您的位置:首页>科技 >内容

新加坡政府系统在IT控制方面仍然薄弱

2019-07-18 09:53:27来源:
导读审计署发现包括国防部和财政部在内的若干政府实体的信息技术控制存在缺陷,第三方访问权限不严,特权用户的登录和审查活动不足,并注意到往

审计署发现包括国防部和财政部在内的若干政府实体的信息技术控制存在缺陷,第三方访问权限不严,特权用户的登录和审查活动不足,并注意到往年类似的失误,表明需要进一步改进。已经发现包括国防部在内的几个新加坡政府实体的IT控制很薄弱,第三方访问权限不严,特权用户的日志记录和审查活动不足。用户访问权限的管理也存在缺失,其中一些特权用户是IT供应商的员工。

这些调查结果发布在审计署办公室(AGO)的最新年度报告中,该报告进一步指出,在过去几年的审计中,各公共部门实体已经发现了类似的问题。这表明IT控制仍然是一个需要改进的主要领域。

评估涵盖了所有16个政府部门,9个法定委员会,4个政府所有公司,4个政府基金和3个其他账户,并涉及办公室对记录,档案,报告和各种其他文件的检查以及实地考察和访谈。与政府官员。

新加坡政府强调需要从设计阶段考虑网络安全,并表示正在审查其预算,以确保留出足够的资源来支持强大的防御系统。

AGO强调了强大的IT控制措施对于预防和发现非法活动的重要性,并表示公共部门正在以多种方式利用技术,如数字化和流程自动化,以改善其对公民和企业的服务。

“由于管理了大量数据,包括个人和机密数据,任何未经授权的访问或活动都可能对IT系统中数据的完整性和机密性产生重大影响,”它说。

例如,国防部已授权IT供应商的几名员工访问其企业人力资源系统,使他们能够读取系统上的人员和工资单信息,包括部门要求受控访问的73种数据类型到位。

AGO指出,这些IT供应商工作人员仅在需求的基础上没有读取访问权限。例如,在AGO进行测试的2。8年内,任何员工都没有访问过23个数据类别,而其中4个员工从未获得73种信息类型中的任何一种,因为他们被授予了权利。该办公室表示,这表明并未严格根据IT供应商员工的工作范围和职责提供访问权限。

此外,没有对IT供应商访问和读取的数据集的日志记录进行审查。事实上,自2014年以来,国防部没有对此类日志记录进行审查,这意味着任何未经授权的访问都不会被检测到,也没有得到跟进。

在其辩护中,该部表示,已经预计人力资源系统管理复杂,需要专用资源来管理一系列人力资源业务。因此,它部署了其IT供应商的员工以支持系统的管理,这意味着授予他们对所有信息类型的读访问权。

根据AGO的说法,国防部表示已采取“严格”控制措施,以减轻授予此类访问权所带来的风险,包括IT供应商员工的安全许可,由CCTV监控的指定房间供他们工作,并定期审查闭路电视录像。

不过,该部承认,它可以根据更具体的工作范围更好地管理角色分配,因此访问权限可以简化为只需要的内容。它告诉AGO,它已经删除了IT供应商员工对23种信息类型的访问权限,并且从未访问任何数据集的四家IT供应商员工的访问权限已被删除。

根据该报告,在财政部也发现了类似的失误,其中为政府会计和金融系统特权用户分配的访问权限NFS @ Gov允许他们更改配置设置,例如对审批流程的控制等。商业规则。

此外,会计部门没有对系统审计表和活动进行任何审查,例如更新批准限制和在NFS @ Gov中设置批准工作流程没有在系统审计表中捕获,因为该部门有仅部分打开了系统审计表。

人力部也发现了失误,特别是其IT安全监控系统的管理。它不知道由于过时的配置,其两个IT系统的五台服务器无法将日志发送到IT安全监控系统。

自2016年1月部署以来,该部还没有审查对SIEM(安全信息和事件管理)系统所做的更改。此外,其负责维护SIEM系统的两名员工和一名IT供应商拥有访问权限。更改安全警报规则并从SIEM系统中删除系统。

在他对该报告的评论中,新加坡审计长Goh Soon Poh指出了前几年发现的采购中的类似失误和IT控制的弱点,并敦促他们尽职尽责。吴作栋说:“公共部门实体必须避免重复类似的失误,并采取有效措施,加强对公共资金使用的治理和控制。”

免责声明:本文由用户上传,如有侵权请联系删除!

猜你喜欢

最新文章