早上好,每个人。很高兴今天能来到这里。 讲话的
j·威廉·伦纳德
资讯保安监督办公室主任在
国家船级社(NCMS)
年度培训研讨会得克萨斯州沃思堡
2002年7月16日我想我必须首先向您道歉,因为我可能在打印您的研讨会项目时造成了一些问题。当我最初接受您的盛情邀请发言时,我是作为五角大楼国防部长办公室的一名长期官员来的。从那时起,国防部就把我和他们的其他文物一起送到了美国国家档案馆。当我得知,无论出于何种原因,你们仍然有意让我以ISOO主任的新身份在你们的研讨会上发言时,我感到很高兴。考虑到NCMS在推进安全分类管理和信息安全行业方面的悠久历史,我认为利用这个机会作为ISOO总监进行我的第一次正式公开演讲是非常合适的。我特别感谢2002年研讨会的主讲戴夫·肯德里克和协会会长戴安·雷诺给了我这个机会。
今年能参加你们的研讨会,我感到特别兴奋,因为我与你们协会的联系可以追溯到很多年以前。熟悉我背景的人都知道我在国防调查局工作了很多年在工业安全项目中担任不同的职位。我渴望重新参与到新农合项目中来,但与此同时,当我开始数我今天在房间里认识你们中的许多人的年数时,又有些不安——我相信,我认识的年数比我们任何人愿意承认的都要多。
虽然我一直在工作的只有一点点一个多月,尽可能多的,你可以想像,它一直都兴奋和挑战,我选择为信息安全监督办公室主任兑现。它一直在我的时间在工作中已经确认了我一个优秀组织ISOO是多么的激动 - 在ISOO人员的专业性优异的直接反映,其中不乏与你这个星期。这是一个挑战,如果仅仅是因为,你知道,我的前任占据了超过21年的位置 - 这么久,对于所有意图和目的,他的名字已经成为了冠军,ISOO主任代名词。因此,很久以前被选中我的职位,我做了几乎相同的方式运动员的号码退役,他或她离开体育(与运动员的球衣永远从竞技场的椽飞)后,与我的前任的建议退休后,他的头衔为董事,ISOO,同样应该退休,飞行,至少在象征意义上说,从国家档案馆大楼在宾夕法尼亚大道的支柱。虽然做半开玩笑半认真,一点也不知道,官方华盛顿会认真考虑这一建议。然而,经过大家同意我的前任的名字和董事,ISOO,事实上,的代名词,它是迟来的承认,总统行政命令的标题实际上是阐述,因而不能轻易改变。因此,华盛顿官方只好做退而求其次并修改ISOO主任的职务说明,要求该工作的所有居住者未来将不得不正式改名叫史蒂夫加芬克尔。因此,从今以后,你可以叫我“史蒂夫。”
这是我成为ISOO主管以来的第一次正式公开演讲,我想首先介绍一些在信息安全方面指导我的基本哲学原则。
首先,我意识到,当我最初被选为这个职位时,许多人质疑我在政府中会更倾向于保密还是公开。事实上,我进一步认识到,鉴于我在国家安全领域近30年的经验,有些人会认为我对保密有内在的偏见。
事实上,在我看来,这个问题并不是公开与保密的问题。我不认为这是一种非此即彼的情况。相反,我不相信你能有效地拥有其中一个而没有另一个。通常,当两者之间的内在紧张关系得以维持时,理想的情况就会出现。我认为ISOO的关键作用就是保持这种平衡。
在保持这种平衡,必须铭记的是,是什么让我们的国家伟大不在于我们如何能够使保守秘密是很重要的。相反,它是我们的一个开明的政府的遗产 - 我们的民主的一个决定性因素 - 一个标志是我们区别于世界上大多数其他国家。此外,由Potter Stewart法官,在这里的一切都是秘密的环境下观察到的,没有什么是秘密。在众多不良后果,这可以部分地激励正确的训练个体将自己的仲裁者,什么是“真正”的秘密,什么是不 - 导致缺乏问责制,混乱和环境,有利于“泄密”分类信息。
另一方面,过度的公开可能会对国家安全造成真正的损害,并导致人们不愿意分享信息。保密是保护国家安全的重要手段。许多情报来源和方法只有在保密的情况下才有效。例如,失去情报来源或方法,就意味着能否阻止恐怖袭击。此外,我们的外交官和贸易代表必须能够向我们的外国同行保证,在微妙的谈判过程中所分享的信息及其来源是秘密进行的。同样,我们的保密系统的有效性决定了战场上的成败。我们的国家处于战争状态,重要的敌人计划伤害我们,有效的保密可以拯救我们的军人的生命,他们将自己置于危险的方式来保卫我们的国家。
第二,我认为无效的秘密可以提供安全的错觉。
一个使秘密的最基本的原则是,它必须能够保持“秘密”的秘密。还有,当你试图保护的是什么有这么渗透到公共领域,或者是如此的普遍,或者可以成为过这么多不同的渠道知道,这是根本不可能保护倍。例如,根据美国国防部在我以前的经验,我经常会遇到来自新技术的感知漏洞斤斤计较,尤其是对于提供给潜在对手监视和侦察能力的军事指挥官。在专注于对付新的威胁,在良好的老式威胁,如当地的国家用手机站在山上俯瞰军事行动,或当地的国家实际工作的军事基地,将被忽略。
通常,最好的安全措施是接受这样一个事实,即你想要保护的东西是或将会为他人所知——并据此计划你的行动。
第三,我认为,我们常常依靠保密来弥补在其他领域的缺陷,比如人员安全、自动化信息系统控制,以及简单的日常管理。
对震惊的典型反应,例如,间谍案,通常是呼吁更大的信息划分。这些案件显然是我们国家安全面临的最大风险之一。例如,恶意的内部人士所构成的威胁。信息技术的力量极大地增加了所有人都能获得的信息的数量,从而增加了单个恶意的内部人员可能造成的破坏的程度。
然而,信息的划分也是有代价的。通常情况下,如果相关信息没有与相关方共享,国家安全就会面临同样甚至更大的风险。因此,我们需要更加重视利用信息技术来更好地发现信息的滥用和滥用,而不是不必要地限制信息的传播,因为我们永远无法确定一个被授权的内部人士什么时候会“变坏”。Such technology exists today and is routinely used in the commercial sector.
第四,我坚信当前的信息安全制度是工业时代的产物,需要被带入信息时代。
当前的信息安全框架是以文档为中心的。然而,有了eGov解决方案、军事革命等等,我们周围的世界是以信息技术为中心的。例如,在军事领域,从情报收集阶段到规划阶段,再到武器命中阶段,大量的机密信息可以生成并传递,而不需要生成一份文件。
在创建信息系统体系结构时,一个基本步骤是业务流程再造,在应用信息技术解决方案之前重新考虑和重新设计业务流程。这样做,重点是结果,而不是任务。然而,当涉及到信息安全时,我们倾向于将以文档为中心的流程全部应用到信息系统环境中,而很少注意从根本上重新考虑或重新设计流程。因此,对在自动化环境中应用信息安全的关注往往是针对于限制传播,而不是整体的结果(例如。,确保指定的信息不会被未经授权的人员访问和使用以破坏国家安全)。我们常常忽视了保密本身只是一种手段而不是目的这一事实。这在自动化信息系统环境中是至关重要的,其目的是利用信息的力量,这通常只能通过扩大其传播来实现。
这就引出了我的第五个基本原则,即。在美国,保密并不一定等于信息安全。
我们的共享和利用信息的能力是美国的力量和威力在21世纪的来源。这是我们经济实力的源泉。正是在军事,将为我们的下一代空前的军事优势的框架革命的基础。然而,对于分类信息维护公认的全过程建立了“烟囱”和制度“过滤器”。此外,它是基于信息管理的“推”模式,即信息的授权持有者具有确定预期的接受者是否需要访问特定信息的唯一特权。
这一框架反映了这样一个前提,即出于国家安全考虑,必须对机密信息的传播加以限制。它还基于这样一个前提,即机密信息的发起者是无所不知的,并且知道所有可能的信息使用者以及如何应用这些信息。如今的默认立场是,给接收方提供他们完成工作所需的最低限度的信息,以便在违反安全规定或完全的间谍活动危及可能被用来破坏国家安全的信息时,将其暴露到最低限度。
这一框架并不能反映这样一个现实,即如果机密信息处于危险之中,国家安全也会受到威胁不有效共享。它也没有反映现实,我们的军事力量和我们的情报和执法的威力取决于不同来源的服用大量的信息,并以前所未有的方式合成它。无论是在战场上,或根据分析师的或刑事调查办公室,它是信息,提供我们的国家在事业的决定性的优势,如在全球反恐战争迄今深不可测方式的创新应用。这些增强的功能都依赖于全面实施信息化管理的“拉”模型,其中多个代理机构可利用这些不同来源获得信息的阵列,并且也有很多用户向所有他们的信息处理的结果。这必须一个跨部门的基础上经常发生。
这些基本原则将指导我在今后的岁月中履行ISOO主任的职责。在履行这些责任,我期待与所有的组织代表在这个房间今天和其他感兴趣的社区在公共和私营部门,确保我们的信息安全政策促进一个消息灵通的美国公众,同时保护我们的公民和民主体制免受伤害。
这就是哲学上的概述——ISOO涉及的其他日常活动是什么?负责政策的副主任劳拉·金伯利(Laura Kimberly)本周将参加两个研讨会。在这些讲习班中,她将谈论ISOO的任务和功能,以及ISOO如何与您的活动安全程序相联系。她还将提供关于ISOO关于安全分类和国家工业安全计划的行政命令的更详细的更新。本周将在这里的其他ISOO工作人员将在这些研讨会上协助她。我现在就向他们表示感谢,当我叫到他们的名字时,请他们站起来。(稍作介绍)我鼓励你在整个研讨会中与ISOO的工作人员互动。
就一般新闻而言,你们中的一些人可能已经意识到,已经有了跨部门的工作组会议,以研究对管理国家机密信息的第12958号行政命令提出修改建议的可能性。一般来说,目前并没有大量的意见认为在短期内需要对现行行政命令作出实质性的修改。至少,各机构之间似乎达成了共识,即自动解密25年或更多积压材料的截止日期需要延长到2003年4月之后,1999年11月对原行政命令的修正案规定了这一日期。
行政命令时最初的在七年前,没有人真正知道25岁以上材料有多少,多少会,和什么是在实施前进行审查的最初5年期限4月17日,2000年。我们现在有超过六年的经验来执行该命令的自动解密条款。行政部门已经成功解密了近9亿页文件。尽管新的、更老的材料不断增加,各机构仍在继续蚕食堆积如山的旧机密记录。行政部门为满足该命令的自动解密要求所做的努力值得称赞。维持国家计划中这一非常重要的组成部分是一场斗争,尤其是在面对反恐战争的情况下。ISOO将继续推动各机构解密尽可能多的旧记录,与他们合作,解决与更困难的记录相关的问题,这些记录涉及情报信息,包含不止一个机构的权益。乐动冠军我们还将在分类过程中与各机构合作,鼓励它们在做出信息分类决定时谨慎行事,并制定一致和详细的分类指南。分类的一致性和统一性将有助于信息的解密。
正如我们显然比最初制定行政命令时了解到的更多一样,我们所处的环境也发生了变化。例如,安全政策委员会这样的组织已经不复存在。正是由于这些变化和我们越来越了解到,目前正在考虑修改行政命令。然而,要判断工作组一级的任何活动在短期内是否会在行政命令中产生真正的变化还为时过早。
接下来是另一个由ISOO负责的行政命令,对那些熟悉我背景的人来说,你们知道工业安全计划是我最关心的。大约30年前,当我作为一名联邦公务员开始我的职业生涯时,我是纽约市的GS-5工业安全代表。从那以后,我的大部分后续任务都涉及到工业安全方面的各种职责。而且,和你们中的许多人一样,我可以说,在国家工业安全计划(NISP)诞生的时候,我也在场,参加了十多年前似乎没完没了的一系列工作组会议。
当然,随着1993年1月第12829号行政命令的颁布,这些努力取得了成果,该行政命令规定建立国家工业安全方案。通过政府和工业界许多人的努力,我们得以建立一个框架,旨在建立一个综合的、有凝聚力的项目,在保护国家经济和技术利益的同时,保护机密信息。
我很现实,知道任何想要整合和结合的事情都不容易实现,而且一旦实现,也不容易保存。相反,尽管过去十年我们在这方面取得了巨大的进步,但就工业安全而言,这是一个需要持续关注和坚持不懈的目标。因此,NISP的成功将永远是ISOO的首要任务。
在这方面,ISOO将在短期内进行一项调查,以评估NISP到底有多完整、多有凝聚力,并评估对NISP的总体看法和态度。我们还打算通过这次调查确定可能存在的任何系统性问题。
通过背景介绍,在过去的六年中,ISOO对该项目进行了两次调查。与以往的调查不同,这次的调查将采用电子方式进行。国防安全服务(DSS)将发出调查通知,为了确保我们覆盖所有基地,我们将为DSS分发提供NISP其他签署国独有的设施。通知中包含了在线调查的链接。调查的应答者将在其认识的安全机构中保持匿名。不过,为了让负责任的政府组织能够解决和识别系统问题,ISOO将对数据进行隔离,以提供区域性结果。
为了强调调查的重要性,我们计划通过访问和实地访问来补充调查。我们的总体目标是对NISP的状况进行最准确的评估。
调查问题涉及的领域包括:受访者对项目的了解程度和对项目的信心程度、关注的领域、项目全面实施的障碍以及对NISP提出的修改或改进建议。此外,我们还纳入了行业确定的主题,如有意义的清理改革、各机构之间的互惠问题、敏感但非机密数据保护要求的实施、第8章自动信息系统要求的实施。乐动冠军我想强调的是,参与调查完全是自愿的,只有ISOO才能查阅个人提交的意见。
我们计划在八月底开始调查,一个月后结束。其后进行实地考察,直至十月底。我们计划在十二月底完成报告,并于明年二月公布调查结果。
继续介绍最新的一般新闻,你们中有些人可能已经意识到,本组织同其他组织一道正在研究可能准许国家、地方、部落和私营部门人员入境的问题。此次审查是在确保及时向需要信息的人提供信息的背景下进行的,以威慑、拦截、保护和应对潜在威胁,同时兼顾保护机密国家安全信息的必要性。我们主要关注的是要更清楚地了解在9/11之前和之后已经有多少这样的审查,以及在什么框架下已经存在——如果有的话,应该提出什么建议。ISOO的审查才刚刚开始,要判断任何建议是否合理还为时过早。
最后,在没有什么新东西的情况下,仍在努力实施12968号行政命令的要求,该命令要求经常接触特别敏感机密信息的员工提交有关其财务状况的相关信息。虽然在如何制定这项规定方面已取得进展,但尚未公布最终决定。然而,当他们是,我期望ISOO的任务,以确保机密的披露在国家工业安全计划的范围内。
最后,我祝愿你在未来几天的研讨会上一切顺利。你的主题,利用安全挑战,恰如其分地描述了我们所处的时代。我们今天面临的安全挑战的性质与我们国家过去应对过的任何挑战都不同。然而,正如过去的几代人有效地应对了他们所面临的严峻挑战一样,我相信,今天的美国人不仅将战胜当前对我们国家意志的考验,而且将变得比以往任何时候都更加强大和团结。