美國防部報告:彈道導(dǎo)彈防御系統(tǒng)存在嚴(yán)重安全問題
責(zé)編:gltian |2018-12-25 15:16:09國防部監(jiān)察長報告指稱,美國彈道導(dǎo)彈防御系統(tǒng)(BMDS)的網(wǎng)絡(luò)安全操作存在“系統(tǒng)性漏洞”,不鎖服務(wù)器機架、缺乏加密……
BMDS是針對中短程及遠程彈道導(dǎo)彈的反制措施,目的是攔截飛往美國的各型彈道導(dǎo)彈。
這些系統(tǒng)由多個部件組成,包括檢測來襲威脅的聯(lián)網(wǎng)傳感器陣列和摧毀來襲威脅的攔截導(dǎo)彈。戰(zhàn)略指揮機構(gòu)負責(zé)操作這些系統(tǒng)運營所需的通信網(wǎng)絡(luò)。
一份滿是涂黑隱去痕跡的報告揭示,某些BMDS機構(gòu)的網(wǎng)絡(luò)安全操作存在嚴(yán)重缺陷。
報告在一些案例中發(fā)現(xiàn):“有工作人員沒設(shè)置控制措施監(jiān)視下載到可移動媒體的機密數(shù)據(jù)類型和大小。”
這已經(jīng)不僅僅是網(wǎng)絡(luò)安全操作糟糕,而是直接違反了美國國家安全系統(tǒng)指導(dǎo)委員會的要求:聯(lián)邦機構(gòu)必須記錄、審計和監(jiān)視從系統(tǒng)中移出的任何數(shù)據(jù)。
彈道導(dǎo)彈防御系統(tǒng)
報告還發(fā)現(xiàn),設(shè)施管理人員說不出哪些用戶有恰當(dāng)?shù)臋?quán)限,也說不清楚有系統(tǒng)權(quán)限的用戶是否持有所訪問數(shù)據(jù)的安全許可。
這是因為管理員并不總是留存用戶訪問表,而留了表的管理員也不總是要求用戶和監(jiān)督人證明為什么該用戶需要訪問BMDS技術(shù)信息。
監(jiān)察員發(fā)現(xiàn),不是所有的數(shù)據(jù)在轉(zhuǎn)出系統(tǒng)時都是加密的,安全經(jīng)理不強制被卸載的媒體設(shè)備上使用加密。
為什么呢?因為他們“用的遺留系統(tǒng)缺乏加密數(shù)據(jù)的能力和帶寬,也沒有資源購買加密軟件啊。”
即便某些遺留系統(tǒng)上裝了加密軟件,也是不匹配國防部目前在用的加密軟件的。
這些機構(gòu)的物理安全也低于平均水平;系統(tǒng)硬件管理明顯很爛,連數(shù)據(jù)中心里的服務(wù)器機柜都不上鎖。
機柜不上鎖,又不限制鑰匙持有權(quán)限,這大大增加了內(nèi)部人滲漏數(shù)據(jù)的風(fēng)險。
監(jiān)察員在檢查過程中還發(fā)現(xiàn),有些網(wǎng)絡(luò)管理員都沒部署能夠讓他們監(jiān)視機密網(wǎng)絡(luò)上可疑行為的入侵檢測軟件。
該報告建議美國國防部立即采取措施彌補其硬件和軟件功能上的不足。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運維!全新FortiAIOps 3.0重新定義IT運營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報告(2024年)》
- 火狐中國終止運營:辦公地?zé)o人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標(biāo)準(zhǔn)化應(yīng)用實踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時代!