您的位置：首页>科技 >内容

审计署发现澳大利亚邮政没有有效管理网络风险

2019-07-05 09:24:51来源：

导读希望建立澳大利亚国家身份系统并通过区块链进行投票的政府所有实体已被审计办公室称为不具备网络弹性。澳大利亚国家审计署(ANAO)称澳大利亚

希望建立澳大利亚国家身份系统并通过区块链进行投票的政府所有实体已被审计办公室称为不具备“网络弹性”。澳大利亚国家审计署(ANAO)称澳大利亚邮政没有有效管理网络安全风险，报告强调了邮政服务实施其风险管理框架的弱点。在审计长的政府企业和企业联邦实体的绩效审计网络弹性[PDF]中，ANAO建议澳大利亚邮政继续实施其网络安全改进计划和所有关键资产的关键控制，以使网络风险在其容忍水平内。虽然ANAO称澳大利亚邮政具有适合目的的网络安全风险管理框架，但它表示，如果没有实施所有指定的密钥控制，它实际上无法满足要求。

ANAO写道：“澳大利亚邮政没有完全实施控制，符合”必要八强“中的前四强或四强非强制性策略。

该基本八-政府规定的四强减灾战略的延伸-在2017年年初扩大它涵盖了应用程序白名单，要求实体修补应用程序和操作系统，禁用Office宏，加强用户的应用，限制管理权限，设置多因素身份验证，并执行每日备份。

澳大利亚邮政实施了四大缓解策略中的两项 - 修补IT应用程序并最大限度地减少特权用户访问。就Essential Eight而言，澳大利亚邮政已实施仅每日一次的数据备份控制。

报告称，“虽然已经在13项评估行为和实践中嵌入了8项，但澳大利亚邮政还没有系统地管理网络风险，包括不评估在其指定的网络安全风险管理框架之外应用的控制措施的有效性。”

ANAO表示虽然澳大利亚邮政不具备网络弹性，但它具有内部弹性，并指出这与许多以前被审计的实体类似。ANAO表示，澳大利亚邮政正致力于在其组织内部嵌入“网络复原力文化”。

“澳大利亚邮政在其框架内未满足ICT控制的要求，未实施所有指定的关键控制措施，因此将整体网络风险评级显着高于其规定的容忍水平，”ANAO继续说道。这个有210年历史的邮政服务包含以下框架的各个方面：澳大利亚政府信息安全手册;美国国家标准与技术研究院(NIST)网络安全框架;ISO / IEC 27002信息技术 - 安全技术 - 信息安全控制的操作规范;和支付卡行业数据安全标准。

此次审计的显微镜下还有澳大利亚储备银行(RBA)和ASC Pty Ltd，这是一家涉及海军造船的澳大利亚政府企业。

ANAO发现，RBA和ASC都有效地管理了网络安全风险，并且两者都实施了符合“信息安全手册”要求的控制措施，包括“必要八强”中的四大和其他缓解策略。

在报告适用于ASC和RBA的网络安全风险管理框架时，报告称两个组织通过实施支持台式计算机，IT服务器和系统的指定IT控制来满足各自框架的要求。

ANAO表示，储备银行和ASC具有网络弹性，与过去五年审计的其他15家实体相比，具有较高的弹性。具体而言，RBA具有强大的网络弹性文化，而ASC正在发展其文化。

两者都满足了实施其网络安全风险管理框架中所包含的IT控制的要求，并且两者都实施了符合前四大要求的控制措施。

ANAO表示，RBA已经走得更远，实施了超越Essential Eight要求的缓解策略，例如使用机器学习和分析来检测网络威胁。

报告称，“储备银行拥有强大的网络复原力文化，在网络安全治理和风险管理，角色和责任，技术支持和监督合规性等领域建立了所有13种评估行为和做法。”

“ASC正在开发一种网络弹性文化，嵌入了七种评估的行为和做法，并努力在其业务流程中更全面地建立其他六种网络安全行为和做法。”

ANAO表示，它根据每个实体收集，存储和报告的信息的性质和敏感性选择了三个实体进行审计，包括实体管理关键基础设施或国家利益系统。

“尽管网络安全对于保护澳大利亚政府的数字信息具有重要意义，但非企业联邦实体的网络恢复能力仍然很低，而且监管框架中存在弱点，无法确保遵守强制性网络安全战略，”ANAO补充说。

自2013 - 14年信息安全手册成为非公司英联邦实体的强制性政策以来，审计长已提交了四项绩效审计，评估了14个此类实体的网络安全复原力。

它表示，审计发现，只有四家实体(29%)遵守了政府对信息安全的强制性要求，而监管框架并没有推动网络安全的充分改善。