專門監督美國國會並負責調查美國各式服務的美國政府審計辦公室(Government Accountability Office, GAO)近日公布一項調查報告,指稱美國聯邦航空總署(Federal Aviation Administration, FAA)的空中交通管制系統含有許多漏洞,必須採取行動以避免來自網路或其他的安全威脅。

GAO指出,FAA應該避免或偵測未經授權的電腦資源存取,包括保護系統邊界、辨識,及認證使用者,授權使用者存取系統,將機密資料予以加密,以及偵測FAA系統上的各種活動。此外,在較不安全的系統與美國領空系統(NAS)之間界線保護控制的缺乏更加劇了上述漏洞的安全風險。

該報告列舉了FAA安全上的各種缺失,表示其中大多數的安全控制漏洞仍存在於NAS系統與網路,特別是其中用來保護系統機密、完整,及可得性的技術控制,包含存取控制、變更控制,及修補管理等。

另一方面,GAO亦指責FAA並未完全遵循美國的聯邦資訊安全管理法案(Federal Information Security Management Act of 2002),未能確實全面導入資訊安全專案,包括沒能充份測試安全控制,也沒能適時確認安全問題,亦未有系統潰堤後回復系統運作的妥善測試計畫。而且負責NAS系統安全的團隊無法充份存取安全紀錄或網路感應器,在在都限制了FAA偵測與回應安全意外的能力。

GAO表示,FAA的安全控制與安全專案含有漏洞的其中一個原因為FAA並未依據該組織的任務來建立一個完整且全面的機制來管理其資訊安全風險,並建議FAA應全面實施其資訊安全專案,否則這些漏洞將會繼續存在,置美國的空中交通管制系統於不必要的風險之中。

美國參議員Bill Nelson則說,此一報告讓他感到驚慌,已於本周去信要求FAA說明及提出補救措施。(編譯/陳曉莉)

 


熱門新聞

Advertisement