安全问题继续混淆许多联邦机构保持大量的敏感信息未经授权的披露的风险,修改或破坏。
这是另一个的主要结论之一政府问责安全评估专注于教育部,但包括其他机构的信息,本周向国会。2006财年以来,发生的信息安全事件影响联邦系统稳步增加,从5500年的2006财政年度到近67200在2014财政年度,GAO说。
+更多网络世界:有个足球雷竞技app魔法还是诅咒?2015年世界电视日+
“检查员一般23 24机构,包括教育、引用信息安全作为主要管理挑战。在先前的报道,高和检查员一般使成千上万的建议机构地址不足的信息安全控制和弱点在他们的程序,但许多这些建议保持开放,”GAO说。“一些机构,包括19日Education-reported信息安全控制缺陷是重大缺陷或重大缺陷2014财政年度。”
gao.gov
同时风险也成倍增长,在安全系统上的支出增长几乎没有结果。从2010财年到2014财年,24机构报道开支10.3美元到146亿美元每年在网络安全,包括127亿财政年的2014起,比2013财年增长了23%,GAO说。财政年2013年和2014年,机构报道信息安全支出的地区包括:防止恶意网络活动;检测、分析、和减轻入侵;和塑造网络安全环境,GAO表示。
具体的缺点包括:
访问控制:2014财政年度,教育和21个其他机构在电子和物理控制弱点限制,防止,或发现不恰当的访问计算机资源(数据、设备和设施),从而增加他们的风险未授权的使用、修改、信息披露和损失。具体地说,教育的监察长报告几个关键的弱点访问控制元素,包括保护信息系统的边界和处理事件。例如,部门没有实现控制验证非政府提供安全的设备连接到其网络身份验证之前通过虚拟私人客户程序。
+更多网络世界:有个足球雷竞技app快速浏览:世界上最大的电子垃圾倾倒
配置管理:对于2014财政年度,22家机构,包括教育,在控制弱点报道旨在确保只有授权和充分测试软件放在操作,软件和硬件更新,信息系统监控,补丁应用到这些系统来防止已知的漏洞,和紧急变更记录和批准。例如,该部门的配置管理指导自2005年以来没有被更新,其IT安全基线配置指导自2009年以来没有被更新。
职责的划分弱点:15机构曾报道过职责分离控制,虽然教育并非其中之一。这些控制策略、过程和组织结构,有助于确保一个人不能独立控制所有计算机相关操作的关键方面,从而采取未经授权的行动或未经授权地访问资产或记录。
连续的操作17:教育和其他机构在控制弱点报道的连续性2014财政年度的操作实践。例如,教育没有持续记录恢复过程的系统按照国家标准与技术研究院(NIST)的指导方针和部门政策。此外,该部门没有持续执行和记录测试某些系统的应急计划。
安全管理:对于2014财政年度,23机构,包括教育、在安全管理缺陷报告,这是一个根本原因在联邦机构信息安全控制缺陷识别。环保总署的安全程序,根据《联邦信息安全管理法案》(FISMA),提供了一个框架,用于评估和管理风险,包括开发和实施安全政策和程序,进行安全意识培训,监控实体的电脑控制的充分性通过安全测试和评估,并实施适当的补救措施。
GAO报告9月的24个主要机构(包括教育)有弱点信息安全控制包括:
- 限制、预防和检测不当对计算机资源的访问;
- 管理软件和硬件的配置;
- 隔离的职责,以确保一个人没有控制所有计算机相关操作的主要方面;
- 规划的连续性操作在发生灾难或中断;和
- 实现环保总署安全管理程序识别关键控制不足,解决问题,和管理风险在一个正在进行的基础上。
“这些不足的地方重要的信息和信息系统用于支持的操作,资产和人员的联邦机构的风险,并且可以削弱机构的努力,全面实施有效的信息安全计划”GAO说。
看看这些其他热的故事: