美报告：军方导弹系统安全防护不足，漏洞未补，未加密传输及多因素验证

最近一份美国国防部公布的稽核报告显示，高度敏感的军方导弹导弹系统资安防护不足，不但漏洞没修补，连加密传输、入侵侦测及多因素验证系统都没有。

美国国防部总督察长室（Office of Inspector General）今年4月在国会要求下，调查国防部导弹导弹防御系统（ballistic missile defense system，BMDS）在机密网络（classified network）上的技术资讯是否实施适当的安全管控和流程，以防止内外部的网络威胁。这也是该处继今年3月针对导弹防御署（Missile Defense Agency）外包商进行BMDS资讯的实体及系统存取控管稽核后的第二次检查报告。

报告指出导弹系统的技术资讯的安全控管和流程有多项安全疏失。首先，机密资讯并没有加密存在可移除储存媒体上并加以监控，BMDS技术资料也未实施加密传送。此外，BMDS服务器机柜没上锁、系统存取未导入多因素验证，而且用户要取得或提高系统存取权，也没有要求行文申请。

稽核人员还发现，BMDS系统上有多个已知网络漏洞未修补、民间企业都很普遍的入侵侦侧系统，机密网络也付之阙如。 而且BMDS的资讯设施连防止闲人勿近的实体安全控管也未严格执行。

报告指出，上述安全控管弱点之所以存在，是因为网管及资料中心相关人员未持续验证已导入的安全控管的有效性，也未评估安全失格的影响。

因此本稽核报告要求BMDS管理员应尽速补正上述缺失，并建议DoD资讯长实施，包括处理、传输及储存BMDS技术资讯的系统导入多因素验证，除非获得例外许可；定期修补网络漏洞、将机密资讯加密储存于可移除式媒体、安装入侵侦测系统；以及服务器机柜上锁、加装监视摄影机，并检查实体安全措施的疏漏等。

这也不是美国军方被人发现有点掉漆。今年7月MQ-9死神侦察机（MQ-9 Reaper）的军事文件遭骇客在暗网上兜售，去年也有安全公司发现美国军事卫星资料储存在未加密，未设密码的Amazon Web Service S3储存服务上。