美国政府问责局曝光国务院仍在使用 13 年前的操作系统

美国政府问责局（GAO）的一份新报告强调了美国外交部门（仍然）不了解"网络安全实践"的含义。国务院号称有适当的网络安全风险管理计划，但只是纸上谈兵。

美国政府问责局的GAO-23-107012号报告调查了美国国务院网络事务的糟糕状况，国务院是执行美国外交和帮助制定美国外交政策的政府机构。确保支持国务院使命的IT系统的安全应该是一个至关重要的目标，而迄今为止，国务院在实现这一目标方面却做得"异常出色"。

美国政府问责局的报告称，国务院已经记录了一项"符合联邦要求"的网络安全风险管理计划。该计划确定了风险管理角色和责任，并制定了适当的风险管理战略。然而，该计划并未得到"全面"实施，国务院甚至无法识别或监控其IT资产的风险，也不知道它到底拥有多少IT资产。

报告全文指出，美国国务院"很可能没有充分认识到"影响其任务运行的信息安全漏洞和网络威胁。美国国务院有一个适当的"网络事件响应小组"，负责全天候监控和识别安全问题，但缺乏支持其事件响应计划的"全面实施流程"。

美国国务院"没有充分保护"其IT基础设施，这可能是本年度最轻描淡写的说法，因为该政府机构很可能仍在使用基于WindowsXP的PC。美国政府问责局证实，某些操作系统"在13年前"就已达到报废年限，这与2009年4月14日XP主流支持的终止时间几乎完全吻合。微软为其传奇的PC操作系统提供了延长支持，直至2014年4月8日。

IT基础设施的其他问题包括23689个"硬件系统"和3102套网络和服务器操作系统安装已达到其使用寿命，不再得到支持。美国政府问责局的报告指出，如果说信息技术安全问题还不足以引起人们的关注，那么美国国务院的官僚作风和联合结构则是非常成功的自我破坏。

国务院将首席信息官和子机构之间的IT管理责任分割开来，这种"隔绝文化"有利于缺乏沟通，最终导致了报告中指出的许多缺陷。美国审计总署称，由于这种沟通问题，国务院的企业配置管理（ECM）数据库无法提供仍在使用的所有硬件和软件的全貌。ECM数据库似乎完全没有国家20个外交前哨使用的IT资产数据。

美国政府问责局提出了15项建议，以解决在美国国务院IT基础设施中发现的许多问题。此外，监督办公室稍后还将发布另一份"有限分发"的报告，强调另外500项建议，以补救美国外交机构的糟糕状况。