固定的基本弱点。安全策略制定是分散的。多个群体的兴趣和当局彼此独立地工作,水平集成不足。努力重复,协调艰巨和缓慢。每个部门或机构都会产生自己的实施规则,可以对整个政策引入细微的变化或补充。没有有效的机制来确保共性。
委员会认为,目前安全做法和程序的复杂性和成本是根本分散的症状,不加以解决是无法减轻的。因此,我们建议成立一个安全执行委员会,负责制定和监督美国政府的安全政策,并作为持续变革的代理人发挥作用。我们进一步建议成立一个安全顾问委员会,将非政府和公共利益的观点纳入政府安全政策。这些建议将在第11章详细描述。
我们在本报告中识别和讨论的其他一些问题是:
o反措施经常与威胁不平衡。它们往往基于最坏的情况,而不是对威胁和脆弱性的现实评估。
o分类系统繁琐,分类过多,时间过长。保护信息的热情有时会阻碍信息流向需要信息的人。
o人员安全是联邦安全系统的核心,但目前的程序是不必要的复杂性和昂贵的。有太多的不一致,表格太多,延迟太多了。
o有太多的物理安全层,他们花了太多钱。设施的安全性可能包括多层围栏,警报,防护装置,安全容器,访问控制设备,闭路电视,锁和特殊构造要求 - 不一定需要。
o美国在技术安全方面投入了大量资金,尽管威胁程度很低。
o程序保安措施并非总是有效的。在个人电脑、传真机、复印机、调制解调器和网络为不被发现地复制文件提供了充足的机会的时代,为控制文件而制定详尽的记录保存程序是昂贵的,不能再依靠它来阻止妥协。仍有必要的程序安全,如徽章和访客控制,可以简化。
o行动安全(OPSEC)在军事环境和敏感行动中是重要的,有时是关键的,但它已扩展到不适当的情况和环境。
问题很多,改革的任务也很艰巨,但改革必须以明确的目标和原则为指导。我们认为安全是一个动态的、灵活的系统,遵循以下四项基本原则:
o我们的安全政策和服务必须与我们所面临的威胁进行现实匹配。我们用来制定政策和提供服务的流程必须足够灵活,以便在威胁变化时促进他们的进化。
o我们的安全政策和做法必须在整个国防和情报部门保持一致和一致,从而减少低效,使我们能够有效分配稀缺资源。
o我们的安全标准和程序必须导致我们依靠国家安全的社区成员的公平和公平待遇。
o我们的安全政策、做法和程序必须以我们负担得起的价格提供我们所需的安全。
委员会认为,这些原则的应用将使安全系统更不分散,更不复杂,更具成本效益。我们还认为,如果不从根本上调整看待和实践安全的方式,所取得的进展将随着时间的推移而削弱。安全不再被视为一个严格执行程序并要求遵守的独立外部机构。委员会认为,现在是转变模式的时候了。
o安全性是一项基于对威胁、漏洞和客户需求的综合评估的服务。从概念上讲,它应该是我们思考的方式,而不是规则手册。然后,安全成为一项更加积极的事业,它将精神置于法律条文之上,将问题预防置于问题解决之上,将个人责任置于外部监督之上。它是安全和运营之间的伙伴关系,平衡了保护和完成工作的需要。工业界是这一进程的宝贵伙伴和参与者。
o安全必须来自一个集成系统,认识到各个安全学科的相互依存,并在信息的敏感性和人员,物理,信息和技术安全对策之间建立逻辑Nexus,这些逻辑Nexus在保护信息时应用于保护信息。在这个模型中,个人安全学科是互锁拼图的互锁,每个都对整体成功至关重要,但本身就没有足够的。
o安全是大家共同的责任。每个人都有责任确保我们的信息、人员和资产得到最好的保护。安全行动和决策的个人和管理责任是动态和响应性安全流程的先决条件。
o安全是相对权益之间的平衡。保护的必要性不能自动超过任务的要求或公众的基本知情权,也决不能掩盖这样一种理解:知情的公众是民主政府的基础。
实施新范式——风险管理
在过去,大多数安全决策都是一种方式与威胁的假设有关。这些假设经常假设一个全知之甚少,高度称重的敌人。为了过去半个世纪的更好部分,我们看了苏联及其能够利用我们的每一个弱点的盟友。在这种危险中,我们努力通过最大化防御和最大限度地减少我们的漏洞来避免安全风险。自自由世界的未来被认为是高度依赖,我们对我们维持我们的秘密,安全计划的成本,对所需信息流的限制以及对个人的负面影响以及我们的经济竞争力的负面影响是所有次要考虑因素。我们使用最坏情况的情况作为我们大多数安全计划的基础。
今天的威胁更加弥漫,多方面和动态。国家安全问题现在包括一个艰巨的挑战,这些挑战在我们不稳定和不可预测的世界中继续增长。俄罗斯民主改革失败的可能性构成了不断危险的危险。此外,俄罗斯能够维持其特殊武器的控制能力,中国对不稳定国家的设备和技术的供应以及朝鲜,伊朗和伊拉克开发核武器的企图,对区域安全和稳定的影响严重而深远。交叉传统界限的新兴的种族和宗教竞争危及新的和长期的和平协议,将美国借入维持和平和人道主义代表团的扩大作用。爆炸世界贸易中心和弗吉尼亚州两名中央情报局员工的暗杀加剧了我们对恐怖主义对美国人的恐怖活动可以在国内和国外发生的事实的敏感性。我们社区的暴力犯罪和麻醉品贩运也继续威胁美国的生命和价值观。
委员会认识到,如果不能防范其中一些威胁,后果将非常严重。例如,恐怖分子使用大规模杀伤性武器,或者敌人预先知道我们的作战计划,都可能产生严重的后果,以至于需要合理地达到最高的安全标准。即使成功攻击的概率很小且保护成本很高,这也是正确的。一些固有的漏洞永远无法完全消除,成本和收益也不支持这种风险规避方法。在大多数情况下,然而,它是可能的资产损失或损害的风险信息披露成本的对策和选择提供足够的保护,没有过度的混合成本以美元或有效的信息流需要准备访问它的人。我们能够而且必须提供一个合理的、具有成本效益的、持久的框架,将风险管理作为安全决策制定的基础。
委员会将风险管理过程视为五步程序:
1。资产估值与损失后果的判断.我们决定要保护什么,并评估它的价值。资产估值的一部分是要理解,资产对对手的价值可能与对我们的价值不同。
2.对特定资产威胁的识别和表征.情报评估必须根据客户的需求,尽可能详细地解决对资产的威胁。这些评估可以在国家一级委托,以促进安全政策和标准的制定,在方案层面指导系统设计,或计划智力支持军事或其他行动。
3.识别和描述特定资产的脆弱性.脆弱性评估帮助我们识别资产中可能被利用的弱点。然后,管理者可以通过改变资产本身的性质,在设计或操作上做出改变,以降低风险水平。在这些决定中,费用是一个重要因素,因为设计更改可能很昂贵,并可能影响其他任务地区。
4.识别对策、成本和权衡.可能有许多不同的对策可用来保护资产,每种对策的成本和有效性都不同。在许多情况下,超过了这一点,增加反措施将增加成本,而不会明显加强所提供的保护。
5。风险评估.考虑资产评估、威胁分析和脆弱性评估,以及可接受的风险级别和任何不确定性,以决定风险有多大以及应用什么对策。
如果忽略了这些步骤中的任何一个,结果可能是保护不充分,或者是不必要和过于昂贵的保护。通常,缺少的元素是在安全策略的开发中结合具体的、最新的威胁评估。由于没有记录的威胁信息,对策通常基于最坏的情况。
委员会强调,管理者必须在决策阶段在成本和风险之间做出权衡,在美元、人力和所需信息流动减少的情况下平衡可能的资产妥协或损失。由风险管理过程产生的政策决策可以指导安全规划。在国家一级,这些风险管理决策应构成安全系统的骨干,并为其提供标准。由此产生的标准将促进项目和机构之间的一致性、一致性和互惠性。