美国气候卫星系统安全堪忧 高危软件接近一万个

<p>　　2014年8月26日，美国商务部总监发出一份备忘录，披露了由美国海洋与大气管理局（noaa）管理的卫星系统存在众多安全隐患。商务部是noaa的主管部委。noaa卫星地面控制系统升级的承包商是著名的军火商雷神公司。联邦政府为此计划付出了18.85亿美元，其中有1.85 亿美元是2014年2月为加强信息安全和加快数据传输速度而追加的款项。</p><p>　　备忘录指出：2010年noaa为了支持卫星升级开始修改地面控制系统。但是，直到2014年，该机构还未要求地面控制系统的承包商开始全面实现该系统的安全控制功能，使得该系统内存在许多高危安全隐患。这些安全隐患将使黑客能轻易窃取计算机组件的控制权，攻击者还有可能严重损害“联合极地卫星系统”（jpss）的 控制设备，使其无法完成任务。jpss是美国新一代极地轨道环境卫星群，这些卫星将为气象预报和气候监测提供关键数据。据统计，2012年第一季度到2014年第二季度，jpss地面控制系统中发现的高危安全隐患数已从14，486 增加到23，868，激增60% 以上。</p><p>　　备忘录还列举了安全问题的具体内容：</p><p>　　在普查隐患时 发现了9，100多例高危软件缺陷， 例如软件版本过时、程序未经纠错、软件配置出错、操作系统的用户特权超限等等；</p><p>　　口令和审计设置出错的案例超过3，600件；</p><p>　　有些不必要的软件应用必须清除或弃用。</p><p>　　备忘录指出，问题严重性还在于，这些问题中的大多数无法在两年内修复。按规定，高危安全隐患应在30天之内得到修复，但实际上，修复工作每年只进行一次。</p><p>　　备忘录批评，noaa的安全工作存在不少问题。2013年，一名来自外部ip地址的黑客盗窃了存储在一名承包商雇员个人电脑上的卫星数据。noaa怀疑有恶性软件感染了这台电脑，但是却无法开展取证调查，因为该雇员拒绝交出自己的电脑 。在审计过程中，还发现noaa的关键系统中有人使用未经批准的智能手机和u盘。例如，环境卫星处理中心（espc）有48%的组件发生过这类案例，该中心负责处理来自卫星的数据；支持“极轨运行环境卫星”（poes)的系统中有41%的组件发生过这类案例，而poes是与“国防气象卫星计划” （dmsp）相互密切交织在一起的。</p><p>　　noaa曾负责dmsp的信息安全问题，但由于经费问题，noaa与dmsp的管理部门美国空军发生了纠纷。noaa抱怨道，如果经费不到位，我们就将放弃任何改错的行动，接受让那些系统纠缠在一起的风险。与此同时，空军表示，在2016年技术升级以前，我们不打算进行安全态势评估。</p><br />