详细内容或原文请订阅后点击阅览
网络安全:NASA需要完全实施风险管理
GAO GUEND SPACECRAFT和太空系统在网络威胁环境中运行,攻击风险和任务中断的风险增加。为了保护国家航空航天局(NASA)等联邦机构的系统,国家标准技术研究所制定了网络安全风险管理指南。该指南包括七个关键风险管理步骤:准备,对系统进行分类,选择控件,实施控件,评估控制实施,授权系统并不断监视安全控制效果。NASA充分或部分实施其所选系统网络安全风险管理计划的所有步骤。但是,部分确定表明NASA在步骤中没有执行关键活动。例如:对于准备步骤,美国国家航空航天局(NASA)没有批准的整个组织风险评估。这种评估对于确定和减轻整个企业的最高优先级网络威胁至关重要。关于监视步骤,选定的系统没有记录系统级的连续监视策略,这在很大程度上是由于缺乏有关如何执行的指导。如果没有关键网络人员完全理解的有记录的策略,组织将面临增加数据泄露的风险,延迟对威胁的检测延迟以及对攻击的响应较慢。下表总结了NASA对四个选定系统实施每个风险管理步骤的程度
来源:美国政府问责局__信息安全信息Gao发现了什么
航天器和太空系统正在在网络威胁环境中运行,攻击风险和任务中断的风险增加。为了保护国家航空航天局(NASA)等联邦机构的系统,国家标准技术研究所制定了网络安全风险管理指南。该指南包括七个关键风险管理步骤:准备,对系统进行分类,选择控件,实施控件,评估控制实现,授权系统并不断监视安全控制效果。
准备 分类 选择 实施 评估 授权 监视NASA完全或部分地实施了其针对选定系统的网络安全风险管理计划的所有步骤。但是,部分确定表明NASA在步骤中没有执行关键活动。例如:
- 为准备步骤,NASA没有批准的整个组织风险评估。这样的评估对于确定和减轻整个企业的最高优先级网络威胁至关重要。在监视器步骤中,选定的系统没有记录系统级的连续监视策略,这在很大程度上是由于缺乏有关如何执行指导的指导。如果没有关键网络人员完全理解的有记录的策略,组织将面临增加数据泄露的风险,延迟对威胁的发现以及对攻击的反应速度较慢。
下表总结了NASA为四个选定系统实施每个风险管理步骤的程度。
国家航空和太空管理(NASA)和选定系统实施风险管理步骤