保护联邦政府的信息系统和国家的重要基础设施——GAO最新发布美国联邦政府面临31个重大风险和挑战之十六
编译:张亮(审计署驻哈尔滨特派办)
连载之十七:保护联邦政府的信息系统和国家的重要基础设施——GAO最新发布美国联邦政府面临31个重大风险和挑战之十六
一、列入高风险领域的理由
联邦机构和我们国家的关键基础设施,例如配电、供水、电信、国防和应急部门,在工作过程中极其依赖电子数据和计算机信息系统。这些系统和数据的安全对于预防紧急状态和非法公开敏感信息等破坏性事件的发生是至关重要的。保护被称为网络关键基础设施保护或者网络总督察的联邦计算机系统和关键基础设施计算机系统是未来关注的重点。
联邦信息安全自1997年以来一直被GAO列入高风险领域。2003年GAO把高风险领域扩大到网络CIP。信息系统存在的持续危险包括:逐步升级和新出现的威胁;容易获取和使用黑客攻击工具;网络攻击技术日益复杂化;出现了新的和更具破坏性的网络攻击技术。
二、审计发现
按照2002年联邦信息安全管理法的要求,联邦机构已经在加强信息安全方面取得了进步,打算改善联邦系统安全的政府已经采取了一些行动。尽管如此,多数的机构还是感觉到仍然存在危及他们信息系统和信息的重大缺陷。
产生这些问题的一个主要原因是联邦机构没有完全使全面的信息安全管理计划制度化,这对于发现和解决基础性安全系统的弱点和管理风险是非常重要的。
为了保护国家计算机网络关键基础设施,布什政府在2003年出台了国家战略和相关政策来改善国家网络安全,该战略和政策指定国土安全部(DHS)负责联邦网络CIP工作,其核心网络安全责任包括:制定国家网络关键基础设施保护计划;计划和协调网络安全事件,对之做出反映并恢复网络安全;发现和评估网络攻击和安全漏洞。
过去的几年中,GAO已经报告了我国在实现网络安全战略基本内容方面做出的努力。例如,我们知道从2005年起国土安全部一直很好的履行它们的职责,在如下关键领域给出了很多建议:支持网络分析和预警能力;提高了联邦机构的效率;完善网上演习的识别功能;
制定处理所有网络标准的部门具体计划;改善基础设施控制系统网络安全;提高国土安全部恢复网络中断的能力。
除此之外,关于这个战略,由GAO召集的网络安全专家小组还认定了12个需要改善的关键领域。在那以后,奥巴马政府重新审视了这个战略,并在2009年5月出台了短期和长期行动计划来支持这个战略,这与我们过去在报告的、建议的、专家小组的研究结论是大体上符合的。
三、审计建议
联邦政府还需要付出更多的努力以建立起有效的于FISMA法案相一致的信息安全计划,包括解决已经发现的缺陷(详见GAO-09-546)。联邦的网络CIP计划应该包括:(详见GAO-09-546)实现核心网络安全责任,例如支持网络分析和网络预警能力(详见GAO-08-588); 改善基础设施控制系统网络安全(详见GAO-07-1036,GAO-08-119T); 提高国土安全部恢复网络中断的能力(详见GAO-06-672,GAO-06-863T); 通过执行12个关键战略改进来完善国家战略(详见GAO-09-432T)。
四、主要审计报告
(一)信息安全:联邦机构不断取得进步,但是仍需要减轻长期存在的弱点(2009年7月17日,GAO-09-546,66页)
(二)信息安全:网络攻击和安全漏洞使联邦信息系统处于风险领域(2009年5月5日,GAO-09-661T,21页)
(三)国家网络安全战略:加强国家的威严需要关键的改进(2009年3月10日,GAO-09-432T,18页)
(四)网络分析和预警:国土安全部面临来自建立综合国力的挑战(2008年7月31日,GAO-08-588,67页)
一、列入高风险领域的理由
联邦机构和我们国家的关键基础设施,例如配电、供水、电信、国防和应急部门,在工作过程中极其依赖电子数据和计算机信息系统。这些系统和数据的安全对于预防紧急状态和非法公开敏感信息等破坏性事件的发生是至关重要的。保护被称为网络关键基础设施保护或者网络总督察的联邦计算机系统和关键基础设施计算机系统是未来关注的重点。
联邦信息安全自1997年以来一直被GAO列入高风险领域。2003年GAO把高风险领域扩大到网络CIP。信息系统存在的持续危险包括:逐步升级和新出现的威胁;容易获取和使用黑客攻击工具;网络攻击技术日益复杂化;出现了新的和更具破坏性的网络攻击技术。
二、审计发现
按照2002年联邦信息安全管理法的要求,联邦机构已经在加强信息安全方面取得了进步,打算改善联邦系统安全的政府已经采取了一些行动。尽管如此,多数的机构还是感觉到仍然存在危及他们信息系统和信息的重大缺陷。
产生这些问题的一个主要原因是联邦机构没有完全使全面的信息安全管理计划制度化,这对于发现和解决基础性安全系统的弱点和管理风险是非常重要的。
为了保护国家计算机网络关键基础设施,布什政府在2003年出台了国家战略和相关政策来改善国家网络安全,该战略和政策指定国土安全部(DHS)负责联邦网络CIP工作,其核心网络安全责任包括:制定国家网络关键基础设施保护计划;计划和协调网络安全事件,对之做出反映并恢复网络安全;发现和评估网络攻击和安全漏洞。
过去的几年中,GAO已经报告了我国在实现网络安全战略基本内容方面做出的努力。例如,我们知道从2005年起国土安全部一直很好的履行它们的职责,在如下关键领域给出了很多建议:支持网络分析和预警能力;提高了联邦机构的效率;完善网上演习的识别功能;
制定处理所有网络标准的部门具体计划;改善基础设施控制系统网络安全;提高国土安全部恢复网络中断的能力。
除此之外,关于这个战略,由GAO召集的网络安全专家小组还认定了12个需要改善的关键领域。在那以后,奥巴马政府重新审视了这个战略,并在2009年5月出台了短期和长期行动计划来支持这个战略,这与我们过去在报告的、建议的、专家小组的研究结论是大体上符合的。
三、审计建议
联邦政府还需要付出更多的努力以建立起有效的于FISMA法案相一致的信息安全计划,包括解决已经发现的缺陷(详见GAO-09-546)。联邦的网络CIP计划应该包括:(详见GAO-09-546)实现核心网络安全责任,例如支持网络分析和网络预警能力(详见GAO-08-588); 改善基础设施控制系统网络安全(详见GAO-07-1036,GAO-08-119T); 提高国土安全部恢复网络中断的能力(详见GAO-06-672,GAO-06-863T); 通过执行12个关键战略改进来完善国家战略(详见GAO-09-432T)。
四、主要审计报告
(一)信息安全:联邦机构不断取得进步,但是仍需要减轻长期存在的弱点(2009年7月17日,GAO-09-546,66页)
(二)信息安全:网络攻击和安全漏洞使联邦信息系统处于风险领域(2009年5月5日,GAO-09-661T,21页)
(三)国家网络安全战略:加强国家的威严需要关键的改进(2009年3月10日,GAO-09-432T,18页)
(四)网络分析和预警:国土安全部面临来自建立综合国力的挑战(2008年7月31日,GAO-08-588,67页)
| 【关闭】 【打印】 |
