E安全7月30日訊 美國國安局審計檢查員于2018年7月25日發(fā)布首份非保密審計概述顯示，美國國家安局（NSA）在執(zhí)行信息安全要求方面表現(xiàn)不佳，檢查員提出的699項建議中76%的缺陷逾期未有改善。

NSA 收到699項建議

該報告是主要關(guān)于2017年10月1日~2018年3月31日之間進(jìn)行的新一輪審計，審計結(jié)果顯示，美國最大網(wǎng)絡(luò)間諜機(jī)構(gòu)同樣面臨著大量網(wǎng)絡(luò)漏洞的困擾。各項信息安全漏洞皆被列為“重要但未完成的審計建議”，截至2018年3月31日，NSA 共存留有699項檢查員提出的公開的一般性建議，其中76%逾期。這些安全漏洞包括：

不準(zhǔn)確或不完整的計算機(jī)系統(tǒng)安全計劃；

未正確進(jìn)行病毒掃描的便攜式介質(zhì)；

在追蹤 NSA 網(wǎng)絡(luò)防御人員工作內(nèi)容以確保其符合最高級別保護(hù)標(biāo)準(zhǔn)方面的不充分問題。

目前尚不清楚這些建議的具體嚴(yán)重程度，其中很多可能并不涉及信息安全或技術(shù)。其中最值得關(guān)注的是，NSA 甚至還沒有在其數(shù)據(jù)中心與機(jī)房當(dāng)中正確實施“雙人授權(quán)訪問控制”機(jī)制。

雙人授權(quán)訪問控制

自2013年 NSA 承包商斯諾登泄露大量關(guān)于國安局內(nèi)部業(yè)務(wù)數(shù)據(jù)以來，前 NSA 局長基思·亞歷山大就建立起雙人訪問系統(tǒng)，即除非得到另一位員工的批準(zhǔn)，否則任何員工或承包商都無法獨自訪問敏感信息。

NSA 檢查員向美國國會提交半年度信息安全漏洞報告，此次公布的非保密版本審計概述當(dāng)中對上述問題做出了相應(yīng)描述。在此之前，該報告完全保密。

缺少流程文書工作

此次審計給出的一項關(guān)鍵性結(jié)論在于，NSA 在授權(quán)計算機(jī)系統(tǒng)運行之前通常并未收集所有必要的記錄文件，因此很難進(jìn)行嚴(yán)格的檢查。這些計算機(jī)系統(tǒng)可能發(fā)生故障或者包含或被來自俄羅斯等美國敵對國家黑客所利用的編碼漏洞。

在為期六個月的審計期間，審計人員發(fā)現(xiàn)每套系統(tǒng)都至少缺失一些屬于“運行權(quán)”評估流程中必要環(huán)節(jié)的文書工作。

另外，NSA 并未遵循《聯(lián)邦信息安全現(xiàn)代化法案》中提出的信息安全實施指導(dǎo)，亦未保留關(guān)于其使用 IT 系統(tǒng)的權(quán)威清單。

報告顯示，NSA 用于提供在線信息的三套系統(tǒng)存在缺陷，這些缺陷包括未遵守 IT 安全策略，可能導(dǎo)致機(jī)密信息暴露或美國公民個人信息泄露。

硬件采購工作缺乏保護(hù)措施

NSA 監(jiān)察長辦公室負(fù)責(zé)人羅伯特·斯托奇在一份聲明 表示，“此次公開發(fā)布半年度報告非保密版本，目標(biāo)在于盡可能以透明方式展現(xiàn) NSA 監(jiān)察辦如何進(jìn)行嚴(yán)格的獨立監(jiān)督，從而檢測并預(yù)防各類浪費、欺詐、濫用以及其它不當(dāng)行為。”NSA 已經(jīng)實施控制措施，阻止各代理機(jī)構(gòu)及承包商在未獲得批準(zhǔn)的情況下購買軟件，但 NSA 并未對硬件采購工作采取相同的保護(hù)措施。

另外，NSA 在保留電子郵件方面未能充分或有效遵循《聯(lián)邦記錄法》約定的流程。NSA 沒有保留關(guān)于郵件保存有效性的記錄，亦未能提供充分的指導(dǎo)以解決問題。