IG nói các hệ thống máy tính nối tới mạng của Bộ An ninh Quốc nội không an ninh

IGsays computer systems connected to Homeland Security network are notsecure

ByJill R. Aitoro 06/09/2010

Theo:http://www.nextgov.com/nextgov/ng_20100609_2200.php

Bàiđược đưa lên Internet ngày: 09/06/2010

Lờingười dịch: “Một giáo lý cơ bản về an ninh thông tinlà áp dụng những kiểm tra đối với các hệ thống màchúng không chỉ tồn tại bên trong một mạng, mà còn cảnhững hệ thống mà kết nối tới nó nữa”, theo báocáo của IG đối với an ninh các hệ thống mạng dựatrên AD (Active Directory) - một công nghệ trong MicrosoftWindows, của Bộ An ninh Quốc nội Mỹ DHS.

BộAn ninh Quốc nội (DHS) Mỹ đã thất bại trong kiểm tra anninh các hệ thống máy tính kết nối tới mạng căn bản,lộ ra những chỗ bị tổn thương và đặt các thông tinnhạy cảm vào rủi ro, theo một báo cáo được đưa rabởi tổng thanh tra hôm thứ ba.

DHSsử dụng Thư mục Tích cực AD (Active Directory), một côngnghệ trong Microsoft Windows, để quản lý một cách tậptrung các tiến trình và dịch vụ mạng khắp bộ. Theo mộtbáo cáo từ IG, một số các hệ thống máy tính mà dựavào AD cho các dịch vụ chuyên nghiệp có những điểm yếuvề an ninh.

“Mộtgiáo lý cơ bản về an ninh thông tin là áp dụng nhữngkiểm tra đối với các hệ thống mà chúng không chỉ tồntại bên trong một mạng, mà còn cả những hệ thống màkết nối tới nó nữa”, IG nói. “Bằng việc chấp nhậncác hệ thống từ các thành phần khác mà không ép buộchoặc khẳng định được các kiểm tra an ninh, DHS đểphơi mạng của mình cho những chỗ bị tổn thương cótrên các hệ thống đó”, bao gồm cả sự truy cập khôngđược phép tới các dữ liệu hoặc sự gián đoạn cácdịch vụ sống còn.

Đặcbiệt, IG đã dò ra những chỗ bị tổn thương trong cáchệ thống kết nối tới mạng chính của bộ từ các cơquan Hải quan và Kiểm tra biên giới; Tăng cường Hảiquan và Nhập cư; và Khoa học và Công nghệ, bao gồm cảviệc bỏ qua các bản vá an ninh, các mật khẩu yếu vàthiếu kiểm soát truy cập mà chúng ngăn ngừa những ngườisử dụng không được phép mở các ứng dụng nhạy cảm.

TheHomelandSecurityDepartment has failed to validate the security of computer systemsthat connect to the primary network, introducing vulnerabilities andputting sensitive information at risk, according to a report releasedby the inspector general on Tuesday.

DHSuses Active Directory, a technology included in Microsoft Windows, tocentrally manage network processes and services across thedepartment. According to a reportf-rom the IG, a number of the computer systems that rely on ActiveDirectory for enterprise services have security weaknesses.

"Abasic tenet of informationsecurityis to apply controls to systems that not only exist within a network,but to those that connect to it as well," the IG reported. "Byaccepting systems f-rom other components without enforcing orconfirming security controls, DHS exposes its network tovulnerabilities contained on those systems," including potentialunauthorized access to data or interruption of critical services.

Specifically,the IG detected vulnerabilities in systems connecting to the maindepartment network f-rom Customs and Border Control; Immigration andCustoms Enforcement; and the Science and Technology division,including missing security patches, weak passwords and a lack ofaccess controls that prevent unauthorized users f-rom openingsensitive applications.

IGcũng nói rằng bộ này đã không có chính sách tại chỗđể kiểm tra chất lượng thiết lập cấu hình về anninh trên các hệ thống mà kết nối tới mạng máy tínhcơ bản này tại tổng hành dinh của DHS từ các mạng tạicác cơ quan thành phần.

“Banđầu được thiết kế để hỗ trợ cho chỉ các cơ quancủa tổng hành dinh, cấu trúc của AD hiện hành khôngđược tối ưu hóa cho việc hỗ trợ các ứng dụngchuyên nghiệp”, báo cáo nói. “Để đảm bảo an ninhcho các hệ thống sẽ được bổ sung vào, các thủ tụcbằng tay và các kiểm tra tính đúng đắn riêng lẻ phảiđược thực hiện. Những tiến trình này còn chưa đượcchứng minh là có hiệu quả trong việc duy trì mức độan ninh như được yêu cầu trên mạng của DHS”.

CIOcủa DHS Ric-hard Spires đã bắt đầu giải quyết các vấnđề được nêu trong báo cáo này, bao gồm cả các khuyếncáo của IG ra soát lại sự kiểm tra an ninh sẽ đượctriển khai và thiết lập cấu hình sẽ tuân thủ vớichính sách của bộ về các hệ thống được kết nốihoặc được bổ sung vào miền ứng dụng chuyên nghiệpcủa AD và cung cấp chỉ dẫn để đảm bảo các biệnpháp an ninh phù hợp được thực hiện cho tất cả cáchệ thống.

TheIG also reported that Homeland Security had no policy in place toverify the quality of security configurations on systems that connectto the primary computer network at DHS headquarters f-rom networks atcomponent agencies.

"Initiallydesigned to support only headquarters, the current Active Directorystructure is not optimized for supporting enterprisewideapplications," the report said. "To secure the systems thatare added, manual procedures and individual validations must beperformed. These processes have not proved to be effective inmaintaining the level of security required on DHS' network."

DHSChief Information Officer Ric-hard Spires has started to address theissues outlined in the report, including recommendations by the IG toverify that security controls are implemented and configurationsettings are compliant with department policy on systems connected oradded to Active Directory enterprise application domain; to addressthe current weaknesses on systems connected to Active Directory; andto provide guidance to ensure appropriate security measures are takenfor all systems.

Dịchtài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com