Phòng thí nghiệm quốc gia Los Alamos một lần nữa bị đánh vì an ninh máy tính yếu

LosAlamos National Lab again under fire for weak computer security

By JillR. Aitoro 11/16/2009

Theo:http://www.nextgov.com/nextgov/ng_20091116_2938.php

Bài được đưa lênInternet ngày: 16/11/2009

Những điểm yếu vềan ninh thông tin tiếp tục gây tai họa cho Phòng thí nghiệmQuốc gia Los Alamos, theo Văn phòng về Trách nhiệm củaChính phủ (GAO), mà nó đã báo cáo hôm thứ sáu rằngphòng thí nghiệm này đã thất bại để chỉ cho phépnhững người sử dụng được cấp phép truy cập mạng.

Trongbáo cáo tuần trước, GAO đã xác định hàng loạt chỗbị tổn thương mạng trong một số vùng mang tính sốngcòn của phòng thí nghiệm này, mà nó quản lý những hoạtđộng tại những trang thiết bị hạt nhân. Trong sốnhững yếu kém đó đã có sự thất bại trong việc xácđịnh và xác thực người sử dụng, thẩm định truy cậpcủa người sử dụng, mã hóa các thông tin không phổbiến, theo dõi sự tuân thủ các chính sách về an ninh,hoặc kiểm tra các thiết lập an ninh để được cậpnhật.

Quảntrị An ninh Hạt nhân Quốc gia (NNSA) giám sát phòng thínghiệm này, mà nó được quản lý bởi An ninh Quốc giaLos Alamos, một nhóm các nhà thầu. Theo GAO, chính sách củaNNSA nói rằng những cá nhân phải không chia sẻ các mậtkhẩu ngoại trừ trong những tình huống khẩn cấp hoặckhi có một sự cần thiết hoạt động quan trọng đặcbiệt, và các mật khẩu trên các hệ thống nhạy cảmphải được thay đổi ít nhất 6 tháng một lần. Việcquản trị cũng đòi hỏi cung cấp 2 bộ nhận biết nhưtên và mật khẩu, và có thể một thẻ thông minh hoặcmột dấu vân tay.

“[Phòngthí nghiệm này] đã không luôn quản lý các mật khẩumột cách an toàn trên mạng máy tính không phổ biến”,các nhà điều tra của GAO nói. “Như là kết quả củasự yếu kém, rủi ro ra tăng tồn tại mà những kẻ độtnhập không được phép với ý đồ độc hại có thểđoán được mật khẩu của những cá nhân và sử dụngchúng để giành quyền truy cập phù hợp tới các thôngtin không phổ biến”.

Hơnnữa, người sử dụng đã được trao quyền truy cập tớinhiều tệp máy tính hơn là cần thiết để thực hiệncác nhiệm vụ của họ và các hệ thống không đượcphổ biến đã không được thiết lập với những kiểmsoát an ninh cần thiết, theo báo cáo.

Informationsecurity weaknesses continue to plague Los Alamos NationalLaboratory, according to the Government Accountability Office, whichreported on Friday that the lab failed to allow only authorized usersaccess to the network.

Inits reportlast week, GAO identified numerous network vulnerabilities inseveral critical areas of the laboratory, which manages operations atnuclear facilities. Among the weaknesses were failures to identifyand authenticate users, authorize user access, encrypt classifiedinformation, monitor compliance with security policies, or check thatsecurity settings are up to date.

TheNational Nuclear Security Administration oversees the laboratory,which is managed by Los Alamos National Security, a consortium ofcontractors. According to GAO, NNSA policy states that individualsmust not share passwords except in emergency circumstances or whenthere is an overriding operational necessity, and passwords onsensitive systems should be changed at least every six months. Theadministration also requires the lab use two-factor authenticationwhenever possible. Two-factor authentication requires a user toprovide two sets of identity such a username and password, andpossibly a smart card or a fingerprint.

"[Thelab] did not always manage passwords securely on the classifiedcomputer network," GAO investigators said. "As a result ofthis weakness, increased risk exists that insiders with maliciousintent could guess the passwords of other individuals and use them togain inappropriate access to classified information."

Inaddition, users were granted access to more computer files thanneeded to perform their duties and classified systems were notconfigured with necessary security controls, according to the report.

Dù phòng thí nghiệmđã làm được một số cải tiến về an ninh thông tintrong vài năm qua, báo cáo gần đây nhất nhấn mạnh “mộtsố lượng về sự mất hiệu lực an ninh cấp độ cao”,GAO đã lưu ý. Vào tháng 10/2006, bằng chứng đã đượcđưa ra trong một cuộc điều tra có liên quan tới ma túytại Los Alamos, N.M., đã phát hiện rằng các thông tinkhông phổ biến được lưu trên một ổ USB và một sốtài liệu giấy đã bị loại bỏ một cách không phù hợptừ phòng thí nghiệm này. Sự việc còn tiếp tục, baogồm khi phòng thí nghiệm này có thể không tính tới việcloại bỏ các phương tiện điện tử như các đĩa compactvà các ổ cứng. Trong năm 2000, 2 vậttrung gian có thể tháo rời được có chứa các thiết kếvũ khí hạt nhân được sử dụng bởi Bộ Năng lượngđã bị mật tạm thời, và trong năm 1999, một nhà khoahọc đã chuyển những thông tin không được công bố từcác hệ thống máy tính của Los Alamos vào các đĩa khôngcó nhãn mác, mà ông ta sau đó đã lấy đi từ phòng thínghiệm.

NNSA thường đồng ývới các khuyến cáo của GAO, bao gồm cả những đánh giárủi ro xác đáng cho các hệ thống được kết nối tớimạng máy tính không phổ biến và các chính sách mà chứacác chỉ dẫn cụ thể về cách để triển khai những yêucầu an ninh của bộ và liên bang. GAO cũng đã khuyến cáorằng phòng thí nghiệm triển khai một chính sách đểđánh dấu mức độ không phổ biến của các thông tintrong các tài liệu và tệp được lưu trữ trong mạng cácmáy tính không phổ biến, và phát triển và duy trì mộtkho các tài liệu và tệp được lưu trữ trên mạng này.

Việc quét những chỗcó thể bị tổn thương phải được thực hiện đểkiểm nghiệm an ninh cho tất cả các hệ thống được kếtnối tới mạng máy tính không phổ biến, và quản trịan ninh phải được tập trung để tăng cường cho cácchính sách của phòng thí nghiệm được dễ dàng hơn.Phòng thí nghiệm này cũng phải phát triển một kế hoạchmà nó chi tiết hóa cách mà những cải tiến về an ninhkhông gian mạng sẽ được duy trì và đầu tư.

Hơn nữa, GAO đãkhuyến cáo NNSA xem xét lại những yêu cầu ngặt nghèo vềan ninh không gian mạng của liên bang tại văn phòng LosAlamos để xác định liệu có cần nhiều người thêm nữahay không.

Althoughthe lab madesome improvements to information security in the past couple ofyears, the latest report highlights "a number of high-profilesecurity lapses," GAO noted. In October 2006, evidence obtainedduring a drug-related investigation in Los Alamos, N.M., revealedthat classified information saved on a thumb drive and some paperdocuments had been improperly removed f-rom the laboratory. Theincident followed others, including when the lab could not accountfor the classified removal of electronic media such as compact discsand hard drives. In 2000, two pieces of removable media containingnuclear weapon designs used by the Energy Department were losttemporarily, and in 1999, a scientist transferred classifiedinformation f-rom Los Alamos computer systems onto unmarked discs,which he then removed f-rom the laboratory.

NNSAgenerally agreed with GAO's recommendations, including stricter riskassessments for systems connected to the classified computer networkand policies that contain specific instructions on how to implementfederal and departmental security requirements. GAO also recommendedthat that lab implement a policy to mark the classification level ofinformation in documents and files stored on the classified computernetwork, and develop and maintain an inventory of all documents andfiles stored on the network.

Vulnerabilityscans should be conducted to test the security for all systemsconnected to the classified computer network, and security managementshould be centralized to make enforcement of laboratory policieseasier. The lab also should develop a plan that details howcybersecurity improvements will be maintained and funded.

Inaddition, GAO recommended NNSA review federal cybersecurity staffingrequirements at the Los Alamos office to determine if more personnelis needed.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com