NASA打算解決長期存在的網絡安全管理問題
根據NASA監察長發布的一份報告,”對NASA網絡的攻擊並不是一個新現象,儘管竊取關鍵信息的企圖在復雜性和嚴重性方面都在增加”。”我們發現,美國宇航局預防、檢測和緩解網絡攻擊的能力因架構的混亂方法而受到限制”。
NASA管理著3000個網站和42000個公開的數據庫。雖然努力加強其網絡安全態勢,但監察局確定,美國國家航空航天局在過去四年中遭受了超過6000次網絡攻擊,包括網絡釣魚詐騙和惡意軟件。該機構糟糕的安全態勢使其暴露在網絡威脅的不必要的風險中。
在監督機構的改革建議中,包括推進CyPreSS–安全和隱私企業解決方案和服務–一個廣泛的網絡安全管理合同。這需要強化各種IT服務,包括安全運營中心、滲透測試、漏洞管理、供應鏈風險管理、培訓和知識,以及身份、證書和訪問管理。
根據Deltek維護的政府合同數據庫GovWin,該招標計劃於5月17日發布,並將於11月宣布授標,工作將於2022年2月開始。根據聯邦獎勵管理系統,該提案仍處於預徵集階段。
監察局還指出,NASA評估和授權IT系統的程序在整個組織中是不一致和低效的。
NASA的首席信息官Jeffrey Seaton同意監察局的所有建議,包括為Cypress合同製定基線要求的一項建議。
作為對監察局建議的回應,NASA還將創建一個企業架構計劃,開始監測其企業安全架構的功效指標,並對監察局定義的該機構的526個IT系統進行成本評估。