Kenneth Senser的声明，以增强联邦调查局的内部安全性 - 乐动登陆,乐动冠军,乐动体育赛事

2002年4月9日

记录的声明
肯尼思·H·传感器
Assistant Director, Security Division
联邦调查局

在
增强联邦调查局内部安全性

之前
美国参议院
司法委员
华盛顿特区。

早上好主席莱希（Leahy），赫奇（Hatch）参议员和委员会其他成员。我最初于2001年7月18日与您谈了我们对联邦调查局安全计划的分析以及我们将内部安全操作转变为完全能够解决该局面临的多元化和强大威胁的工作所做的工作。我很高兴再次回来，为委员会提供有关联邦调查局在此问题上的进展的最新日期，并赞扬韦伯斯特法官及其对联邦调查局安全计划审查的委员会所做的全面且极为有益的工作。

您对确保联邦调查局在安全环境中运作的持续兴趣非常感谢，因为没有国会的支持，这种迫切需要的转型将无法完成。我们还赞扬韦伯斯特法官及其委员会对联邦调查局内部安全计划的极为详细和独立的审查。他们努力的产物将为联邦调查局服务，以便在我们需要在影响我们内部安全的多个方面处于衡量标准。当时董事FreeH兼总检察长Ashcroft要求韦伯斯特法官承担这项关键任务时，我们的希望和期望与他和委员会所交付的委员会完全综合且残酷地坦率地评估了我们的位置以及我们需要的地方。这将是我们的路线图。

正如我在以前的证词中提到的那样，在被逮捕前特工罗伯特·汉森（Robert P. Hanssen）的间谍活动之前，联邦调查局采取了一些有限的步骤来改善其安全计划，该计划被分散，散布在几个不同的部门中，并且实际上不足许多尊重。该计划缺乏综合的愿景和安全计划，往往协调不足，效率低下且不有效。除了物理安全之外，简洁的安全性并未被灌输到文化中，这是必须每天实践，观察和改进的优先事项。此外，正如我先前所证明的那样，联邦调查局在2000年初在安全计划中的七个领域确定，需要更加专注。通过他的建议，韦伯斯特法官为每个领域提供了特定而合理的指导。

自从我7月的证词以来，其他两名美国公民因间谍活动而被捕-Brian P. Regan是被分配给国家侦察局的空军成员，而国防情报机构的雇员Ana Belen Montes则被捕。此外，9月11日，基地组织成员对美国进行了令人发指的恐怖主义行为。这些行动证明了这样一个前提，即美国有一些对敌对者将无所事事地损害该国利益。联邦调查局，我们的许多员工以及文件中的敏感信息是各种各样的对手的吸引力目标，他们不断努力阻碍调查行动，获得这些敏感信息，并启动并对局人员或设施实施报复行动。由于所有这些原因，我将把我的公开言论仅限于对联邦调查局所取得的进展的更通用的描述，我很高兴在闭幕式中为委员会提供更全面的简报。

韦伯斯特委员会的建议

韦伯斯特法官确定了整个联邦调查局内部安全计划中需要进行广泛改进的必要性。他的报告得出的结论是，在研究过程中，大多数安全元素都存在严重的缺陷。某些已确定的漏洞比其他漏洞更为关键，并且代表了FBI操作安全性的更大程度的风险。委员会将其建议分为以下类别：

组织结构

信息系统安全

人员安全

文档安全性

对作为委员会建议基础的漏洞的审查为FBI先前确定的原始七个关键领域提供了可追溯性，这是不太需要改进的。委员会几乎没有安慰，但没有发现其他人。但是，这并不能减轻多年来发生的缺点的严重性，也不能减轻必须与解决这些问题相关的紧迫性。因此，我们与韦伯斯特法官完全同意。

自汉森（Hanssen）于2001年2月被捕以来，联邦调查局（FBI）一直在努力改变其安全计划，我们非常感谢韦伯斯特法官在这些努力方面的帮助和指导。缺点和相应漏洞的严重性决定了即使在进行外部审查的情况下，我们也会进行。由于他们的帮助，这两个努力是免费的，这使得取得了很大的进步。正如韦伯斯特法官指出的那样，仍然需要更多的进展。韦伯斯特委员会的报告和建议将是此过程中极有价值的工具。

The remainder of this statement will be devoted to bringing the Committee up-to-date on what has already been accomplished and a brief description of the additional Security Program improvements we plan on making in the future, guided, of course, by the recommendations and observations reflected in the report.

临时安全性改进的状态

2001年3月下旬，前董事路易·J·FreeH（Louis J. Freeh）采取了许多与内部安全有关的行动，旨在立即改善联邦调查局的内部安全性。这些步骤包括任命助理董事（AD）的工作组，以确保完全识别和有效实施临时安全改进，从国家安全部门（NSD）删除安全计划及其成立单独向当时副主任托马斯·普卡德（Thomas J. Pickard）报告，我被任命为负责安全计划方向的执行经理，并采用了详细的安全政策流程。

启动了以下其他临时安全性更改：

Enhanced Computer Audit Procedures：韦伯斯特委员会的报告描述了罗伯特·汉森（Robert Hanssen）如何轻松折衷于大约26个计算机磁盘所包含的信息，代表约6000页的材料，其中大部分是通过剥削关键的FBI调查数据库，自动案例支持（ACS）系统而获得的。汉森不需要在计算机系统内“破解”。他的“合法”许可使他能够冲浪系统并找到价值信息，以支持他持续的间谍活动。

Shortly after Hanssen's arrest, former Director Freeh instructed our personnel to implement regular reviews on our most sensitive cases -- reviews that can highlight all individuals who have looked at the case files -- so that the case agents and their supervisors can be responsible for assuring these cases are being accessed by only those with a need to know. A process was established, using the regular file review mechanism whereby agents discuss investigative progress with their supervisors every 90 days, to review the Document Access Report within the Electronic Case File segment of ACS. Through this review, case agents assigned to the most sensitive investigations are responsible for resolving potential unexplained accesses.

该过程的启动是一个很好的开始，但仍然不足。ACS的一个主要缺点是其操作的复杂性及其缺乏用户友好性。韦伯斯特委员会报告强调，尽管ACS从成立中包含了这些案例审核和跟踪工具，但很少有用户知道它们可用或不了解如何访问它们。最终，通过实现称为虚拟案例文件（VCF）的新案例管理系统以及适用可靠信息保证（IA）原则的应用，可以减轻此漏洞，以下更详细地描述。这两者都是在该委员会最近的一次听证会上讨论的。借助国会提供的资金，联邦调查局将在管理信息和管理信息安全方面取得巨大的飞跃。

为了解决此问题，直到VCF和IA计划可行，联邦调查局的信息资源部开发了一个用户友好的应用程序，称为案例文档访问报告（CDAR），该应用程序将促进案件审计过程，并提供案件代理商及其主管更多监督功能。CDAR刚刚完成了所有新软件应用程序所需的认证和认证过程，部署将很快开始。结合此部署，将向ACS用户提供有关与ACS调查数据库相关的安全性的更为集中的教育和意识。

Expanded Polygraph Program：在汉森的职业生涯中，他从未参加过测谎仪检查。1994年，联邦调查局（FBI）建立了一项要求在所有新员工开始服务之前测试所有新员工的要求。此外，具有访问某些敏感程序或病例的个人是多重的，并且在严重的内部查询中也被使用以解决无法解释的异常和歧义。

Former Director Freeh ordered after Hanssen's arrest periodic polygraph examinations for those individuals, who by the nature of their assignment, have broad access to our most sensitive information. Polygraph examinations were also ordered for those employees serving in overseas assignments.

由于有限的测谎仪扩展变得有效，因此已经进行了接近700次反情报（CI）的检查。虽然占据最敏感信息的职位的最初人口估计接近550，但该人口是动态的。例如，随着员工退休，选择了这些职位的新现任者，并最终选择了测谎仪。多数勤业的员工已经成功完成了该过程。我们继续与一百分之一的测试人群合作以解决异常。我们开发了一个试图解决异常结果的过程，该过程考虑了一个事实，即测谎仪只是健康人员安全审查计划的一个要素，并保证，虽然有必要修改员工在员工期间访问信息的敏感性询问，仅基于测谎仪结果，就不会对员工采取不良行动。尽管迄今为止的测谎仪考试中尚未浮出水面，这与汉森案的严重程度相同，但该过程已经确定了较低的安全违法行为和其他行为，这些行为已导致联邦调查局的职业责任办公室（OPR）推荐用于适当的纪律考虑。这是改变安全意识文化的必要组成部分。

FBI Director Robert S. Mueller, III, recently agreed to a new risk-based framework for the Polygraph Program and slightly expanded the pool of employees subject to CI-focused examinations. I will discuss this in greater detail later in my statement.

Enhanced Reinvestigation Analysis：韦伯斯特委员会的报告确定了汉森1996年对安全性重新研究期间浮出水面的许多问题，这些问题应该被认为是“危险信乐动冠军号”。某些参考文献似乎没有被调查人员提起，并且没有迹象表明安全许可裁决人员在决定对案件有利的统治时所做的不仅仅是完成“检查清单”。在汉森职业生涯中，还有其他可疑的事件从未被整合到严格的分析过程中，这可能导致决定进一步审查他的可信赖性。

前董事FreeH于2001年3月要求建立安全计划内的增强分析能力，以进行安全裁决并解决因访问最敏感信息的人的重新估算而引起的任何异常。为此，我们在安全计划中建立了一个单独的单元。该单元还可以作为CI安全集成的重点。它由代理部门负责人和两位代理主管组成。14个承包商（已退休的FBI代理）正在进行分析。已分配了其他员工资源以建立增强的财务分析能力。他们的使命很简单：确保潜在的“危险信号”的信息，无论它们有多么不同，以迅速的方式进行了完全分析，调查和解决。过去没有发生。

与扩展的测谎仪使用一样，我们通过增强分析过程和其他导致OPR转介的行为确定了一些安全违法行为。此外，在至少一个情况下，这个新单元确定了不良的操作实践，这些实践可能会对我们进行有效CI调查的能力产生负面影响。由于这一发现，采取了补救措施。同样，这些转介在解决个人缺点的同时，是将文化更改为接受安全和安全意识的文化的重要组成部分，作为当天开展业务的基本要素。

实施的其他措施: During my testimony in July 2001, I described a number of other initiatives directed by former Director Freeh to facilitate the continued incorporation of security into the FBI culture so that it is recognized as an integral part of operations. These initiatives included:

通过要求他们直接向负责助理董事或负责特殊代理人的助理董事提供直接报告能力，从而提升了该领域的安全官员的角色。

Requiring that each Assistant Director in Charge or Special Agent in Charge establish a Security Council.

为FBI员工开发和进行培训，并就特定工作要求（安全人员）进行培训。

获得情报界的安全专业知识和支持。

提高敏感隔室信息（SCI）的安全性。

自7月以来，这些领域以及其他地区都取得了重大进展。在我的声明稍后将进一步发展。

联邦调查局安全计划转换的状态

我先前向委员会描述了FBI安全计划的分裂和混乱，该计划在七个关键重点领域中被捕获。韦伯斯特委员会的报告清楚地阐明了安全性“破坏”的程度。如果有任何疑问，现在应该很明显的是，所需的不是“创可贴”方法，而是对安全计划的完整转换。在7月的证词中，委员会了解了15项倡议的优先清单，这些倡议将作为转型的路线图。我指出，尽管这些类别得到了优先级，但将提案切成碎片是无效的。我还强调，这种大小的转换将需要时间。必须仔细计划和执行它，必须将其灌输到我们的员工中。

为了使委员会更好地了解去年开始的全部安全改进，我们的成就已被列入，以及我们计划将来完成的一些努力与韦伯斯特委员会使用的分组。

组织结构：在汉森被捕之前，没有联邦调查局的安全架构或结构。安全计划的要素在八个不同的组织组件中传播。这促使组织无视安全和联邦调查局的文化，这对汉森活动的症状没有反应。为此，自2001年7月以来，联邦调查局：

建立了一个安全部门，该部门在联邦调查局历史上首次将作为所有局安全事务的集成点。

将设施保护和警察服务的程序化责任转移到了安全部门，以及保护联邦调查局总部和华盛顿野外办事处的运营责任。

Moved the Polygraph Unit to the Security Division.

Started the development of a joint "business plan" with the Laboratory Division to ensure technical security resources are properly directed against Security Division requirements.

任命担任高级安全主管的助理董事级别的安全局长。该广告得到了与穆勒董事的全力支持，并直接访问了穆勒的导演，后者向所有FBI员工强烈传达了对安全计划的支持。

提供了对安全计划的基础架构支持：

作为正在进行的联邦调查局重组计划的一部分，将内部资源转移到安全部门。

从中央情报局（CIA）和国家安全局（NSA）为安全部门建立其他“详细”任务。

将2002财政年度预算过程中收到的资源应用于安全要求。

提交2003财政年度预算要求includes significant resources for the Security Division and its mission.

开始对国家情报，司法部和联邦调查局政策指令的全面审查，以建立一个可追溯性矩阵，以衡量现有安全政策的有效性。

启动了全面的安全教育，意识和培训计划的发展。该程序的最初目标是解决信息系统安全问题，然后扩展到安全程序的所有其他元素。乐动冠军

联邦调查局未来打算完成的一些举措包括：

Evaluating the need for and developing resource requests to mitigate security vulnerabilities to a level where the risk is acceptable.

Seeking to further consolidate security functions within the Security Division.

通过建立一项全面的职业计划来开发专业安全官员干部，该计划识别和雇用具有适当技能的候选人，通过有竞争力的薪酬和奖励结构成功保留他们，通过适当的培训和分配机会建立专业知识，并准备他们假设计划和计划和计划越来越多的责任的管理角色。该计划的要素包括：

建立安全职业服务委员会，该委员会集中于专业安全官员职业轨道的所有要素。

在与工作相关的至关重要的技能方面，确保安全专业人员和关键的非安全人员（例如系统管理员）的熟练程度的认证。

重新设计现场安全官员计划：

Rely less on agents and more on the professional Security Officer cadre we intend to build over time.

Restructure the field offices so that all security responsibilities fall under the control of the Security Officer.

将更多资源引向该领域以支持安全计划。

修改联邦调查局安理会的运作，以确保其由高级管理人员正当人员置于正常工作，并解决对局有重要意义的安全政策问题。乐动冠军

信息系统安全: Under the earlier section addressing the interim measures taken to enhance the computer audit procedures, I described how Hanssen exploited ACS to compromise FBI information. Protection of information within Bureau information systems is a particularly critical issue. Of the 15 initiatives that comprise the FBI's security roadmap, six directly relate to information systems security or information assurance (IA).

韦伯斯特委员会的报告准确地指出，联邦调查局的信息技术（IT）重组工作，三部曲，仅包括IA的基础元素的资金。在推出时，三部曲将提供比FBI当前的IT主链及其涉及的五个调查应用程序的安全性，包括ACS。但是，目的是制定IA计划，以与其他世界一流的信息系统安全工作相提并论。三部曲计划与分配给IA计划的人员之间进行了重大协调，以确保三部曲安全体系结构将支持我们计划采用的未来IA技术的利用，例如公共密钥基础设施（PKI）。

为了解决影响FBI信息系统的安全漏洞，自2001年7月以来，联邦调查局：

在信息资源部中建立了一个IA计划。

制定了一项详细的支出计划，用于执行IA计划资源作为2002财年反恐补充法案的一部分。

Developed a fiscal year 2003 budget request to continue development and implementation of a robust IA Program.

寻求并收到穆勒（Mueller）董事的承诺，以适当解决许多FBI IT系统的拖欠认证和认证（C＆A）状态。

实施积极的C&A努力发现nd address vulnerabilities within existing and proposed FBI IT systems.

Collaborated with the Trilogy Program to immediately deliver enhanced security measures and to provide the framework for improved information systems security measures in the future.

Initiated the modernization of cryptographic key management to improve the security of FBI information and to facilitate the immediate deployment of Trilogy infrastructure.

联邦调查局未来打算完成的一些举措包括：

Assigning an experienced IA professional from the Intelligence Community (IC) to run the FBI's IA Program and adding strategic "consulting" resources from the IC, as appropriate.

为FBI系统设计全面的IT安全体系结构。作为该体系结构的一部分，识别IA工具或技术的基线，例如PKI，虚拟专用网络和LAN，单登录，入侵检测，网络扫描，审核以及其他识别异常活动和系统漏洞的方法。

建立一个企业安全操作中心，以集中管理FBI IT系统和网络的安全性。

重新评估和改善认证和认证过程，以反映最佳实践，并与IT系统开发生命周期相关。

建立许多经验丰富的信息系统安全经理作为客户焦点，以迅速处理IT安全问题和问题。乐动冠军

作为正在进行的三部曲工作的一部分，继续进行IA和三部曲计划人员之间的密切合作，以改善IT系统安全性。

人员安全：韦伯斯特委员会报告确定了用于评估汉森持续可信赖的过程中的许多缺口。在讨论我们为扩展测谎仪计划并进行增强的重新研究分析时，我在声明中较早地描述了其中一些缺陷。为了改善我们的人员安全计划，自2001年7月以来，联邦调查局：

Implemented a written case summary format for reviewing security adjudication recommendations.

将测谎仪单元从实验室移至安全部门。

Continued to conduct polygraph examinations according to the criteria established in March 2001 as part of the limited expansion.

Received conceptual approval by Director Mueller to continue with a limited and careful expansion of the polygraph program. The formal decision memo has been generated for his signature. The proposal:

扩大已经以CI为重点的测谎仪检查的人口扩大到参与CI，CT和安全计划的所有人员。

Establishes a risk-based program comprised of four elements -- for both employees and non-Bureau personnel -- with access to the most sensitive FBI information. The elements include:

考试是初始申请或访问的初步申请。

定期检查与安全性重新审查有关。
大约或随机检查。

必要时，迫使考试以解决影响12968号行政命令和实施裁决指南所定义的影响可信赖性的问题。乐动冠军

Some of the initiatives the FBI will accomplish in the future include:

定义对综合安全信息管理系统和数据集成工作的要求，以及使用2002财政年度拨款中收到的资金执行有限数量的“飞行员”工作。

Working with the Records Management Division to improve control of FBI security files and ensure they contain the necessary information. Eventually, as part of the effort to develop an integrated security management system, transitioning to an electronic security file.

Automating security data collection processes in a web-enabled environment.

确定新的信息来源，这些信息来源为审查过程增加价值，并协助确定员工的可信度。

Establishing a broad based Financial Disclosure Program and developing the capability to conduct security-related financial analysis.

探索使用特定问题的测谎仪检查来解决故意未经授权披露FBI信息的关注。

文档安全性: The Webster Commission report depicts an environment where Hanssen was able to perpetrate his espionage with impunity. In one anecdote, the report describes how Hanssen is able to walk into an office area where he used to be assigned without being challenged and log onto a computer system to retrieve sensitive information which he ultimately compromised to the Russians. The Commission indicates that even recently, based on the personal experiences of their investigative staff, FBI employees still leave secure areas unattended at times potentially providing unfettered and unauthorized access to sensitive documents.

为了继续改善我们为包含敏感信息的文件提供的保护，自2001年7月以来，联邦调查局：

联邦调查局设施的重新评估访问程序取消了特殊豁免的高管。

Established the position of Special Security Officer for the FBI and selected an Intelligence Community officer to serve in this role as a detailee.

完成了对SCI处理程序的审查。

对敏感访问的全面审查，导致FBI SCI员工的净减少。

Conducted a "Back-to-Basics" day for all employees where security was one of the key areas of focus.

Some of the initiatives the FBI will accomplish in the future include:

Establishing a Security Incident Reporting Program that includes management of all potential information compromises through a central, Security Division component. This component will ensure the security incidents are properly investigated; assessments are conducted of potential damage to the national security or FBI operations; remedial action is taken, as necessary, to ensure the compromise does not happen again; and personal accountability is assigned, if appropriate.

无论其来源如何，都建立了解决安全异常的能力，并将这些异常调查引起的信息整合到FBI CI部门中。

开发增强的能力，以电子方式安全地处理科幻。

为敏感的硬拷贝文档开发适当的问责制和跟踪系统。

Investigating technology to better account for and track sensitive information and the media, paper or magnetic, on which it is stored.

Developing and conducting training on the proper classification of, accounting for, and control of classified information.

Developing a more robust set of FBI classification guides.

Summary

去年，我们在改善联邦调查局的安全方面取得了很大进展。考虑到联邦调查局在2001年9月11日恐怖袭击时面临的危机尤其如此。对这一前所未有的危机的回应使整个联邦调查局征税，包括未成熟的安全基础设施。

In the end, however, the most important change that must take place is a dramatic adjustment in the security "culture". Continuing security education, wide-spread security awareness and making security accepted as a normal part of everyday business is a cultural hurdle that must be overcome. A number of the efforts I have already discussed are designed to effect this adjustment. These include a strong statement of support for the Security Program by Director Mueller along with tangible consequences for failing to comply with security policies; consideration of security as a critical element of all operational programs; a robust security education, awareness, and training program; and, the development of understandable, relevant, and enforceable security policies.

对于我们只是开始一段旅程，这一事实也必须没有错误，这将花费大量时间和该委员会的未来支持以及国会其他地区以确保成功。我们将继续仔细研究韦伯斯特委员会报告的机密附件，以便我们可以从他们的全面研究中受益并加强我们的行动计划。我们还将审查司法部监察长关于汉森的报告，预计今年晚些时候将评估其结论和建议。

韦伯斯特委员会的报告认识到，联邦调查局或任何处理敏感信息的机构永远无法完全防止间谍活动。在某个时间点，将有另一个FBI员工或承包商背叛我们的信任。因此，正如韦伯斯特法官所建议的那样，我们将努力阻止那些可能正在考虑妥协敏感局信息的理性人员，最大程度地减少其“叛逃和检测”之间的时间，并采取任何可能的步骤，以最大程度地减少造成的损害。

主席先生，我很高兴有机会向您和您的同事提供给联邦调查局的所有支持，以便我们能够忠实地履行我们的重要职责并帮助维护我们伟大国家的利益。