删除版本 中期报告
特别评论
中期报告
到了
能源秘书长
在这一点控制分类武器数据
办公室
在国家武器实验室
独立监督和性能保证2000年6月
[续段继续]
(U)本次审查的结果证明,LLNL在保护其保管的机密武器数据方面有强有力的管理参与。虽然在一些领域值得注意,但LLNL正在充分执行保护和控制机密武器数据的重要要求。
3.3 DOE策略(U)
(U)如第2节所述,能源部制定了保护机密事项的多方面政策,包括本审查重点关注的最敏感类型的机密事项。总的原则(限制访问,确保值得信任的个人,以及需要知道)是合理的,并与美国其他政府机构保持一致。然而,尽管在2000年6月21日发布了激进的指示,这次审查的结果,结合以前独立监督的检查和审查的结果,表明在政策上有弱点,需要管理层及时给予重大注意。这些弱点可分为以下五类进行讨论:责任要求的放宽、DOE要求的缺乏特异性、对“需要知道”原则的实施缺乏指导、过分依赖个人遵守以及分级方法定义不充分。
问责制要求的改变(U)
(U)放松问责制的变化导致运营效率的一些增加和降低成本。例如,实验室人员节省时间和努力,因为它们不再需要跟踪每个文档(例如,收据),并且不需要执行某些管理函数(例如,获取副本和标记每个副本的权限)。同样,DOE站点不再需要花费定期库存的资源,这可能包含数百万核武器实验室的文件。
(U)然而,随着操作的方便性增加和成本的降低,某些方面的安全性也相应降低了。在缺乏正式的问责制,能源部网站不再有能力确定重要信息,如文档/项是否缺失,特定的文件在哪里,谁拥有访问这些文档,负责控制和保护,以及文档是否已被摧毁。此外,能源部网站通常不能跟踪文件/项目,以确定谁对它们负责,如果一个文件/项目被确定丢失。能源部网站在确保个人对实现安全要求负责方面的能力也受到限制,因为通常没有办法确定谁对丢失的文件负有直接责任,或者谁最后访问了文件。
(U)在LANL硬盘驱动器事件后,DOE和LANL受到了严厉的批评,因为LANL缺乏检测丢失、确定谁在何时进入保险库、或确定谁在给定时间保管文件/项目的能力。LANL甚至没有这种能力,即使硬盘驱动器包含的信息是最敏感的复杂。此外,LANL的损失是由于火灾导致的临时检查,而不是系统库存的一部分。然而,在LANL的情况不是唯一的LANL X师vault。事实上,同样的情况在LLNL和SNL-NM以及基本上所有其他能源部站点以及其他政府机构都很明显。例如,在LLNL内部,大约有100万份机密文件,其中大约5000份属于正式的问责系统。如果没有跟踪和说明文件的系统,保护系统发现丢失或找到应该保管文件的人的能力就会受到限制。
(U)重要的是要认识到,重新建立问责制度并不能消除内部威胁,也不能消除由于错误或违反程序而泄露信息的可能性。即使有了问责制,内部人员(即被授权从事间谍活动的人)仍然可以制作未经授权的文件或电子媒体副本。但是,加强责任制和跟踪制度,结合其他措施(例如,控制使用复印机和数据传输装置),将加强个人责任制,并通过增加威慑因素和发现未经授权的行为的可能性来改善安全。
(U)DOE遵循其他政府机构的行政订单和实践决定放宽责任要求。在某种程度上,DOE对其他机构具有可比的安全问题,并保证了共同的方法。例如,DOE网站有国家安全信息,类似于其他机构所拥有的信息。然而,DOE网站和实验室具有独特的担忧,即其他机构不面对,最符号的设计与核武器相关的信息以及关于使用控制和核武器的禁用的极其敏感的信息。DOE总部的国防计划办公室等努力说服国防部(DOD),以便更好地保护敏感课程物质(例如,重新评估分类和保护某些类型的信息)来进行一些改变。然而,那些努力尚未被国防部接受。
(U)能源部关于取消对机密和绝密事项的正式问责制的决定在当时引起了争议,并将继续引起争议。一些组织,包括独立监督的前身,评论说,在1991年和1992年决定放宽责任制要求之后,处理机密事项的严格程度和形式不可避免地下降。同样,1998年取消对绝密事件的正式问责的决定也没有得到普遍支持。虽然不是强制性的,但所有三个国家实验室都保留了绝密问责制的某些方面,SNL-NM保持了一个完整的正式问责制。
(U)各种DOE元素和个人已倡导重新建立正式的问责制,以获得最高秘密文件和/或秘密武器数据。最值得注意的是,1999年3月,三个核武器实验室的董事向董事会和董事司司长发给了联合建议,并主张他们所倡导的愿意恢复禁止受限制数据和顶部的文件的问责制秘密限制数据。他们表明,没有正式问责制,违规审查更加困难,因为确定专门访问某些设计信息是不可行的。他们还将Cox委员会报告称为恢复正式问责制的基础。
(u)虽然重新建立问责制的要求是一个重要的一步,但将需要额外的行动来确保负责人系统是有效的。当前对问责制的要求没有足够详细的,以提供足够的方向,以确保完整的监护链。此外,需要被视为可行和全面的保护方法的一个元素的保护(如本节后面所讨论的,DOE有一个分级的方法概念,但目前的指导不足)。
(U)作为2000年6月21日的核安全办公室,国家核安全管理局(NNSA / DNS)在2000年6月19日的能源秘书长的指导下,已经向DOE现场元素提供了一定的核武器materials (i.e., computer media that have a compilation of nuclear weapons design and testing information that contains Sigma 1, 2, 14, or 15 information) into an accountability system. Specific methods for implementing the accountability system are included in the guidance.
DOE要求缺乏一致性和特异性(U)
(U)如第3.1和3.2节以及附录B和C所述,SNL-NM和LLNL通常符合DOE订单和手册中规定的最低要求,尽管每个站点都有一些需要解决的特定弱点。然而,不同地方对类似信息的保护效果差别很大,并没有提供基于信息敏感性的保护级别。
例如(U)例如,在SNL-NM,包含武器设计信息的一些秘密受限制的数据文档存储在保管库式房间内的GSA批准的容器中,在其中提供警报保护,保护力响应时间为15分钟或较少的。DOE策略将允许存储在配备桑迪亚限量区域(围栏区域内的任何位置)内配备有指定锁定的GSA批准的安全容器中的同一文件的副本。在一个情况下,保管库式房间储备库的渗透将在15分钟内回复;在另一个情况下,没有警报将听起来并不渗透储存库,直到有人碰巧检查容器并注意到违约(在这种情况下任何间隔都没有具体要求保护力巡逻)。然而,这两种情况都符合DOE手册471.2磅的规定储存秘密物质的要求。
(U)作为修订DOE订单的携手工具的一部分,以允许该领域在确定如何实施一般要求时更具灵活性,信息安全计划订单(DOE 471.2A)于1997年修订。作为灵活性增加的一部分, the current Order contains only very general and vague requirements (e.g., "controls shall be established to detect and deter unauthorized access to classified matter"). For some aspects of protection, the associated Manual provides more detailed requirements. However, the Manual does not provide much information on important subjects such as access controls at vaults. In the absence of specific requirements, DOE sites, which are under continued pressure to reduce costs and/or justify expenditures based on DOE order requirements, often decide to implement only the minimum requirements as specified in the Order or Manual.
(U)本综述和最近的检查结果表明,政策缺乏特异性和清晰度是一种不一致的保护效果的贡献者。支持示例包括:
((U)DOE订单和手动需要访问控制,但不提供有关访问保险库和保管库式房间的要求的特定信息。例如,没有关于进入和退出时间日志要求的信息。国家实验室之间以及同一实验室不同地区之间的方法差别很大。正如LANL事件所指出的,X司保险库没有为进入名单上的人员保存日志。在SNL-NM,一些地区使用了读卡器系统,这样就会有一个入口日志,但这些系统的实现方式没有提供一个全面的日志(例如,没有机制或程序来防止“扑倒”,即一个人打开门后,额外的人员进入),也没有机制来记录授权人员离开时的情况。部长2000年6月19日的改进措施特别要求立即采取措施,记录出入境时间。部长还指示近期对现有保险库程序进行全面评估,修订政策并迅速实施。LLNL和SNL-NM已经采取了一些立即的行动来实施这一方向,并正在积极努力解决所有指向性的行动。
(U)锁的要求并不全面。DOE要求有用于在某些条件下更改存储库锁定组合的规定(例如,当终止组合的人员)。以前版本的订单包括每年更改锁的规定;这些要求在最新版本中删除。该网站不需要,并且通常不会有一个程序,以定期更改锁定组合。缺乏特定要求会产生锁定组合多年来不变的潜力,可能会复制与受损组合相关的损害。此外,在短时间内,DOE网站(包括LLNL和SNL-NM)通常使用临时措施(日锁或键盘而不是组合锁)(例如,在个人处于休息时最多一个小时)。订单或手册中的规定很少,讨论这种替代方法提供可接受的安全性。最近的秘书方向和NNSA / DNS在拱顶中实施了这一实践的指导限制。
(U)DOE政策在存储和控制方面没有实际区分。文件电子媒体。在网络技术的进步之前,DOE订单中的大多数要求都是由纸质文件开发的。出于保护分类物质的目的,电子媒体项目(例如,硬盘驱动器或光盘)与文档相同。反映技术进步的订单或手册几乎没有修改(例如,单个电子媒体项目可以包含大量信息,相当于数千个文档的事实)。2000年6月19日,2000年6月19日建立了执行某些高密度介质加密的要求,提高某些分类数据库的安全要求,以及包含某些信息的电子媒体库存。LLNL和SNL-NM正在积极地工作以实现这种新方向。纳诺/ DNS与实验室之间的持续互动将需要实现实施。
(U)上述产品缺乏特异性和DOE订单标准的产品的不一致方法和效率水平。在没有具体要求的情况下,网站有太多的灵活性来解释要求,并且通常会根据运营便利和可用设施,设备和资源进行安全决策。
(u)在某些地区缺乏特异性,是历史上的历史上缓慢的回应,以及其前身组织。例如,SNL-NM自1999年7月自动监督检验以来一直在实施人力密集的补偿措施,同时等待与保护分类零件的保护。同样,没有足够的DOE指导,用于识别SUCI SIGMA 14的信息。这是一个长期的政策问题以及来自若干地点的澄清请求主题。
缺乏关于实施需要了解原则的方向(U)
(U)DOE有一个普遍的政策,需要将信息限制在有效,与之相关的有效的人员。但是,仍有很少的标准和期望来实施课程。在两个站点和同一站点内的方法和有效性广泛变化。在某些情况下,包含许多类型信息的大型保险库没有额外的分区,使得任何可以访问Vault的任何人都可以访问其中的任何信息,而无需了解任何明确的规定。在其他情况下,有单独锁定的区域/保险柜包含来自特定方案的信息,同样,有不同的方法来确定谁将获得需要知道的基础。例如,在某些部门中,LLNL管理层使分区中的每个人都有一个毯子确定所需的所有信息,位于大型VA库中的所有信息,这些信息都有各种各样的不同程序的信息。虽然一个可疑的做法,但DOE命令中没有具体规定明确地排除了这种做法。相反,有一个情况下,需要了解的控制是非常紧张的,只有很少的授权用户和严格的程序,用于授予可能需要信息的其他人员的信息。
过分依赖个人依从性(U)
(U)防范内部人士是信息安全中最具挑战性的部分。某些人员需要获得信息才能完成我们付钱给他们的工作,比如设计核武器和为NEST团队服务以应对核紧急情况。美国能源部有一项人事安全计划,要求所有人员在获准访问机密受限数据之前,必须进行背景调查并获得Q许可。能源部还有一些计划,如培训和安全意识计划,旨在确保人员意识到他们的安全责任。
(U)然而,没有任何程序能够提供完全的保证来对付坚决的内部人员,特别是那些故意无视或规避程序的人。如果一个人能够接触到信息,那么它可能会通过各种方式被泄露,比如删除材料、复制或简单地告诉未经授权的人员。类似地,粗心的错误也会泄露信息,比如文档无人看管。能源部政策认识到,当允许个人访问信息时,存在一定程度的内在风险,并且不能完全排除受信任和授权的个人执行间谍行为的可能性。
(U)此外,DOE站点必须保持警惕,以确保遵守DOE要求。在任何组织中,尤其是那些对研究和开发环境中的开放式思想交流的高价值,可能是个人认为将安全措施视为过度限制,并且将被忽视或捷径的要求。如果需求不实用或需要使用奥术技术或方法(如有时如此),则这种行动的可能性提高。这样的口袋。对安全的抵抗是国家实验室的持续关切,并将继续成为需要关注可预见的未来的领域。由大学运营的国家实验室,特别是LANL和LLNL,对不遵守程序的遗产具有历史声誉。但是,1999年的独立监督审查结果和这项特别审查表明,由于前面讨论了秘书倡议和关注,实验室的高级管理人员积极参与促进安全,并承担安全得到了相当大的支持。改变“网站文化”是一项重大挑战和长期承诺,需要持续和积极主动的管理支持和参与,以及明确和证明遵守的个人和组织问责制。
(U)虽然正在取得进展,但Doe Laboratories仍然容易受到单一个人的行为,他们被授权获得敏感的分类信息。例如,在LLNL和SNL-NM以及大多数其他DOE站点,几乎没有措施,可以阻止个人制定未经授权的分类文件副本,包括负责文件。随机检查/搜索人员或区域的规定很少,以确定是否正在使用文件/项目(例如,以确定个体是否违反了桌面抽屉中的分类文档违反了安全程序)。Doe Laboratories主要依靠符合DOE要求,并没有始终如一地努力识别和实施可能降低风险的审慎措施。LLNL和SNL-NM的评论结果表明,通过明智地应用谨慎的措施,可以进一步降低风险,如适用于某些活动,例如保护计算机媒体的高密度信息。
(U)能源部制定了人员安全计划,以教训内部人员的风险,并制定了安全意识计划,以鼓励对安全的关注。减少其他安全措施(例如,取消对绝密场所的问责要求,增加了对人员安全计划部分的重视。
(U)随着一些例外情况,DOE的人力可靠性计划目前没有任何分类信息活动,而不管信息的敏感性如何(例外情况包括那些涉及特殊核材料和从分类计算机下载未分类信息的例外情况)。作为修改10 CFR 710 Subpart B的持续努力的一部分,并将PSAP和PAP结合到一个程序中,DoI目前正在努力建立包括在人类可靠性计划中获得某些类型信息的人员的要求和标准。此外,DOE最近启动了用于某些类别的员工的测量检查,可以访问敏感的课程信息。
评分方法的定义不足(U)
(U)DOE有一项规定,需要采取分级的方法来保护分类物质。分级方法的概念是合适的;certain types of classified matter are more sensitive and warrant higher levels of protection than other types, However, the guidance related to the graded approach is minimal, consisting of only a few paragraphs of general guidance and examples that cite broad categories of information (e.g., "information useful in developing a nuclear weapon"). The guidance is not sufficient to allow sites to determine how to categorize security interests in a manner that would allow a graded protection strategy. Also, it does not include a methodology for identifying progressively higher levels of security.
(U)LLNL和SNL-NM每个都有一些实施措施超出这些特定的最低任务的措施,例如文档的跟踪系统。然而,LLNL和SNL-NM都不具有用于实现分级方法的系统方法。实施额外措施的例子主要反映了专业判断和资源和设备可用性的零碎应用,而不是系统,自上而下的方法,涉及定义政策,建立保护目标和要求,然后确定满足要求所需的资源。
(U)一般来说,机密事项保护手册规定了在线管理和现场开发和证明分级方法的责任。根据该手册,部门部门负责人需要提供一个基于风险管理的框架,以作出安全相关的决策,并要求各站点制定计划,描述、论证和记录分级保护方法。虽然这种责任下放给外地提供了灵活性,但事实证明它并不有效。对于LLNL和SNL-NM来说,部门部门的负责人历史上一直是国防项目办公室,自2000年3月以来,一直是国家核安全局(NNSA)的局长。部门部门主管和各自的业务办公室(SNL-NM的AL和LLNL的OAK)都没有为实施基于风险的方法提供正式的指导。实验室在他们的安全计划中几乎没有关于信息保护的分级方法。
(U)此外,DOE政策目前没有提供足够的指导,以便能够系统地,一致地确定保证额外保护的资产。除了分类级别和类别(机密,秘密和最高秘密,限制性数据,以前限制的数据和国家安全信息)和某些特殊信息(Sigma子类别确定了一些文件),没有建立的政策各种类型的信息的相对重要性。在这方面有两种需要解决的问题:
(U)目前,机密限制数据类别涵盖了广泛的信息,其中一些是特别敏感的。然而,能源部命令中对机密限制数据的保护要求并不区分高度敏感的机密限制数据(如使用控制信息和最先进核武器的设计)和灵敏度较低的信息。DP和SO试图与国防部合作,对某些类型的数据,特别是高密度电子媒体,包括与核武器系统设计和测试相关的大量数据(百科数据),分配更高的机密级别(绝密)。我们需要的是一套明确的标准来确定哪些信息需要加强保护,以及一套相应的保护措施标准。这些标准应考虑诸如信息的子类别(如西格玛水平)、信息密度(单个媒体上的大量数据需要额外的保护)、信息对对手的价值、全面性(具有完整武器系统设计信息的文件应得到额外保护)和其他此类因素。
(U)虽然存在一些差异(例如,储存和传输),但最重要的秘密的最低保护要求并不比秘密或机密的更严格更严格。根据DOE订单,顶级秘密可以在有限区域的任何地方存放在GSA批准的安全容器中,只要容器具有特定类型的锁,就没有警报保护或保护力巡逻的要求。这些最低要求与秘密的最低要求不同;秘密的唯一区别只需要一个标准的组合锁。正如目前所定义的那样,这些最低要求只提供对更高价值的保护物质(损失可能导致国家安全造成“严重损害”)的保护。有效的分级方法需要识别逐步更严格的控件组(寻址日志,需要知道,访问控制,加密和其他措施,除了存储)。
(U)总体而言,分级方法没有充分定义,也没有提供充分的指导,以促进能源部站点的有效实施。能源部长在他2000年6月19日的备忘录中概述了一些近期和即刻的措施,美国国家核安全局/DNS也制定了实施指南。这些措施与分级方法是一致的,因为它们确定了特定类型的机密事项的具体行动。虽然这是一个适当的过渡步骤,但长期方法需要处理金库之外的其他存储库,并需要包括与安全利益的相对重要性分类相关的实际指导方针。
4.0结论和建议(U)
(U)一般来说,LLNL和SNL-NM符合独立监督团队审查的区域控制分类物质的最低要求要求。虽然有一些具体的改进是有保证的,但没有确定有明显的未经判断的缺陷。然而,根据DOE的特别敏感的核武器相关信息,控制课程的当前对控制的要求并不像必要的那样严格或清晰。需要改进政策,以确保明确定义DOE期望。需要特别注意在需要了解和建立清楚地理解的分级方法的区域中更明确地定义保护要求,并可以有效地实施,以增强对DOE最关键的资产的保护。(U)附录B和C分别为SNL-NM和LLNL分别提供了改进课程保护计划的具体机会。本节提供了独立的监督建议,以便为DOE总部提高DOE政策而采取的行动。在制定下面的建议时,独立监督承认NNSA / DNS制定了在加强保护措施方向实施秘书19九月19日的指导。NNSA / DNS正在使用该领域,以确保解决问题并根据需要开发其他指导。独立监督认为,增强的保护措施和最近的实施指导提供了改善立即和近期保护的良好框架。以下建议旨在通过识别应考虑近期和长期行动的其他领域来补充最近的方向和实施指导。
1.(U)为某些类型的信息进行正式问责制的重新研究所要求。需要加强和澄清当前对责任的要求。应包括与核武器相关的最佳秘密和秘密限制数据。应纳入评估以确定其他秘密限制大坝(与特殊核材料和核能的生产相关)。Various methods to apply commercially available technologies (e.g., databases, bar codes, using badge swipes to check out documents) should be explored to facilitate implementation and make the system user friendly and useful for operations as well as security (e.g., data searches and data mining). Lessons learned from sites currently using accountability systems should be solicited and utilized to facilitate the reinstatement of formal accountability.
2.(U)建立清晰,全面的分级方法,并发出适当的实施指导。有效的分级保护方法需要纳入额外的措施,以考虑和跟踪更敏感的文档/项目类型,包括控制和录制对存储库的访问的更严格的措施。最近提高保护措施和NNSA / DNS实施指导的秘书方向提供了良好的开端。需要扩展此计划以包括其他存储存储库(除了保险库)。它还需要包括用于对安全利益的相对重要性进行分类的实用指南,并包括系统地识别各种类型安全利益的优先事项和保护措施的方法。
3.(U)澄清需要了解政策。需要明确的政策和标准,以确保能源部加强实施“需要知道”原则。需要处理的特定区域是对在大型存储区域内分区信息的期望,以及限制具有特定需要的访问的谨慎措施(而不是单方面决定整个Division需要知道保险库或程序中的所有信息)。
4.(U)继续努力扩大人类可靠性项目。值得注意的是,美国核安全管理局(NNSA) /美国核安全管理局(NSD)努力将能够接触到某些类型核武器信息的岗位上的人员包括在内,应该最终确定并实施。DOE的分级方法应该明确地将参与人的可靠性计划作为分级保护方法中的一个控制。该程序的参数也应重新评估,以确保其设计为提供个人可信度的保证(如测谎仪检查)。
5.(U)对特殊访问计划和敏感的分隔信息进行审查。这些程序包括高度敏感的信息,只有少数人被授权访问所进行特殊访问计划或敏感的舱室信息设施的区域。应以类似于本综述的方式审查这些计划,由独立监督和绩效保证办公室或负责敏感的课堂信息和特殊访问计划的方向和监督负责的组织。
6.(U)制定计划和里程碑,用于修改和重新发作DOE订单和手册,以反映近期和计划的政策变化。秘书理查森指导的变化,并由NNSA / NSD进一步定义,然后在加急的基础上纳入适用的DOE订单和手册(用于课程保护和计算机安全),以确保他们是制度化和纳入的与DOE网站承包商合同。还应尽快进行对分类物品保护订单和手册的其他修改,例如澄清对分级方法的要求,以及问责制。此外,还应加快制定和发出关于保护分类部分的指导的努力。