NSA后斯诺登时代699项安全缺陷修复率不足三成

E安全7月30日讯 美国国安局审计检查员于2018年7月25日发布首份非保密审计概述显示，美国国家安局（NSA）在执行信息安全要求方面表现不佳，检查员提出的699项建议中76%的缺陷逾期未有改善。

NSA 收到699项建议

该报告是主要关于2017年10月1日~2018年3月31日之间进行的新一轮审计，审计结果显示，美国最大网络间谍机构同样面临着大量网络漏洞的困扰。各项信息安全漏洞皆被列为“重要但未完成的审计建议”，截至2018年3月31日，NSA 共存留有699项检查员提出的公开的一般性建议，其中76%逾期。这些安全漏洞包括：

不准确或不完整的计算机系统安全计划；

未正确进行病毒扫描的便携式介质；

在追踪 NSA 网络防御人员工作内容以确保其符合最高级别保护标准方面的不充分问题。

目前尚不清楚这些建议的具体严重程度，其中很多可能并不涉及信息安全或技术。其中最值得关注的是，NSA 甚至还没有在其数据中心与机房当中正确实施“双人授权访问控制”机制。

双人授权访问控制

自2013年 NSA 承包商斯诺登泄露大量关于国安局内部业务数据以来，前 NSA 局长基思·亚历山大就建立起双人访问系统，即除非得到另一位员工的批准，否则任何员工或承包商都无法独自访问敏感信息。

NSA 检查员向美国国会提交半年度信息安全漏洞报告，此次公布的非保密版本审计概述当中对上述问题做出了相应描述。在此之前，该报告完全保密。

缺少流程文书工作

此次审计给出的一项关键性结论在于，NSA 在授权计算机系统运行之前通常并未收集所有必要的记录文件，因此很难进行严格的检查。这些计算机系统可能发生故障或者包含或被来自俄罗斯等美国敌对国家黑客所利用的编码漏洞。

在为期六个月的审计期间，审计人员发现每套系统都至少缺失一些属于“运行权”评估流程中必要环节的文书工作。

另外，NSA 并未遵循《联邦信息安全现代化法案》中提出的信息安全实施指导，亦未保留关于其使用 IT 系统的权威清单。

报告显示，NSA 用于提供在线信息的三套系统存在缺陷，这些缺陷包括未遵守 IT 安全策略，可能导致机密信息暴露或美国公民个人信息泄露。

硬件采购工作缺乏保护措施

NSA 监察长办公室负责人罗伯特·斯托奇在一份声明 表示，“此次公开发布半年度报告非保密版本，目标在于尽可能以透明方式展现 NSA 监察办如何进行严格的独立监督，从而检测并预防各类浪费、欺诈、滥用以及其它不当行为。”NSA 已经实施控制措施，阻止各代理机构及承包商在未获得批准的情况下购买软件，但 NSA 并未对硬件采购工作采取相同的保护措施。

另外，NSA 在保留电子邮件方面未能充分或有效遵循《联邦记录法》约定的流程。NSA 没有保留关于邮件保存有效性的记录，亦未能提供充分的指导以解决问题。