硬体安全漏洞审计报告揭示严重问题

重要点摘要

• 针对Tuscaloosa VA医疗中心和南俄勒冈康复中心的审计揭示了多项严重的安全缺陷。
• Tuscaloosa VA医疗中心的计划仅针对少量高风险漏洞进行了修复计划，且未能及时实施修补。
• 论及访问控制、配置管理及安全管理等方面的问题，存在多重安全风险。
• 论及南俄勒冈康复中心，同样发现了网络分割和物理安全控制的缺陷，对医疗系统的安全造成影响。

美国退伍军人事务部（Department of Veterans Affairs, VA）的监察总长办公室（Office of InspectorGeneral, OIG）针对南俄勒冈康复中心（SORCC）和TuscaloosaVA医疗中心进行的安全程序审计显示出许多严重漏洞，包括对已识别的风险缺乏有效的应对计划。

其中，TuscaloosaVA医疗中心的发现尤为令人担忧。该医疗机构仅针对“极少数主机”制定了行动计划，这些主机面临重大风险漏洞。因而，2015年所识别的一个高风险漏洞在多次审计中依然未得到修补，且没有任何证据表明技术团队“采取行动或制定计划以修复该缺陷。”若无此类计划，漏洞风险将无法有效控制。

OIG审计报告指出：“虽然本报告中的发现和建议是特定于Tuscaloosa VAMC，但VA的其他设施也可以通过审查这些信息并考虑这些建议而受益。”

Tuscaloosa和SORCC因未曾在VAOIG的年度《2014年联邦信息安全现代化法》(FISMA)审查中访问而被选择进行单独审计。这些对信息安全程序的检查旨在评估VA设施是否满足联邦安全要求。

以下是一些审计的主要内容：

审计内容 | 发现
—|—
配置管理 | 发现了识别不到的关键风险漏洞，未安装补丁和不可扫描的数据库服务器。
安全管理 | 未能提出足够详细的应对计划，且缺乏有效的访问控制和数据库应用漏洞的扫描。
网络分割 | SORCC未能实施有效的网络分割控制，导致潜在的医疗系统面临风险。
物理安全 | 存在气候控制不充分和未安装备用电源等问题。

Tuscaloosa审计结果揭示了补丁管理的陷阱

TuscaloosaVA医疗中心的审计结果显示，该中心在配置管理、安全管理和访问控制方面存在缺陷。简而言之，该医疗机构拥有一个漏洞管理程序，但仍需进一步改善。

最令人关注的发现与配置管理有关：未能识别的关键风险漏洞、未安装的补丁及无法扫描的数据库伺服器。OIG强调，所有这些缺口“使使用者无法可靠地存取信息”，并增加未经授权访问、删除或更改关键系统的风险。

安全管理问题源于缺乏足够详细的行动计划来应对已知漏洞，以及修复缺陷的不足，访问控制薄弱，和用来识别数据库应用程序漏洞的数据库扫描存在缺陷。例如，OIG与其OIT使用相同的漏洞扫描工具，但未能检测到所有OIG发现的漏洞。审计员发现了119个未被OIT检测到的关键风险漏洞。此外，OIG还识别了301个漏洞，其中167个出现在14%的设备上。

高达46%的所有设备发现了134个高风险漏洞