返回目录:office365
E安全9月24日讯 美国政府问责局(Government Accountability Office, GAO)报告称,网络复杂性和动态程度极高、并呈现技术多样化,通常在地理上分散,这使得难以保护联邦网络。
数据十分惊人:自2006年以来,联邦政府的网络事件增长1300%.
本周另一份GAO有关联邦网络安全的报告表明,政府控制的大量资源网络防护不容乐观。
GAO写到,“联邦信息系统和网络本质上处于风险之中。这些系统和网络复杂性和动态程度极高、并呈现技术多样化,通常在地理上分散。这种复杂性为识别、管理并保护各种操作系统、应用程序和包含系统和网络的设备增加难度。风险加剧,联邦机构使用的系统通常安全漏洞百出(已知和未知)。例如,截至2016年9月15日,Mitre公司维护的国家漏洞数据库识别了78,907公开已知的网络安全漏洞和曝光事件,每天还有更多的漏洞层出不穷。”
这份报告中,GAO提供了三种推荐方案,以帮助控制网络问题,包括:
实施基于风险的信息安全方案。机构面临全面有效建立并实施信息安全方案的挑战。他们需要提升能力识别网络威胁、实施安全配置计算机资产的可持续过程、修复漏洞系统并替换不支持的软件、确保综合测试并定期评估安全,以及加强对IT承包商的监督。
提高检测、响应以及缓解网络事件的能力。即使具备较强的安全性,组织机构仍会因先前未知的漏洞利用而遭受攻击。为了解决该问题,美国国土安全部需要拓展能力并采用入侵检测和预防系统;此外,联邦机构需要改进响应网络事件和数据泄露的实践。
拓宽网络人才并培训。确保政府具有足够的网络安全人力,这些人力具有正确的技能,培训仍会是持续的挑战。政府需要更好地招募并留住合格的网络安全人才,并提升机构的人力规划活动。
维护一切安全:GAO表示会经常确定联邦机构不启用操作系统、应用程序、工作站、服务器和网络设备的关键信息安全能力。联邦机构过去并不总是能意识到不安全设置对计算环境带来的风险。建立强大的配置标准并实现监控可持续过程,以及启用配置设置将加强联邦机构的安全姿态。
打补丁!为漏洞系统打补丁并替换不支持的软件。联邦机构始终未能及时在系统上应用关键安全补丁,有时在补丁可用后数年后才启用。这些缺陷通常让联邦机构系统和信息处于风险之中,因为许多成功的网络攻击利用与软件产品相关的已知漏洞。使用厂商支持并打补丁的软件将有助于降低风险。
GAO表示,自1997以来,已指定将联邦信息安全作为政府高风险领域。自那以后,GAO为联邦机构提供了约2500条建议以提升信息安全项目和控制。截至2016年9月16日,约1000条建议未实施。
E安全注:本文系E安全编辑报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com