安全政策咨询委员会
1999年12月8日
总统
通过:
Samuel R. Berger先生
白宫
华盛顿特区20500主题:咨询委员会年度报告
背景安全政策咨询委员会(SPAB)被包租总统决策指示291994年9月16日,提供了关于简化和改善联邦安全政策和程序所需的行动的非政府,公共利益观点。我们的参考框架已成为PDD-29和基础建议联合安全委员会的报告(JSC)于1994年2月28日日期。今年我们加入了JSC II的报告,1999年8月24日。
我们的一部分是我们的宪章是通过国家安全顾问提供总统我们关于执行JSC报告中包含的建议的调查结果的年度报告,重点是PDD-29中的四个关键原则,即安全政策:1ReportsReports)匹配威胁;2)保持一致,并使我们能够有效地分配稀缺资源;3)结果公平和公平的待遇;4)提供我们所需的安全性。
与我们的任务保持一致,我们在去年举行了一系列公开会议,讨论了特定的安全问题,并征求了大众的投入,特别强调行业。金博宝正规网址为了鼓励公众参与,我们的会议在联邦登记册中宣布,在有重大浓度的政府承包商,偶尔于会议,公约或其他工业安全组织聚会的地方举行。在过去的一年里,会议在华盛顿西雅图举行;明尼苏达州明尼阿波利斯 - 圣保罗;和拉斯维加斯,内华达州。
在这方面,我们的第三年的活动,我们继续关注人事安全问题,也深入参与了联合安全委员会II(JSC II)的审议,这将其重点扩大到确保政府信息系统。金博宝正规网址SPAP成员在JSC II上致力于JSC II报告中的建议。
一般意见
安全政策委员会(SPB)进程继续推进PDD-29的目标,但进步是不平衡的,并且可以在资深领导层的一些重组和更好的重点进行过程中更有效。为此,我们强烈支持JSC II推荐的结构变化。SPB联合椅强烈支持对这些变化的需求,并正在进行实施行动。
在政府的关键部分中,与突出的安全问题的解决方案有关的紧迫性,而不是去年报告时的情况。过去一年的一些发展突出了对人员安全和电子安全的关注的需要。这两个领域都受到增加的关注。另一方面,在整个流程速度缓慢的情况下,仍然存在简化安全实践的缓慢,以及他们中的一些人的持续性,繁琐,侵扰性和昂贵的性质,继续存在显着挫折。我们认为JSC II报告突出了许多这些领域,如果采用建议,可能会产生重大效率。
附件突出了咨询委员会的五个领域,旨在增加焦点和加速进展,以满足PDD-29的目标。
尊敬,
[签]
拉里D. Welch.
主席
安全政策咨询委员会附件:如上所述
需要增加焦点和加速进展的关键领域 人员安全
资源和管理缺陷不足导致未能达到秘密和最高秘密清关的商定标准,并在国防部创造了对人事安全质量的广泛影响的大型清关积压,与其他机构的互惠互惠,以及人员国防工业的成本。国防部领导已采取一系列行动来纠正这些缺陷,提供资源和领导力重点。
联合安全委员会二是若干建议,旨在改善焦点和人事安全进程。安全政策委员会目前正在履行这些建议。他们包括:
有必要扩大当前人员安全结构的额外焦点区域,以包括为拥有敏感但未分类的政府信息,运营或职责的个人提供适当性,可靠性和可信度的流程。分类信息敏感性与可靠和值得信赖的人们处理敏感的未分类信息的敏感性之间的区别变得不太有意义。JSC II建议SPB发展和转发给NSC建议的新行政订单,以确定更全面的人员安全方法。
- 现在执行标准进行初始清关和重新调查。
- 以明确的指导指定国防安全服务的新董事
- 添加资源来清除大量积压的初始清理
- 检查重新调查中的大积木,将相关的风险分类并首先解决最高潜在的风险案件
- 提供社区范围的调查/清除数据库,以消除重复的调查和许可程序,并确保清除个人的有效记录
信息安全 - 权威和责任
信息安全领域的国家当局,职责和章程仍然存在暧昧,在某些情况下,在冲突中。在政府中解决这个问题需要有更大的紧迫感。有明确的认可,这是一个复杂的地区,涉及政府和私营部门的多重股票和利益。尽管如此,在有理性和经营的政府的进步方面之前,还有很少的理由期待进展。
政府中信息安全部门目前的结构和章程的演变速度赶不上新出现的威胁。对这一威胁的政府响应的增量性质导致了立法、法规、政策文件和宪章分配往往不明确、重叠,有时是矛盾的。然而,几乎没有什么领域比政府获取、利用和依赖其信息的能力对政府的有序职能更重要了。保护这一关键资源的责任需要合并和集中。我们坚决支持立即努力解决这个努力通过总统指令和/或立法,并建议国家安全顾问直接SPB召开的联合主席组成的一个小组的成员SPB执行委员会起草所需的指导,和指令,或者推荐必要的立法。
信息安全 - 深度网络防御
政府需要承诺为分类和关键的未分类网络制定“深度防守”,这些网络,这些网络在网络攻击下构建这些网络以“抗拒 - 识别 - 恢复”。
目前用于描述“纵深防御”的“检测-保护-响应”模型着重于保护数据,而相对较少地强调探测渗透或响应攻击等通常更为困难的问题。卡耐基-梅隆大学计算机应急响应小组采用的“抵制-恢复-响应”模型是保护政府信息系统的一种更有用的方法。虽然一些政府系统将需要只有政府来源才能提供的级别的保护,但商业方法可以大大有助于保护许多政府网络。
即使通过进入控制的第一线抗辩抵抗渗透的主要重点,也有重要措施可用,在政府系统中不受广泛使用。这些措施包括使用令牌代替各级密码和认证。这些措施的使用在商业世界中正在迅速增加,并且随时可用。但是,政府采用这些保护措施缓慢。
类似地,支持由未经授权的访问造成的系统内部防御中的第二线的技术 - 在加速步伐和政府应密切关注并评估这些政府使用方法的发展。
对于许多政府网络来说,最毁灭性的影响将来自信息,而不是披露信息,而是从拒绝服务。第三行防御线 - 从拒绝服务攻击的数据妥协和快速恢复的迅速响应 - 需要是关键网络中的设计要求。
JSC II和Spab仅发现了对第二和第三行的防御线的最小关注。
工业安全指导
SPAB公开会议上最持久和一致的投诉是持续延迟向行业提供信息安全指导。经过长期延迟,SPB结构在完成此指导方面取得了重大进展。尽管如此,直到它在街道上并由行业和政府理解,这将在满足PDD-29的目标方面继续是一个显着的弱点。
定义威胁
联合安全委员会推荐用于安全社区可用的威胁数据的单一清算室,特别强调确保该数据随时可用。尽管如此,租船和资助组织的进展情况几乎没有进展,以提供此支持。我们继续相信,国家抵抗力中心(NACIC)是这项责任的逻辑实体,但需要扩大其宪章和增量人员配置和资金,以便在威胁范围内提供支持。PDD 29的基础是基于安全性将响应既定威胁的假设。在安全指令中要求的风险管理方法假设理解威胁的合理反应。因此,在理解各种情况下的威胁方面提供支持对于实施PDD 29中的指导至关重要。由于这种需求被广泛认可,它已经超过五年。是时候让它发生了。