美國國防部內部網路安全監察報告:軍方做得非常糟糕

Editor發表於2019-01-18

據外媒Motherboard報導,美國國防部五角大樓在網路安全方面做得非常糟糕,以上結論來自國防部總監察長辦公室(IG)的最新評估報告,後者深入調查了美國軍方維護其部門網路安全的能力。


美國國防部內部網路安全監察報告:軍方做得非常糟糕


結果不是很好。 “截至2018年9月30日,有266項與網路安全有關的開放建議,這些建議可追溯到2008年,”國防部總監察長在一份新報告中說。


新報告概述了IG在過去一年中對五角大樓的網路安全進行的調查結果。它調查了20份機密和4份機密報告,詳細說明了在給出建議後國防部的網路安全問題,以及後續解決情況。此前,總監查辦公室曾建議軍方採取159個不同的步驟來提高網路安全性,調查後發現國防部只採納了19個步驟。


網路安全問題影響到軍方的所有下屬部門分支,範圍從嚴重到平常。在連線到美國彈道導彈防禦系統的伺服器站點,監察員“發現一個未上鎖的伺服器機架,而這臺機架上就貼有標誌,要求伺服器機架門必須始終保持鎖定狀態。”


根據當時IT安全官員的說法,“網路運營人員曾經幫助那臺被發現未上鎖的機架中的伺服器排除故障,但是當他們完成伺服器維護後,並未通知習慣的助力安全經理,導致他並未及時鎖上它。”


在同一地點,官員們也沒有在通過USB記憶棒和可行動硬碟驅動器從計算機傳輸資料時使用推薦的加密步驟。 “根據安全經理...... 儲存在可移動媒體上的非機密資訊被加密的不到百分之一。”


這些糟糕的安全措施正發生在執行美國導彈防禦系統的設施上。當外國發生核打擊的情況下,這些人負責守望天空並且負責保護美國城市,但他們從不花費心思在資料加密或為他們的伺服器機架上鎖這些事情上。


如果正式的軍事人員安全意識底下,那麼國防承包商的狀況就會更糟。調查人員深入研究了為美國導彈防禦局工作的七名承包商的網路安全做法,發現了多個漏洞。 “在我們分析的七個承包商中,我們發現[其中5個]不會經常或者一直使用多因素認證來訪問非機密網路,儘管這些網路可能包含[彈道導彈防禦系統]技術資訊”監察員寫道。


承包商也未能實施自主的風險評估,不使用加密資料的USB驅動器或硬碟驅動器,也不使用強密碼。 “五個承包商的系統管理員沒有將包含[彈道導彈防禦系統]技術資訊的網路和系統配置成‘在15分鐘不活動後鎖定使用者會話’”調查人員發現。這意味著任何人登入過一臺裝滿了機密導彈防禦資料的計算機後都可能使其處於無人看管狀態,計算機永遠不會自行登出。



糟糕的密碼


美國的武器系統也很容易被基本簡單的工具破解。政府問責辦公室10月份的一份報告指出,五角大樓的武器系統存在缺陷,使他們特別容易遭受網路攻擊。 


監察長辦公室的後續調查發現,尤其是空軍官員仍然沒有“確保在設計過程中將網路安全納入武器系統。相反,武器系統的網路安全是通過一系列不完整的整合裝配和產品來解決的,武器網路安全系統總是會產生不吻合或者重複情況。“空軍仍然不打算在多個武器系統上更改其預設密碼,而在設計和發射新的武器系統時,空軍也沒有遵循自己的網路安全協議。


五角大樓的網路安全問題足以影響導彈防禦和新型武器,它們也損害了普通士兵的利益。 監察長辦公室指出,陸軍醫療設施是網路安全的噩夢,安全程式鬆懈,可以輕鬆獲取患者病歷。


根據陸軍規定,密碼長度必須為15個字元,包含大寫和小寫字母,數字和符號。在多個醫療機構,調查人員發現管理員更改了規則以允許更簡單的密碼。 “在每種情況下,系統管理員都表示他們沒有正確配置密碼,因為他們認為現有的網路身份驗證保護足以控制對單個系統的訪問,”檢查員說。


像武器系統和彈道導彈防禦承包商一樣,陸軍的醫療健康記錄非常容易破解,密碼保護不佳,並且計算機終端沒有程式為使用者自動登出。


各個部門之間的問題非常相似,調查人員在新報告中指出了這一點。根據五角大樓的監督機構,網路安全失敗主要來自領導層問題,高層的網路安全意識鬆懈也讓其他人無需擔負責任。


“在今年的總結中發現的最大數量的安全弱項完全與治理有關,”調查人員解釋說。 “如果沒有合適的治理,五角大樓就無法確保它有效地識別和管理網路安全風險,因為它持續面臨來自對手的越來越多的網路威脅,例如用於破壞,降級或破壞目標資訊系統的攻擊性網路空間控制。”


來源:cnBeta.COM

宣告:本網站所提供的資訊僅供參考之用,並不代表本網站贊同其觀點,也不代表本網站對其真實性負責。 



更多資訊:






相關文章