审计发现美国国安局尚未实施后斯诺登时代的安全修复程序_北京申博太阳城娱乐股份有限公司

> 太阳城娱乐网址 > 关于优炫 > 公司动态 > 业界新闻 >

业界新闻

Industry News

审计发现美国国安局尚未实施后斯诺登时代的安全修复程序

2018-08-01
据外媒报道,近期美国国安局(NSA)首次公开的审计概述,该机构仍未能满足众多信息安全要求。根据国安局监察长办公室发布的第一个非机密审计概述,该机构正遭受大量网络漏洞的困扰。

这些漏洞包括不准确或不完整的计算机系统安全计划,未正确扫描病毒的可移动媒体,以及跟踪国安局网络防御者的工作职责以确保他们符合最高级别资格的不充分流程根据概述等。也许最引人注目的是,该机构尚未在其数据中心和机房中正确实施“双人授权访问控制”。

在2013年爱德华·斯诺登(Edward Snowden)泄露大量关于国安局的数据之后,前国安局局长Keith Alexander设立了双人授权访问系统。该想法是,除非另一名员工批准,否则任何员工或承包商都无法访问敏感信息。这些信息安全漏洞在国安局监察长办公室向国会提交的半年度报告的非机密版本中有所描述。上述信息安全漏洞都被列为“重要的未完成审计建议”,这意味着它们是审计师的重中之重,并且至少都是六个月之久。

根据该报告,截至3月31日,美国国安局有699个公开检查的一般建议,其中76%是逾期的。目前尚不清楚这些建议有多严重,很多可能不涉及信息安全或技术。该次公布的报告主要关注于2017年10月1日至2018年3月31日期间进行的新审计。这些审计的一个关键结论是,该机构在授权计算机系统运行之前通常未能收集所有必要的文件。

由于缺乏尽职调查,这些计算机系统可能出现故障或者可能包含被来自俄罗斯等国家的黑客利用的漏洞。根据概述,在为期六个月的报告期内,审计人员发现至少有一些文书工作缺失被评估为“运营权”的系统。

审计人员还发现,美国国安局未根据《联邦信息安全现代化法案》实施信息安全指导。审计员发现国安局用于在线提供信息的三个系统存在漏洞,这可能会泄露机密信息或泄露美国公民的个人信息。

“公开发布报告的目标是尽可能透明地了解国安局监察长办公室如何进行严格的独立监督,以检测和防止浪费、欺诈、滥用和不当行为”国安局监察长办公室负责人Robert Storch 在一份声明中表示。

审计人员还发现,国安局已实施控制措施,阻止代理机构和承包商在没有获得批准的情况下购买软件,但未对硬件购买采取相同的保护措施。他们还发现,该机构保留电子邮件以遵守联邦记录法的过程是不充分和无效的。国安局没有存储确实有效的记录,也没有提供足够的指导来解决问题。
内容来源:cnbeta
https://www.cnbeta.com/articles/tech/751471.htm