保安政策谘询委员会
1999年12月8日
总统
通过:
Samuel R. Berger先生
白宫
华盛顿特区20500主题:咨询委员会年度报告
背景安全政策咨询委员会(SPAB)被包租总统决策指示291994年9月16日,提供了关于简化和改善联邦安全政策和程序所需的行动的非政府,公共利益观点。我们的参考框架已成为PDD-29和基础建议联合安全委员会的报告(JSC) 1994年2月28日。今年我们增加了JSC II的报告,日期为1999年8月24日。
我们的部分章程是通过国家安全顾问向总统提供一份关于JSC报告中建议实施情况的调查结果的年度报告,强调PDD-29中列举的四个关键原则:安全政策:1)匹配威胁;ReportsReports2)保持一致,使我们能够有效地配置稀缺资源;3)公平公正的待遇;4)以我们能承受的价格提供我们需要的安全。
与我们的任务保持一致,我们在去年举行了一系列公开会议,讨论了特定的安全问题,并征求了大众的投入,特别强调行业。金博宝正规网址为了鼓励公众参与,我们的会议在联邦登记册中宣布,在有重大浓度的政府承包商,偶尔于会议,公约或其他工业安全组织聚会的地方举行。在过去的一年里,会议在华盛顿西雅图举行;明尼苏达州明尼阿波利斯 - 圣保罗;和拉斯维加斯,内华达州。
在这方面,我们的第三年的活动,我们继续关注人事安全问题,也深入参与了联合安全委员会II(JSC II)的审议,这将其重点扩大到确保政府信息系统。金博宝正规网址SPAP成员在JSC II上致力于JSC II报告中的建议。
一般意见
安全政策委员会(SPB)进程继续推进PDD-29的目标,但进展是不平衡的,该进程可以通过一些重组和高级领导层更好地关注而变得更有效。为此目的,我们强烈支持第二联合委员会所建议的结构改革。SPB联合主席强烈支持这些变革的必要性,并正在实施行动。
在政府的关键部分中,与突出的安全问题的解决方案有关的紧迫性,而不是去年报告时的情况。过去一年的一些发展突出了对人员安全和电子安全的关注的需要。这两个领域都受到增加的关注。另一方面,在整个流程速度缓慢的情况下,仍然存在简化安全实践的缓慢,以及他们中的一些人的持续性,繁琐,侵扰性和昂贵的性质,继续存在显着挫折。我们认为JSC II报告突出了许多这些领域,如果采用建议,可能会产生重大效率。
附件突出了咨询委员会的五个领域,旨在增加焦点和加速进展,以满足PDD-29的目标。
尊重,
[签]
拉里·d·韦尔奇
主席
保安政策谘询委员会附件:如上所述
需要加强关注、加快进展的关键领域 人员安全
资源不足和管理不足导致未能达到关于机密和绝密许可的商定标准,并在国防部造成了大量许可积压,这对人员安全质量,以及与其他机构的互惠,还有国防工业的人员费用。国防部领导层已经采取了一系列行动来纠正这些缺陷,提供资源和领导重点。
第二联合安全委员会提出了几项建议,旨在改进人员安全的重点和程序。安全政策委员会目前正在就这些建议采取行动。它们包括:
有必要扩大当前人员安全结构的额外焦点区域,以包括为拥有敏感但未分类的政府信息,运营或职责的个人提供适当性,可靠性和可信度的流程。分类信息敏感性与可靠和值得信赖的人们处理敏感的未分类信息的敏感性之间的区别变得不太有意义。JSC II建议SPB发展和转发给NSC建议的新行政订单,以确定更全面的人员安全方法。
- 现在执行标准进行初始清关和重新调查。
- 任命一名具有明确指导的国防安全服务的新主任
- 添加资源来清除大量积压的初始清理
- 在重新调查中检查大量积压,对相关风险进行分类,并首先处理潜在风险最高的案例
- 提供社区范围的调查/清除数据库,以消除重复的调查和许可程序,并确保清除个人的有效记录
信息安全 - 权威和责任
信息安全(Infosec)领域的国家当局、责任和章程仍不明确,在某些情况下还存在冲突。在政府内解决这个问题需要更大的紧迫感。人们清楚地认识到,这是一个复杂的领域,涉及多个股权和利益,涉及政府和私营部门。然而,除非有一个理性和可运作的政府组织来促进进步,否则没有什么理由期望取得进展。
政府中信息安全部门目前的结构和章程的演变速度赶不上新出现的威胁。对这一威胁的政府响应的增量性质导致了立法、法规、政策文件和宪章分配往往不明确、重叠,有时是矛盾的。然而,几乎没有什么领域比政府获取、利用和依赖其信息的能力对政府的有序职能更重要了。保护这一关键资源的责任需要合并和集中。我们坚决支持立即努力解决这个努力通过总统指令和/或立法,并建议国家安全顾问直接SPB召开的联合主席组成的一个小组的成员SPB执行委员会起草所需的指导,和指令,或者推荐必要的立法。
信息安全 - 深度网络防御
政府需要承诺为分类和关键的未分类网络制定“深度防守”,这些网络,这些网络在网络攻击下构建这些网络以“抗拒 - 识别 - 恢复”。
目前用于描述“纵深防御”的“检测-保护-响应”模型着重于保护数据,而相对较少地强调探测渗透或响应攻击等通常更为困难的问题。卡耐基-梅隆大学计算机应急响应小组采用的“抵制-恢复-响应”模型是保护政府信息系统的一种更有用的方法。虽然一些政府系统将需要只有政府来源才能提供的级别的保护,但商业方法可以大大有助于保护许多政府网络。
即使通过进入控制的第一线抗辩抵抗渗透的主要重点,也有重要措施可用,在政府系统中不受广泛使用。这些措施包括使用令牌代替各级密码和认证。这些措施的使用在商业世界中正在迅速增加,并且随时可用。但是,政府采用这些保护措施缓慢。
类似地,支持由未经授权的访问造成的系统内部防御中的第二线的技术 - 在加速步伐和政府应密切关注并评估这些政府使用方法的发展。
对许多政府网络来说,最具毁灭性的影响将不是来自信息披露,而是来自拒绝服务。第三道防线——对数据泄露的快速响应和对拒绝服务攻击的快速恢复——需要成为关键网络的设计要求。
JSC II和SPAB发现对第二和第三道防线的关注很少。
工业安全指导
在监察委员会的公众会议上,最持续不断的投诉是业界一直未能提供资讯保安指引。经过长时间的拖延,SPB结构在完成这一指导方面取得了重大进展。尽管如此,除非它在大街上出现,并被行业和政府所理解,否则这仍将是实现PDD-29目标的一个显著弱点。
定义的威胁
联合安全委员会建议为安全界提供一个单一的威胁数据交换所,特别强调确保工业界随时可以获得这些数据。尽管如此,在特许和资助提供这种支持的组织方面进展甚微。我们仍然认为,国家反间谍中心(NACIC)是承担这一责任的合理实体,但需要扩大其章程,增加人员配备和资金,以在各种威胁下提供支持。PDD 29的基础是基于这样一种假设,即安全将对既定的威胁作出反应。安全指令中要求的风险管理方法假定对已理解的威胁有合理的响应。因此,为理解各种情况下的各种威胁提供支持对于实现PDD 29中的指导是至关重要的。这一需要得到广泛承认已经五年多了。是时候让它发生了。