During a performance audit from October 2017 to December 2018, the Government Accountability Office (GAO), Congress' investigative arm, found the Office of Management and Budget's (OMB) oversight of efforts by federal agencies to procure and implement secure, interoperable, General Services Administration (GSA) approved “physical access control systems” (PACS) for federal buildings have been “hampered because it lacks baseline data on agencies' implementation of PACS.”而且,“没有这样的数据”,高告诉众议院的监督和管理效率委员会委员会,“ OMB无法履行其责任确保代理商遵守PACS要求或在实施联邦PACS要求方面的进展,并实现对机构跨机构的安全,可互操作系统的愿景。”
PACS是旨在管理联邦建筑物内受控区域的安全访问的系统,包括身份证,读取器和其他以电子方式确认员工和承包商身份的技术,并验证其对设施的访问。”
正如高(Gao)指出的那样,“为了提高联邦设施和信息系统的安全性,在2001年9月11日发生的恐怖袭击的潜力,例如2001年9月11日发生的恐怖袭击,国土安全总统总统指令12(HSPD-12)确定了对2004年8月的强制性,政府范围内对联邦政府雇员和承包商的标准的要求。”
该标准确定了物理访问控制系统的技术要求,以“向联邦雇员和承包商签发安全可靠的凭证,以获得联邦设施和信息系统的访问。”
为了符合这一标准,政府机构“已开始实施增强的物理访问控制系统,以控制员工和承包商的“对建筑物的访问权限”的控制系统,这些系统依靠“个人身份验证(PIV)卡,这些卡(PIV)卡与网络物理访问控制系统运行”,以确保员工和承包商可以确保他们声称自己是谁,并具有适当的权力。
生物识别更新已经从联邦建筑(包括联邦法院设施)的各种合同的联邦保护局(FPS)的警卫服务中学到了现有的访问控制系统,包括PIV和其他凭证,经常不起作用,代码没有定期更改,即使是内部建筑物访问控制系统也存在问题,也没有提及CCTV显示器和摄影机的问题。
GAO指出,“ OMB和GSA目前均未收集有关代理机构实施物理访问控制系统要求的数据,包括使用批准的产品列表。这很重要。这是重要的。因为我们对物理访问控制系统的制造商,集成商和选定机构的访谈表明,政府范围内的物理访问系统范围内的实施可能会受到限制,并在政府范围内提出了五个官员的官员。端到端的测试要求仅购买了有限数量的设施,他们仅购买了GSA批准的物理访问控制系统设备。
继续说,GAO发现“有限数量的GSA设施具有完全符合最新要求的物理访问控制系统。” GSA告诉GAO,“它已经满足了联邦物理访问控制系统的要求,其中有70个在其非营地建筑中有70个,另有90个部分符合要求(例如,使用PIV访问凭证)。其余设施尚未满足联邦物理访问控制系统的需求。”
GSA工作人员告诉GAO“ GSA在大约360座法院建筑物中管理公共场所,并正在为这些空间制定安全实施计划。” GSA官员还告诉GAO,GSA管理约8,000个租赁的建筑物:“这些空间中的租户通常负责建立物理访问控制系统,而GSA不跟踪此信息。”
代理商的官员还告诉GAO:“在联邦建筑物的所有地区,并不需要进行物理访问控制系统。按照ISC指导的建议,风险评估应确定必要物理访问控制系统的何处。”
根据国土安全部(DHS)官员的说法,“批准的产品列表为新的物理访问控制系统提供了端到端配置,但是由于大多数机构都需要进行现有系统,因此它们需要对适当的验证系统和读者进行改进,然后通过批准的产品列表进行批准,以便通过批准的列表进行批准。直接在过渡到批准的产品列表合并的现有系统中。
为了实施HSPD-12,标准和指导呼吁跨机构这些系统的互操作性。
高指出,“联邦机构实施物理访问控制系统代表了一项重大的联邦投资。例如,在接下来的5年中,单独的运输安全管理局(TSA)打算花费超过7000万美元来将物理访问控制系统纳入到位,“将这些资金(5100万美元(5100万美元)用于从[GSA批准的[GSA]批准的新系统中,
Gao指出,TSA只是“数百个联邦机构之一”。 “根据GSA官员的说法,GSA已花费数百万美元来测试这些系统。但是,国会委员会和一些行业利益相关者已经提出了有关实施该指令的问题,特别是关于代理机构使用批准的产品清单来购买物理访问系统的程度,但不仅可以在此类范围内购买量子的产品。伪造,克隆或复制,物理访问控制系统无法检测到它们。”
尽管许多联邦机构对实施HSPD-12负有重要责任,但OMB负责该计划的整体方向和监督。 GSA“负责测试物理访问控制系统,以确保它们符合安全性和互操作性标准,并通过其批准的产品列表来识别此类系统,OMB和联邦收购法规要求机构使用机构……购买物理访问控制系统以实现综合的物理安全方法”特别出版物800-116:在物理访问控制系统中使用PIV凭证的建议该出版物于2008年11月出版。该出版物“提供了在物理访问控制系统中使用PIV卡的指南[],并建议采用一种基于风险的方法来选择适当的PIV身份验证机制来管理对联邦政府设施的物理访问权限。”
由国土安全部(DHS)主持的机构间安全委员会(ISC)在确保保护非防御建筑,设施和安全方面发挥了基本作用。 NIST阐述了“构成标准基础的技术规格”,包括例如,符合HSPD-122.3的控制和安全目标的联邦PIV系统的最低要求”
GAO表示,GSA告诉审计师“ GSA及其测试承包商,为了使此证书身份验证过程成功,必须将物理访问控制系统设备进行网络,以便物理访问控制系统可以与卡片的发行人保持的目录进行交流;物理访问控制系统;未网络的额外访问权限,不仅可以确认均可访问的函数。给定凭据。
GAO向小组委员会的报告指出,来自五个选定机构GAO的官员“审查”确定了与PACS实施有关的许多挑战,包括成本,缺乏对如何采购设备的清晰度以及将新的PACS设备添加到传统系统中的困难。”
此外,GAO报告说:“ OMB,GSA和工业界的官员不仅证实了这些挑战的存在,而且……它们很可能在联邦政府中存在。” ISC的任务是“为非军事机构制定安全标准。以这种能力,ISC置于良好的位置,以确定PACS在其成员中存在PACS实施挑战的程度,并制定解决方案的策略。一名ISC官员告诉GAO,ISC已采取了措施,包括采取哪些措施来评估其他工作组,以评估其他PAC指导是有益的。”
GAO建议“ OMB确定并定期监视PACS实施的基线进度水平,ISC评估并制定解决政府范围内实施PAC的挑战的范围和制定策略。”
OMB没有对GAO的建议发表评论,而DHS仅同意向ISC的建议。
高说:“我们认为,获得的证据为我们的发现和结论提供了合理的依据。”
GAO报道说:“访谈了OMB和GSA履行政府范围内的责任的努力[并要求他们提供有关机构批准的产品清单用法的数据。我们采访了在政府范围内实施HSPD-12中具有关键作用的私营部门公司,具体来说:七个,包括五个整合机构,包括设备的工具,将其设置为众所周知:七个设备的工业公司,包括设备的其他工具,将其设置为良好的设备,并将其连接起来。 GSA的承包商对认可的产品列表和长期行业顾问测试物理访问控制系统。”
两个选定机构和一个系统集成商的官员告诉GAO:“某些机构官员不愿意更充分地整合其物理访问控制系统……由于人们担心感知到的安全风险增加而导致的安全风险增加,因此更广泛地网络上建立了网络访问系统的设备和访问凭证的访问权限,以及PIV诸如PIV卡之类的诸如其他联邦官员的范围。根据这些官员的范围。身份欺诈,并通过以电子方式验证访问证书的有效性来保护个人隐私。”
GAO还发现,利益相关者认为,一些联邦机构官员对物理访问控制系统要求的了解有限。高高报告说:“根据大多数物理访问控制系统的制造商和集成商的说法,联邦机构的合同官员通常缺乏对联邦物理访问控制系统的需求的足够的了解。对物理访问控制系统的需求不足,可能会导致承包官员授予合同的合同,以使身体访问系统的安装不足以使该系统的范围内的范围内的部件进行了专业的范围,从而使该系统的专业人士进行了专业的范围。这些机构的脆弱性和昂贵的未来成本。”
