您的位置: 网界网 > 安全 > 正文

如何避免OPM遭遇的数据泄露事故

2015年07月15日 17:22:22 | 作者:邹铮编译 | 来源:网界网

摘要:根据检察长办公室表示,最近美国人事管理办公室(OPM)遭受的数据泄露事故披露了该机构长期疏于安全保护的问题。

标签
安全
OPM
数据泄露

【CNW独家译稿】在最近遭受大规模数据泄露事故后,美国人事管理办公室局长下台。检察长称该办公室忽视了警报信息。

根据检察长办公室表示,最近美国人事管理办公室(OPM)遭受的数据泄露事故披露了该机构长期疏于安全保护的问题。

在联合众议院小组委员会听证会之前,OPM审计助理检察长Michael Esser公对议员们说,该机构长期未能妥善管理其IT基础设施,而导致攻击事件的发生,这些攻击导致超过2100万现任政府雇员和前政府雇员个人信息的泄露。这个数字比最初该机构估计的泄露范围要多五倍。随后有消息称该机构局长将下台。

Esser称,OPM的安全状况已经有所改善,但他也表示无奈地说,多年来其办公室的很多建议(有些甚至可以追溯到2007年)基本上被该机构忽略。

Esser称:“我们很高兴的看到,该机构正在采取措施来改善其IT安全状况,但仍然面临很多挑战。”

在提高IT安全的过程中,OPM面临预算和资源挑战

Esser承认,与联邦政府的所有其他机构一样,OPM面临着预算挑战,让该机构无法部署重要的IT举措,而只能部署一部分。

Esser称:“我认为,资源一直是一个问题,但并不是唯一的答案。有时候我们感觉我们报告的事情并没有得到应有的重视。”

议员们指出,OPM的首席信息官[注]已经被邀请作证,但由于日常安排冲突而拒绝出席。

但这个数据泄露事故在该机构带来很大影响,上周五该机构的主管Katherine Archuleta辞职。

白宫新闻秘书Josh Earnest周五告诉记者:“我认为总统考虑的是新的领导需要能够解决OPM面临的紧迫挑战。”在白宫新闻发布会上,Earnest解释说,Archuleta因为个人意愿而提出辞职,同时,他称赞她将网络安全提升为该机构内的优先事项。

Earnest称:“而且,正式因为她发起的一些变革,让这个网络泄露事故在第一时间被发现。”

OPM首席履行官Beth Cobert将会临时领导该机构,同时他们也在持续寻找永久的替换人选。

检察长敦促部署更好的安全做法

与此同时,检察长继续在敦促OPM采取措施来解决该机构的安全问题,这些安全问题可能让该机构泄露数百万姓名、地址、社会安全号码和其他个人信息。

Esser描述了该机构信息安全不一致的管理框架,他认为这是分散组织结构的必然产物,该机构在这方面取得了一些进展,但仍然有很多工作要做。

“集中的管理结构很重要,”Esser称,“在这方面,OPM已经取得了很多进展,但仍然需要努力从多年的分散化结构中转变过来。”

此外,他的目标是部署评估和授权机制来确保该机构内使用的应用程序的安全性。在2014年的审计中(+本站微信networkworldweixin),Esser的团队发现47个主要IPM系统中有11个系统没有有效授权。

Esser还表示,OPM需要在身份验证和配置管理等领域提高其技术安全控制。

OPM负责监管很多敏感数据,包括与联邦工作人员安全审查相关的文件,而现在该机构已经沦为信息安全辩论的焦点,但有业内人士指出,这些问题并不仅存在这个机构。

Gregory Wilshusen是美国政府问责办公室信息安全问题主管,在众议院听证会上,有人问他如何评级联邦网络安全设备,他稍微犹豫了一下后说,“D”。

他表示:“在很多方面联邦信息安全都有所进展,但挑战在于如何有效部署安全控制以及安全措施。”

在OPM数据泄露事故后,白宫宣布在联邦政府之间开展为期30天的“网络安全闪电战”,以解决一些最关键的漏洞。上周,美国政府发出了一份情况说明这个项目取得的成功。

Wilshusen称:“政府机构需要持续评估和监控安全控制的有效性,这不是短跑比赛,而是一场马拉松。各部门和机构需要将安全性嵌入到日常运营中。”

参考资料

1.CIO:(Chief Information Officer),首席信息官,亦可称之为信息主管、信息总监等,是企业中信息化建设“统筹”人,是企业中不可或缺的高级主管职位之一,主要负责企业内部信息...详情>>

[责任编辑:鹿宁宁 lu_ningning]

我也说几句