上周五，美国国防部监察长发布了一份针对美国弹道导弹系统的安全审计报告，报告显示，系统没有数据加密、没有反病毒程序、没有多因素身份验证机制，甚至长达28年未修补的漏洞只是其安全漏洞的一部分。报告源于国防部官员4月随机视察隶属于导弹防御局（MDA）五个基地的弹道导弹防御系统（简称BMDS，美国国防部开发的用于拦截地方核弹，保护领土的项目）。

未统一使用多因素身份验证

审查者发现的多数问题与多因素身份验证有关。在正常情况下，任何新的MDA员工都会收到用于访问BMDS网络的用户名和密码。随着新员工进入新工作岗位，他们还会收到一张公共访问卡（CAC），他们必须为他们的帐户启用这些卡并与密码一起使用，作为身份验证的第二个因素。正常程序表明，所有新的MDA工作人员必须在雇用后的两周内使用多因素身份验证。但报告指出，随机视察的五个地点中有三个地点的不少雇员没有为用户启用多因素身份验证，仍然单一使用用户名和密码访问内部网络。

缺乏多因素身份验证意味着员工容易受到网络钓鱼攻击，这种攻击可以收集他们的密码，并允许攻击者远程或内部访问BMDS系统，而无需进一步攻克访问障碍(第二个身份验证因素)。

漏洞并未得到持续修补

更令人担忧的问题是三个基地的IT管理者没有应用安全补丁，导致致计算机和相邻网络系统容易受到远程或本地攻击。调查人员发现，在2016年、2013年甚至早在1990年，系统都没有对发现和修复的漏洞进行修补。报告在这个特定部分进行了大量编辑，表明MDA管理员仍在修补这些缺陷。

服务器机架不安全

除了软件缺陷，调查人员还发现了物理安全问题。例如，在两个地点，调查人员两个基地的服务器机架解锁并且易于访问。任何获得访问权或被邀请到这些位置之一的攻击者、访客或访客都可以很容易地将恶意设备插入这些服务器机架之一。工作人员在有标识提醒的情况下仍然未能充分理解其重要性。

可移动媒体数据未加密

另一份报告发现，在使用可移动媒体的气隙系统之间移动数据时，三个基地的MDA官员并未始终如一地使用加密。MDA官员将此归咎于“缺乏加密数据的能力和带宽，没有资源购买加密软件，而且使用的加密软件并不总是能被兼容”。

没有入侵检测系统

视察人员发现，一个基地的IT管理者未能安装入侵检测和预防系统（即防病毒的安全产品）没有入侵检测和预防功能，就无法检测到（不法分子）访问其网络的恶意企图，难以防止想要获取未经授权的访问的网络攻击并泄露敏感的BMDS技术信息行为。工作人员对此的解释是主管没有批准他们一年前提交的相应软件的请求。

糟糕的物理安全控制

但更令人沮丧的是报告对其中几个MDA基地实施的物理安全控制的调查结果。在许多情况下，监控摄像机未能覆盖整个基地，造成攻击者可以利用的空隙进入基地。此外，办公楼内门的传感器还有问题，甚至没有用以锁门的设施。工作人员也没有对未佩戴徽章的审查者提出质疑，甚至允许未经授权的人员在拥有最高机密的建筑物周围走动。

MDA目前拥有104个弹道导弹阵地，并计划建造另外10个弹道导弹。但如果它不能改善其物理和网络安全保护，那么在发生冲突时这些基地很容易被攻击，国防部IG报告就此提出了一系列针对性建议。