据美国政府问责局(GAO)周二发布的一份报告,美国国税局(Internal Revenue Service)继续存在“普遍”的信息安全漏洞,使纳税人的信息面临风险,而且在解决美国政府问责局(U.S. Government Accountability Office)此前发现的数十个问题方面进展有限。
美国国税局(IRS)是美国政府的收税机构,该机构“存在持续的信息安全弱点,使其面临中断、欺诈或敏感信息不当披露的风险。GAO的报告说。新报告称,该机构在2007年收税约2.7万亿美元,仅修复了去年3月发布的一份报告中确定的98个信息安全漏洞中的29个。
美国政府问责局的报告称:“新老信息安全漏洞继续损害该机构确保财务和纳税人信息的保密性、完整性和可用性的能力。”“这些缺陷表明,美国国税局对其财务和税务处理系统的内部控制存在重大缺陷。”
近年来,美国政府问责局发布了多份抨击国税局信息安全的报告。
最新的报告描述了一个IRS数据中心花了四个多月的时间来安装服务器软件的雷竞技电脑网站关键补丁。
政府问责局说,在美国国雷竞技电脑网站税局的一个数据中心,大约60名员工可以访问命令,使他们能够对操作系统进行“重大”更改。在两个数据中心雷竞技电脑网站,管理员访问包含未加密的数据登录的关键应用程序,可能会暴露用户名和密码。
政府问责局说,审计人员访问过的三个美国国税局网站的电脑或服务器密码控制很差。不活跃的用户帐户在六个月内没有被删除,这违反了IRS的政策,而且Unix系统上的一些用户密码不满足长度或复杂性要求。
政府问责局的报告说,美国国税局在保护IT设施方面的物理安全控制也很松懈。政府问责雷竞技电脑网站局说,一个数据中心允许至少17名员工在工作不需要的情况下进入敏感区域。同一个中心并不总是从不再需要它的工作人员那里删除物理访问授权。今年3月,该数据中心确认了54雷竞技电脑网站名不再需要访问的员工,但在6月,其中29名员工仍然可以访问敏感区域。
美国国税局代理局长Linda Stiff表示,该机构在2007年在解决信息安全问题方面取得了重大进展。她在写给GAO的信中写道,该机构完成了260个应用程序和系统的安全测试,在其5.2万台笔记本电脑上安装了磁盘加密软件,并对主机磁带实施了数据加密。
美国财政部今年3月公布的一份审计报告发现,在2003年1月至2006年6月期间,近500台国税局员工的笔记本电脑被盗。
斯蒂德在写给GAO的信中说,2007年,国税局向所有持有笔记本电脑的员工发放了有线锁,对远程接入国税局网络实施了双重认证,并安装了防病毒互联网网关系统。
Stiff写道:“虽然我们同意,我们还没有完全实施我们全部门信息安全计划的关键要素,但纳税人信息的安全和隐私是国税局非常关注的问题。”“我们认识到,在解决我们的信息安全缺陷方面还有大量工作要做,我们正在采取积极措施,纠正此前报告的缺陷,并改进我们的整体信息安全计划。”
美国国税局一名发言人表示,该机构不会对斯蒂德信函以外的内容发表评论。