稅務行業安全解決方案
安全現狀
稅收是國家財政收入的主要來源,是國民經濟的重要命脈。隨著我國信息化技術的發展,作為履行我國稅收職能的稅務機構,其信息化建設越來越成為推動我國經濟建設的重要動力之一。
稅務系統通過近10年的信息化建設,先后完成了《人事管理系統》、《地稅信息系統》征管軟件、綜合征管系統、公文處理系統、《因特網辦稅服務系統》、網上報稅系統、《業務交流平臺》等信息系統的建設。通過信息系統的應用,真正實現了“以納稅人自行申報為基點,以計算機網絡為依托,以新的組織體系和社會化稅收保障網絡為保證,集中辦稅、優質服務、科學管理、重點稽查相結合”的稅收征管新格局,強化稅收征管,提高了稅收征管整體水平。
隨著征管軟件、征管系統等稅收系統的應用,越來越多的稅務基礎數據以電子化的形式在網絡上流轉、計算機里存儲。為了充分利用稅務基礎數據,同時為預防意外情況對數據造成的危害,稅務系統利用現有網絡,采取統一的格式和標準,將全省稅收業務數據實時上行到省局統一的集中數據庫中,實現了稅收業務數據全省集中。
集中化數據中心的建立及稅務業務與信息系統的完全融合,促使數據庫系統成為了稅務核心業務開展過程中最具有戰略性的資產,數據庫系統通常都保存著重要的納稅相關業務信息,這些信息的完整性、可用性、保密性直接對征稅日常開展起到關鍵作用。而隨著網上報稅的全面展開,更多的報稅單位可以通過互聯網直接可以進行相關操作,在提升業務效率的同時也使數據庫系統面臨全新的嚴峻的挑戰。概括起來主要表現在以下三個層面:
安全管理:主要表現為人員的職責、流程有待完善,內部員工的日常操作有待規范,權限分配太粗等等,致使安全事件發生時,無法追溯并定位真實的操作者。
技術層面:現有的數據庫內部操作不明,無法通過外部的任何安全工具(比如:防火墻、IDS、IPS等)來阻止內部用戶的惡意操作、濫用資源和泄露單位機密信息等行為。
監控層面:針對數據庫的動態訪問未實現有效的實時監控,無法及時掌握數據庫系統的訪問情況,更不用說針對非法訪問采取有效防御措施。
安全需求
針對稅務數據中心安全監管目標包含如下三個方面:一是讓安全管理者實時全面了解數據庫實際發生的操作情況,能夠使管理人員能夠清晰的了解掌握企業報稅數據的完整更新過程。二是在可疑行為發生時可以自動啟動預先設置的告警流程,盡可能防范數據庫風險的發生。諸如一旦發生內部工作人員批量檢索高收入納稅人個人信息的時候觸發告警。三是一旦發生非法操作,觸發事先設置好的防御策略,實行阻斷,實現主動防御。為了達到以上的目標,需要采取一種可信賴高效的綜合途徑,確保數據庫活動記錄的100%捕獲是極為重要的,任何一種遺漏關鍵活動的行為,都會導致數據庫安全上的錯誤判斷,并且干擾數據庫在運行時的性能。具體需求大致如下:
捕捉數據訪問:不論在什么時間、以什么方式、只要基礎業務數據被修改或查看了就能夠自動對其進行追蹤記錄;無論是日常工作人員,還是系統維護人員,對基礎數據庫的操作都有審計記錄。
捕捉數據庫配置變化:當“稅務基礎數據庫表結構、控制數據訪問的權限和數據庫配置模式”等發生變化時,實行自動追蹤;
自動告警:當探測到觸發安全規則的訪問行為時,能夠自動啟動事先設置的告警策略,以便數據庫安全管理員及時采取有效應對措施,能夠識別嚴重影響業務運行的高風險行為且采取有效的手段阻止;
監控策略的靈活配置和管理:提供一種靈活的方法來配置所有目標服務器的監控形式、具體說明關注的活動以及風險來臨時采取的動作;
監控記錄的管理:將從多個層面追蹤到的信息自動整合到一個便于管理的,長期通用的數據存儲中,且這些數據需要獨立于被監控數據庫本身;
靈活的報告生成:臨時和周期性地以各種格式輸出監控分析結果,用于決策分析及安全管理; #p#
安恒提供的解決方案
稅務系統通過建設和應用安恒明御數據庫審計與風險控制系統,實現了對稅務核心基礎數據的安全監控,提升了數據的完整性、保密性、可用性能力,切實保障信息系統的業務開展。
具體作用如下:
實現了對稅務業務數據訪問的實時監控:系統內置高性能分析和采集引擎,實時解析業務訪問數據流,還原原始的SQL操作,實現全程的實時監控。識別SYBASE,SQLsever, Oracle等數據庫類型,記錄辦事大廳工作人員、辦公室工作人員、企業納稅人、系統維護員、DBA等人員對數據庫的訪問及操作,同時記錄操作時間、操作源、操作結果等等。
實現了對稅務業務數據訪問的全程風險控制:系統自動根據預設置的稅務應用風險控制策略,結合對數據庫活動的實時監控信息,進行特征檢測及審計規則檢測,任何嘗試的攻擊或違反審計規則的操作都會被檢測到并實時阻斷或告警。結合稅務征管系統業務特點,以安全風險控制為基本,捕獲類似大容量記錄檢索、敏感數據信息(高收入納稅人信息或納稅企業的銷售信息及客戶信息)的越權訪問、對數據庫系統的高風險操作(刪除關鍵字段、大批量更新等等)等等操作,提供告警。
實現了對稅務業務數據訪問的全方位審計:審計內容覆蓋了登錄、注銷、插入、刪除、存儲過程的執行等過程,覆蓋了對DDL類操作、DML類操作。審計對象覆蓋了數據庫用戶名、表名、字段名、執行結果、字段內容等等。審計信息里面包括了訪問語句信息、操作端應用程序信息、操作端IP地址、操作結果等等。具體體現到應用層面,可以看到誰通過哪個賬號通過哪臺電腦對哪個項的具體內容作了什么樣的操作,操作的結果是什么,都實現了完整的記錄。
完整安全事件的追溯回放:允許安全管理員提取審計歷史數據,對過去某一時段或單個業務訪問過程進行回放,快速真實展現當時的完整操作過程,便于分析和追溯系統安全問題。
應用示意圖如下:
