據該機構審計員稱,美國國防部不一致的安全措施使得國家導彈防禦系統的技術數據易受內外威脅的影響。
彈道導彈防禦系統旨在探測和攔截來襲的導彈,然後才能擊中目標。該系統由許多元素組成,一些由政府運營,另一些由清算承包商運營。美國國防部在其分類網絡上保留系統的技術信息,例如工程數據,算法和源代碼。
美國美國國防部監察長辦公室在一次審計中說:“技術細節的披露可能使美國對手繞過[彈道導彈防禦系統]能力,使美國容易受到致命的導彈攻擊。”
OIG發現了已知的網絡漏洞,這些漏洞在所檢查的五個設施中的三個尚未實施的入侵檢測功能中沒有得到緩解。
檢查員還標記了惡意內部人員可以利用的幾種情況。通常,網絡管理員的訪問控制很差。他們不需要多因素身份驗證來訪問系統的技術信息,也不需要用戶提供書面證明來提升訪問權限。它們還允許用戶將未加密的數據保存到可移動驅動器而不進行監控。
“除非[編輯]強制執行可移動媒體的加密並監控個人用戶傳輸到可移動媒體和從可移動媒體傳輸的數據的類型和數量,否則他們將面臨更大的風險,即不保護敏感和機密的[彈道導彈防禦系統]技術信息來自惡意用戶試圖從[編輯]中洩露對國家安全至關重要的數據,“視察員寫道。
一些問題是物理問題,例如無法鎖定存放技術信息的服務器機架。報告稱,“讓服務器機架解鎖並且無法控制對密鑰的訪問,增加了內部人員可能危及或洩露數據的風險,即使他們被授權進入數據中心。”
今年早些時候,監察辦在審查支持彈道導彈防禦系統的承包商運營設施的安全控制時發現了不一致之處。
監察辦有幾項建議,包括首席信息官加密存儲在可移動媒體上的技術信息,制定和實施一個程序,以識別有權使用可移動媒體的個人以及監測傳輸數據類型和數量的程序; 並評估安保範圍的差距,並安裝安全攝像頭,以監控整個設施的人員流動情況。
閱讀更多 弱電智能網 的文章
