美国人口普查局多个IT系统网络安全水平或不达标

E安全5月13日讯 美国人口普查局（U.S. Census Bureau）正在制定并测试2020年人口普查工作所需要的技术方案，但专家们担心急于推出此类 IT 系统有可能导致其网络安全水平达不到标准要求。

美国人口普查局有44套IT 系统

美国政府问责局（GAO）报告称，其刚刚对2018年内总计44套人口普查相关 IT 系统中的8套进行全面测试。GAO还发现，44套系统中的14套仍处于开发阶段，而且包括欺诈检测系统在内的4套系统直到2018年4月才真正获得既定功能。

人口普查局还出于预算的考虑，从三套端到端测试系统中砍掉了两套。问责局方面表示，相关系统的试运行将于2019年4月结束。而这将成为“最后一次考查用于统计地理位置、住房类型与人口群体分布的普查技术与规程的机会。如果缺少充足的测试，很多运营问题可能长期存在，并影响到对运营体系的改善能力。”

2018年5月8日，GAO、人口普查局与美国商务部官员们在众议院监督委员会听证上就这些问题进行了讨论。大部分听证工作围绕一项存在争议的公民问题展开，担心有色人种社区的声音得不到适当传达。除此之外，证人们亦重申了推迟 IT 测试可能带来的负面影响。

2017年10月，商务部长威尔伯·罗斯要求国会额外划拨20亿美元作为2020年预算，其中约半数将被用于支付额外的 IT 成本。

美国政府问责局 IT 事务主管戴维·波纳指出，“自商务部长罗斯公布这一预算提升计划以来，GAO 发现商务部与人口普查局的治理能力确实得到了加强。虽然态势积极，但仍存在众多需要加以改进的层面，特别是在商务系统与安全筹备方面。”波纳还特别关注人口普查局如何保障其现有技术方案的网络安全水平。

目前，该局 GAO 必须对全部44套 IT 系统进行安全评估，并在实际部署之前签字确认。波纳表示这虽然仍无法彻底消除风险，但授权过程将确保每套系统都能达到一定的安全阈值要求。

6套IT系统恐无法正常上线

美国政府问责局指出，截至目前，只有6套系统得到了全面授权; 在端到端测试结束后，计划将有32套系统完成授权; 这意味着最终仍有6套系统无法得到正常上线许可。美国人口普查局通常需要6~8周才能完成对一套系统的测试，但问责局发现由于存在时间延误，目前留给安全专家们的单一系统测试周期只剩下 5~8天时间。

随着2020年的逐步临近，波纳在采访中表示，他怀疑美国人口普查局已经没有足够的时间完成严格的网络安全评估工作，更不要说解决测试中揭示出的安全漏洞。如果还有更多时间，那么安全漏洞与空白填充工作还有实现的可能。但问题在于，GAO 是否真能充分完成自己的份内职责？如果剩余时间周期很短，那么他们可能将被迫接纳更高的安全风险。

波纳表示， GAO 与美国国土安全部（DHS）在渗透测试及其它网络安全检查方面正在通力合作，但却午发更深入地了解其目前的安全工作进展，他担心，匆忙的进度设置可能遗留大量安全漏洞。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/1703074652.shtml