美导弹防御系统安全审计：无加密无双重认证 28年漏洞未修补-尊龙凯时官方旗舰店

美国国防部总督察长室（dod ig）近日披露了美国弹道导弹防御系统（bmds）的安全审计，其中对网络安全的相关描述写道：“没有数据加密、没有防病毒程序、没有多因素身份认证机制，28年的陈旧漏洞至今仍未修补。”bmds是美国国防部计划通过发射弹道导弹拦截敌方核弹来保护美国领土的计划。在审计报告[pdf]中，dod ig官员对bmds中的导弹防御局（mda）存放的弹道导弹站点进行了随机调查。

在这份安全审计报告中得出的结论是：“陆军、海军和mda都没有保护网络和系统来处理、存储和运输bmds技术信息。”审计人员发现了几个比较严重的问题，其中最大的就是尚未部署多因素身份验证。

在正常情况下，任何新的mda员工都会收到用于访问bmds网络的用户名和密码。随着新员工进入新工作岗位，他们还会收到一张公共访问卡（cac）。通常他们必须将cac和密码配合使用，并将其作为第二因素身份验证。而且正常程序表明，所有新的mda工作人员必须在雇用后的两周内使用多因素身份验证。

但在这份审计报告中在随机抽查的5个站点中，调查人员发现有3个站点内的很多用户并没有启用多因素身份验证，并且仍然使用他们的用户名和密码来访问bmds的网络。一位用户在没有卡提供保护的情况下访问了bmds数据七年，在一个mda网站上，调查人员表示他们还发现网络从未配置为支持多因素身份验证。

缺乏多因素身份验证意味着员工容易受到网络钓鱼攻击，这些攻击可以收集密码并允许攻击者远程或本地访问bmds系统而不会出现进一步的安全挑战（第二个身份验证因素）。

更令人担忧的是，dod ig审计人员发现在他们访问的5个站点中，有3个站点的it管理员并未安装应用安全补丁，导致计算机和相邻网络系统容易受到远程或本地攻击。调查人员发现很多2016、2013年已经修复的漏洞并未及时安装更新，甚至1990年的漏洞仍未修复。