美國國土安全部自身網路安全狀況堪憂

美國國土安全部（DHS）監察長辦公室於3月1日簽發名為《2017財年國土安全部信息安全工作評估》（Evaluation of DHS』 Information Security Program for Fiscal Year 2017）的報告，稱在國土安全部自己的網路中，仍有數十台系統在使用陳舊過時的軟體，有些計算機近5年來從未打過補丁。

該報告稱，發現64台系統缺少運行許可（authority to operate），其中有16台屬於國家安全系統，存放有高度敏感的涉密信息，包括3台仍使用 Windows Server 2003的伺服器（1台位於國土安全部部機關，另外2台分別屬於海岸警衛隊和特勤局），這3台伺服器自2015年7月（微軟停止支持該操作系統的日期）以來未打任何安全補丁。在使用較新版本、享有微軟支持的Windows操作系統的計算機中，也發現有5個尚未打補丁的重要漏洞。有2台機器自2013年7月以來未打補丁，有些機器未打關於「魔窟」（WannaCry）的補丁。在有漏洞非涉密計算機數量排行榜上，國土安全部部機關名列第二（7台）。美國國土安全部已做出回應，稱預計在2018年9月底前完成對此報告所發現主要問題的整改。

依據《聯邦信息安全現代化法案2014》（Federal Information Security Modernization Act of 2014, FISMA 2014），美國聯邦政府各部門的監察長負責每年對本部門的網路安全工作進行評估並提交報告。2017年5月，美國總統特朗普簽署名為《加強聯邦政府網路與關鍵基礎設施的網路安全》的行政令，其中要求聯邦政府各部門在該行政令發布後90日內向國土安全部和美國管理與預算辦公室提交風險管理自評報告，這表明國土安全部是負責落實該行政令的重要機構。國土安全部監察部門也正是在該行政令簽發之後開展了此次網路安全評估。而且，早在2014年11月，國土安全部曾專門就微軟公司停止支持 Windows Server 2003發布預警，稱使用缺少支持的軟體將帶來安全風險，並在2016年9月再次強調這一問題。

美國國土安全部的此次網路安全評估遵循了美國國家標準與技術研究院（NIST）的《用於改善關鍵基礎設施網路安全的框架》。該框架綜合了關於網路安全的各種標準、指南和最佳實踐，為政府各部門提供了用於識別和管理網路安全風險的通用框架，為監察部門如何對各種信息安全控制的成熟度進行評估提供了指導。該框架1.0版於2014年2月發布，1.1版草案第二稿於2017年12月發布，1.1版最終稿預計在2018年春季發布。（編譯：齊義勝）

註：本文由E安全報道,轉載請註明原文地址

https://www.easyaq.com/news/xx.shtml

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！