伴隨大數(shù)據(jù)、人工智能、互聯(lián)網(wǎng)、云計算等新興技術(shù)的蓬勃發(fā)展，數(shù)字經(jīng)濟正迎來快速發(fā)展。隨著不斷深入推進數(shù)字化建設(shè)，財稅體制改革勢在必行，財稅數(shù)字化逐漸成為轉(zhuǎn)型升級風向標，越來越多的信息化應用正在被各省份及自治區(qū)稅務(wù)局采用，如自然人電子稅務(wù)局、地方電子稅務(wù)局等Web應用。然而線上應用地廣泛使用不可避免的帶來更多安全風險。除了防不勝防的零日漏洞，企業(yè)及個人隱私的數(shù)據(jù)保護更是受到極大挑戰(zhàn)。同時，國家稅務(wù)總局也會定期對各省、自治區(qū)、直轄市稅務(wù)單位的互聯(lián)網(wǎng)應用系統(tǒng)開展網(wǎng)絡(luò)安全攻防演練，如何應對稅務(wù)行業(yè)的新型安全風險，提高稅務(wù)企業(yè)的安全防護能力是當下的重中之重。

你必須知道的稅務(wù)行業(yè)四大新型安全風險

1、0day漏洞攻擊

漏洞探測作為監(jiān)管機構(gòu)的重要檢查標準和攻防對抗中信息收集的重要部分，一直是Web安全防護的重點。然而傳統(tǒng)安全設(shè)備基于規(guī)則進行識別的防護原理無法匹配0day漏洞尚未被知悉的特征，補丁的出臺也必然存在滯后性。電子稅務(wù)局等重要應用一旦被發(fā)現(xiàn)零日漏洞，使用精心構(gòu)造的xml數(shù)據(jù)可能造成任意代碼執(zhí)行，拿到服務(wù)器權(quán)限，后果極嚴重。同時，部署在服務(wù)器之前的安全產(chǎn)品如果被探測到0day漏洞并被利用，原本充當護盾的安全設(shè)備則會直接成為攻擊者進入內(nèi)網(wǎng)的通道。

2、企業(yè)敏感信息泄漏

如今，各地方稅務(wù)局會將失信企業(yè)信息、欠稅單位信息等在涉稅查詢板塊公示，公示內(nèi)容包括失信企業(yè)的名稱、法人代表、案件性質(zhì)和處罰情況等。然而，原本為了讓政務(wù)更加公開透明的公示信息卻成為了黑產(chǎn)獲利的捷徑。黑產(chǎn)團隊通過Bots自動化工具批量查詢爬取這些敏感信息，進而出售并獲取非法利益。除此之外，大規(guī)模、長時間的爬蟲更會對網(wǎng)站造成很大負荷，影響網(wǎng)站的正常運行和訪問。

3、發(fā)票信息批量查詢

部分第三方平臺利用自動化工具調(diào)用電子稅務(wù)局的查詢頁面，繞過驗證碼、黑名單等防護，從而獲取電子發(fā)票的查詢結(jié)果，并將結(jié)果展示在自身平臺上供互聯(lián)網(wǎng)用戶查詢。這對稅務(wù)站點的權(quán)威性和電子票據(jù)的隱私性都有可能造成負面影響。

4、App仿冒

目前市面上已經(jīng)出現(xiàn)了仿冒個人所得稅、自助辦稅等應用的假冒APP。不法分子通過套殼或是克隆正版APP的方式欺騙用戶下載，從而盜取個人用戶和企業(yè)用戶的登錄賬號以及隱私數(shù)據(jù)。

四大舉措保障稅務(wù)行業(yè)應用、業(yè)務(wù)與數(shù)據(jù)安全

1、0day漏洞防護

通過“動態(tài)封裝”技術(shù)隱藏網(wǎng)站敏感信息，讓自動化工具的探測無法得到網(wǎng)站的框架和入口，防護潛在0day漏洞的路徑被發(fā)現(xiàn)。同時通過“動態(tài)令牌”技術(shù)直接阻斷腳本或掃描器請求，主動即時攔截針對0day漏洞的掃描行為。

2、重要數(shù)據(jù)保護

應用“動態(tài)令牌”技術(shù)，攔截通過腳本工具進行的批量爬取。而針對使用高級工具如web_driver、Phantomjs模擬瀏覽器訪問發(fā)起的爬蟲攻擊，可通過“動態(tài)驗證”技術(shù)采集客戶端信息并進行分析，直接阻斷由工具驅(qū)動瀏覽器發(fā)起的爬蟲行為。同時，全流量記錄的日志平臺會通過細粒度分析，溯源爬蟲主要針對的頁面及攻擊手法，以便深度了解黑產(chǎn)手法和攻擊目標。

3、查詢及辦帳業(yè)務(wù)防護

利用“動態(tài)令牌”技術(shù)，能夠細粒度檢查每一次請求是否合法合規(guī)，是否由正常用戶通過瀏覽器發(fā)起。在實際防護過程中，瑞數(shù)信息發(fā)現(xiàn)及攔截了大量由第三方平臺通過工具發(fā)起的業(yè)務(wù)請求，保障了稅務(wù)官方應用的權(quán)威性及公信度。

4、防止APP仿冒

通過驗證證書、“動態(tài)驗證”技術(shù)，能夠多維度驗證請求是否由仿冒APP或套殼APP發(fā)起，手機端是否進行過越獄或通過沙盒訪問。通過“動態(tài)混淆”技術(shù)，防止請求被中間人進行篡改。瑞數(shù)信息多維度的驗證和加密，保障了官方APP的唯一性，保護了用戶賬號和個人信息的安全。

全景威脅透視+實時阻斷+輕量管理

1、全景威脅透視

自適應業(yè)務(wù)變化，能夠根據(jù)業(yè)務(wù)特性調(diào)優(yōu)。通過細粒度針對性防護，全景透視攻擊威脅，深度挖掘攻擊持續(xù)時間、威脅評分和依據(jù)等優(yōu)質(zhì)有效的威脅數(shù)據(jù)。

2、實時阻斷掃描探測

對于使用工具發(fā)起的批量漏洞探測和掃描，通過動態(tài)安全防護技術(shù)，直接從根源阻斷該類探測請求，擺脫封禁IP、打補丁的滯后和繁瑣，實現(xiàn)主動式安全防御。

3、業(yè)務(wù)數(shù)據(jù)保護

攔截惡意爬蟲對公告等重要信息的提取，避免黑產(chǎn)加以利用并從中獲利。對批量操作繳稅業(yè)務(wù)及批量發(fā)票查詢等違規(guī)操作進行攔截，保障權(quán)威性及業(yè)務(wù)的正常運轉(zhuǎn)。

4、輕量管理

無需修改任何應用服務(wù)器代碼，客戶端無需配置，大幅減少人工維護量和資源消耗，實現(xiàn)快速和輕量的部署與管理。

“十四五”規(guī)劃建議中提出，財稅改革是深化改革的重點之一。對于各行各業(yè)而言，在數(shù)字化技術(shù)的加持下，財稅體制改革將重塑生產(chǎn)方式、服務(wù)模式、組織形態(tài)，催生財稅管理方式變革，不斷釋放經(jīng)濟活力。因此，采用更加有效的手段，防范和消除財稅數(shù)字化轉(zhuǎn)型過程中的安全風險，確保系統(tǒng)的穩(wěn)定、安全運行就尤為重要！