美国信息安全建设审计

作 者:

作者简介:
李培培,审计署审计科研所

原文出处:
中国审计

内容提要:

02


期刊代号:V3
分类名称:审计文摘
复印期号:2017 年 02 期

关 键 词:

字号:

      美国是世界上最早建立和使用计算机网络的国家,拥有世界上最先进和最庞大的信息系统,信息安全问题对其经济发展和社会稳定等至关重要,一直受到美国政府高度重视。1966年以来,美国制定了一系列法律法规,出台了信息安全策略,2003年信息安全成为美国国家安全战略的重要组成部分。

      美国加强信息安全建设的主要举措

      信息安全威胁会对联邦信息、计算机系统或软件产生不利影响,导致敏感信息泄露、变更或损失,破坏或中断关键系统,直至破坏经济和国家安全。2003年,美国正式将信息安全提升至国家安全的战略高度后,采取多项措施加强信息安全建设,主要包括:一是健全信息安全法律制度。美国信息安全保障法律体系建设由来已久,时至今日已经趋于健全。美国信息安全方面的法律法规除了涵盖范围广泛,还注重标准的制定,在多部法律中都明确要求制定保护信息安全的标准。二是完善信息安全管理机构。为维护国家信息安全,加强信息网络监控力度,美国不断强化政府的安全职能,设立层层主管机构。尤其是奥巴马政府执政后,增设了白宫网络安全事务协调官,成立了白宫网络安全办公室,确立了信息安全的集中领导。三是加大信息安全资金和技术投入。美国政府在信息网络安全研发方面给予连续、长期、稳定、充分的资金投入,以确保研究机构有充足的资金和时间进行充分的开发并实现高质量的研究计划。此外,美国在不断进行技术研发和完善的同时,还加强了对某些关键技术的控制和管理,企图在下一代信息安全技术中掌控全球,继续保持其世界霸主地位。四是培养网络和信息安全理念。美国政府在深化网络信息安全教育、提高全民信息安全意识方面,制订了一系列计划并开展了卓有成效的工作。如2002年通过了《网络安全研发法》,各大名校都已经启动了计算机安全教育项目,美国国安局、中情局、联邦调查局以及国防部等政府机构对有关信息安全的人才招聘力度也不断加大。

      美国信息安全方面的审计情况

      从美国审计署的审计报告来看,美国信息安全问题涉及美国国防部、储蓄监管部门、联邦航空管理局(FAA)、联邦调查局、联邦通信委员会、公共债务局、联邦住房金融机构、国家核安全局、证券交易委员会、联邦储蓄保险公司、国内税务局、国土安全部、总务管理局、退伍军人事务部等多个部门,揭示的问题主要包括如下几个方面。

      一是信息安全计划方面。主要是没有制订并实施完整的信息安全计划;没有制订完全或充分的系统测试计划,没有对系统的安全控制进行充分测试等。如美国审计署在对联邦航空管理局的空中交通控制系统审计时发现,FAA已经采取了措施来保护空中交通控制系统免遭网络和其他威胁,但根据2002年联邦信息安全管理法案的要求,FAA应执行信息安全计划以及安全控制测试计划,但其并没有完全执行。

      二是信息系统控制方面。主要是没有进行持续的系统安全控制监督和评估;没有对操作环境发生显著改变的关键系统控制进行评估;对系统中敏感信息的加密程度不够,对敏感信息的安全保障较弱;对访问系统敏感信息和数据的用户身份验证力度不足;没有实现适当的职责分离等。如美国审计署对联邦储蓄保险公司进行审计时,发现其在识别和验证用户身份、对敏感信息的限制访问和加密方面有待提高。美国审计署对国内税务署进行审计时,发现其没有有效的维持对关键应用程序的安全配置,没有通过限制开发者对应用程序进行不必要的访问来实现适当的职责分离等。

      三是产品承包商方面。主要是没有对承包商的员工背景进行调查,没有形成有效监督承包商的程序,对承包商员工安全意识的培训不足等。如美国审计署在对联邦储蓄保险公司进行审计时,发现其在关键财务系统方面已经实施了很多的信息安全控制,但是在员工和承包商获得安全意识的培训方面仍存在缺陷。又如美国审计署对六个联邦机构(能源部、国土安全部、国务院、运输部、环境保护署、人事管理办公室)系统承包商的监督方面进行审计评价时发现,他们普遍对承包商建立了关于安全和隐私方面的要求,但在具体执行时有一些工作疏漏,如因缺乏对承包商员工背景调查而造成了系统的安全漏洞,因此这些机构应加强对承包商控制的监督。

      四是缺陷解决方面。主要是没有及时解决已经确定的安全缺陷,没有及时修复机构确定的薄弱环节;缺少系统安全问题相应的配置和补丁管理;缺少灾难恢复规划,不能及时将系统操作从事件中断或灾难中恢复;不能对数据泄露问题及时做出回应等。如美国审计署在对联邦储蓄保险公司关于金融系统管控方面进行审计时,发现其没有及时修复薄弱环节,只是创建了一个应对其补救行动过程中缺陷的概述计划。美国审计署对退伍军人事务部的信息系统进行审计时发现,对于系统中发现的重大漏洞,退伍军人事务部没有采取及时的纠正措施,也没有按政策规定期限应用关键补丁。

      美国审计署提出的建议主要有:在信息安全控制方面,建议制订持续监督信息安全的战略计划,强化国家信息安全保护系统,提高敏感信息加密难度,建立进入信息系统时安全可靠的身份验证等。在信息安全投资方面,建议加大对识别网络安全风险工具的购买力度,加强对工作人员专业能力的培训等。在产品承包商管理方面,建议加强对产品承包商人员的背景调查、安全和保密意识培训、监督等。在信息安全风险管理方面,建议定期收集、分析信息安全方面的事故报告或检测缺陷,加强机构间预防网络威胁或处理网络灾难的沟通合作和信息共享,加强对无线网络、移动设备的保护和控制,及时响应信息安全事件并制定相关完善措施等。

相关文章: