在这个沉重的税收季节,往返于政府的数十亿美元和大量的个人信息,更令人不安的是,听到国税局仍在努力确保私人信息的安全。
今天的一份报告政府问责办公室说,该税务机构以前指出的安全缺陷中约有69%仍然没有固定,并继续危害IRS系统的机密性,完整性和可用性。GAO总结说,这些问题使美国国税局的风险增加了未经授权的披露,修改或破坏金融和纳税人信息。
例如,GAO表示,国税局继续:
- 使用不复杂的密码
- 及时及时删除申请帐户
- 允许人员过多的文件和目录权限,
- 允许未加密的用户和管理员登录信息的传输,
- 以不合时宜的方式安装安全补丁
GAO更具体地说,国税局并不总是执行强有力的身份验证和身份验证。例如,位于IRS中心的两个服务器的管理员密码未设置为IRS的密码年龄策略。在这两种情况下,管理员密码年龄均设置为118天,这超过了IRS的要求。GAO表示,存在损害的管理员密码将在更长的时间内使用损害的管理员密码的风险增加,以获得对服务器资源的未经授权访问权限。
GAO发现,IRS员工继续在两个中心使用UNIX系统的弱密码,并将清晰的文本密码存储在另一个中心的计算机程序脚本中。此外,国税局在传输过程中没有充分保护密码。例如,美国国税局(IRS)为网络登录实施了弱的身份验证协议。位于五个站点的十台服务器,包括域控制器,被配置为接受一种身份验证协议,该协议容易受到广泛发布的攻击,以获取用户密码。GAO表示,恶意个人可以捕获用户密码并使用它们来获得对IRS系统的未经授权访问的风险增加。
IRS配置了路由器以使用允许未加密敏感信息传输的协议。例如,在三个计算中心审查的GAO的18个路由器使用的协议配置为使用纯文本对信息进行身份验证。此外,美国国税局(IRS)没有使用加密将表消息路由两个中心的六个路由器路由。GAO表示,启用对路由表消息的加密有助于防止某人有目的或意外地将未经授权的路由器添加到网络中,并损坏路由表或启动拒绝服务攻击。
GAO报告并不是所有的厄运和忧郁。它的确说,美国国税局(IRS)纠正了GAO先前确定的28个安全控制弱点,并继续在其三个计算中心处理其他信息安全弱点。美国国税局在评论GAO报告草案时,同意制定详细的纠正措施计划,以解决GAO的每个观点。
GAO承认国税局在收取税收,处理纳税申报表和执行国家税法方面的艰巨任务,并表示广泛依赖计算机化系统来支持其财务和任务相关的业务。美国国税局在2008年和2007财年收取了约2.7万亿美元的税款;处理了数亿税和信息申报表;并分别向纳税人退款,分别支付了约4260亿美元和2.92亿美元。
跟随迈克尔·库尼在Twitter上:nwwlayer8
第8层额外
查看其他热门故事:
我们开发具有视觉智能的智能机器
美国宇航局,俄罗斯宇航员创造了记录,降落在地球上
第一个上关闭火星月亮照片
NASA MARS Spirit Rover战斗冬季袭击
国际空间站只是一个昂贵的飞行实验室还是不可替代的资源?
美国软化了伊朗,苏丹和古巴的互联网出口规则
联邦调查局的“十个最想要的”列表转60