E安全4月18日讯,美国政府问责办公室(GAO)表示,美国国防部(DOD)目前尚未完全实现改善网络卫生的关键举措和实践,并没有解决基本网络安全盲点。

事件概要

早在五年前,国防部就制定了几十个网络安全卫生目标,但是根据最新的报告发现,DOD已经放弃或失去了其中大部分目标的跟踪数据。

美国联邦政府国防部并不以强大的网络安全著称,但是随着网络安全威胁的发展风险总是在增加,国防部越来越依赖信息技术,这个现象并不符合网络系统的已知弱点。近日,来自政府的一份新报告强调了五角大楼在各个层面应该被优先考虑的网络安全系统存在缺陷,同时,问责局为加强国防部的网络数字防御提出了7项建议。

报告介绍

据了解,这份报告并没有直接罗列出国防部应该做什么来提高网络安全意识的清单,相反,该报告侧重于三个正在进行的国防部网络安全卫生倡议,以了解五角大楼是否正在实现原先的既定目标。GAO在网络卫生审查时发现,国防部已经列出了黑客经常使用的技术清单,这些技术将会给安全部门带来重大风险。

其实就网络防御而言,国防部似乎确实缺乏统一的方法。据悉,GAO的报告是根据美国国防部监察长(IG)3月的调查结果得出的,结果显示该部门并未持续缓解2012年报告中指出的美国网络漏洞。同时,根据3月17日的报告,DOD组件对员工实施了特定的组件分派方法,为DoD网络红队提供培训和网络防御开发工具,并对DoD网络红队的任务进行了优先排序。但IG发现,国防部没有建立统一的方法来支持和优先分配DOD网络红色团队的任务。

在与GAO研究团队的讨论中,DOD官员确定了三个重要网络卫生计划的实施状态各不相同,这三个分别是2015年DOD网络安全文化与合规计划(DC3I),2015年DOD网络纪律实施计划(CDIP)和DOD的网络意识挑战训练计划。

  • 一、DC3I计划提出了11项总体任务,预计将在2016财年完成,但并没有完成,这11项任务中包括网络教育和培训以及有关网络能力和权限变更的建议。但是,GAO的审查发现,其中有7个任务尚未完全执行。

  • 二、CDIP计划有17项任务,着重于从国防部网络中消除可预防的漏洞,否则这些漏洞可能促使对手破坏信息数据和安全系统。在这17个任务中,国防部首席信息官负责监督10项任务的执行。副秘书长设定的目标是到2018财年年底实现10个CIO任务的90%的执行,而GAO发现其中有四个任务尚未执行。此外,由于尚未指定DOD实体报告进度,其他七个任务的完成情况未知。

  • 三、DOD网络意识挑战培训旨在帮助国防部工作人员提高对已知和正在出现的网络威胁的认识,并强化最佳防御实践,以确保信息和系统的安全。GAO发现并不能跟踪到其系统用户完成此所需培训的程度。对16个选定组件的审查确定了有6个小组没有提供系统用户的培训信息,还有8个小组没有提供因未完成培训而被撤销网络访问权限的原因信息。

建议意见

GAO向国防部提出了七项建议,以解决安全“盲点”:

  • 一、确保实施DC3I任务;

  • 二、制定计划完成日期的计划,实施由国防部CIO监督完成剩余四个CDIP任务;

  • 三、确定DOD组件以监督七个CDIP任务的执行,这些任务不受DOD CIO的监督,但需要报告执行这些任务的进度;

  • 四、准确地监视和报告有关用户已完成“网络意识挑战”培训的程度,以及提供由于尚未完成培训而被撤销对网络访问的用户数量的信息;

  • 五、确保所有DOD小组(包括DARPA)都要求其用户参加网络意识挑战赛培训;

  • 六、指导小组需要监视实施措施的程度,以保护国防部网络免受关键网络攻击技术的侵害;

  • 七、评估高级领导者基于风险做出的决策,并相应地修订定期报告(或制定新报告)。

目前,对于这些建议美国国防部同意了建议5,部分同意建议1、2、4和7。 但是,他们不同意应确定DOD组件以监督CIO所未监督的任务的执行,声称这部分将会取代最近的工作,导致整个工作并不能成为一个整体。但是GAO坚持认为,对DOD当前未跟踪进度的这些任务进行分析与DOD指南和NIST建立的基本网络安全标准是具有一致性的,并且DOD计划在未来的合同授予中将其应用于与某些国防承包商的合作中,以保护DOD的信息。将其作为网络安全成熟度模型认证框架的一部分。

衡量国防部网络安全政策、程序、标准和指南的完善情况,无论对于哪个国家而言都是至关重要的,因为国防部网络,国家关键基础设施,国防部武器系统,云和国防部员工网络安全这都属于国家重点的网安部署。美国斯坦福大学美国情报和外交政策专家Amy Zegart表示,世界各国都认识到网络安全是一个关键问题,因为他们担心对手可能会由于利益关系对他们的进行网络攻击,破坏国防部的军事力量、经济和政治进程,因此在美国网络安全相关的问题总是非常的引人注目。因此,解决网络安全盲区是至关重要的任务,但是由于网络是一个非常复杂的第五空间,不确定因素是非常多的,所以这是需要技术、时间和资金等给予支撑。

声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。