权威国防科技信息门户
国防科技大数据智能情报平台
DSTIS征订中
DPS国防术语智能定位系统
国外国防科技文献资料快报
公告:
DSTIS国防军工信息资源内网服务系统2019年征订开始  
美国政府问责署报告称国防部应采取果断行动改善“网络卫生”
2020-04-14
    【美国GAO网站4月13日报道】美国政府问责署(GAO)13日发布网络安全审查报告,对国防部的网络卫生状况进行了调查。

政府问责署的调查发现
    卡内基梅隆大学将“网络卫生”定义为一套管理最常见和最普遍的网络安全风险的实践。在与政府问责署的讨论中,国防部官员确定了三项全部门网络卫生计划:《2015年国防部网络安全文化和合规计划》《2015年国防部网络纪律实施计划》和《国防部网络感知挑战培训计划》。GAO调查发现,国防部尚未完全实施这三项旨在改善网络卫生的关键举措计划。

    “文化与合规计划”提出了11项总体任务,原计划在2016财年完成。它包括网络教育和培训、将网络整合到作战演习中,以及对网络能力和权威的必要建议。然而,其中有7项任务尚未得到充分执行。
    “网络纪律计划”有17项任务,重点是消除国防部网络中可预防的漏洞,否则这些漏洞会使信息和系统受到敌方的威胁。在这17项任务中,国防部首席信息官负责监督器重10项任务的实施。虽然国防部副部长设定了实施目标,要求这10项任务在2018财年结束前完成90%,但目前其中4项任务尚未实施。此外,其他7项任务的完成情况不明,因为没有指定国防部实体报告进展情况。
    “网络感知培训计划”旨在帮助国防部员工保持对已知和新出现的网络威胁的感知,并强化最佳实践,以确保信息和系统的安全。然而,国防部指定的下属部局不知道其系统用户完成这一所需培训的程度。政府问责署对16个选定部局的审查发现,有6个部局没有关于未完成所需培训的系统用户的信息,有8个部局没有关于因未完成培训而被撤销网络访问的用户的信息。

    除了上述举措之外,国防部还制定了对手最常使用的技术清单,这些技术给国防部带来了重大风险,并确定了保护国防部网络和系统免受这些技术影响的措施。然而,国防部并不清楚这些做法的实施程度如何。据国防部官员称,缺乏这方面的知识部分是由于没有国防部下属部局来监控实施。总体而言,在国防部完成其网络卫生计划并确保网络实践得以实施之前,国防部将面临更大的被敌方成功攻击风险。

    虽然国防部高级领导人已经收到了两份有关网络纪律计划实施最新情况的定期报告,但他们并未定期收到关于其他两项计划以及网络卫生实践实施程度的信息。如果有这些信息,国防部领导人将更好地意识到国防部面临的网络风险,并做出更有效的决策来管理这些风险。

政府问责署开展该研究的原因
    国防部越来越依赖信息技术,随着网络安全威胁的发展,其面临的风险也在增加。据国防部首席网络顾问称,网络安全专家估计,通过实施基本网络卫生和分享最佳实践,90%的网络攻击都可以被挫败。
参议院115-262号报告包括一项规定,即美国政府问责署负责审查国防部网络卫生。该报告评估了1)国防部在多大程度上实施了关键的网络卫生措施和实践,以保护国防部网络免受关键的网络攻击技术的影响;2)国防部高级领导人收到了关于实施这些措施和网络卫生实践的信息。
    政府问责署审查了国防部为实施三项网络卫生计划而采取的行动的文件,并审查了向国防部高级领导人提供的报告。

政府问责署的建议
    美国政府问责署向国防部提出了七项建议,包括全面实施网络卫生计划,指定国防部实体监控各部局任务完成情况和网络卫生实践,国防部高级领导人应接收网络卫生计划和实践信息。在七项建议中,国防部同意一项,部分同意四项,不同意两项。政府问责署仍然认为所有建议都是有根据的。
(中国船舶工业综合技术经济研究院 丁宏 )

相关新闻

DSTIS 国防科技工业信息服务系统
中国核科技信息与经济研究院 中国航天系统科学与工程研究院 中国航空工业发展研究中心
中国船舶工业综合技术经济研究院 中国船舶信息中心 北方科技信息研究所 工业和信息化部电子科学技术情报研究所
 
中国科技信息网 dsti.net © 2006 - 2020 版权所有 京ICP备10013389号