XiaoMi-AI文件搜索系统
World File Search System国家安全系统
安全企业网络环境指南
权力 本出版物由 NIST 根据其在 2014 年《联邦信息安全现代化法案》(FISMA)、44 USC § 3551 等、公法(PL)113-283 下的法定职责制定。NIST 负责制定信息安全标准和指南,包括联邦信息系统的最低要求,但未经对此类系统行使政策权力的适当联邦官员明确批准,此类标准和指南不适用于国家安全系统。本指南符合管理和预算办公室 (OMB) 通告 A-130 的要求。本出版物中的任何内容均不得与商务部长根据法定权力强制执行并约束联邦机构的标准和指南相抵触。这些指南也不得解释为改变或取代商务部长、OMB 主任或任何其他联邦官员的现有权力。非政府组织可以自愿使用本出版物,并且在美国不受版权保护。但如果您注明来源,NIST 将不胜感激。
2022年工商宪法季刊
保护网络空间或防止其遭受网络攻击”(国家安全系统委员会,《国家信息保证 (IA) 词汇表》,2010 年 4 月,http://www.cnss.gov/Assets/pdf/cnssi_4009.pdf);而美国国土安全部《国家基础设施保护计划》将网络安全定义为“防止对电子信息和通信系统及其所含信息的破坏、未经授权的使用或利用,以及在必要时恢复这些信息,以确保其机密性、完整性和可用性”(http://www.dhs.gov/xlibrary/assets/NIPP_Plan.pdf,引自 A. J. Burstein 所著的《修改 ECPA 以促进网络安全研究文化》,《哈佛法律与技术杂志》,第 22 卷,第 1 期,2008 年)。在欧盟,“网络安全”一词首次出现在 2008 年的一份报告中(见上文第 2 段)。有关网络安全不同方面的更广泛了解,另请参阅 P. Cornish 所著的《牛津网络安全手册》,牛津大学出版社,2021 年。
Gigamon 供应链风险管理 (SCRM) 计划
Gigamon 的计划遵循 NIST SP 800-161 的适用指南,并受 2017 年 7 月 26 日国家安全系统委员会指令 505(适用于被视为对国家安全至关重要的系统)的指导,以识别供应链风险;缓解和规划此类风险的应急措施;增强 Gigamon 应对风险的弹性和适应性。随附的附录详细介绍了 Gigamon 对相关 NIST SP 800-161 控制的响应。该计划还包括在开发和/或提供合同服务、供应、系统和/或支持基础设施时使用的某些最佳实践和行业标准。此外,它还提供了有关流程或程序的一般信息,涵盖供应链风险和连续性、访问控制、培训/意识、配置管理、交付安全、维持、处置机制和缓解措施。该计划涵盖整个产品生命周期,需要旨在改善供应连续性、产品质量和性能以及灾难恢复计划的流程和程序。
NIST.IR.8401.pdf
权力 本出版物由 NIST 根据其在 2014 年《联邦信息安全现代化法案》(FISMA)、44 USC § 3551 等、公法(PL)113-283 下的法定职责制定。NIST 负责制定信息安全标准和指南,包括联邦信息系统的最低要求,但未经对此类系统行使政策权力的适当联邦官员明确批准,此类标准和指南不适用于国家安全系统。本指南符合管理和预算办公室 (OMB) 通告 A-130 的要求。本出版物中的任何内容均不得与商务部长根据法定权力强制执行并约束联邦机构的标准和指南相抵触。这些指南也不得解释为改变或取代商务部长、OMB 主任或任何其他联邦官员的现有权力。非政府组织可以自愿使用本出版物,并且在美国不受版权保护。但如果您注明来源,NIST 将不胜感激。
北欧简讯
2024 年 10 月 24 日,白宫发布了一份关于在国家安全系统以及军事或情报目的中使用人工智能模型和人工智能技术的国家安全备忘录(“AI NSM”)。AI NSM 履行了白宫 2023 年 10 月第 14110 号行政命令(“AI 行政命令”)第 4.8 条的规定,该命令要求白宫国家安全官员制定并提交 AI NSM,以指导采用人工智能能力来支持美国国家安全并解决对手和其他外国行为者对人工智能的潜在使用。人工智能 NSM 是行政部门最近为实施人工智能行政命令而采取的一系列行动中的最新一项,这些行动包括管理和预算办公室(“OMB”)的 2024 年 3 月备忘录 M-24-10《推进机构使用人工智能的治理、创新和风险管理》(“2024 年 3 月 OMB 备忘录”),我们之前已在此处介绍过,以及 2024 年 10 月备忘录 M-24-18《推进政府负责任地获取人工智能》(“2024 年 10 月 OMB 备忘录”),我们最近的客户警报对此进行了总结。
分类 - 参谋长联席会议
战术数据链标准化和互操作性 参考:参见附件 D 1. 目的。 根据 (IAW) 参考 a 至 s,本指令制定政策,以实现和维护实施战术数据链 (TDL) 的国防部 (DoD) 信息技术 (IT) 和国家安全系统 (NSS) 之间的互操作性。 本指令中概述的政策侧重于通过标准化消息协议、格式、内容、实施和文档来实现互操作性。 根据 IAW 参考 a,本指令根据兼容性、互操作性和集成要求制定了 IT 和 NSS TDL 消息标准的开发、审查和验证程序。 它还制定了通过联合互操作性认证和项目审查确保合规的程序。 根据参考 b 的指示,它制定了用于验证接口标准和 TDL 消息协议格式和内容的兼容性要求的程序。 适用的 TDL 相关标准可在附件 C 中找到。 2. 取代/取消。 CJCSI 6610.01E,“战术数据链标准化实施计划”,2014 年 4 月 10 日已被取代。3. 适用性。本指令适用于联合参谋部 (JS)、作战司令部 (CCMD)、军事部门和国防部机构及活动。强烈建议其他实施 TDL 的联邦部门也采用本指令。联合多战术数据链
Priscilla 的备忘录 _Final_ 20043 年 7 月 9 日 - DON CIO
本备忘录适用于所有任务区域和领域。国防部副部长于 2004 年 3 月 22 日签署的备忘录“信息技术投资组合管理”确立了国防部的政策,并指定了管理信息技术 (IT) 投资组合的责任。备忘录的范围还涵盖了国防部指令 8000.1“国防部信息资源和技术管理”中定义的国家安全系统 (NSS),该指令于 2002 年 3 月 20 日颁布。为了履行本备忘录中规定的责任,业务领域所有者已确定一项紧急要求,即在 2004 年 8 月 17 日之前收集属于其职权范围内的某些高优先级系统的数据。这些系统在附件 A 中进行了标识。注意:如果这些系统尚未注册,则必须在 2004 年 7 月 16 日之后将其添加到国防部 IT 注册表中。初始数据收集包括 32 个数据元素,在附件 B 中进行了标识。2005 年 1 月与总统预算提案结合进行的第二次数据收集将根据附件 C 中的标准将这 32 个数据元素用于其他系统。
Cyber COBRA(情境客观评级)
根据周围标准对发现进行评级,通过遵循定义的经验方法来得出计算评级,建立了一种符合上下文的一致方法。当今存在许多行业方法和框架,例如通用漏洞评分系统 (CVSS),它试图根据回答一般性问题对发现进行评级 [1]。此外,还有通用配置评分系统 (CCSS),它通过关注软件配置问题来衡量严重性 [8]。当应用于洛克希德马丁生态系统时,事实证明按照设计使用这些框架具有挑战性,洛克希德马丁生态系统是一家托管国家安全系统 (NSS) 和处理受控非机密信息 (CUI) 的国防承包商 [6、11、12]。CVSS 虽然通用、基础广泛且缺乏适应能力,但它为进一步研究提供了基础,以确定产生一致、准确结果所需的修改。该团队使用过去参与的真实网络测试结果创建了上下文目标评估 (COBRA) 框架,以调整问题、类别等。COBRA 旨在从网络测试利用的角度确定发现的关键性(严重性评级)。请注意,在本文中,关键性和严重性、任务和参与度等术语有时可以互换使用。最终,COBRA 会提出由子问题支持的初始网络测试问题:
运输保护服务 (TPS),第 II 部分,第 205 章
1.本章实施了国防部 (DoD) 指令 5100.76《敏感常规武器、弹药和爆炸物 (AA&E) 安全保护》;5100.76-M《敏感常规武器、弹药和爆炸物 (AA&E) 的物理安全》;国防安全合作局 (DSCA) 5105.38-M《安全援助管理手册 (SAMM)》第 C7.15 段《武器、弹药和爆炸物 (AA&E) 和敏感材料运输》以及国防部 5200.01-V1-M《国防部信息安全计划:概述、分类和解密》针对机密货物的政策。它还包括国家安全系统委员会指令 (CNSSI) 4001、CNSSI 4005、保护通信安全设施和材料以及国家安全局 (NSA)/中央安全局 (CSS) 手册 3-16、通信安全控制 (COMSEC) 材料中包含的通信安全材料运输相关要求。它为需要 TPS 的全球货运建立了程序和责任。商业运输服务提供商 (TSP) 的这些程序的实施应符合 (IAW) 军事货运交通规则出版物-1 (MFTURP-1),该出版物可在军事地面部署和配送司令部 (SDDC) 网站 https://www.sddc.army.mil/res/Pages/pubs.aspx 上找到。本文中的任何内容均不得解释为禁止战区指挥官 (CDR) 制定的运输安全责任和程序。能源部资助的货运不在本条例的范围内。
高级变更指令(ACD)470.6
o nnsa安全空间包括所有物质通道区域,保护区,保险台式房间,特殊指定区域以及需要重复使用TSCM服务的区域。nnsa安全空间还包括有限的区域或其任何部分,包括一个单个房间,其中任何国家安全系统(即分类的处理器)物理存在。足够的电磁和声学隔离可用于在较大的有限区域内隔离安全空间。o区域(建筑物,房间等)无论级别发生如何,都进行了分类的讨论。o机密的视频电话会议室和分类的Skype房间。简单地说,安全空间是对讨论和/或处理的任何位置。项目团队在有限区域内的每座建筑物都表征了这些空间。除了少数例外,只有一部分建筑物被确定为安全空间,有限区域内的大多数建筑物都将被完全指定为安全空间。所有安全空间都会有符号标记。激活后,任何移动设备都可以将其带入安全的空间吗?一旦激活了所有权(个人拥有,桑迪亚拥有或其他政府机构(OGA)),任何移动设备都可以将其带入安全的空间。是否有“非安全空间”之类的东西?不是真的。该指令仅定义安全空间。可以将移动设备带入有限的区域吗?是。但是,该指令确实概述了安全空间与它接壤的空间之间分离的一些非常具体的要求(通过消除过程可以被视为“非安全空间”)。一旦实施了第2阶段,只要不进入指定为安全空间的区域,Sandia拥有和个人拥有的移动设备都可以进入有限的区域边界。由于实验室政策指出,即使在有限的区域内,也可以通过将移动设备通过旋转栅门进入新墨西哥州的技术区域1,但只要满足所有其他要求(Bluetooth and Wifi and disabled;个人授权)。