保安政策谘询委员会
年度报告——2000年CY2001年1月25日
总统
通过:
赖斯博士
白宫
华盛顿特区20500主题:咨询委员会年度报告
背景保安政策谘询委员会(SPAB)由总统决定第29号指令,就精简和改进联邦安全政策和程序所需采取的行动提供非政府和公众利益的观点。我们的参考框架是PDD-29和联合安全委员会的报告(JSC) 1994年2月28日和五年后续行动JSC II报告,日期为1999年8月24日。
我们的一部分是我们的宪章是通过国家安全顾问提供总统我们关于执行JSC报告中包含的建议的调查结果的年度报告,重点是PDD-29中的四个关键原则,即安全政策:1ReportsReports)匹配威胁;2)保持一致,并使我们能够有效地分配稀缺资源;3)结果公平和公平的待遇;4)提供我们所需的安全性。
为了执行我们的任务,我们在一年中举行了一系列公开会议,讨论了一系列安全问题,并以大众征求公众的投入,重点是业务所要求的业务符合政府安全标准。金博宝正规网址为了鼓励公众参与,我们的会议在联邦登记册上宣布,在有重大浓度的政府承包商,经常与会议,公约或其他工业安全组织的其他集会一起进行。2000年,会议在圣莫尼卡,加利福尼亚州,剑桥,马萨诸塞州,阿灵顿,弗吉尼亚州和奥兰多,佛罗里达州。
安全策略董事会(SPB),作为政府间机构实施PDD-29所列的安全改进,现已在运行六年。董事会已成功解决了过去报告报告的许多重要问题。ReportsReports金博宝正规网址解决与PDD 29目标相关的许多问题的进展尚未像我们预期的那样迅金博宝正规网址速。尽管如此,咨询委员会继续相信SPB是政府间安全需求行动的合适车辆。
过去一年出现了一些显着的成就。经过几年的努力,对信息安全的指导已经协调并发布为第8章国家工业安全计划操作手册(NISPOM)。为有争议的通关侦查标准提供一些分析依据的研究正在进行中并取得进展。现在正在进行严肃的工作,为特殊准入项目的安全提供统一标准。其他一些重要的安全问题现在也非常明显,而且仍在继续取得进展。金博宝正规网址
尽管如此,总体进展缓慢得令人沮丧,要提供实现PDD 29目标的手段和动力,还有很多工作要做。一年前,成立了一个执行委员会,以加快进程,并就副部级或机构级以下可以决定的问题作出执行决定。金博宝正规网址虽然这提供了一些加速,但迄今为止的结果并没有达到预期。在一些领域,如安全许可调查和数据库,安全管理的不足继续消耗过多的资源,而在其他领域,如网络防御,仍然没有足够的结构和程序来应对风险。
我们属性这一持续的缺陷缺乏可行的政府安全战略——一个由明确的章程和支持所需的资金和职位负责高效和有效的安全在足够高的水平在政府机构,以确保持续适当关注。
需要加强关注和加快进展的关键领域包括:
人员的安全
清理积压
对国防部来说,支持安全许可的调查过程中积压问题的范围现在已得到充分了解,现在有了对提供充分和及时的许可程序所需的时间和资源进行现实评估的基础。有一个合理定义的计划来解决清理当前积压的最直接和成本最高的问题。实现这一目标的现实估计是在两到三年之间。顾问委员会赞同这个计划,尽管这意味着在人们等待他们需要的许可时继续浪费和挫折。但该计划不会产生持久的成功,除非对三个不可减少的需求有坚定的承诺:一个准确预测并对安全许可的需求提供合理控制的过程;规划过程,以确定满足要求所需的资源;还有一个提供充足资源的项目。目前的情况是有35万份初步背景调查和16.2万份重新调查正在系统中,还有30万份以上尚未提交给国防安全服务。造成这种情况的原因是未能满足这三种需要中的任何一种。在整个部门中,仍然没有一个足够的过程来预测和控制需求,也没有保证有足够的优先级来确保资源。
临时许可
除了大量和昂贵的积压,还有数以万计的国防部和国防承包商个人持有临时许可,等待调查。仅国防工业就有三万九千名临时雇员。然而,DSS说,他们现在可以在180天内完成对授予承包商的中期调查。临时许可政策是为了允许显然值得信任的人迅速开始生产性工作,但也会增加一些安全风险。如果不延长,这种轻微的增加是适当的,但有些临时许可已经过了好几年。目前没有办法在没有背景调查的情况下评估与许可相关的风险,因此也没有办法对它们进行优先排序。鉴于目前临时许可的情况,不太可能支持和执行清理临时许可的大规模计划。不过,我们可以从现在开始着手制定一个解决方案,对新的临时许可实行6个月的限制。这将再次要求临时许可在预计的总许可范围内,并要求资源以提供适合所有许可的许可水平的背景调查为基础。
为了提供准确的预测和对许可要求的控制,国防部需要在服务级别建立中央需求办公室来审查、质量控制、并对调查进行优先排序,以便在快速基础上完成临时和其他高度优先的批准,并控制对调查的不必要需求。DSS为国防工业建立了这样一个办公室。
质量与数量
同样重要的是,高级领导不允许压力清理积压,以导致对调查质量的关注不足,同时一定深刻地追求调查数量问题。接受一些延伸在解决积压时比浪费资源更好的是,更好的是浪费不足的调查。
调查标准
为背景调查提供足够资源的问题的一部分是对当前背景调查要求的某些方面的效力的持续争议。有争议的问题包括社区检查的效金博宝正规网址用,电话和面对面采访的使用,以及需要重新调查的频率。目前的一套标准是达成政府间协议使各部门和机构之间的许可互惠成为可能所需的一系列妥协的结果。妥协是基于最好的集体判断,但没有可信的研究和分析支持。提供这一基础的努力花费的时间太长,需要迅速完成,并作出协调一致的努力,以结束关于调查要求的争议。
特殊访问程序
在计划应用特殊准入计划的通用标准方面已经做了有价值的工作。一份商定的政策文件已送交国家安全委员会工作人员批准和发布。我们鼓励国家安全委员会尽快检讨和公布这些标准和程序。
即使颁布标准,用于确定SAP访问和授予互惠的系统也不会在没有准确可访问的数据库的情况下工作。应提供资金来建立和维护此类数据库。我们认为,这样做的成本将超过与不必要的调查和/或审裁相关的费用和延误的减少。此外,在存在这样的数据库之前,没有保证所有适当的安全管理人员意识到涉及具有多个SAP访问间隙的个人的许可适用性问题。金博宝正规网址
信息安全
信息安全——可靠和值得信赖的人员
联合安全委员会II再次强调了信息安全的重要性,这一问题的一个维度是兽医人员的要求,虽然它们可能不需要访问分类信息,但有程序访问政府信息架构的关键部分。这些人损害安全损害的可能性远远超过绝大多数安全许可持有人。尽管如此,我们在建立确定这些个人的可靠性和可信度方面没有进展。这仍然是信息安全的重要潜在漏洞。
信息安全-权力和责任
正如我们在我们的1999年的报告,国家当局,信息安全领域的职责和章程仍然含糊不清,在某些情况下,在冲突中。在政府中解决这个问题需要有更大的紧迫感。有明确的认可,这是一个复杂的地区,涉及政府和私营部门的多重股票和利益。尽管如此,在有理性和经营的政府的进步方面之前,还有很少的理由期待进展。
政府中信息安全部门目前的结构和章程的发展速度赶不上新出现的威胁。对这一威胁的政府响应的增量性质导致了立法、法规、政策文件和宪章分配往往是不明确的、重叠的,有时是矛盾的。然而,几乎没有什么领域比政府获取、利用和依赖其信息的能力对政府的有序职能更重要了。保护这一关键资源的责任需要合并和集中。我们坚决支持立即努力解决这个努力通过总统指令和/或立法,并建议国家安全顾问直接SPB召开的联合主席组成的一个小组的成员SPB执行委员会起草所需的指导,和指令,或者推荐必要的立法。
信息安全——深度网络防御
我们对在了解这一领域、分配责任和建立计算机网络防御机制方面取得的进展感到鼓舞。在国防部内部,作战责任已经分配给了美国空间司令部,一个计算机网络防御联合特遣部队已经在国防信息系统署建立,由DISA的副主任担任指挥官,CND JTF。这是组织起来的一个良好开端,但我们仍然相信,需要有专门的项目,以快速应对威胁能力的变化,并吸引和保留所需的专业知识。我们还看到,有必要大大加强对保护关键网络(包括机密和非机密网络)免受拒绝服务的重视。适当的保护必须包括对包含备份和恢复规定的体系结构的要求。
此外,目前还没有一个具有政府间责任的组织的章程,在应对对美国计算机网络的攻击时,有关当局的行动也存在很大的混乱。
威胁定义
由于缺乏任何明确的威胁数据,行业仍然令他们无法进行有意义的威胁管理。虽然国家抵抗中心是提供此数据的逻辑焦点,但它在这样做方面并不有效。我们希望CI-21研究将导致创建一个用于向工业消费者提供有意义的威胁数据的装置。