美国国土安全部自身网络安全状况堪忧

来源：E安全（EAQapp），编译：齐义胜

美国国土安全部（DHS）监察长办公室于3月1日签发名为《2017财年国土安全部信息安全工作评估》（Evaluation of DHS’ Information Security Program for Fiscal Year 2017）的报告，称在国土安全部自己的网络中，仍有数十台系统在使用陈旧过时的软件，有些计算机近5年来从未打过补丁。

该报告称，发现64台系统缺少运行许可（authority to operate），其中有16台属于国家安全系统，存放有高度敏感的涉密信息，包括3台仍使用 Windows Server 2003的服务器（1台位于国土安全部部机关，另外2台分别属于海岸警卫队和特勤局），这3台服务器自2015年7月（微软停止支持该操作系统的日期）以来未打任何安全补丁。在使用较新版本、享有微软支持的Windows操作系统的计算机中，也发现有5个尚未打补丁的重要漏洞。有2台机器自2013年7月以来未打补丁，有些机器未打关于“魔窟”（WannaCry）的补丁。在有漏洞非涉密计算机数量排行榜上，国土安全部部机关名列第二（7台）。美国国土安全部已做出回应，称预计在2018年9月底前完成对此报告所发现主要问题的整改。

依据《联邦信息安全现代化法案2014》（Federal Information Security Modernization Act of 2014, FISMA 2014），美国联邦政府各部门的监察长负责每年对本部门的网络安全工作进行评估并提交报告。2017年5月，美国总统特朗普签署名为《加强联邦政府网络与关键基础设施的网络安全》的行政令，其中要求联邦政府各部门在该行政令发布后90日内向国土安全部和美国管理与预算办公室提交风险管理自评报告，这表明国土安全部是负责落实该行政令的重要机构。国土安全部监察部门也正是在该行政令签发之后开展了此次网络安全评估。而且，早在2014年11月，国土安全部曾专门就微软公司停止支持 Windows Server 2003发布预警，称使用缺少支持的软件将带来安全风险，并在2016年9月再次强调这一问题。

美国国土安全部的此次网络安全评估遵循了美国国家标准与技术研究院（NIST）的《用于改善关键基础设施网络安全的框架》。该框架综合了关于网络安全的各种标准、指南和最佳实践，为政府各部门提供了用于识别和管理网络安全风险的通用框架，为监察部门如何对各种信息安全控制的成熟度进行评估提供了指导。该框架1.0版于2014年2月发布，1.1版草案第二稿于2017年12月发布，1.1版最终稿预计在2018年春季发布。

原文地址：https://www.easyaq.com/news/xx.shtml