美弹道导弹防御系统未通过网络安全审计

美弹道导弹防御系统未通过网络安全审计

美国防部监察署长报告,用于保护美国弹道导弹系统(BMDS)的系统采取了不合适的网络安全措施。

美国用弹道导弹系统来对抗针对美国的短程、中程和远程弹道导弹。由于这些系统由计算机和软件控制,它们有可能成为国家支持攻击的目标,对系统进行控制和破坏,或是窃取机密信息和源代码等。

美弹道导弹防御系统未通过网络安全审计

早在2014年3月14日,国防部首席信息官员声明,国防部必须要部署国家安全标准和技术研究所(NIST)的安全控制来保护其系统,其中也包含BMDS.

国防部一份经多次编辑的报告显示,弹道导弹防御系统设施未能按需要使用如多重身份验证、漏洞评估和缓解、服务器机架安全、可移动媒体存储机密数据、加密传输技术信息、照相机和传感器这种物理设施安全等等诸如此类的安全控制,而且也没有执行例行评估、保障这些保障措施就位。

在其中一个设施中,创建账号后,用户可使用单因素认证(仅用户名+密码)长达14天。该报告显示,在很多情况下,用户都是连续14天使用一个用户名和密码;而在另外的设施上,域管理员从不配置政策来防止用户在不使用多因素认证的情况下登录;一个设施正在使用一个甚至不支持多重身份验证的系统。

许多机构没有适当修补和保护能够给攻击者机会侵入的漏洞,如:2018年3月在一个机构扫描出的漏洞发现,1月扫描出的漏洞还没得到及时修复;其他机构里还发现了2013年就发现的漏洞、到2018年4月还没修复的情况。报告还称,许多机构在可移动设备上存储数据时并未对数据进行加密,也未曾对所拷贝数据进行追踪。一些机构声称他们甚至不知道需要这样做。

国防部报告称,”官员们也不对可移动媒体上的数据进行加密。[经过编辑]系统所有人和[经过编辑]系统安全官员声称其组件不在可移动媒体上加密,因为[经过编辑]根本不需要使用加密。尽管如此,系统所有人和信息系统安全官员有责任部署并执行联邦和国防部网络安全政策和步骤,在可移动媒体上加密数据。2018年5月,[经过编辑]曾指示[经过编辑],到2018年10月9日为止,开始使用联邦信息处理标准140-2认证方法、对可移动媒体上的数据进行加密,而这是操作[经过编辑]的条件。”

除了计算机和数据安全问题,还存在物理安全问题:一些服务器机架没上锁、四年里上报上锁的门一直是打开状态、不用授权便可直接进入;安全摄像头也没装在需要的位置上。

监察署长的建议也许在意料之中,但修复这些问题需要遵循联邦具体要求。多家机构目前并未对这份报告做出回应,监察署长已经提出要求,要主管、总司令、司令及首席信息官员在2019年1月8号时对最终报告作出评论。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/133411.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code