美国国土安全部不安全，审计发现64个系统缺乏运行授权

保护美国安全的机构运行的是没打补丁的Flash……

一份政府报告指出，美国国土安全部(DHS)在保护自身IT系统安全上可以再做好一点。

DHS监督部门监察长办公室(OIG)发布题为《2017财年DHS信息安全项目评估》审计报告，称DHS可以更全面更有效地保护机密信息和系统。

本次审计在5个方面各设5级成熟度水平：

1) 自组网； 2) 有定义； 3) 实现一致； 4) 有管理可评估； 5) 经优化。

DHS信息安全项目在这5个方面的评估中有3个评级为3级——合格标准为4级。

DHS在系统防护所需的各种配置上实现不佳。沿用了厂商不再提供支持的操作系统，未能及时修复关键漏洞，没有监控非机密系统上的软件许可，且缺乏应对服务中断的修复计划。

该报告完稿日期是3月1日，签发日期为3月7日。报告中指出，2017年6月30日时，根据政府安全标准，有64个系统缺乏运行授权。其中16个是机密国家安全系统，48个是非机密系统。

尽管如此，该结果还是展现出了自2016年来的安全改进，当时是有79个非机密系统缺乏足够的防护。

报告称，DHS未能安全达标的最主要原因，是缺乏足够的安全人才。

审计发现的问题包括：

该报告还斥责DHS竟然沿用已不受支持的操作系统。DHS、海岸警卫队和特勤局都被发现还在用 Windows Server 2003 ——微软2015年7月起就停止支持的操作系统。

OIG还指出，DHS、联邦紧急事务管理署(FEMA)和海岸警卫队的Windows工作站补丁没打全。

DHS的 Windows 2008 和 2012 操作系统缺乏针对 Oracle Java、IE过时版本、微软Sidebar和Gadgets应用漏洞版本的安全补丁，其中一些补丁早在2013年7月就放出了。

大量 Windows 8.1 和 Windows 7 工作站缺乏关键安全补丁，包括WannaCry修复补丁、各种浏览器更新和针对 Adobe Flash、Shockwave和 Acrobat漏洞的补丁。

报告认为，DHS的安全不足与特朗普的网络安全行政令背道而驰，需要对其加强安全监管。

声明：本文来自安全牛，版权归作者所有。文章内容仅代表作者独立观点，不代表士冗科技立场，转载目的在于传递更多信息。如有侵权，请联系 service@expshell.com。