NSA后斯諾登時(shí)代699項(xiàng)安全缺陷修復(fù)率不足三成

E安全7月30日訊 美國(guó)國(guó)安局審計(jì)檢查員于2018年7月25日發(fā)布首份非保密審計(jì)概述顯示，美國(guó)國(guó)家安局（NSA）在執(zhí)行信息安全要求方面表現(xiàn)不佳，檢查員提出的699項(xiàng)建議中76%的缺陷逾期未有改善。

NSA 收到699項(xiàng)建議

該報(bào)告是主要關(guān)于2017年10月1日~2018年3月31日之間進(jìn)行的新一輪審計(jì)，審計(jì)結(jié)果顯示，美國(guó)最大網(wǎng)絡(luò)間諜機(jī)構(gòu)同樣面臨著大量網(wǎng)絡(luò)漏洞的困擾。各項(xiàng)信息安全漏洞皆被列為“重要但未完成的審計(jì)建議”，截至2018年3月31日，NSA 共存留有699項(xiàng)檢查員提出的公開的一般性建議，其中76%逾期。這些安全漏洞包括：

不準(zhǔn)確或不完整的計(jì)算機(jī)系統(tǒng)安全計(jì)劃；

未正確進(jìn)行病毒掃描的便攜式介質(zhì)；

在追蹤 NSA 網(wǎng)絡(luò)防御人員工作內(nèi)容以確保其符合最高級(jí)別保護(hù)標(biāo)準(zhǔn)方面的不充分問(wèn)題。

目前尚不清楚這些建議的具體嚴(yán)重程度，其中很多可能并不涉及信息安全或技術(shù)。其中最值得關(guān)注的是，NSA 甚至還沒有在其數(shù)據(jù)中心與機(jī)房當(dāng)中正確實(shí)施“雙人授權(quán)訪問(wèn)控制”機(jī)制。

雙人授權(quán)訪問(wèn)控制

自2013年 NSA 承包商斯諾登泄露大量關(guān)于國(guó)安局內(nèi)部業(yè)務(wù)數(shù)據(jù)以來(lái)，前 NSA 局長(zhǎng)基思·亞歷山大就建立起雙人訪問(wèn)系統(tǒng)，即除非得到另一位員工的批準(zhǔn)，否則任何員工或承包商都無(wú)法獨(dú)自訪問(wèn)敏感信息。

NSA 檢查員向美國(guó)國(guó)會(huì)提交半年度信息安全漏洞報(bào)告，此次公布的非保密版本審計(jì)概述當(dāng)中對(duì)上述問(wèn)題做出了相應(yīng)描述。在此之前，該報(bào)告完全保密。

缺少流程文書工作

此次審計(jì)給出的一項(xiàng)關(guān)鍵性結(jié)論在于，NSA 在授權(quán)計(jì)算機(jī)系統(tǒng)運(yùn)行之前通常并未收集所有必要的記錄文件，因此很難進(jìn)行嚴(yán)格的檢查。這些計(jì)算機(jī)系統(tǒng)可能發(fā)生故障或者包含或被來(lái)自俄羅斯等美國(guó)敵對(duì)國(guó)家黑客所利用的編碼漏洞。

在為期六個(gè)月的審計(jì)期間，審計(jì)人員發(fā)現(xiàn)每套系統(tǒng)都至少缺失一些屬于“運(yùn)行權(quán)”評(píng)估流程中必要環(huán)節(jié)的文書工作。

另外，NSA 并未遵循《聯(lián)邦信息安全現(xiàn)代化法案》中提出的信息安全實(shí)施指導(dǎo)，亦未保留關(guān)于其使用 IT 系統(tǒng)的權(quán)威清單。

報(bào)告顯示，NSA 用于提供在線信息的三套系統(tǒng)存在缺陷，這些缺陷包括未遵守 IT 安全策略，可能導(dǎo)致機(jī)密信息暴露或美國(guó)公民個(gè)人信息泄露。

硬件采購(gòu)工作缺乏保護(hù)措施

NSA 監(jiān)察長(zhǎng)辦公室負(fù)責(zé)人羅伯特·斯托奇在一份聲明 表示，“此次公開發(fā)布半年度報(bào)告非保密版本，目標(biāo)在于盡可能以透明方式展現(xiàn) NSA 監(jiān)察辦如何進(jìn)行嚴(yán)格的獨(dú)立監(jiān)督，從而檢測(cè)并預(yù)防各類浪費(fèi)、欺詐、濫用以及其它不當(dāng)行為?！盢SA 已經(jīng)實(shí)施控制措施，阻止各代理機(jī)構(gòu)及承包商在未獲得批準(zhǔn)的情況下購(gòu)買軟件，但 NSA 并未對(duì)硬件采購(gòu)工作采取相同的保護(hù)措施。

另外，NSA 在保留電子郵件方面未能充分或有效遵循《聯(lián)邦記錄法》約定的流程。NSA 沒有保留關(guān)于郵件保存有效性的記錄，亦未能提供充分的指導(dǎo)以解決問(wèn)題。