根据一个新的 报告 通过NASA的检查员办公室(OIG),美国宇航局没有充分保护其网络从IT设备的未经授权访问,并且没有完全实现删除的控件或阻止未经授权的IT设备访问该机构的网络和系统。

oig.报告称,2019年12月2019年12月初步安装这些控制的目标日期已延迟,由于技术挑战和OCIO使命优先事项和要求的变化,“OCIG报告称。 “直到强制执行控制,美国宇航局仍然容易受到网络安全攻击的影响。”

根据该报告,美国宇航局允许通过2018年4月通过其网络访问非公共数据的个人拥有和合作伙伴拥有的IT设备,直到代理商的“澄清了现有的美国宇航局要求禁止连接”这些设备。

由于从员工和合作伙伴推回来,那些要求要求损害生产力的OCIO,CIO建立了新的要求,允许这些设备通过移动设备管理(MDM)应用程序安装安全软件,允许这些设备安全地访问NASA的电子邮件系统。

“虽然OCIO建立了在个人移动设备上实现MDM的过程,但它没有充分监控并强制授予此类访问所需的业务规则,”OIG在其新报告中表示。 OIG补充说,当规划MDM项目时,NASA OCIO没有建立监测和执法要求,美国国家航空航空航天局的数据因病毒,恶意软件或黑客造成风险。

oig.向美国国家航空航天局提出了五项建议,该机构同意该机构所有这些建议。建议包括:

  • 全面实施网络访问控制和所有代理中心的连续诊断和缓解,以检测,防止和删除未经授权的IT设备;
  • 根据国家标准和技术研究所特别出版物800-124,将适用的IT策略和要求文件进行IT系统生命周期管理;
  • 定义要求和实施控制以监控和实施MDM业务规则;
  • 修改网络安全政策,指导和要求,提供OCIO,具有企业范围的IT管理水平,以确保一致;和
  • 修改NASA战略以提高网络安全,实施控制,以确保足够的高级代理信息安全官员可见的网络安全实践。
阅读更多信息