监督听证会
DOE核武器实验室分类信息安全控制的缺点。
关于监督和调查的小组委员会
商务委员会
美国众议院
2000年7月11日
准备了C. Paul Robinson博士的声明
总统和实验室主任
桑迪亚国家实验室
P.O.盒子5800.
新墨西哥州阿尔伯克基87185
面板2,见证2
总结
能源部长和核武器实验室的主任对有效的安全有着同样的愿望。两者都被官僚主义的低效率所阻碍。国家核安全局(NNSA)是我们以系统方式解决安全问题的最后、最好的希望。除非拥有完全的权力和自由地重新设计核设施的结构,否则核安全局的新管理者不会成功。
出现了一个错误的感知,实验室具有漠不关心的文化甚至蔑视安全性。桑迪亚国家实验室的文化被其工业管理的遗产塑造。我们的工业根源给了我们对安全的强烈文化承诺。
桑迪亚实施了一项综合保障和安全管理系统,旨在将安全性的责任整合到每个员工的日常工作中。处理分类物质的员工和承包商是必需的,并接受培训以保护其免受未经授权的访问。1999年和2000年的核武器复杂的网络安全的大量整体改进已经在大量成本上完成了。然而,对计算机安全的强大挑战仍然面临NNSA和其他联邦机构。
在20世纪90年代早期,美国能源部要求实验室停止对机密受限制数据的正式文件问责制。实验室主任们对这种变化从来都不满意。桑迪亚国家实验室将在不久的将来对机密受限制数据重新实施正式的文件问责制。类似地,在20世纪90年代中期,美国能源部的分类计划发生了改变,削弱了其有效性。
显然,国家核安全局的实验室需要继续专注于加强安全。但是,必须以在用户友好的工作环境中创建健壮的安全性的方式实现安全性增强。
介绍
主席先生,尊敬的委员会成员们,感谢你们今天给我作证的机会。我是保罗·罗宾逊,桑迪亚国家实验室的主任。桑迪亚国家实验室由美国能源部桑迪亚公司管理和运营,桑迪亚公司是洛克希德·马丁公司的子公司。
桑迪亚国家实验室是国家核安全局(NNSA)的一个多项目实验室。我们与洛斯阿拉莫斯和劳伦斯利弗莫尔国家实验室共同负责核武器的设计和管理。桑迪亚的工作是设计、开发和认证几乎所有的核武器的非核子系统。我们的职责包括武装、引信和点火系统;安全、保障和使用控制系统;为核武器的生产和拆除提供工程支持;以及对库存武器的监视和支持。我们在与核武器密切相关的项目中开展大量工作,如核情报、不扩散和条约核查技术。作为一个多项目的国家实验室,Sandia还为能源部的能源办公室进行研究和开发,并在我们独特的能力能够做出重大贡献时为其他机构工作。
安全性和官僚主义
感谢您邀请我今天就“能源部核武器实验室机密信息安全控制的弱点”这一主题发表声明。理查森部长6月21日在参议院军事委员会作证时说,他在两年任期内为改善安全所做的工作比他的前任在过去20年里所做的还要多。在我的职业生涯中,我一直活跃于DOE/AEC社区,我可以为他的说法担保。然而,尽管有如此明显的动机良好的行动和强有力的领导,我不能说我们重要的受限数据和国家安全信息比以往任何时候都更安全。我的犹豫源自于围绕着安全问题的过度复杂。
秘书和实验室主任对有效的安全表现有着相同的愿望;我们没有分歧。但我相信我们都被这个机构的官僚僵化所阻碍。从下面看,各实验室对来自部门各个办公室的相互冲突的规则和指示,以及一个又一个小组的检查人员感到沮丧。从上至下,部长通过从他自己的办公室发出指示来处理安全问题,而不是依靠该机构的内部机制来产生和执行改革。这个游戏之间的追赶的机构和那些必须实现指令,与成功的几率太少沟通或新政策的不可预见的后果,已经在几乎所有领域的问题支持能源部任务——在环境,安全,健康问题,在商业实践,金博宝正规网址和安全。
总统的外国情报顾问委员会(PFIAB)认识到这个问题的严重性。他们的报告《最好的科学;去年发表的《最糟糕的安全状况》一书将能源部描述为一个“庞大、错综复杂、令人困惑的官僚机构”。在安全性能方面,PFIAB发现“多重指挥链和性能标准否定了责任,导致普遍的低效、混乱、报告的结论是,“在能源部目前的结构和文化中,武器实验室真正持久的安全和反情报改革根本行不通”(第46页)。当然,PFIAB的建议推动了在能源部内部建立半自治的国家核安全管理局的立法。
我相信,母鹿的情况不是任何个人的错,当然不是今天在能源部负责或占领关键职位的人。正如总统的外国情报咨询委员会发现,导致目前事态的单一可识别因素是官僚机构的不懈增长。我对官僚机构的定义是当熟悉的人发现,由于必须克服的权威和官僚障碍,难以完成他们的使命职责。
我相信国家核安全管理局是我们以系统的方式解决安全问题的最佳希望。通过“修复”我的意思是在复杂的(联邦工人和承包商)中创造一种安全文化,以实现对安全目标的团队合作和相互承诺。随着事情的立场,对安全的共同目标几乎没有合作劳动。Doe的安全是一个“鸿沟” - 那些制定规则的人,以及必须遵循它们的人。写了指导和政策的人几乎没有与该领域的讨论。真正了解能够有用的技术的人有很少的输入。正如之前所说,这是一个“功能失调”的关系。
美国核安全管理局的新任行政长官约翰·戈登将军面临着相当大的挑战。但是,尽管他有资格和能力,但除非他拥有完全的权力和自由地从头开始重新设计核设施的结构,否则他是不会成功的。我知道,实验室主任和国家核安全局的联邦管理人员将全力支持他的这项工作。
桑迪亚有着积极的安全文化
出现了一个错误的感知,实验室具有漠不关心的文化甚至蔑视安全性。我可以告诉你,这种看法对于桑迪亚国家实验室来说是严重不准确的,我相信其他NNSA实验室也是不准确的。当然,我们在安全绩效的各个方面都有挑战和问题,但我认为我们认为我们在桑迪亚的安全方面拥有一个根深蒂固或普遍的“态度问题”。
桑迪亚的实验室文化是由其工业遗产塑造的,该工业遗产始于1949年,由AT&T贝尔实验室管理,1993年之后由洛克希德马丁公司继续管理。我们的工业根基使我们在文化上坚定致力于安全。工业实验室非常意识到保护专有信息安全的需要。正如我在之前对委员会的证词中所列举的,桑迪亚在没有美国能源部指导的情况下发起和实施改善安全的创新方面有着悠久的历史(见1999年10月26日我对该委员会的证词问题)。我们还有一段历史——我稍后将在我的声明中说明——挑战上级授权的政策变化,这将削弱我们对机密材料的保护和控制。
1999年6月,能源部长要求国防项目实验室停止运作,进行为期两天的密集安全训练。与实验室工作人员抵制这种ReportsReports培训的报道相反,我们的工作人员以极大的兴趣和积极的态度参与。在停工期间我们有93%的员工参与,在那之后不久我们就达到了100%。(这7%的差异是,人们先前计划休假或必要的商务旅行,生病缺席,以及重要的工作职能,如安全和医疗人员。)员工在安全会议期间提出的深思熟虑的对话和建议清楚地显示了实验室的文化,积极关注和倡导有效的安全。
在1999年对桑迪亚国家实验室的检查中,美国能源部独立监督和绩效保证办公室的检查员评价了桑迪亚管理人员的积极合作态度,对此我一点也不感到惊讶。我经常从其他审计和检查团队那里得到类似的评论。桑迪亚有一种尊重安全的文化,人们注意到了这一点。在6月能源部监督和性能保证团队最近一次访问的结束会议上,令人鼓舞的是,从检查人员那里得到了非正式的口头反馈,即Sandia目前满足了所有要求,并且在许多领域超过了最低要求。团队评论说,他们发现在经理级别上看到一种安全的所有权感觉令人耳目一新。他们还评论说,桑迪亚的保密人员对自己的职责了如指掌;他们知道该做什么,并且做得很好。
桑迪亚的安全管理
桑迪亚已经实施了综合保障和安全管理系统(isms)的所有安全责任。顾名思义,综合保障和安全管理的目标是将安全责任纳入每个员工的日常工作。我们不能让安全专家来检查缺陷;每个人都有责任建立和维护良好的安全措施。这是一个稳定的安全文化的必要属性。
ISSMS建立明确且明确的权威行,确保在所有组织层面建立和维护安全业务。桑迪亚国家实验室安全的权威和责任从我开始,通过我的副实验室主任向她报告的副总统。桑迪亚的首席安全官员协调支持行政管人员的支持资源,以其安全责任。ISSMS确保人员拥有履行安全责任所需的培训,知识和能力。它还提供了一种有效地分配资源以解决安全性和运营需求的方法。
我们的ISSMS方法强调,在执行工作之前需要确定适用的安全标准和要求。用于预防和减轻安全风险的行政和工程管制适用于正在进行的工作,并设计为工作流程。虽然我们在审查安全实践中的“新鲜眼睛”中,但借鉴了安全专业人士的知识和经验,我们获得了实际在制定有意义的安全程序方面进行工作的人的参与和创造力在办公的地方。
桑迪亚和核安全局的合作
核应急搜索队(巢)
国家核安全局通过其核应急搜救队,在打击核恐怖主义行为方面发挥了至关重要的支持作用。NEST为联邦调查局提供技术援助,以应对恐怖分子在美国使用或威胁使用核或放射性装置。NEST还支持国务院在海外扮演类似的角色。另一个小组,事故反应小组(ARG),有不同的任务,为涉及美国核武器的事故提供技术支持,这些核武器要么在能源部保管,要么在军队服役。
构成巢穴部署人员的高度选择性力量,主要来自核武器实验室。要在巢队上,个人必须经过一线和方案管理批准,具有一定的基本技术技能,通过体检,并采取额外的培训。我的经验是,巢成员是谋取和专门的个人,具有很高的责任感。巢人员志愿者进行任务,如果没有成功,可能对国家的严重后果并对团队致命。
桑迪亚国家实验室贡献了一些团队成员到巢穴。桑迪亚没有任何类似于LOS Alamos集团缺少的巢计算机媒体。桑迪亚在巢中的角色与Los Alamos和Lawrence Livermore的作用不同,主要侧重于弹头和炸弹的非核电子子系统以及计算分散事件和遏制方法的后果的方法。
桑迪亚在ARG项目中保留了一些机密的电脑媒体和笔记本电脑。这一信息与洛斯阿拉莫斯的NEST媒体有显著不同。这些机密材料都有说明。此外,在过去三周内,我们对这些项目制定了更严格的控制,包括两人规则和正式的签到/签到程序。
分类材料保护与控制
负责处理机密事务的桑迪亚雇员和承包商被要求保护和控制机密材料,防止未经授权、随意和故意访问。这一要求是新员工加入桑迪亚国家实验室后的第一件事,我们将通过每年的进修课程继续教育员工在其整个职业生涯中实施这一政策的程序。
我们教导员工关于访问分类材料的核心原则均包含在桑迪亚的保障和安全指南中,即在我们的内部网络的参考中随时可用。访问课程物质需要与个人经理确定的职位相关的需要,以及适当的安全许可。
如你们所知,理查森部长在2000年6月19日分发了一份备忘录,指示在NNSA的实验室实施某些强化保护措施。我欢迎备忘录如此明确地强调问责制。桑迪亚立即采取措施,实施或开始有关加强措施的工作,这是实验室的责任,我们将与美国国家核安全管理局负责实施其职权范围内的其他措施的办公室合作。
Vault访问的控件
桑迪亚对机密文件的存储有明确的规定。简单地说,机密材料必须存储在保险库或保险库类型的房间(或类似于保险库类型房间的军用风格圆顶屋),或存储在由总务管理局批准的钥匙或密码锁容器中,并位于上锁和报警的建筑内。桑迪亚国家实验室管理着166个存储机密文件(文件或材料)的地下室或地下室类型的房间——114个在我们的新墨西哥地点和52个在我们的加利福尼亚地点。
根据理查森部长2000年6月19日的备忘录(6月20日晚收到),桑迪亚在6月21日修改了所有金库的操作程序。我们修改了工作日志以记录所有人员的出入情况。我们还要求保险库的入口/出口点由授权进入特定保险库的人员进行连续、积极的控制。或者,对于保险库类型的房间(许多人工作的大型保险库),我们要求保险库被占用,授权人员的访问由电子系统控制。在没有这些控制的情况下,保险库必须处于锁定和警报状态。
控制电子媒体
2000年6月15日,Sandia的首席信息官员启动了对可移动分类电子存储媒体的实验室范围。该调查的目的是确定可拆卸媒体(在没有正式文件问责制的情况下可能提供妥善储存。调查发现,除了通过该部门的事件报告系统立即传达给DOE的两个相对较小的问题,除了两个相对较小的问题。金博宝正规网址第一个问题涉及一组被视为分类的未分类的商业软件程序磁盘。询问仍然活跃,但总结说,这些磁盘没有包含分类信息。另一个问题(6月30日报道)涉及尚未定位的单个3 1/2英寸,1.44兆字节的磁盘。目前正在按照DOE程序进行询问。
1999年和2000年的核武器复杂综合体的网络安全的显着整体改进已经在大量成本上完成。但是,许多潜在的漏洞继续向计算机安全呈现强大挑战。没有简单的解决方案。虽然加密可移动的媒体或较少的媒体计算可能有他们的防御系统中的地方(我相信他们这样做),但有很多方法可以在当今现代电子环境中提取信息的复杂对手。可移动媒体,电子邮件,热邮件,FTP文件传输,HTTP文件传输,支持端口的文件传输,笔记本电脑,调制解调器,网络嗅探器,视频监视器到VCR转换器,传真,邮件,复印机,双向寻呼机,电话,手机和计算机垃圾都可能是可利用的。网络安全肯定是Doe和联邦政府整体上面的最强大的安全挑战。
由于网络安全挑战的幅度,需要在整个NNSA复合物上进行系统方法。我很高兴为网络安全升级进行紧急补充资金已被国会批准,作为FY2001军事建设拨款法案的一部分。在整个核武器复合物中,在协调的时装中打击网络威胁和漏洞,筹备了筹款。
文件问责制的弱点
1991年之前,美国能源部对其控制下的所有机密数据实行完整的文件问责制。文件问责制是一种正式的系统,用于在文件从创建到销毁的整个生命周期内,清点和记录对机密文件的访问。该系统类似于普通的图书馆借阅系统,但要严格得多,该委员会的一位成员恰如其分地引用了这一系统。
1991年2月,DOE修改了其问责制规则,以降低秘密国家安全信息和“非武器秘密受限制数据”的正式文件问责制的要求。(限制数据是由包括“有关原子武器的制造或利用的数据,可裂变材料的制造或使用可裂变材料的制造或使用能力的使用数据的数据,该类别的受保护信息。)
1992年5月,DOE扩展了其修改的问责计划,包括武器相关的秘密受限制数据。DOE通知了实验室,该实验室对符合某些要求的组织的所有类别的秘密数据进行了修改要求,包括根据DOE订单5635.1A完成100%的受控文件的库存和和解。
修改后的问责计划由DOE制定,以适应国家工业安全计划,旨在标准所有联邦机构之间的安全要求。应该注意的是,在修改的问责计划之前,DOE保护了秘密受限制数据,并在国防部的最佳保护部门采用了相同的保护。
修改后的问责制方案取消了对文件、存货、销毁证书、复制书面授权和一些内部收据的唯一文件编号和维护问责记录的要求。其他未被修改的问责程序明确改变的安全程序不受影响。
不幸的是,随着问责制的改变,能源部失去了追踪谁访问了哪些秘密文件的能力,这是反情报分析的一个有用工具。虽然这一改变显然节省了资金,而且在所有联邦机构一致性的更广泛背景下是有意义的,但它降低了我们快速发现文件缺失的能力,并消除了我们正式监控机密事项访问的能力。本声明适用于印刷形式的文件和信息以及电子媒体。
实验室主任对修改文件问责制(Modified Document Accountability)的改变从来都不满意。在桑迪亚,我们最初告诉能源部,我们不打算实施修订问责计划。作为回应,能源部告诉我们,根据运营合同,完全问责的成本将不再可以偿还。桑迪亚遵守了能源部的要求,但我们保留了更高级别问责的地方选项。
1998年1月,美国能源部也取消了绝密受限制数据(以及其他绝密信息类别)的完整文件问责制。作为这一变化的一部分,能源部取消了实验室的“最高机密控制官员”职位。我很自豪地说,Sandia的员工有了更好的判断力,继续以完整的文件问责制保护绝密数据——我完全支持这一决定。
桑迪亚国家实验室一直对其控制下的所有绝密数据负责。事实上,我们也对我们认为值得持续问责的选定的机密数据保持了文件问责制。这些例子展示了我们实验室中存在的尊重安全的文化。记录显示,我们更有可能抵制削弱安全性的努力,而不是抵制提高安全性的努力(正如一些实验室批评者所指责的那样)。
1999年3月1日 - 在秘书秘书秘书主题秘书长和最高秘密问责容的三个核武器实验室董事会之后 - 我向董事向董事会致电秘书长建议使用恢复对文件问责制的前控制器尽可能快地恢复。我们要求秘书和该部的抵押议题官方评估及时恢复全额文件问责制的可行性。该请求已提交本署的安全官僚机构,并向我们所知,它从未出现过。
我有两次将修改的问责制问题带到了证词中的大会的注意:1999年5月5日和1999年10月26日向参议院能源和自然资源委员会发表声明。
在我的判断中,我们再也不能等待正式恢复完整的文件问责政策。正式问责制得到的安全性和抵制福利落在争斗中占成本。此外,正式的文件问责制将有助于保护尽职终身雇员,类似于一些员工在最近的洛杉矶阿拉莫斯事件中忍受的刑事嫌疑人。因此,我决定在最早可行的日期,桑迪亚国家实验室将重新实施秘密限制数据的正式文件问责制。我指导了Sandia的首席安全官员制定这种变革的实施计划。
分类程序的弱点
与能源部在90年代中期引入的文件问责制的变化同时,能源部的分类计划也发生了变化,在我看来,这引入了系统上的弱点。
1992年7月的分类政策研究建议了一项基本的分类政策审查。根据该建议,哈姆尔·奥尔(I'Leary秘书致力于审查所有分类政策和相关技术指导,然后修改分类指导,以反映政策的变化。Doe的基本分类政策审查于1995年3月开始,是议员秘书的开放倡议的主要组成部分。
1995年4月,总统发布了行政命令12958,“分类国家安全信息”。该指令修改了一些关于分类的现有规则,但它引入了重要的新规定,要求各机构对潜在的解密进行材料进行大规模审查。但是,该命令明确豁免受限制数据(rd),该数据由原子能法的分类规定管理。
尽管12958号行政命令排除了《原子能法限制数据》,但该指令极大地影响了能源部在其《基本分类政策审查》中对研发的分类和解密的思路。审查于1996年7月结束,建议对原子能法《限制数据法》进行实质性的第12958号行政命令的规定。新法规(10CFR1045)要求“基于公众和研究人员的兴趣程度以及审查后解密的可能性”,对用于解密的研发文件进行大规模、定期和系统的审查。
这些解密规定虽然本意是好的,但需要国防部付出一定的努力,而国防部没有能力处理这些努力。结果,美国能源部的分类机构的主要重点和人力部署从有效管理分类责任转变为有效管理解密工作。该组织甚至将其名称从“密级办公室”改为“解密办公室”。
应该指出的是,一些联邦机构使用了“批量解放”的过程作为符合执行命令12958的要求的机制。这种做法往往导致未经文件段文件发布进入公共领域的信息。在整个联邦政府中仍然有这些行动的负面影响。
在过去的几年里,Doe的分类计划在危机中已经变得明显。作为一个专业,分类领域已经成为不必要的复杂和奥雅。联邦政府的分类规则在几十年内进化了几十年,从不同的机构中发展,他们是不一致和法律复杂性的侵犯。该系统索引并协调不佳。DOE分类人员依赖于单独的DOE源材料的大约八百个分类指导的机构;他们必须熟悉数百个其他来源,该来源管理其他机构的国家安全信息的分类。DOE社区的分类专业人士 - 他们都是技术抚养人员 - 通常必须利用他们的主观良好判断来解决冲突或不明确的指导。
为了他们的信用,两年前的Doe Decrassification of Decraseification探讨了“指导平整倡议”,这应该旨在简化分类指导和减少冲突。如果分类社区可以定义需要的需要的类别的子集,这也会有所帮助,以帮助我们管理需要了解的原则。然而,DOE的分类界不成比例地分配给管理层的管理,需要更多地努力对分类计划的有效和有效的管理。
安全对工作环境的影响
作为一名实验室主任,我的职责是将这个国家最重要的实验室之一的基础设施和人才保持在最佳状态,以支持至关重要的国家安全目标。我很担心我们执行任务的人力资源。显然,国家核安全局的实验室需要继续专注于加强安全。但如果实现安全增强的方式创造了一种不信任的气氛,或产生不必要的诉讼负担,或对某些群体被认为是歧视性的,或规定处方技术人员没有输入,然后在实验室的人才会受到影响。
即使没有今天实验室面临的安全问题,在一个为技术毕业生金博宝正规网址提供非常有吸引力的机会的经济环境中,我们仍然很难吸引和留住人才。坦率地说,我们开始面临一个严重的多学科员工留用问题。考虑不周到的安全性和人的可靠性程序只会使情况更糟。
相反,NNSA必须努力创造一种让安全性做出工作的自然方式的条件。我们需要用户友好的工作环境,该环境包含强大的安全功能,以实现最大限度地保护秘密的秘密,具有最小的生产活动阻碍。我确信最好的解决方案是系统解决方案,它首先关注特定的工作活动,并从那里向外移动,建立规则 - 而不是开头的规则,指令和源于距离的政策工作场所。只有通过实验室,M&O承包商和NNSA管理层的合作努力,才能实现强大,持久的安全,该公司与国会的支持性监督。
目击者披露形式
证人姓名:C. Paul Robinson
出席身分:代表
所代表的实体名称:桑迪亚国家实验室
简历:
C. Paul Robinson担任Sandia Corporation和桑迪亚国家实验室实验室主任。Sandia Corporation是一个洛克希德马丁公司,为美国能源部运营桑迪亚国家实验室。
罗宾逊博士于1991年8月至1995年8月担任桑迪亚的实验室发展副总裁,以前担任系统分析总监。在此期间,他负责战略和运营规划,系统研究和分析,信息架构以及新的方案举措。
1988年2月至1990年10月,罗宾逊大使担任美国和苏联在瑞士日内瓦举行的核试验谈判的首席谈判代表和美国代表团团长。他由罗纳德·里根总统任命,经美国参议院确认,随后又被乔治·布什总统再次任命。这些谈判产生了两项主要协议:《最低限度禁试条约》议定书和《和平核爆炸条约》议定书。
1985年12月至1988年2月,罗宾逊博士担任Ebasco Services,Inc。的高级副总裁兼首席科学家,是一家总部位于纽约的主要工程和建筑公司。他负责本公司先进的技术部门,拥有核电的主要合同,国防和商业能源需求的先进电力系统,以及为主要美国和国际研究项目的支持活动。
Robinson博士在他的大部分职业生涯(1967-1985)在Los Alamos国家实验室,由加利福尼亚大学为美国能源部运营。最初,他作为核测试部门的物理学家,然后成为高级概念集团的成员。他开始了实验室在激光光谱,爆炸物驱动的激光,激光诱导的化学和同位素分离中的努力。罗宾逊博士领导了实验室的国防计划,负责核武器研究,开发,检测和库存维护,战略防御计划,惯性融合,核材料和保障,先进的常规武器以及军备控制和验证活动。
Robinson博士于1963年获得Christian Brothers College的物理学学士学位,1967年获得Florida State University的物理学博士学位。1989年,他还被基督教兄弟大学授予荣誉博士学位。
目前,他目前是指挥官的战略咨询小组美国战略司令部,他还担任政策小组主席,这有助于为冷空战后期间开展新的核武器政策。1991年,他担任总统技术咨询小组主席,以便核查弹头拆除和特殊核材料控制。他以前为辩护核机构以及其他政府机构的顾问提供了科学咨询小组。