尽管努力改善,GAO报告表示大多数政府机构都面临安全攻击风险
24个机构-包括农业部、商务部、国防部、教育部、能源部、卫生人事部、国土安全部和国税局-均在信息安全控制方面有缺陷产生这些缺陷的一个深层原因是机构没有完全实施其信息安全程序结果,它们有限地保证控件到位并按保护信息资源的意图运作,从而使它们容易攻击或妥协。”
GAO表示所有机构有五大安全组件问题
访问控件确保只有经授权个人才能读取、修改或删除数据
配置管理控件保证只实施授权软件程序
职责分离可降低个人独立不检测不适当行为的风险
操作规划的连续性有助于避免计算机依赖操作的重大中断
(5) 全机构信息安全程序提供框架,确保风险为人理解,有效控件得到选择和实施
24大联邦机构2010财年存取控制缺陷举例说,18个机构在识别和认证信息系统用户方面遇到问题,其中至少有7个机构允许弱认证实践,这可能增加未经授权使用信息系统的脆弱性。十九家机构在授权访问方面有缺陷,例如管理非活动账户和确保只有有正当需求者才能访问敏感账户此外,16个机构没有适当监控网络可疑活动或报告检测安全事件GAO表示:「没有适当的访问控制, 机构无法保证信息资源不受有意或无意伤害」
GAO和机构总检查员在2010财年和2011财年报告中向机构提出了数百条建议,要求其采取必要行动解决控制缺陷和信息安全程序缺陷各机构总体上同意总审计局的大部分建议,并表示将执行这些建议。
显而易见需要做更多工作
