美国政府问责局(GAO)的一份新报告强调了美国外交部门(仍然)不了解"网络安全实践"的含义。国务院号称有适当的网络安全风险管理计划,但只是纸上谈兵。
\�_)mWK,h� 
�<W^�>:!?w 美国政府问责局的GAO-23-107012号报告调查了美国国务院网络事务的糟糕状况,国务院是执行美国外交和帮助制定美国外交政策的政府机构。确保支持国务院使命的IT系统的安全应该是一个至关重要的目标,而迄今为止,国务院在实现这一目标方面却做得"异常出色"。
+xU=7��chA Gsy����9�0 美国政府问责局的报告称,国务院已经记录了一项"符合联邦要求"的网络安全风险管理计划。该计划确定了风险管理角色和责任,并制定了适当的风险管理战略。然而,该计划并未得到"全面"实施,国务院甚至无法识别或监控其IT资产的风险,也不知道它到底拥有多少IT资产。
)/z+W[��t �"b"�|a�y� 报告全文指出,美国国务院"很可能没有充分认识到"影响其任务运行的信息安全漏洞和网络威胁。美国国务院有一个适当的"网络事件响应小组",负责全天候监控和识别安全问题,但缺乏支持其事件响应计划的"全面实施流程"。
M?DXCsZ,)s I]�Z�"?T 美国国务院"没有充分保护"其IT基础设施,这可能是本年度最轻描淡写的说法,因为该政府机构很可能仍在使用基于WindowsXP的PC。美国政府问责局证实,某些操作系统"在13年前"就已达到报废年限,这与2009年4月14日XP主流支持的终止时间几乎完全吻合。微软为其传奇的PC操作系统提供了延长支持,直至2014年4月8日。
� Sg(\+j=� D}2$n�?�~+ IT基础设施的其他问题包括23689个"硬件系统"和3102套网络和服务器操作系统安装已达到其使用寿命,不再得到支持。美国政府问责局的报告指出,如果说信息技术安全问题还不足以引起人们的关注,那么美国国务院的官僚作风和联合结构则是非常成功的自我破坏。
,0?�3��k�� "ER�=�c3 t 国务院将首席信息官和子机构之间的IT管理责任分割开来,这种"隔绝文化"有利于缺乏沟通,最终导致了报告中指出的许多缺陷。美国审计总署称,由于这种沟通问题,国务院的企业配置管理(ECM)数据库无法提供仍在使用的所有硬件和软件的全貌。ECM数据库似乎完全没有国家20个外交前哨使用的IT资产数据。
aq9Ej]1�b� ���Hx9lQ�8 美国政府问责局提出了15项建议,以解决在美国国务院IT基础设施中发现的许多问题。此外,监督办公室稍后还将发布另一份"有限分发"的报告,强调另外500项建议,以补救美国外交机构的糟糕状况。
��\Awqr:A&
微博帐号登录