NSA后斯诺登时代699项安全缺陷修复率不足三成
e安全7月30日讯 美国国安局审计检查员于2018年7月25日发布首份非保密审计概述显示,美国国家安局(nsa)在执行信息安全要求方面表现不佳,检查员提出的699项建议中76%的缺陷逾期未有改善。
nsa 收到699项建议
该报告是主要关于2017年10月1日~2018年3月31日之间进行的新一轮审计,审计结果显示,美国最大网络间谍机构同样面临着大量网络漏洞的困扰。各项信息安全漏洞皆被列为“重要但未完成的审计建议”,截至2018年3月31日,nsa 共存留有699项检查员提出的公开的一般性建议,其中76%逾期。这些安全漏洞包括:
不准确或不完整的计算机系统安全计划;
未正确进行病毒扫描的便携式介质;
在追踪 nsa 网络防御人员工作内容以确保其符合最高级别保护标准方面的不充分问题。
目前尚不清楚这些建议的具体严重程度,其中很多可能并不涉及信息安全或技术。其中最值得关注的是,nsa 甚至还没有在其数据中心与机房当中正确实施“双人授权访问控制”机制。
双人授权访问控制
自2013年 nsa 承包商斯诺登泄露大量关于国安局内部业务数据以来,前 nsa 局长基思·亚历山大就建立起双人访问系统,即除非得到另一位员工的批准,否则任何员工或承包商都无法独自访问敏感信息。
nsa 检查员向美国国会提交半年度信息安全漏洞报告,此次公布的非保密版本审计概述当中对上述问题做出了相应描述。在此之前,该报告完全保密。
缺少流程文书工作
此次审计给出的一项关键性结论在于,nsa 在授权计算机系统运行之前通常并未收集所有必要的记录文件,因此很难进行严格的检查。这些计算机系统可能发生故障或者包含或被来自俄罗斯等美国敌对国家黑客所利用的编码漏洞。
在为期六个月的审计期间,审计人员发现每套系统都至少缺失一些属于“运行权”评估流程中必要环节的文书工作。
另外,nsa 并未遵循《联邦信息安全现代化法案》中提出的信息安全实施指导,亦未保留关于其使用 it 系统的权威清单。
报告显示,nsa 用于提供在线信息的三套系统存在缺陷,这些缺陷包括未遵守 it 安全策略,可能导致机密信息暴露或美国公民个人信息泄露。
硬件采购工作缺乏保护措施
nsa 监察长办公室负责人罗伯特·斯托奇在一份声明 表示,“此次公开发布半年度报告非保密版本,目标在于尽可能以透明方式展现 nsa 监察办如何进行严格的独立监督,从而检测并预防各类浪费、欺诈、滥用以及其它不当行为。”nsa 已经实施控制措施,阻止各代理机构及承包商在未获得批准的情况下购买软件,但 nsa 并未对硬件采购工作采取相同的保护措施。
另外,nsa 在保留电子邮件方面未能充分或有效遵循《联邦记录法》约定的流程。nsa 没有保留关于邮件保存有效性的记录,亦未能提供充分的指导以解决问题。
丰田携手本田共同打造移动发电/电力输出系统
常见材料导热系数汇总
飞兆半导体开发了一款具有高功率转换率及系统设计可扩展性的降压开关
Qorvo® 推出首款单个模块即可支持5.1至7.1GHz频段的FEM,从而简化Wi-Fi 6E系统设计
加热式雨量计怎么供电?
NSA后斯诺登时代699项安全缺陷修复率不足三成
扬杰科技针对工业变频器等领域,推出IGBT变频器系列模块新品
什么是激光雷达?目前面临哪些挑战?
Java软件开发工程师的等级区别
云组态平台与西门子PLC进行Modbus通信解决方案
海尔牵头全球“灯塔工厂”企业代表积极响应,共同举办了“灯塔之光高峰论坛”
打火机压电陶瓷装置设计方案
硅基氮化镓的生产技术和工艺流程
破坏性创新,探讨特斯拉的四个新角度
柔性印制电路的制造
集成运算放大器的应用电路(4)
节能+智慧,以太网供电(PoE)技术
中兴通讯承建台湾地区威宝TD试验网
注视点渲染可能会用于减少VR头显的计算负荷
华为Mate10大曝光:卖点太多,配置、定价死磕iPhone8
nsa 收到699项建议
该报告是主要关于2017年10月1日~2018年3月31日之间进行的新一轮审计,审计结果显示,美国最大网络间谍机构同样面临着大量网络漏洞的困扰。各项信息安全漏洞皆被列为“重要但未完成的审计建议”,截至2018年3月31日,nsa 共存留有699项检查员提出的公开的一般性建议,其中76%逾期。这些安全漏洞包括:
不准确或不完整的计算机系统安全计划;
未正确进行病毒扫描的便携式介质;
在追踪 nsa 网络防御人员工作内容以确保其符合最高级别保护标准方面的不充分问题。
目前尚不清楚这些建议的具体严重程度,其中很多可能并不涉及信息安全或技术。其中最值得关注的是,nsa 甚至还没有在其数据中心与机房当中正确实施“双人授权访问控制”机制。
双人授权访问控制
自2013年 nsa 承包商斯诺登泄露大量关于国安局内部业务数据以来,前 nsa 局长基思·亚历山大就建立起双人访问系统,即除非得到另一位员工的批准,否则任何员工或承包商都无法独自访问敏感信息。
nsa 检查员向美国国会提交半年度信息安全漏洞报告,此次公布的非保密版本审计概述当中对上述问题做出了相应描述。在此之前,该报告完全保密。
缺少流程文书工作
此次审计给出的一项关键性结论在于,nsa 在授权计算机系统运行之前通常并未收集所有必要的记录文件,因此很难进行严格的检查。这些计算机系统可能发生故障或者包含或被来自俄罗斯等美国敌对国家黑客所利用的编码漏洞。
在为期六个月的审计期间,审计人员发现每套系统都至少缺失一些属于“运行权”评估流程中必要环节的文书工作。
另外,nsa 并未遵循《联邦信息安全现代化法案》中提出的信息安全实施指导,亦未保留关于其使用 it 系统的权威清单。
报告显示,nsa 用于提供在线信息的三套系统存在缺陷,这些缺陷包括未遵守 it 安全策略,可能导致机密信息暴露或美国公民个人信息泄露。
硬件采购工作缺乏保护措施
nsa 监察长办公室负责人罗伯特·斯托奇在一份声明 表示,“此次公开发布半年度报告非保密版本,目标在于尽可能以透明方式展现 nsa 监察办如何进行严格的独立监督,从而检测并预防各类浪费、欺诈、滥用以及其它不当行为。”nsa 已经实施控制措施,阻止各代理机构及承包商在未获得批准的情况下购买软件,但 nsa 并未对硬件采购工作采取相同的保护措施。
另外,nsa 在保留电子邮件方面未能充分或有效遵循《联邦记录法》约定的流程。nsa 没有保留关于邮件保存有效性的记录,亦未能提供充分的指导以解决问题。
丰田携手本田共同打造移动发电/电力输出系统
常见材料导热系数汇总
飞兆半导体开发了一款具有高功率转换率及系统设计可扩展性的降压开关
Qorvo® 推出首款单个模块即可支持5.1至7.1GHz频段的FEM,从而简化Wi-Fi 6E系统设计
加热式雨量计怎么供电?
NSA后斯诺登时代699项安全缺陷修复率不足三成
扬杰科技针对工业变频器等领域,推出IGBT变频器系列模块新品
什么是激光雷达?目前面临哪些挑战?
Java软件开发工程师的等级区别
云组态平台与西门子PLC进行Modbus通信解决方案
海尔牵头全球“灯塔工厂”企业代表积极响应,共同举办了“灯塔之光高峰论坛”
打火机压电陶瓷装置设计方案
硅基氮化镓的生产技术和工艺流程
破坏性创新,探讨特斯拉的四个新角度
柔性印制电路的制造
集成运算放大器的应用电路(4)
节能+智慧,以太网供电(PoE)技术
中兴通讯承建台湾地区威宝TD试验网
注视点渲染可能会用于减少VR头显的计算负荷
华为Mate10大曝光:卖点太多,配置、定价死磕iPhone8