https://static.jiayezz.com/d8/e28ccd792e83ada01960f2e332ae7e

在2015财政年,对国土安全部信息安全项目的评估显示,有许多顶级机密的数据库中的漏洞还未做修补。

我现在正在说一件很惊人的事,美国国土安全部正在运行一些尚未做过处理或者易受攻击的数据库,当中有一些数据库包含有机密甚至是顶级机密。

在2015年对国土安全部信息安全项目的评估事件之后,由美国政府引导的,对部门内部的IT设施的调查就开始了。

在对国土安全部信息安全项目调查的过程中,发现了政府系统中有许多严重的安全隐患,有136个系统包含有过期的 “当局运作”程序,这个情况说明维护任务已经暂停。检察员发现的最主要的问题是,有许多系统尽管仍在运作,但是它们已经不再对安全补丁进行更新,使它们暴露在网络攻击下。

在这136个系统中,17个包含有机密或者顶级机密信息。

在对国土安全部信息安全项目报告进行深入研究后,可以看出,海岸警卫队部门运行着26个易受攻击的数据库,联邦应急管理局(FMMA)有25个,海关与边境保护局有14个,国土安全部的控制中心有11个。

https://static.jiayezz.com/f6/7be2d68f542787d78c75a33401f8c5

 

虽然联邦经济情报局只有2个不安全的数据库,但是他们还是遭到了其他攻击。

联邦经济情报局只对其75%的机密数据库和58%的非机密数据库进行安全检查,而国土安全部的比例分别是100%和75%。专家还发现几个安全隐患,这些隐患影响着大部分的评估系统,包括个人电脑,数据库,以及浏览器。

对国土安全部信息安全项目的评估显示,一些系统中存在不足,比如,Windows8.1和Windows7平台的主要软件中,缺少安全补丁。

国土安全部的检察员,在一份66页的报告中,简要指出“我们在Windows7平台中,发现Adobe Acrobat, Adobe Reader, 和Oracle Java 软件中具有一些别的隐患,如果开发这些软件,其中的隐患可能会允许未授权的访问进入国土安全部的数据库中。”

检察员在国土安全部信息安全项目中,还发现一些别的安全问题,包括一些易破解的密码,易受到跨网站或交叉连架影响的网站,以及等级较弱的安全设定。

政府在修补漏洞和解决操作问题时,由于官僚政治的阻碍,一个漏洞从被曝出再到它被解决可能需要一年多的时间。

评估的结果确保了系统安全已经做了提升,但是仍然有许多安全问题亟待解决。

“虽然系统安全已经做了提升,但是部门必须保证信息安全领域的要求与其他领域一致。比如,国土安全部没有将机密类别系统的信息作为其每月一次的信息安全考核的一部分,或者是它的信息安全管理法案受制于美国政府管理预算局。另外,美国海岸警卫队没有将峰值反向电压数据报告给其部门,这与其管理下司要求的向第五部门上交该信息相冲突。另外,我们鉴别出国土安全部的企业运行系统中的不足,包括不正确或不完整的数据。”

 报告也提供了一些建议,用来解决评估之后出现的安全问题。

 国土安全部有90天的时间来修补漏洞,其中的两个问题现在已经得到解决。

文章原文链接:https://www.anquanke.com/post/id/82978