据外媒报导,依据美国国安局(NSA)初次揭露的审计概述,该组织仍未能满意许多信息安全要求。依据国安局督查长办公室周三发布的第一个非秘要审计概述,该组织正遭受许多网络缝隙的困扰。
这些缝隙包括不精确或不完整的计算机体系安全方案,未正确扫描病毒的可移动媒体,以及盯梢国安局网络防御者的作业责任以保证他们契合最高级别资历的不充分流程依据概述等。或许最有目共睹的是,该组织没有在其数据中心和机房中正确施行 " 双人授权拜访操控 "。
在 2013 年爱德华 · 斯诺登(Edward Snowden)走漏许多关于国安局的数据之后,前国安局局长 Keith Alexander 设立了双人授权拜访体系。该主意是,除非另一名职工同意,不然任何职工或承揽商都无法拜访灵敏信息。这些信息安全缝隙在国安局督查长办公室向国会提交的半年度陈述的非秘要版别中有所描绘。上述信息安全缝隙都被列为 " 重要的未完成审计主张 ",这意味着它们是审计师的重中之重,而且至少都是六个月之久。
依据该陈述,到 3 月 31 日,美国国安局有 699 个揭露查看的一般主张,其间 76%是逾期的。现在尚不清楚这些主张有多严峻,许多可能不触及信息安全或技能。该陈述首要重视于 2017 年 10 月 1 日至 2018 年 3 月 31 日期间进行的新审计。这些审计的一个要害结论是,该组织在授权计算机体系运转之前一般未能搜集一切必要的文件。
因为缺少尽职查询,这些计算机体系可能呈现毛病或许可能包括被来自俄罗斯等国家的黑客使用的缝隙。依据概述,在为期六个月的陈述期内,审计人员发现至少有一些文书作业缺失被评价为 " 运营权 " 的体系。
审计人员还发现,美国国安局未依据《联邦信息安全现代化法案》施行信息安全辅导。审计员发现国安局用于在线供给信息的三个体系存在缝隙,这可能会走漏秘要信息或走漏美国公民的个人信息。
" 揭露发布 [ 半年度陈述 ] 未分类版别的方针是尽可能透明地了解国安局督查长办公室怎么进行严厉的独立监督,以检测和避免糟蹋、诈骗、乱用和不妥行为," 国安局督查长办公室负责人 Robert Storch 在一份声明中表明。
审计人员还发现,国安局已施行操控措施,阻挠署理组织和承揽商在没有取得同意的情况下购买软件,但未对硬件购买采纳相同的保护措施。他们还发现,该组织保存电子邮件以恪守联邦记载法的进程是不充分和无效的。国安局没有存储的确有用的记载,也没有供给满足的辅导来解决问题。
