IG nói các hệ thống máy tính nối tới mạng của Bộ An ninh Quốc nội không an ninh

IG says computer systems connected to Homeland Security network are not secure

By Jill R. Aitoro 06/09/2010

Theo: http://www.nextgov.com/nextgov/ng_20100609_2200.php

Bài được đưa lên Internet ngày: 09/06/2010

Lời người dịch: “Một giáo lý cơ bản về an ninh thông tin là áp dụng những kiểm tra đối với các hệ thống mà chúng không chỉ tồn tại bên trong một mạng, mà còn cả những hệ thống mà kết nối tới nó nữa”, theo báo cáo của IG đối với an ninh các hệ thống mạng dựa trên AD (Active Directory) - một công nghệ trong Microsoft Windows, của Bộ An ninh Quốc nội Mỹ DHS.

Bộ An ninh Quốc nội (DHS) Mỹ đã thất bại trong kiểm tra an ninh các hệ thống máy tính kết nối tới mạng căn bản, lộ ra những chỗ bị tổn thương và đặt các thông tin nhạy cảm vào rủi ro, theo một báo cáo được đưa ra bởi tổng thanh tra hôm thứ ba.

DHS sử dụng Thư mục Tích cực AD (Active Directory), một công nghệ trong Microsoft Windows, để quản lý một cách tập trung các tiến trình và dịch vụ mạng khắp bộ. Theo một báo cáo từ IG, một số các hệ thống máy tính mà dựa vào AD cho các dịch vụ chuyên nghiệp có những điểm yếu về an ninh.

“Một giáo lý cơ bản về an ninh thông tin là áp dụng những kiểm tra đối với các hệ thống mà chúng không chỉ tồn tại bên trong một mạng, mà còn cả những hệ thống mà kết nối tới nó nữa”, IG nói. “Bằng việc chấp nhận các hệ thống từ các thành phần khác mà không ép buộc hoặc khẳng định được các kiểm tra an ninh, DHS để phơi mạng của mình cho những chỗ bị tổn thương có trên các hệ thống đó”, bao gồm cả sự truy cập không được phép tới các dữ liệu hoặc sự gián đoạn các dịch vụ sống còn.

Đặc biệt, IG đã dò ra những chỗ bị tổn thương trong các hệ thống kết nối tới mạng chính của bộ từ các cơ quan Hải quan và Kiểm tra biên giới; Tăng cường Hải quan và Nhập cư; và Khoa học và Công nghệ, bao gồm cả việc bỏ qua các bản vá an ninh, các mật khẩu yếu và thiếu kiểm soát truy cập mà chúng ngăn ngừa những người sử dụng không được phép mở các ứng dụng nhạy cảm.

The Homeland Security Department has failed to validate the security of computer systems that connect to the primary network, introducing vulnerabilities and putting sensitive information at risk, according to a report released by the inspector general on Tuesday.

DHS uses Active Directory, a technology included in Microsoft Windows, to centrally manage network processes and services across the department. According to a report from the IG, a number of the computer systems that rely on Active Directory for enterprise services have security weaknesses.

"A basic tenet of information security is to apply controls to systems that not only exist within a network, but to those that connect to it as well," the IG reported. "By accepting systems from other components without enforcing or confirming security controls, DHS exposes its network to vulnerabilities contained on those systems," including potential unauthorized access to data or interruption of critical services.

Specifically, the IG detected vulnerabilities in systems connecting to the main department network from Customs and Border Control; Immigration and Customs Enforcement; and the Science and Technology division, including missing security patches, weak passwords and a lack of access controls that prevent unauthorized users from opening sensitive applications.

IG cũng nói rằng bộ này đã không có chính sách tại chỗ để kiểm tra chất lượng thiết lập cấu hình về an ninh trên các hệ thống mà kết nối tới mạng máy tính cơ bản này tại tổng hành dinh của DHS từ các mạng tại các cơ quan thành phần.

“Ban đầu được thiết kế để hỗ trợ cho chỉ các cơ quan của tổng hành dinh, cấu trúc của AD hiện hành không được tối ưu hóa cho việc hỗ trợ các ứng dụng chuyên nghiệp”, báo cáo nói. “Để đảm bảo an ninh cho các hệ thống sẽ được bổ sung vào, các thủ tục bằng tay và các kiểm tra tính đúng đắn riêng lẻ phải được thực hiện. Những tiến trình này còn chưa được chứng minh là có hiệu quả trong việc duy trì mức độ an ninh như được yêu cầu trên mạng của DHS”.

CIO của DHS Richard Spires đã bắt đầu giải quyết các vấn đề được nêu trong báo cáo này, bao gồm cả các khuyến cáo của IG ra soát lại sự kiểm tra an ninh sẽ được triển khai và thiết lập cấu hình sẽ tuân thủ với chính sách của bộ về các hệ thống được kết nối hoặc được bổ sung vào miền ứng dụng chuyên nghiệp của AD và cung cấp chỉ dẫn để đảm bảo các biện pháp an ninh phù hợp được thực hiện cho tất cả các hệ thống.

The IG also reported that Homeland Security had no policy in place to verify the quality of security configurations on systems that connect to the primary computer network at DHS headquarters from networks at component agencies.

"Initially designed to support only headquarters, the current Active Directory structure is not optimized for supporting enterprisewide applications," the report said. "To secure the systems that are added, manual procedures and individual validations must be performed. These processes have not proved to be effective in maintaining the level of security required on DHS' network."

DHS Chief Information Officer Richard Spires has started to address the issues outlined in the report, including recommendations by the IG to verify that security controls are implemented and configuration settings are compliant with department policy on systems connected or added to Active Directory enterprise application domain; to address the current weaknesses on systems connected to Active Directory; and to provide guidance to ensure appropriate security measures are taken for all systems.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com