监督听证会
能源部核武器实验室机密信息安全控制的弱点。
监督和调查小组委员会
商务委员会
美国众议院
二○○○年七月十一日
C.保罗·罗宾逊博士准备的发言
总裁兼实验室主任
桑迪亚国家实验室
邮政信箱5800
新墨西哥州阿尔伯克基87185
第2小组,证人2
总结
能源部长和核武器实验室主任对有效安全有着同样的愿望。两者都受到官僚低效的阻碍。国家核安全局(NNSA)是我们以系统方式解决安全问题的最后、也是最好的希望。新上任的国家核安全管理局局长不会成功,除非他有完全的权力和自由来从头开始重新设计核设施的结构。
出现了一种错误的看法,即实验室有一种漠视甚至蔑视安全的文化。桑迪亚国家实验室的文化是由其工业管理遗产塑造的。我们的工业根基给了我们对安全的坚定文化承诺。
桑迪亚实施了一个综合保障和安全管理系统,旨在将安全责任集成到每个员工的日常工作中。处理机密事务的员工和承包商必须接受培训,以防止未经授权的访问。在1999年和2000年,花费了大量成本,核武器综合系统的网络安全得到了显著的全面改善。然而,美国国家核安全局和其他联邦机构仍然面临着计算机安全方面的巨大挑战。
20世纪90年代初,能源部要求实验室停止对机密受限数据的正式文件责任。实验室主任对这一变化从未感到满意。桑迪亚国家实验室将在不久的将来重新对机密受限数据实施正式文件责任制。同样,在20世纪90年代中期,DOE的分类方案被改变,从而削弱了它的有效性。
显然,国家核安全局实验室需要继续把重点放在加强安全上。但是,必须以在用户友好的工作环境中创建强大安全性的方式实现安全增强。
介绍
主席先生,尊敬的委员会成员们,感谢你们今天给我作证的机会。我是保罗·罗宾逊,桑迪亚国家实验室的主任。桑迪亚国家实验室由洛克希德·马丁公司的子公司桑迪亚公司为美国能源部管理和运营。
桑迪亚国家实验室是美国国家核安全局(NNSA)的多项目实验室。我们与洛斯阿拉莫斯国家实验室和劳伦斯利弗莫尔国家实验室共同承担设计和管理核武器的责任。桑迪亚的工作是设计、开发和认证几乎所有的核武器的非核子系统。我们的职责包括武装、引信和点火系统;安全、保安和使用控制系统;为核武器的生产和拆除提供工程支持;以及对库存武器的监视和支持。我们在与核武器密切相关的项目中开展大量工作,如核情报、不扩散和条约核查技术。作为一个多项目国家实验室,桑迪亚还为能源部的能源办公室进行研究和开发,以及在我们独特的能力可以做出重大贡献时为其他机构工作。
安全性和官僚主义
我感谢您今天邀请我就“美国能源部核武器实验室机密信息安全控制的弱点”这一主题发表声明。理查森部长6月21日在参议院军事委员会作证时说,他在任职两年期间在改善安全方面所做的工作比他的前任在过去20年所做的工作都要多。在我的职业生涯中,我一直活跃在DOE/AEC社区,我可以为他的说法作证。然而,尽管我们采取了明显的积极行动和强有力的领导,我还是不能说我们重要的受限数据和国家安全信息比以往任何时候都更安全。我的犹豫来自于围绕安全的过多复杂因素。
秘书和实验室主任对有效的安全工作有着共同的愿望;我们没有分歧。但我相信,我们都受到了中情局官僚作风僵化的阻碍。从下面来看,各实验室对部内各部门的规章和指示的错综复杂的相互矛盾的规定和指示感到沮丧,视察人员一支接一支地向我们扑来。在上面,部长通过从他自己的办公室发出指示来管理安全问题,而不是依靠该机构的内部机制来产生和执行改革。这个游戏之间的追赶的机构和那些必须实现指令,与成功的几率太少沟通或新政策的不可预见的后果,已经在几乎所有领域的问题支持能源部任务——在环境,安全,健康问题,在商业实践,金博宝正规网址和安全。
总统的外国情报顾问委员会(PFIAB)认识到这个问题的严重性。他们的报告《最佳科学;去年发布的《最糟糕的安全》(Security at Its Worst)称能源部是一个“庞大、错综复杂、令人困惑的官僚机构”。在安全绩效方面,PFIAB发现“多个指挥链和绩效标准否定了问责制,导致普遍的效率低下、混乱,报告的结论是,“在美国能源部目前的结构和文化中,武器实验室真正持久的安全和反情报改革根本行不通”(第46页)。当然,PFIAB的建议推动了在能源部(Department of Energy)内部建立半自治的国家核安全局(National Nuclear Security Administration)的立法。
我相信,美国能源部的情况不是任何个人的错,当然也不是目前在能源部负责或担任关键职位的人的错。正如总统的外国情报顾问委员会所发现的,导致当前事态的最明显的因素是官僚主义的无情增长。我对官僚主义的定义是,当善意的、有能力的人发现难以完成他们的使命责任时,因为多重权力线和必须克服的官僚主义障碍。
我相信,国家核安全局是我们系统解决安全问题的最后希望,也是最大希望。所谓“修复”,我指的是在整个企业(联邦工作人员和承包商)中创建一种安全文化,以实现团队合作和对安全目标的共同承诺。就目前的情况来看,在安全方面,几乎没有为共同目标进行合作的感觉。美国能源部的安全是一个“分裂的家”——制定规则的人和必须遵守规则的人。撰写指导和政策的人很少与该领域进行讨论。真正了解有用技术的人很少有投入。正如之前所说,这是一种“功能失调”的关系。
国家安全局新局长约翰·戈登将军面临着相当大的挑战。但是,尽管他有资格、有能力,但除非他拥有完全的权力和自由,从头开始重新设计核设施的结构,否则他不会成功。我知道国家核安全局的实验室主任和联邦管理人员将全力支持他的这项工作。
桑迪亚有积极的安全文化
人们产生了一种错误的看法,认为实验室有一种对安全漠不关心甚至蔑视的文化。我可以告诉你们,这种看法对桑迪亚国家实验室是非常不准确的,我相信对其他核安全管理局实验室也是不准确的。当然,我们在安全性能的各个方面都遇到了挑战和问题,但我不相信我们对Sandia的安全有根深蒂固或广泛的“态度问题”。
桑迪亚的实验室文化是由其工业遗产塑造的,始于1949年由AT&T贝尔实验室管理,并在1993年之后由洛克希德马丁公司继续管理。我们的工业根基使我们对安全有着强烈的文化承诺。工业实验室非常清楚保持专有信息安全的必要性。正如我在之前向本委员会所作的证词中所列举的,桑迪亚在没有得到能源部指示的情况下发起和实施改进安全的创新方面有着悠久的历史(参见我在1999年10月26日向本委员会所作的证词的记录问题)。我们也有这样的历史——我将在后面的声明中说明——来自上级授权的具有挑战性的政策变化会削弱我们对机密材料的保护和控制。
1999年6月,能源部长要求国防项目实验室停止运作,进行为期两天的密集安全培训。与报道中实验室工作人员对ReportsReports此次培训有抵触情绪相反,我们的工作人员以极大的兴趣和积极的态度参与了此次培训。在停工期间,我们有93%的员工参与,之后不久,我们达到了100%。(7%的差异包括先前计划休假或重要商务旅行的人,因病缺勤的人,以及从事重要工作的人,如保安和医务人员。)在安全会议期间,员工提供的深思熟虑的对话和建议清楚地表明了实验室积极关注和倡导有效安全的文化。
我一点也不惊讶,美国能源部独立监督和绩效保证办公室的检查员对他们在1999年对桑迪亚国家实验室的检查中所共事的桑迪亚管理人员的积极合作态度发表了评论。我经常从其他审计和检查小组那里得到类似的评论。桑迪亚有尊重安全的文化,人们也注意到了。在能源部监督和绩效保证小组6月份最近一次访问的收尾会议上,令人鼓舞的是,检查员收到了非正式的口头反馈,大意是桑迪亚目前满足了所有要求,在许多领域超出了最低要求。该团队评论说,他们发现在经理级别看到对安全的所有权感令人耳目一新。他们还说,桑迪亚的机密保管人精通他们的职责;他们知道该做什么,并且做得很好。
桑迪亚的安全管理
Sandia已经为其所有安全职责实施了一个综合保障和安全管理系统(ISSMS)。顾名思义,综合保障与安全管理的目标是将安全责任纳入每个员工的日常工作。我们不能只是引进安全专家,让他们检查缺陷;每个人都有责任建立和维护良好的安全措施。这是稳定安全文化的必要特征。
ISSM建立了明确的权限和责任线,以确保在所有组织级别建立和维护安全运营。桑迪亚国家实验室的安全权力和责任从我开始,通过我的实验室副主任流向向她报告的直线副总裁。Sandia的首席安全官负责协调支持直线主管履行安全职责的授权资源。ISSMS确保人员具备履行其安全职责所需的培训、知识和能力。它还提供了一种有效分配资源的方法,以满足安全和运营需求。
我们的ISSMS方法强调,在开展工作之前,需要确定适用的安全标准和要求。预防和缓解安全风险的行政和工程控制措施针对正在执行的工作进行定制,并设计成工作流程。虽然我们在审查安全实践时使用了“全新的视角”,并借鉴了安全专业人员的知识和经验,但我们在制定工作场所合理的安全程序方面获得了实际执行人员的参与和创造力。
桑迪亚参与了核安全局
核应急搜索小组(NEST)
国家核安全局通过核应急搜救队,在打击核恐怖主义行动中发挥至关重要的支持作用。NEST为联邦调查局提供技术援助,以应对恐怖分子在美国使用或威胁使用核或放射性设备。NEST还支持国务院在海外扮演类似的角色。另一个小组是事故反应小组(ARG),其任务不同,即在美国核武器被能源部或军方保管期间,为涉及美国核武器的事故提供技术支持。
NEST和ARG部署人员中的高选择性部队主要来自核武器实验室。要加入NEST团队,个人必须获得生产线和项目管理层的批准,具备一定的基本技术技能,通过体检,并接受额外培训。我的经验是,NEST成员都是有责任感、尽忠职守的个人。NEST人员自愿参加一项任务,如果不成功,可能会对国家造成严重后果,并对团队造成致命伤害。
桑迪亚国家实验室为NEST提供了一些团队成员。桑迪亚没有任何与洛斯阿拉莫斯组织报告的失踪类似的NEST电脑媒体。桑迪亚在NEST中的角色与洛斯阿拉莫斯和劳伦斯利弗莫尔的不同,他们主要关注弹头和炸弹的非核电子子系统,以及计算扩散事件后果的方法和遏制方法。
Sandia确实在ARG计划下维护一些机密计算机媒体和笔记本电脑。这一信息与洛斯阿拉莫斯的NEST媒体截然不同。这些机密材料已经全部清点过了。此外,在过去三周内,我们对这些项目实施了更严格的控制,包括两人规则和正式的登录/注销程序。
分类材料的保护和控制
处理机密事务的桑迪亚雇员和承包商必须保护和控制机密材料,防止未经授权的、偶然的和蓄意的访问。这一要求是新员工在加入桑迪亚国家实验室时首先要了解的事情之一,我们将继续通过每年一次的培训课程,教育我们的员工在整个职业生涯中实施这一政策的程序。
Sandia的《安全保障指南》中包含了我们教给员工的有关获取机密材料的核心原则,该指南可作为我们内部网络的参考。访问机密信息需要个人经理确定的与工作相关的了解需求,以及适当的安全许可。
如你所知,理查森部长于2000年6月19日分发了一份备忘录,指示在国家核安全局实验室实施某些强化保护措施。我欢迎备忘录如此明确地强调问责制。Sandia立即采取措施实施或开始实施实验室负责的强化措施,我们将与负责实施其权限内其他措施的国家核安全局办公室合作。
用于Vault访问的控件
桑迪亚对机密文件的储存有明确的规定。简单地说,机密材料必须存放在保险库或保险库类型的房间(或类似于保险库类型房间的军用冰屋),或者存放在总务管理局(General Services Administration)批准的、位于上锁和警戒建筑内的钥匙或密密锁容器中。桑迪亚国家实验室管理着166个储存机密文件(文件或材料)的地下室或地下室类型的房间——新墨西哥州有114个,加州有52个。
根据理查森部长2000年6月19日的备忘录(6月20日晚些时候收到),桑迪亚在6月21日修改了所有金库的操作程序。我们修改了日志表,记录了所有人员的出入情况。我们还要求,保险库的出入点必须由被授权进入该特定保险库的人员进行持续、积极的控制。或者,对于保险库类型的房间(有许多人在其中工作的大型保险库),我们要求保险库被占用,授权人员的访问由电子系统控制。在没有这些控制的情况下,保险库必须处于锁定和警戒状态。
控制电子媒体
2000年6月15日,Sandia的首席信息官发起了一项针对可移动机密电子存储介质的实验室范围调查。本次调查的目的是确定是否对可移动介质进行了说明(在没有正式文件责任的情况下,尽可能做到这一点),并对其进行了适当的存储。调查发现,除了两个相对较小的问题外,所有持有的资产都已入账,这两个问题通过该部的事故报告系统立即传达给能源部。第一个问题涉及一组被视为机密的非机密商业软件程序磁盘。调查仍在进行中,但已得出结论,这些磁盘不包含任何机密信息。另一个问题(6月30日报道)涉及一张尚未找到的3 1/2英寸1.44兆字节软盘。目前正在按照能源部的程序进行调查。金博宝正规网址
在1999年和2000年,花费了大量成本,核武器综合系统的网络安全得到了显著的全面改善。然而,许多潜在的漏洞仍然对计算机安全提出了严峻的挑战。没有简单的解决办法。虽然加密的可移动媒体或无媒体计算可能在防御系统中有它们的位置(我相信它们确实有),但在今天的现代电子环境中,有许多方法可以让复杂的对手提取信息。可移动媒体、电子邮件、热邮件、ftp文件传输、http文件传输、启用端口的文件传输、笔记本电脑、调制解调器、网络嗅探器、视频监视器到录像机转换器、传真、邮件、复印机、双向寻呼机、电话、手机和计算机垃圾都有可能被利用。网络安全无疑是美国能源部和联邦政府面临的最严峻的安全挑战。
由于网络安全挑战的严重性,需要在整个NNSA综合体中采用系统方法。我很高兴,作为2001财年军事建设拨款法案的一部分,国会批准了网络安全升级的紧急补充资金。在整个核武器综合体中,以协调的方式应对网络威胁和脆弱性急需资金。
文件问责程序的弱点
在1991年之前,能源部对其控制下的所有机密数据实行完全文件责任制。文件问责制是一种正式的系统,用于在文件从创建到销毁的整个生命周期内清点和记录机密文件的访问权限。这个系统类似于——尽管比公共图书馆的借出系统严格得多——委员会的一位成员恰当地引用了这个系统。
1991年2月,美国能源部修改了其问责规则,取消了对国家安全机密信息和“非武器机密限制数据”的正式文件问责的要求。(限制性数据是由《原子能法》创建的受保护信息类别,包括“有关制造或使用原子武器、生产裂变材料或在生产电力中使用裂变材料的数据”。)
1992年5月,能源部扩大了其修订问责计划,将与武器有关的保密限制数据包括在内。能源部通知实验室,正在对符合特定要求的组织的所有类别的机密数据进行问责要求修改,这些要求包括按照能源部第5635.1A号命令完成受控文件的100%库存和对账。
修改后的责任计划由能源部制定,以适应国家工业安全计划,该计划旨在标准化所有联邦机构的安全要求。应该注意的是,在修改问责制计划之前,DOE保护机密受限数据,其保护级别与国防部为绝密所采用的保护级别相同。
修改后的责任计划取消了对文件、库存、销毁证书、复制书面授权和一些内部接收的唯一文件编号和责任记录维护的要求。经修改的责任计划未明确更改的其他安全程序不受影响。
不幸的是,随着问责制的改变,能源部失去了追踪谁在访问哪些秘密文件的能力,这一功能曾是反情报分析的有用工具。虽然这一变化显然节省了资金,在所有联邦机构一致性的大背景下也有意义,但它降低了我们快速检测文件缺失的能力,也消除了我们正式监控机密信息获取的能力。本声明适用于印刷形式的文件和信息以及电子媒体。
实验室负责人对修改文件责任制的变化从未感到满意。在Sandia,我们最初告诉DOE,我们不打算实施修改后的问责计划。作为回应,能源部告诉我们,根据运营合同,完全责任的成本将不再可报销。桑迪亚遵守了能源部的要求,但我们留下了更高级别的责任的地方选择。
1998年1月,美国能源部采取行动,取消对绝密限制数据(以及其他类别的绝密信息)的全面文件问责制。作为这一变化的一部分,能源部取消了实验室的“绝密控制官员”职位。我可以自豪地说,桑迪亚的员工有更好的判断力,并继续以全面的文件问责制保护绝密数据——我完全支持这一决定。
桑迪亚国家实验室一直坚持对其控制下的所有绝密数据完全负责。事实上,我们也对选定的秘密数据保持了文件责任制,我们认为这些数据值得继续负责。这些例子展示了我们实验室尊重安全的文化。以往的记录显示,我们更有可能抵制削弱安全的努力,而不是抵制改善安全的努力(一些实验室的批评者指责我们)。
3月1日,1999——电话会议后的三个核武器实验室董事和副国务卿欧内斯特Moniz在秘密和机密责任的主题——我传真请求代表董事副部长,我们建议前控制文档责任尽快恢复可能的。我们要求副国务卿和国务院的反间谍官员评估迅速恢复全面文件问责制的可行性。这项要求已提交给该部的安全部门,但据我们所知,这项要求从未出现过。
我曾两次在证词中提请国会注意修改后的问责问题:1999年5月5日,我在参议院能源和自然资源委员会的发言中,以及1999年10月26日,我在这个小组委员会的发言中。
在我看来,我们再也不能等待正式恢复全面的文件问责政策了。正式问责制在安全和反间谍方面所带来的好处绝对大于成本。此外,正式的文件问责制将有助于保护尽职的员工免受刑事怀疑的侮辱,类似于一些员工在最近的洛斯阿拉莫斯事件中不得不忍受的情况。因此,我决定桑迪亚国家实验室将尽早对其控制下的机密受限数据重新实施正式文件责任制。我已经指示桑迪亚的首席安全官制定一个实施计划。
分类程序的弱点
与能源部在1990年代中期提出的文件问责制的变化并行,DOE的分类方案也发生了变化,在我看来,这一方案引入了系统性弱点。
1992年7月的一项分类政策研究建议进行基本分类政策审查。根据该建议,哈泽尔·奥利里部长承诺能源部审查所有分类政策和相关技术指南,然后修订分类指南,以反映政策的变化。能源部的基本分类政策审查于1995年3月启动,是奥利里部长开放倡议的主要组成部分。
1995年4月,总统发布了第12958号行政命令,“保密国家安全信息”。该指令修改了一些现有的保密规则,但引入了重要的新规定,要求机构对可能解密的材料进行大规模审查。然而,该命令明确豁免了受《原子能法》分类规定管辖的受限数据(RD)。
尽管第12958号行政命令排除了原子能法限制数据,但该指令极大地影响了美国能源部在其基本分类政策审查期间对研发的分类和解密的思考。审查于1996年7月结束,提出了对监管改革的建议,这些改革主要适用于《原子能法限制数据》第12958号行政命令的规定。新规定(10CFR1045)要求“根据公众和研究人员的兴趣程度以及审查后解密的可能性”,对研发文件进行大规模、定期和系统的审查。
解密条例虽然用意良好,但要求该部作出它没有能力处理的努力。因此,美国能源部分类组织的主要重点和人力部署从有效管理分类责任转变为有效管理解密工作。该组织甚至将名称从“保密办公室”改为“解密办公室”。
应该注意的是,一些联邦机构使用“批量解密”过程作为满足12958号行政命令要求的机制。这种做法往往导致不适当的信息在没有逐项审查的情况下被发布到公共领域。今天,整个联邦政府仍然感受到这些行动的负面影响。
在过去几年里,能源部的分类计划显然处于危机之中。作为一个专业,分类领域已经变得不必要的复杂和神秘。联邦政府的分类规则经过几十年的演变,来自不同的机构,充满了不一致和法律上的复杂性。这个系统的索引和协调都很差。能源部分类官员仅就能源部来源材料而言,就依赖于大约800个分类指南来源;他们必须熟悉其他机构管理国家安全信息分类的数百个其他来源。能源部的分类专业人员——他们都是具有技术学位的人员——经常必须使用他们主观的良好判断来解决冲突或不明确的指导。
值得赞扬的是,能源部解密办公室在两年前启动了一项“指南扁平化计划”,该计划将大大简化分类指南并减少冲突。如果分类界能够定义“需要知道”类别的子集,以帮助我们管理“需要知道”原则,这也会很有帮助。然而,DOE中的分类团体被不成比例地分配给解密工作的管理,需要投入更多的精力来高效和有效地管理分类计划。
安全对工作环境的影响
作为一名实验室主任,我负责维护国家最重要的实验室之一的基础设施和人才,以支持至关重要的国家安全目标。我担心我们执行这项任务的人才储备。显然,核安全管理局的实验室需要继续专注于加强安全。但如果实现安全增强的方式创造了一种不信任的气氛,或产生不必要的诉讼负担,或对某些群体被认为是歧视性的,或规定处方技术人员没有输入,然后在实验室的人才会受到影响。
即使没有实验室今天面临的安全问题,在一个为技术毕业生金博宝正规网址提供非常有吸引力的机会的经济中,我们仍然很难吸引和留住人才。坦率地说,我们正开始面临一个严重的多学科员工保留问题。考虑不周的安全和人力可靠性程序只会让情况变得更糟。
相反,国家安全局必须努力创造条件,使安全成为一种自然的工作方式。我们需要一个用户友好的工作环境,该环境结合了强大的安全功能,能够最大限度地保护机密,同时最大限度地减少对生产活动的阻碍。我确信,最好的解决方案将是系统解决方案,该解决方案从专注于特定的工作活动开始,然后向外移动以建立规则——而不是从远离工作场所的规则、指令和政策开始的解决方案。只有通过实验室、其M&O承包商和NNSA管理层的合作,以及国会的坚定但支持性监督,才能实现强大而持久的安全。
目击者披露形式
证人姓名:C.保罗·罗宾逊
所涉身份:代表
代表的实体名称:桑迪亚国家实验室
简历:
C. Paul Robinson,他是Sandia Corporation的总裁和Sandia National Laboratories的实验室主任。桑迪亚公司是洛克希德·马丁公司的子公司,为美国能源部运营桑迪亚国家实验室。
1991年8月至1995年8月,Robinson博士担任Sandia实验室开发副总裁,此前曾担任系统分析主管。在此期间,他负责战略和运营计划、系统研究和分析、信息架构和新项目计划。
1988年2月至1990年10月,罗宾逊大使担任首席谈判代表和美国代表团团长,参加了在瑞士日内瓦举行的美国和苏联核试验会谈。他由罗纳德·里根总统任命,经美国参议院确认,随后由乔治·布什总统再次任命。这些谈判产生了两项主要协议:《门槛禁试条约》议定书和《和平核爆炸条约》。
从1985年12月到1988年2月,Robinson博士担任Ebasco Services, Inc(总部位于纽约的主要工程和建筑公司)的高级副总裁和首席科学家。他负责公司的先进技术部门,主要合同涉及核能、国防和商业能源需求的先进电力系统,并支持美国和国际重大研究项目的活动。
罗宾逊博士早期职业生涯的大部分时间(1967-1985年)都在洛斯阿拉莫斯国家实验室(Los Alamos National Laboratory)度过,该实验室由加州大学(University of California)为美国能源部(U.S. Department of Energy)运营。起初,他在核试验部担任物理学家,后来成为高级概念组的成员。他开始了实验室在激光光谱学、炸药驱动的激光、激光诱导化学和同位素分离方面的努力。罗宾逊博士领导了该实验室的防御项目,负责核武器研究、开发、测试和储存维护、战略防御倡议、惯性聚变、核材料和保障、先进常规武器以及军备控制和核查活动。
罗宾逊博士于1963年获得基督教兄弟学院物理学学士学位和博士学位。1967年毕业于佛罗里达州立大学物理学系。1989年,他还获得了基督教兄弟大学的荣誉博士学位。
他目前是美国战略司令部总司令战略咨询小组的成员,同时也是政策小组的主席,该小组正在帮助制定冷战后时期的新核武器政策。1991年,他担任核弹头拆卸核查和特殊核材料控制总统技术咨询小组主席。此前,他曾在国防核局效应科学咨询小组(Scientific Advisory Group on Effects)任职,并担任其他政府机构的顾问。