没有数据加密，没有防病毒程序，没有多因素身份验证机制，以及28年未修补的漏洞只是美国部门周五发布的美国弹道导弹系统安全审计中描述的一些网络安全漏洞。国防监察长(DOD IG)。

该报告 [ PDF ]今年早些时候放在一起，在4月，经过国防部官员IG那里视察导弹防御局(MDA)已经放在弹道导弹第五部分随机位置弹道导弹防御系统(BMDS)--a国防部计划通过发射弹道导弹拦截敌方核弹来保护美国领土。

但最近的安全审计得出的结论是“陆军，海军和MDA不保护处理，存储和传输BMDS技术信息的网络和系统。”

未始终使用多因素身份验证

审计员发现了几个有问题的领域。其中最大的与多因素身份验证有关。

在正常情况下，任何新的MDA员工都会收到用于访问BMDS网络的用户名和密码。随着新员工进入新工作岗位，他们还会收到一张公共访问卡(CAC)，他们必须为他们的帐户启用这些卡并与密码一起使用，作为第二因素身份验证。正常程序表明，所有新的MDA工作人员必须在雇用后的两周内使用多因素身份验证。

但国防部IG报告称，在五个检查地点中的三个地点，调查人员发现许多用户没有为他们的帐户启用多因素身份验证，并且仍然使用他们的用户名和密码来访问BMDS的网络。

一位用户在没有卡提供保护的情况下访问了BMDS数据七年，在一个MDA网站上，调查人员表示他们还发现网络从未配置为支持多因素身份验证。

缺乏多因素身份验证意味着员工容易受到网络钓鱼攻击，这些攻击可以收集密码并允许攻击者远程或本地访问BMDS系统，而不会遇到进一步的安全挑战(第二个身份验证因素)。

漏洞并未得到持续修补

然而，该报告发现了更令人担忧的问题。DOD IG检查员发现，他们访问的五个地点中有三个地点的IT管理员未能应用安全补丁，导致计算机和相邻网络系统容易受到远程或本地攻击。

调查人员发现，系统没有修补2016年，2013年发现和修复的漏洞，甚至可以追溯到1990年。

DOD IG报告在此特定部分进行了大量编辑，表明MDA管理员仍在修补这些缺陷。

服务器机架不安全

除了软件缺陷，调查人员还发现了物理安全问题。例如，在两个地点，调查人员发现服务器机架解锁并且易于访问。

任何获得访问权限或被邀请到其中一个位置的攻击者，访客或访问者都可以轻松地在其中一个服务器机架中插入恶意设备。

面对未锁定的机架，其中一位数据中心经理表示他并不知道这种安全协议，甚至还说明了无论如何都能访问数据中心的基地受限制。

在第二个位置，服务器机架已解锁，即使机架上有一个标志，表明服务器门必须始终保持锁定状态。

可移动媒体数据未加密

另一份报告发现，在使用可移动媒体的气隙系统之间移动数据时，MDA官员并未始终如一地使用加密。

MDA官员将此归咎于“遗留系统，这些系统缺乏加密数据的能力和带宽，没有购买加密软件的资源，并且使用的加密软件并不总是与DoD加密软件保持一致。”

这个问题是在三个地方发现的。有一位官员表示，他们甚至不知道他们应该加密存储在可移动媒体上的数据，而另一位官员表示他们甚至没有控制和系统来检测员工何时将数据下载到可移动媒体，更不用说看看数据是否未加密。

没有入侵检测系统

DOD IG官员还发现，在一个MDA位置，IT管理员未能安装入侵检测和防御系统 - 也称为防病毒或安全产品。

“没有入侵检测和预防功能，[删除]无法检测到访问其网络的恶意企图，并防止旨在获取未经授权的访问的网络攻击并泄露敏感的BMDS技术信息，”报告说。

该地点的当地MDA官员将这个问题归咎于他们的主管，他们说，他们未能批准对他们提交的相应软件的请求，而这些软件是他们在一年前提交的。