NSA后斯諾登時代699項安全缺陷修復率不足三成

E安全7月30日訊 美國國安局審計檢查員于2018年7月25日發(fā)布首份非保密審計概述顯示，美國國家安局（NSA）在執(zhí)行信息安全要求方面表現(xiàn)不佳，檢查員提出的699項建議中76%的缺陷逾期未有改善。

NSA 收到699項建議

該報告是主要關(guān)于2017年10月1日~2018年3月31日之間進行的新一輪審計，審計結(jié)果顯示，美國最大網(wǎng)絡(luò)間諜機構(gòu)同樣面臨著大量網(wǎng)絡(luò)漏洞的困擾。各項信息安全漏洞皆被列為“重要但未完成的審計建議”，截至2018年3月31日，NSA 共存留有699項檢查員提出的公開的一般性建議，其中76%逾期。這些安全漏洞包括：

不準確或不完整的計算機系統(tǒng)安全計劃；

未正確進行病毒掃描的便攜式介質(zhì)；

在追蹤 NSA 網(wǎng)絡(luò)防御人員工作內(nèi)容以確保其符合最高級別保護標準方面的不充分問題。

目前尚不清楚這些建議的具體嚴重程度，其中很多可能并不涉及信息安全或技術(shù)。其中最值得關(guān)注的是，NSA 甚至還沒有在其數(shù)據(jù)中心與機房當中正確實施“雙人授權(quán)訪問控制”機制。

雙人授權(quán)訪問控制

自2013年 NSA 承包商斯諾登泄露大量關(guān)于國安局內(nèi)部業(yè)務(wù)數(shù)據(jù)以來，前 NSA 局長基思·亞歷山大就建立起雙人訪問系統(tǒng)，即除非得到另一位員工的批準，否則任何員工或承包商都無法獨自訪問敏感信息。

NSA 檢查員向美國國會提交半年度信息安全漏洞報告，此次公布的非保密版本審計概述當中對上述問題做出了相應(yīng)描述。在此之前，該報告完全保密。

缺少流程文書工作

此次審計給出的一項關(guān)鍵性結(jié)論在于，NSA 在授權(quán)計算機系統(tǒng)運行之前通常并未收集所有必要的記錄文件，因此很難進行嚴格的檢查。這些計算機系統(tǒng)可能發(fā)生故障或者包含或被來自俄羅斯等美國敵對國家黑客所利用的編碼漏洞。

在為期六個月的審計期間，審計人員發(fā)現(xiàn)每套系統(tǒng)都至少缺失一些屬于“運行權(quán)”評估流程中必要環(huán)節(jié)的文書工作。

另外，NSA 并未遵循《聯(lián)邦信息安全現(xiàn)代化法案》中提出的信息安全實施指導，亦未保留關(guān)于其使用 IT 系統(tǒng)的權(quán)威清單。

報告顯示，NSA 用于提供在線信息的三套系統(tǒng)存在缺陷，這些缺陷包括未遵守 IT 安全策略，可能導致機密信息暴露或美國公民個人信息泄露。

硬件采購工作缺乏保護措施

NSA 監(jiān)察長辦公室負責人羅伯特·斯托奇在一份聲明 表示，“此次公開發(fā)布半年度報告非保密版本，目標在于盡可能以透明方式展現(xiàn) NSA 監(jiān)察辦如何進行嚴格的獨立監(jiān)督，從而檢測并預防各類浪費、欺詐、濫用以及其它不當行為。”NSA 已經(jīng)實施控制措施，阻止各代理機構(gòu)及承包商在未獲得批準的情況下購買軟件，但 NSA 并未對硬件采購工作采取相同的保護措施。

另外，NSA 在保留電子郵件方面未能充分或有效遵循《聯(lián)邦記錄法》約定的流程。NSA 沒有保留關(guān)于郵件保存有效性的記錄，亦未能提供充分的指導以解決問題。