1995年12月5日，国防部助理部长办公室批准出版这份ISL。

本期工业保安函件(ISL)是对NISPOM第8章“自动信息系统(AIS)安全”所收到的问题的回应。

1. 问题:ISL 95 l - 1和1 - 102 - c款NISPOM两州,如果任何条款NISPOM成本比1991年实施ISM,通知到我办事处(FO)解释主义政策,随着额外成本的解释,可能导致一个扩展的三年。我的理解是，我必须在1995年7月31日之前这样做。虽然已经过了最后期限，但我还没有确定对FO的更昂贵的需求，也没有实现第8章中的某些新需求。你能提供什么指导?

   答：DIS了解到，7月31日为实施规定的截止日期对某些承包商来说是困难的，而对其他承包商来说则是不可能的。

   因此，尚未实施NISPOM要求的承包商应制定与ISL 95L-1中提供的指导一致的实施时间表，或根据NISPOM第1-102c段要求弃权。您的AIS代表和/或AIS专家将协助您制定转换时间表。
   

2. 问:是否有必要对根据以前政策批准的系统进行aissp转换，仅仅是为了使它们与NISPOM第8-202段的格式一致?

   答:对已获得认证的体系的AISSPs必须进行更新，以纳入NISPOM所包含的实质性政策和程序变化。

   然而，没有必要仅仅为了符合NISPOM第8-202段的格式而更新或转换aissp。AISSPs的格式对国防部来说并没有什么特别的意义。aissp内的信息安排应由每个信息系统安全代表(ISSR)根据公司需要确定。

3. 问题：我能否在根据ISM标准批准的AIS上处理与1995年7月31日之后授予的合同相关的机密信息？

   答:是的。根据以前的政策(工业安全手册)认可(批准)的系统仍然是认可的，可以继续用于处理机密信息。没有计划立即撤销认证或禁止根据ISM认证的AISs的分类处理。然而，承包商及时实施NISPOM要求是很重要的。用于新合同的系统应尽快安排转换为NI SPOM要求。

4. 问题：我的所有ISM批准的SPP都已更新，以包括NISPOM要求，并提交给我的现场办公室进行认证。我什么时候可以开始学习新的AISPS？

   答:在您收到DIS的临时或最终批准后，您应继续使用先前批准的程序。

5. 问:第8-100b、8-102(12)和8-403c(1)段讨论了与经认可的AIS有关的“威胁”。承包商如何获取威胁数据?

   答：NISPOM的标准和要求是针对一般威胁而设计的。当国防部已知的特定威胁信息存在时，该信息将传达给设施FSO（通常由DIS提供），FSO将根据需要向ISSR提供建议。

6. 问题：第8-101段指出，第8章描述了AIS“处理”机密信息的最低安全要求。从字面上看，这是否意味着当认可机构“不处理”机密信息时，第8章将不适用？

   答：不，第8章，特别是第8-300段（物理安全）和第8-301段（软件控制）的要求适用于认证的所有阶段。第8-101段中讨论的“加工”应解释为“经认可的加工”

7. 问题:第8-102b段规定承包商应指定ISSR并确定18项责任。是否可以委任多个ISSR或指定的保管人(8-102b(10))代表ISSR?

   答:承包商只能指定一个ISSR(每个清理设施)。然而，在具有多个AISs或多个保密班次的设施中，安全保管人可以由ISSR指定，代表ISSR采取行动。

8. 问:第8-102b(9)段和第8-303b段在审计审查的间隔时间上有所不同。第8-102b(9)段说“至少每周一次”;第8- 303b段说“在AISSP规定的时间间隔内”。ISSR和/或保管人应该在什么时候进行审核?

   答:审计审查的时间间隔取决于安全模式和处理的机密信息的数量。审计评审的频率应该由ISSR和DIS代表共同决定，但作为一般规则，这些评审应该每周进行一次。

9. 问:第8-102b(13)段指出，当AIS支持多个csa时，需要一份协议备忘录(MOA);第8-401b段指出，当有多个认证机构时，需要一份协议备忘录(MOA)。什么时候需要协议备忘录?

   答:为规定网络整体安全的条款和条件，当具有不同认证机构的两个或两个以上的aisi进行互连时，需要签署协议备忘录。由此产生的网络必须分别得到认知安全机构(CSA)的认证，即国防部(DoD)、能源部(Department of Energy)、中央情报局(cia)或核管理委员会(Nuclear Regulatory Commission)。如果国防部是互联网络中所有AISs的认证机构，国防部将负责认证最终的系统网络。

   国防部认证机构（通常为国防调查局）负责与所有国防部组成部分和非国防部机构共同对网络进行认证，这些机构分别认证了为网络提议的AIS。

10. 问:第8-200d段指出，当系统或其安全配置出现不可接受的变化时，CSA可以撤销认证。请解释一下。

    答:当对AIS作出可能导致机密信息泄露的更改时，CSA有义务撤销认证。

11. 问题：第8-200e段似乎没有像第8-102b（16）段那样，将承包商的自我批准权限仅限于专用模式。是否可以为系统高级、分区和/或多级模式授权自我批准权限？

    答:自审批权只被授权用于专用模式。ISSR也可以根据第8-102b(17)段批准对专用和系统高模式ais的更改。

12. 问:第8-200f段规定，在对更新的AISSP进行审查、分析和批准后，AIS可以重新认证。哪些活动需要重新认证?

    答:ISSR和/或CSA确定的任何硬件、软件或程序更改都会影响AIS经认可的安全控制。

13. 问:在第8-202b段所述的配置管理程序中是否需要库存清单?

    答:作为一个实际问题，为分类处理配置的所有主要硬件/固件必须通过命名法、型号和制造商进行识别。所有用于分类和非分类处理的常住软件必须通过软件名称、版本、制造商和预期用途或功能加以识别。ISSR或其指定人员负责维护和保持这些信息的更新。

14. 问题：第8-202b段提到“安装结构”是构型管理程序的一部分。它们是什么？

    答:用于安装硬件或软件的程序或过程。

15. 问:第8-202c(3)段提到“交易收据”是认可的AIS审计特征和控制的一部分。他们是什么?

    答:任何与AIS相关的收据，如维护，从认证到最终解密。

16. 问:第8-202g段指出，接受AIS培训的个人“可能”被要求签署一份协议，以遵守AISSP规定的安全要求。什么时候需要这份协议?

    答:要求执行协议的决定由ISSR作出。

17. 问:如果承办商只处理AIS系统的附带机密资料，会否要求以分隔方式处理?

    回答:没有。

18. 问:第8-204b(1)段指出专用模式的安全要求将“强制系统访问程序”。访问过程是物理的、逻辑的和/或管理的吗?

    答:承包商可以使用物理、技术和/或行政措施来控制对专用模式ais的访问;然而，专用模式ais不需要技术安全控制。

19. 问:专用模式的审计要求是什么?

    答:第8-303段中标识的审计日志是专用模式的唯一审计需求。

20. 问:第8-208b段讨论了在系统高模式下的交互会话中使用“时间锁定”。从系统高模式开始是否需要“时间锁定”?

    答：没有。NISPOM中包含了时间锁定，以帮助AIS用户保护机密信息。在正常情况下，在分类处理期间，AIS用户不得离开其终端无人看管。但是，如有必要，时间锁定可作为访问控制策略的一部分，只要其使用在AISSP中有说明。

21. 问:第8-208c段要求系统高级模式的安全特性提供审计跟踪功能。这是否意味着只需要“功能”和对用户事件的实际审计就不需要了?

    回答:没有。从系统高级模式开始，需要自动审计跟踪。

22. 问:第8-208c段为系统高模式识别了两个审计事件，而1991年ISM识别了许多。只有这两个审计事件需要记录吗?

    答:是的。

23. 问:在讨论登录尝试率时，第8-208g(3)(a)段表示，CSA将批准除上述方法外的其他此类方法。他们是什么?

    答:NISPOM中讨论的方法是常见的实践;但是，满足用户身份验证要求的其他方法也是可以接受的。

24. 问题：第8-209a段规定，从系统高模式开始，“从供应商处收到硬件和软件时，将对其进行检查。”供应商是否是您购买或租赁AIS的人员或地点？如果硬件和/或软件不是直接从供应商处收到，而是从第三方收到，该怎么办？

    答：所有硬件和软件在使用前都必须经过检查，无论其来源如何。

25. 问题：如果我有包含隔间或小班的合同，并且我有一个经认可的隔间模式AIS，我还可以处理机密的辅助信息吗？

    答:一般来说，是的。ISSR应与适当的合同和认可官员协商。

26. 问:第8-213段讨论了多级安全模式。这种模式的条件之一是所有用户都具有个人安全许可(PCL)。我的客户运行一个多级系统，允许未清除的用户。如果我的客户希望我的AIS与他们的多级系统联网，我应该怎样做?

    答:未经许可的承包商人员不允许使用或访问经认可的AIS来处理机密信息。因此，CSA必须与客户协调考虑保单例外的可能性。

27. 问:第8-300b段规定，机密处理“应在获授权人员可对AIS进行持续监视和控制的区域进行，通常为禁区”。设立禁区时应遵守什么规定?

    答：使用任何必要的程序、流程和/或物理或技术手段，在有人值守的处理过程中有效控制对AIS的访问。第5章第3节包含了有关限制区的附加指南。

28. 问:第8-300b段说，所有未经护送的人员进入正在进行机密处理的地区“必须有政府批准的PCL…”该要求是否直接针对从ISM获得机密许可的数千个承包商?

    答:如果不超过第2-205段规定的进入限制，承包商授予机密pcl的个人在进行机密处理的区域不需要护送。

29. 问:第8-301f段说“强烈反对使用来历不明或可疑的软件”。然而，在全国各地的各种安全论坛上，DIS说它不能用于处理机密信息。政策是什么?

    答:国防部强烈反对使用非传统来源的软件，因为它有更大的恶意代码风险。但是，该政策并不禁止使用此类软件，前提是在安装前对软件进行审查的适当程序已在AISSP中记录并遵循。

30. 问:第8-301段要求用于维护或诊断的“供应商提供的软件”要“像分类一样加以控制”。这个要求是否仅限于由供应商提供的软件，还是适用于所有的维护和诊断软件?

    答:所有用于维护或诊断的软件都必须在认可的AIS级别上受到保护。在写保护介质上供应商提供的软件的例外情况可以由CSA根据具体情况予以允许。经过授权后，在写保护媒体上处理此类软件的程序必须包含在AISSP中。

31. 问:AIS媒体的评分要求是什么?

    答：一般而言，第4-200段的总体标记要求适用。媒体的标识（4-202）、整体标记（4-203）以及第（4-208）行的分类、降级和/或解密标记。

32. 问:1991年ISM第4-311b段要求AIS在AIS媒体上提供“内部记录”的安全标记。NISPOM对这一要求保持沉默。AIS媒体是否需要内部标记?

    答:对于专用和系统高模式，用户有责任确保在复制或生成分类信息时贴上适当的标记。对于分隔式和多层模式，AIS系统的防伪功能会自动贴上适当的标记。

33. 问:第8-302f段要求对媒体消毒行为进行核实。如果我有大量的机密媒体需要消毒，每次消毒行动都需要核实吗?

    答:一般来说，在使用经批准的消磁器时，只需要进行随机抽样验证。但是，当使用已批准的覆盖实用程序时，每个消毒操作都需要验证。

34. 问:第8-302f段除了卫生处理行动的核实外，还要求在记录上注明“显示采取卫生处理行动的日期、具体情况和采取行动的人”。但是，没有提到媒体的分类级别，因为CONFIDENTIAL和SECRET不需要问责，记录必须标注吗?

    答:是的。卫生处理记录的要求与分类无关。需要注意的是，第8-303a(4)段要求卫生记录应作为审核日志的一部分保存。

35. 问:第8-303段规定，承包商将保留审计跟踪记录，直到审核结束，但不超过12个月。ISSR是否允许在审核后公布审计追踪记录?

    回答:没有。承包商负责保留最近12个月的审计追踪信息，以供CSA审查。这适用于安全审计信息(8-303)和在系统高(8-208c)、分隔(8- 2111g)和多级(8-214a)模式的安全特征下识别的自动审计跟踪信息。

36. 问:第8-304a段没有提到不可移动存储介质或在安全级别升级期间使用不可移动存储介质的任何要求。不可移动存储媒体可以用来处理机密信息吗?

    答:是的。不可移动的存储媒体可以继续用于处理机密信息。如果使用，必须在AISSP中确定某些升级要求(8-304a(4))、降级要求(8-304b(2))和解密/卫生要求(8-302克)。

37. 问:第8-304a(5)段要求对AIS进行初始化，初始化时使用与待处理信息的机密级别相称的受保护的操作系统的专用副本。如果我在不同的独立处理过程中处理机密、机密和绝密，我是否需要三份副本?

    答：是的，除非采取行政和程序措施消除或减少副本。请联系您的IS代表或AIS专家以获取更多指导。

38. 问题：如果我从绝密会议降级，并且使用了不可移动媒体，我应该遵循什么程序？第8-304b（2）段说要进行清理，但“清理和清理矩阵”说我不能在绝密级别使用三次覆盖。

    答：“清除和消毒矩阵”的选项“d”仅指用于解密目的的消毒。降级（8-304b）时，可以对绝密介质进行消毒（即三次覆盖）。

39. 问:第8-305段规定，只有在AIS系统上处理过最高级别机密信息的人员才能使用无人值守的硬件。如果我有一个经过认证的多级模式系统，经过认证的人员是否可以使用只处理机密信息的无人值守设备(如终端、打印机)?

    答:一般来说，是的。联系您的AIS代表或AIS专家以获得额外指导。

40. 问:第8-305c段说登录密码文件在实际使用时应该加密。既然身份验证技术(在本例中是密码)从系统高级模式开始就需要，那么登录密码文件不应该总是加密吗?

    答：否。但是，当登录密码文件未加密时，AIS将需要强大的访问控制策略。这将只允许授权系统管理员（如ISSR）访问非加密密码。

41. 问:第8-305d(2)段并未提及非机密AIS系统与机密AIS系统的“单向”连接。这还允许吗?

    答:本段讨论的是配置的机密和非机密ais的“一般”连接要求。在特定的条件下，在AISSP中是允许单向连接的。联系您的AIS代表或AIS专家以获得额外指导。

42. 问:第8-306段指出，维护或诊断人员通常不需要护送，但需要知道的是“必须强制执行”。这与以前的政策相比是一个很大的变化。你有什么建议?

    答：在第8-306段的上下文中，强制执行“需要知道”仅意味着公司有义务确保执行维护和诊断操作的人员仅限于其授权的数据、信息、硬件、固件和软件。

43. 问:未通过安检的维修人员的护航员必须是“技术知识渊博的”吗?

    答案:技术知识丰富的护送者优先;但至少，护送人员必须充分了解AISSP、既定的安全政策和做法以及护送程序。

44. 问:第8-306c段规定，未经许可的维护人员不得使用具有直接安全功能的系统软件的专用拷贝。请解释一下。

    答:未经许可的人员、维护人员或其他人员不得使用系统软件的专用拷贝。即使系统和/或维护软件没有分类，两者都需要按照AIS认可的级别进行控制和保护。

45. 问题：第8-306e段规定，可行时，应在承包商设施内进行维护和诊断。这是什么意思？工业界目前的做法似乎恰恰相反。

    答:在承包商设施内执行维护和诊断功能通常更可取，因为存在更大控制的可能性;但是，这些职能可由ISSR酌情在设施外执行。ISSR必须决定在特定的环境下什么是最实用的，而安全只是必须考虑的众多因素之一。

46. 问:第8-306e段指出，任何AIS部件或设备从安全控制中释放出来进行维护，将不再是认可系统的一部分。一旦设备被修理并退回，它能否再次成为认证系统的一部分?

    答:是的，但在某些情况下，设备的重新引进必须得到ISSR的批准，而在其他情况下则需要得到CSA的批准。此外，从系统高模式开始，设备必须在重新引入之前进行检查。

47. 问:第8-306g段要求“承包商”批准使用某些维修工具。“承包商”是指任何雇员、任何用户还是仅仅指ISSR?

    答:只有ISSR和/或其安全管理员才能批准使用维护设备。这可以作为配置管理程序的一部分来完成，配置管理程序包括使用维护设备的特定批准程序和授权要求，并在每个AIS的AISSP中进行了描述。

48. 问:第8-306段讨论了在组件板被允许离开安全区域之前完成的“适当释放程序”。什么是“适当的放行程序”?

    答：第8-3-5页的“清洁和消毒矩阵”讨论了技术要求；第8-303a（1）段讨论了审计要求。

49. 问:使用远程诊断或维护服务必须遵循哪些程序?

    回答:第8-306i段提供了使用指南。

50. 问:应该遵循什么程序来净化静态随机存取存储器(SRAM)?

    答:SRAM在保密会议期间的使用方式对于决定8-3-5页所确定的适当选项至关重要。在某些情况下，在处理过程中，信息在SRAM中保持不变。在这种情况下，操作“c和f”可能是合适的。但在其他情况下，信息通过SRAM“流动”，选项“g”可能是最合适的。重要的是，有效清除和消毒残留记忆单元的程序需要与DIS AIS专家协调。

51. 问题:清理和消毒矩阵(第8-3-5页)底部的脚注指出，如果存在不止一种类型的磁带，并且承包商有经批准的消磁器，则所有磁带“必须标明”其“类型”。如果我只有第I类和第II类消磁带，并有获批准的第II类消磁器，这些磁带是否应贴上标签?

    答：一般来说，不会。

52. 问:第八章的第1、2和3节不包括传输控制要求。1991年ISM(第8-310段)确定了Intra和Inter-Complex要求。NISPOM在第4节(网络)中确实讨论了“受保护的分发系统”(PDS)和国家安全局批准的加密方法，但仅当它们涉及在网络组件之间传输机密信息时。我需要遵守哪些要求?

    答:第八章中没有传输控制标准是一个疏忽。在将AIS传输控制政策纳入NISPOM的协调和发布之前，在国防部安全监管下的承包商被要求遵循1991年ISM第8-310段所包含的标准。