根据11月19日发布的一份报告,能源部(OIG)督察总检察人员(OIG)办公室报告了大量的网络安全缺陷,并在2019年度2019财政年度发布了54个建议。

“如果没有改进,以解决我们报告中确定的弱点,该部门的信息系统和数据可能是妥协,损失和/或修改的高于必要的风险” 那个报告 “因此,”因此,有必要采取额外行动来帮助加强该部门的未分类网络安全计划。“

在DOE拥有的1,848个工作站的测试中,OIG审核员发现了超过一半的缺少在审计前一个月发布的安全补丁和更新。在一个地点,OIG报告说,与缺少的安全补丁和不受支持的软件有近11,000个关键和高风险的漏洞。在其他两个位置,测试的所有服务器都缺少严重或高风险的安全补丁和更新。

加入美国和MGT冠军12月12日。 学到更多
OIG找到了三个DOE站点的配置管理差异,包括防火墙规则中的错误,允许系统不恰当地访问其他网络。 “使用安全配置,强调对缺陷的系统强化,可能导致未来漏洞的更大程度的安全性和保护,”OIG在报告中建议。

审计员还发现了根据打印机,特权和非特权帐户等外围设备的访问控制错误,以及财务管理系统中的用户帐户。此外,两个DOE位置的网络安全和隐私培训缺乏基于角色的培训策略和对年度意识培训的承诺。

最后,OIG在安全控制测试中发现了“显着的缺陷”,在两个DOE位置进行了连续监控。一个DOE设施的现场官员没有测试有关他们按预期运作的重要系统的控制。

OIG说,其报告是故意含糊不清的网络安全缺陷,以保护原子能机构免受威胁,而且还放心,Doe官员正在努力纠正这些问题。

“由于我们评估期间确定了漏洞的敏感性,我们从本报告中省略了特定信息和网站。我们为网站和计划官员提供了有关我们在其地点确定的漏洞的详细信息,并且在许多情况下,官员已经启动了纠正措施来解决已识别的漏洞,“报告国家。

Doe Cio Rocky Campion通过确保原子能机构正在努力结束建议,回应审计。

“该部门同意今年发布的54次建议,致博伊特的计划和与改善部门的网络安全计划有关的网站,”他在给督察将军中发言。 “该部门将继续解决所有组织层面的这些弱点,以充分保护DOE的信息资产和系统免受伤害,”他说。

自2018年至2018财年以来,该部门已完成25岁以上的21岁时来自OIG的建议。

阅读更多信息
关于
凯蒂马龙
凯蒂马龙
凯蒂马龙是一个涵盖政府和技术交叉口的Manitalk员工记者。
标签