保安政策谘询委员会
年度报告——cy20002001年1月25日
总统
通过:
赖斯博士
白宫
华盛顿特区20500主题:顾问委员会年报
背景安全政策谘询委员会(SPAB)由总统决定指令29为精简和改进联邦安全政策和程序所需采取的行动提供非政府和公共利益的观点。我们的参考框架是PDD-29和潜在的建议联合安全委员会的报告(联委会)和五年后续行动JSC II报告,日期为1999年8月24日。
我们的部分章程是通过国家安全顾问提供总统年度报告,说明我们对JSC报告中建议的执行情况,并强调PDD-29中列出的安全政策的四个关键原则:1)匹配威胁;ReportsReports2)保持一致性,使我们能够有效地配置稀缺资源;3)导致公平公正的待遇;4)以我们负担得起的价格提供我们需要的安全保障。
为执行这项工作,我们在过去一年举行了一系列公众会议,讨论各种保安问题,并向市民征询意见,重点是业务需要符合政府保安标准的业界人士。金博宝正规网址为了鼓励公众参与,我们的会议在《联邦公报》上刊登广告,在政府承包商集中的地方举行,并经常与工业安全组织的会议、会议或其他集会一起安排。2000年,会议在加利福尼亚州的圣莫尼卡、马萨诸塞州的剑桥、弗吉尼亚州的阿灵顿和佛罗里达州的奥兰多举行。
安全政策委员会(SPB)是政府间组织,负责实施PDD-29所要求的安全改进措施,目前已经运作了6年。审计委员会已成功地处理了过去报告中所报告的一些重要问题。ReportsReports金博宝正规网址在解决与第29次PDD目标相关的许多问题方面,进展并不像我们预期金博宝正规网址的那样迅速。尽管如此,咨询委员会仍然认为SPB是政府间就安全需求采取行动的合适工具。
在过去的一年里,我们取得了一些显著的成就。经过几年的努力,信息安全行业指南已协调出版为《国家工业安全计划操作手册》第八章(NISPOM)。研究工作正在进行中,并正在取得进展,以期为有争议的调查标准提供一些分析依据。现在正在认真工作,为特殊访问项目的安全提供统一的标准。其他一些重要的安全问题现在非常明显,而且正在不断取得进展。金博宝正规网址
然而,总体进展缓慢得令人沮丧,要提供手段和动力以实现PDD 29的目标,仍有许多工作要做。一年前,成立了一个执行委员会,以加快这一进程,并就可以由副部级或机构级以下人员决定的问题作出执行决定。金博宝正规网址虽然这提供了一些加速,但到目前为止,结果没有达到预期。在一些领域,如安全审查调查和数据库,安全管理的不足继续消耗过多的资源,而在其他领域,如网络防御,仍然存在不充分的结构和程序来解决风险。
我们属性这一持续的缺陷缺乏可行的政府安全战略——一个由明确的章程和支持所需的资金和职位负责高效和有效的安全在足够高的水平在政府机构,以确保持续适当关注。
需要加强关注和加快进展的关键领域包括:
人员的安全
清理积压
对国防部来说,支持安全审查的调查过程中积压问题的范围现已得到充分了解,并有基础对提供充分和及时的审查程序所需的时间和资源进行现实评估。有一个合理定义的计划来解决清除当前积压的最直接和昂贵的问题。实现这一目标的现实估计需要两到三年。咨询委员会赞同这个计划,即使这意味着人们在等待他们工作所需的许可时继续浪费和沮丧。但该计划不会产生持久的成功,除非对三个不可减少的需求有坚定的承诺:一个准确预测并对安全许可要求提供合理控制的过程;确定满足要求所需资源的规划过程;以及提供充足资源的项目。目前,该系统已进行了35万件的初步背景调查和16.2万件的再调查,还有30多万件尚未提交给国防部。造成这种情况的原因是未能满足这三种需求中的任何一种。在整个部门中,仍然没有一个充分的过程来预测和控制需求,也没有一个项目有足够的优先级来确保资源。
临时许可
除了大量和昂贵的积压,还有成千上万的国防部和国防承包商个人持有临时许可,等待调查。仅国防工业就有39000名临时雇员。然而,DSS表示,他们现在可以在180天内完成对承包商临时许可的调查。临时许可政策是为了让显然值得信赖的人迅速开始有成效的工作,尽管会增加一些安全风险。如果不延长,这种轻微的增加是适当的,但这些临时许可中的一些是几年前的。目前没有办法评估没有背景调查的许可相关的风险,因此没有办法对它们进行优先排序。鉴于目前的临时清理情况,支持和执行大规模的临时清理项目是不可能的。然而,我们可以通过从现在开始对新的临时许可实施六个月的限制来开始解决问题。这又要求临时许可必须在许可所需总数的预测范围内,并且资源必须以提供与所有许可水平相适应的背景调查为基础。
为了准确预测和控制通关要求,国防部需要在服务级别建立中央需求办公室,以审查、质量控制、并确定调查的优先次序,以便在迅速的基础上完成临时和其他高度优先的审查,并控制不必要的调查需求。国防科学研究所已经建立了国防工业办公室。
质量与数量
同样重要的是,高层领导不应让清理积压工作的压力导致对调查的质量关注不足,而一味追求调查的数量问题。与其把资源浪费在不充分的调查上,不如接受延长处理积压问题的时间。
调查标准
为背景调查提供足够资源的部分问题是对当前背景调查要求某些方面的效力的持续争议。有争议的问题包括社区检查的效金博宝正规网址用,电话与面对面访谈的使用,以及需要重新调查的频率。目前的一套标准是达成政府间协议所需的一系列妥协的结果,以便使各部门和机构之间的许可互惠成为可能。妥协的基础是最好的集体判断,但没有可靠的研究和分析支持。提供这一基础的努力已经花了太长时间,需要迅速完成,并作出协调一致的努力,以结束关于调查要求的争议。
特殊的访问计划
在为特别准入计划(sap)制定通用标准方面已经做了有价值的工作。一份商定的政策文件已送交国家安全委员会工作人员批准和公布。我们鼓励NSC迅速审查和颁布这些标准和程序。
即使标准已经颁布,如果没有一个准确且可访问的数据库,确定SAP访问和授予互惠性的系统也无法工作。应当提供资金来建立和维持这样一个数据库。我们认为,与进行不必要的调查和/或裁决有关的费用减少和延误将足以抵销这样做的费用。此外,除非有这样一个数据库,否则无法保证所有适当的安全管理人员都知道涉及多个SAP访问权限的个人的权限适宜性问题。金博宝正规网址
信息安全
信息安全——可靠和值得信赖的人员
联合安全委员会II再次强调了信息安全的重要性,这个问题的一个方面是要求审查人员,尽管他们可能不需要访问机密信息,但可以常规访问政府的信息架构的关键部分。这些人对安全的潜在损害远远超过绝大多数安全许可持有者。然而,在确定这些人的可靠性和可信赖性的要求方面,我们没有看到任何进展。这仍然是信息安全中一个重要的潜在漏洞。
信息安全-权力和责任
正如我们在我们的1999年的报告在信息安全(Infosec)领域,国家当局、职责和章程仍然模糊不清,在某些情况下,还存在冲突。在政府范围内解决这个问题需要有更大的紧迫感。人们清楚地认识到,这是一个复杂的领域,涉及政府和私营部门的多种股权和利益。不过,除非有一个理性的、可操作的政府组织来推动进步,否则几乎没有理由期待取得进展。
政府中信息安全的权威和特许的当前结构一直在以跟不上新兴威胁的速度发展。政府应对这一威胁的递增性质导致了立法、法规、政策文件和特许任务,这些往往是不明确的、重叠的,有时甚至是相互矛盾的。然而,没有什么领域比政府获取、利用和依赖其信息的能力对政府的有序职能更为关键。需要对保护这一关键资源的责任进行合并和集中。我们坚决支持立即努力解决这个努力通过总统指令和/或立法,并建议国家安全顾问直接SPB召开的联合主席组成的一个小组的成员SPB执行委员会起草所需的指导,和指令,或者推荐必要的立法。
信息安全——深度网络防御
我们对在了解这一领域、分配责任和建立计算机网络防御机制方面取得的进展感到鼓舞。在国防部内部,作战责任已经被分配给美国空间司令部,一个计算机网络防御联合特遣部队已经在国防信息系统局建立,DISA副主任兼任指挥官,CND JTF。这是组织工作的良好开端,但我们仍然相信,需要制定特别计划,以迅速应对威胁能力的变化,并吸引和保留所需的专业知识。我们还看到,有必要更加重视保护关键网络(包括机密和非机密网络)免受拒绝服务的影响。适当的保护必须包括对包含备份和恢复供应的体系结构的要求。
此外,目前还没有政府间责任组织的章程,当局在应对美国计算机网络遭到攻击的行动方面也存在很大的混乱。
威胁的定义
由于缺乏任何明确的威胁数据,行业仍然对PDD 29无法进行有意义的威胁管理感到沮丧。虽然国家反情报中心(National Counterintelligence Center)是提供这些数据的合理焦点,但它在这方面并不有效。我们希望,CI-21研究将产生一种为工业消费者提供有意义的威胁数据的装置。