美国国务院监察长办公室在上周发布的年度管理与绩效审计报告中得出结论,称国务院虽然已经采取一系列措施以改善信息安全,但种种突出的薄弱因素仍导致该部门容易受到网络攻击及威胁的影响。监察办(OIG)在此份报告中指出,信息安全与管理已经成为国务院面临的七大主要挑战之一。

报告指出,“国务院承认其信息系统与网络面临严重威胁,这些威胁可能利用并破坏敏感信息,且已经采取相应措施以尝试解决问题。但尽管已经投入大量资源,但我们发现该部门仍存在可能导致内部信息受到风险冲击的重大问题。”

根据审计结果,监察长办公室首先报告了2017年对信息系统安全官(ISSO)调查后发现的“普遍性担忧”问题;而在另一项针对2020财年的审计当中,监察长办公室发现国务院缺乏全面覆盖组织整体的信息安全计划

例如,国务院ISSO未能执行必要的审计活动。报告称,监察办发现ISSO在2018年8月至2019年7月期间仅对265处工作站中的16处进行过审计,覆盖比例仅为6%。

报告还提到,“ISSO职责履行层面的缺失,导致国务院网络容易受到潜在未授权访问及恶意活动的影响。此外,如果没有一种系统性方法以监控网络并记录调查结果,则该部门网络可能遭到破坏,进而导致信息安全性受损。”

审计指出,国务院还未能制定出充分的信息技术应急计划,亦未能对此类计划做出妥善测试及相关培训。对外事务研究所(FSI)因互联网访问控制协议过于宽松而留下安全隐患。审计报告称,接受条款及使用协议的内部用户可以连接到FSI的互联网,全程无需提供任何身份信息,这就导致事后难以对实施恶意行为的个人进行溯源。

最后,监察办关注的信息安全领域的内容是记录管理。根据审计结果,国务院在记录信息的创建、维护及处置方面缺乏必要控制。

根据报告,“由于缺乏有效的记录管理措施,重要数据可能不慎丢失,导致国务院无法对政策分析、决策以及档案研究等内容做出回顾性审查。”

此次监察办在审计工作中确定的另外6项管理与绩效问题分别为人员与设施保护、合同和赠款与外国援助监督、财务与财产管理、在突发事件和关键环境中的运行机制、劳动力管理以及通过内部协调和明确的职责划分来促进问责机制的建立。

原文链接:

https://www.nextgov.com/cybersecurity/2020/11/state-department-facing-significant-information-security-issues-oig-says/170232/

声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。