1998年美国国会听证会
情报和安全

主席先生，尊敬的委员会成员:我很高兴今天在这里讨论计算机安全在美国国税局(IRS)。

国税局早就明白，保护纳税人的信息对我们的国家的操作至关重要=英国的自评税制度。根据各种法律和其他联邦指导，包括1974年的隐私法、1987年的计算机安全法和《国内税收法典》第6103节，已经制定了保护纳税人信息安全和机密性的政策和程序。最近的一个例子是1997年8月签署成为法律的《纳税人浏览保护法案》。简而言之，这项新法律有助于更好地解决对纳税人记录的内部威胁，使所有的案件都可以在未经授权的情况下随意查阅和检查纳税人的记录C电子纸C犯罪。

虽然已经制定了政策和程序，IRS意识到需要更多的强调，以充分减轻安全弱点。审计和审查国税局=安全性和操作具有使个人误用我们的系统，以欺诈和其他罪行已查明的弱点和实例。例如，总审计局（GAO）报告1997年4月其关注的问题与国税局各种系统的安全弱点。它还提出了与国税局关注=有效地处理国税局雇员对纳税人记录的未经授权的访问。

美国国税局=行政督察办公室负责处理犯罪行为的调查。对此，检验=据英国《金融日报》报道，英国税务总局的调查发现，雇员通过不当途径进入计算机系统，并利用系统提供的纳税人信息进行贪污、骗取税款、擅自披露税务信息等犯罪活动。自1997年10月1日起，该局还全面负责调查所有有关未经授权查阅和检查纳税人记录的指控。

然而防止欺诈和误用是任何安全程序的最终目标，一个好的安全程序也必须充分地检测和反应的情况，不能总是被阻止。在这方面，美国国税局=安全计划的重点是提高其预防、检测和反应能力。

在回应国会，审计师和国税局专案组提出了内部和外部的安全问题，美国国税局在1997年1月集中在其系统标准和评估（SSE）的Office安全和隐私问题的责任，这只是开始后，金博宝正规网址我加入了美国国税局管理SSE - 经过近22年GAO。

SSE负责为所有主要的安全程序建立和执行标准和政策，包括但不限于，物理安全，数据安全和系统安全。在这方面，SSE提供IRS一个积极主动的，独立的安全组，直接负责所有操作的充足性和一致性的安全。这种组织和方法与GAO一致=1996年第九月，报告，信息安全:改善行政管理和预算办公室对机构行为的监督的机会，其中指出，一个这样的项目可以为高级官员提供管理信息安全风险和相关成本的手段，而不仅仅是对个别事件作出反应。@

SSE没有被分配这种管理监督责任，重复评估和审查工作的IRS=首席视察员办公室，主要致力于监督和加强计算机安全。SSE的建立是为整个IRS的安全提供一致的执行层领导和执行。SSE采用了与首席督察和外部审计员办公室相同的一些评估纪律，侧重于评估、指导和执行IRS=安全和隐私程序和进程。但是，它使用相同的评估规程来基线IRS的安全操作=设施和支持功能。它也与这些实体的管理合作，以推动解决方案，制定完善的安全流程，并建立持有负责维护这些流程这些经理执法机制。

1997年3月，美国国税局进一步加强其安全能力与威廉Hadesty先生的任命直接SSE=安全标准和评价办公室。Hadesty先生是在公众和超过10年的在IRS，其他大量政府机构和金融市场主体，全面领先的计算机安全审查GAO经验私营部门都认可的安全专家。Hadesty先生已经配备了办事处与一个团队，有需要的就是加强整个国税局安全技能组合经验丰富的管理的。上证所还利用领域承包商的支持，甚至更多的专业技能可以帮助国税局制度化一个最佳实践。@例如，SSE正在与这样的承包商合作，以增强IRS=应急反应能力，包括更好地识别和防止敌对攻击的最新做法。

除了召集一个经验丰富的团队，上交所=联合国的工作重点是评估重要的支助职能和所有国税局=1997年的计算中心和服务中心。工作如期进行，没有出现重大障碍。在这方面，这些支持职能和中心的管理人员和工作人员一直专注于与上交所管理人员一起实施安全改进。由于这些管理人员和工作人员是制度化所需的安全改进的关键角色，SSE已经启动了安全培训努力，以提高支持功能和中心所需的技能组合。1998年，这些支助职能和中心的培训和工作仍在继续。此外,上交所=s的工作范围已扩大到包括美国国税局=一九九八年共有33个民政事务处

我们在中心和办事处工作的重点关键领域，其中包括：

• 物理安全和访问机制，例如锁，监控设备和围栏;

• 逻辑安全机制，只允许有需要的人士访问计算资源;

• 数据通信管理;

• 风险分析，以便更好地识别安全威胁，其规模，并需要额外的保障区;

• 质量保证审查的软件产品和活动，以确保符合标准和程序;

• 安全意识,

• 应急计划，以确保资源的可用性和方便操作的连续性，在紧急情况下。

1997年8月，财政部发布了关于行动的报告正在采取控制由国税局雇员纳税人记录未经授权的访问。该报告反映了美国国税局的是专注于更好地解决这个问题的访问完成的一项研究。在报告中指出的操作正在取得进展按计划进行，并已包括：

• 开展了及时的员工背景调查;

• 澄清美国国税局=查阅纳税人记录的政策;

• 执行全机构宣传情况简介会，向雇员通报对未经授权访问和检查纳税人记录的政策和处罚;

• 完成这将需要谁访问纳税人的记录作为其执行公务的一部分，所有员工标准培训模块;和

• 集中关键职能，建立一致、及时和公平的程序，重点是开发未经授权的访问和检查案件，决定证据的充分性，跟踪和报告案件，管理处罚和监督程序。

长期来看，国税局=现代化蓝图整合了安全机制、审计数据和用户配置文件数据。目前,美国国税局=各种自动化系统无法提供集成的安全解决方案来防止内部用户的未授权活动。不过，计划的保安服务将包括:

• 采用统一配置的集成标准方法进行识别和认证;

• 一个集成的系统，收集所有可审核的事件，并建立包括所有员工在内的权威审核数据存储库=获取公司资源;

• 近实时检测未经授权的活动，这是类似预防功能;

• 综合预防和有关国税局所有信息系统的未授权活动的检测;

• 全面的脚本，并获得了集体审计库，增强决策支持系统;

• 中央安全管理为国家标准应用程序主机系统检查入侵和边界侵犯工具实现;

• 自动检测和预防安全支持交互式语音系统和内部/外部数据访问的完全集成;和

• 语音系统(如VMS和电信交换机)调用安全性和审计功能，并与数据系统保持相同的安全规则和严格性。

总体而言，长期计划的安全功能，旨在提高安全性能和效率，同时最大限度地减少管理，维护和运营成本。用户的效率已经考虑到，政府和私营部门两者的最佳实践已审议并制定现代化的安全举措采纳。产生的系统将是架构一致，以促进互联互通，数据共享，降低开发风险，降低了维护的负担，并降低拥有生命周期成本。

除了安全机制、审计数据和用户配置文件数据的整合之外，新的体系结构还将支持数据挖掘技术，以进一步增强整个安全服务套件。私营企业和政府发现，这种技术在打击信用卡、支票、手机、保险索赔和洗钱等可能发生的欺诈行为方面非常有效。类似地，IRS将挖掘其纳税人记录活动的数据，以更好地检测和应对未经授权的活动。

最后，我们认为，我们目前的做法和程序都集中在建立世界一流的安全环境，这是保护美国国税局相称=1.4万亿美元的金融服务项目。在国税局，我们完全理解尽管新技术将有助于精简机构=运营和提高为纳税人提供服务的，这些相同的技术给他们带来的是必须控制新的风险，以确保足够的安全性。这将继续承担为IRS更大的意义=纸张成本降低和对新技术的增加依赖。在这一点上，我们的新的安全程序提供了IRS与被不断改进国税局所需要的规范的方法=为了保护机密性和纳税人的数据的完整性，以及流程和资源去经营我们的国家能力=英国的自评税制度。

我的发言到此结束，我很高兴回答任何问题。