税务系统核心业务数据安全解决方案

安全现状

税收是国家财政收入的主要来源,是国民经济的重要命脉。随着我国信息化技术的发展,作为履行我国税收职能的税务机构,其信息化建设越来越成为推动我国经济建设的重要动力之一。

税务系统通过近10年的信息化建设,先后完成了《人事管理系统》、《地税信息系统》征管软件、综合征管系统、公文处理系统、《因特网办税服务系统》、网上报税系统、《业务交流平台》等信息系统的建设。通过信息系统的应用,真正实现了“以纳税人自行申报为基点,以计算机网络为依托,以新的组织体系和社会化税收保障网络为保证,集中办税、优质服务、科学管理、重点稽查相结合”的税收征管新格局,强化税收征管,提高了税收征管整体水平。

随着征管软件、征管系统等税收系统的应用,越来越多的税务基础数据以电子化的形式在网络上流转、计算机里存储。为了充分利用税务基础数据,同时为预防意外情况对数据造成的危害,税务系统利用现有网络,采取统一的格式和标准,将全省税收业务数据实时上行到省局统一的集中数据库中,实现了税收业务数据全省集中。

集中化数据中心的建立及税务业务与信息系统的完全融合,促使数据库系统成为了税务核心业务开展过程中最具有战略性的资产,数据库系统通常都保存着重要的纳税相关业务信息,这些信息的完整性、可用性、保密性直接对征税日常开展起到关键作用。而随着网上报税的全面展开,更多的报税单位可以通过互联网直接可以进行相关操作,在提升业务效率的同时也使数据库系统面临全新的严峻的挑战。概括起来主要表现在以下三个层面:

安全管理:主要表现为人员的职责、流程有待完善,内部员工的日常操作有待规范,权限分配太粗等等,致使安全事件发生时,无法追溯并定位真实的操作者。

技术层面:现有的数据库内部操作不明,无法通过外部的任何安全工具(比如:防火墙、IDS、IPS等)来阻止内部用户的恶意操作、滥用资源和泄露单位机密信息等行为。

监控层面:针对数据库的动态访问未实现有效的实时监控,无法及时掌握数据库系统的访问情况,更不用说针对非法访问采取有效防御措施。

安全需求

针对税务数据中心安全监管目标包含如下三个方面:一是让安全管理者实时全面了解数据库实际发生的操作情况,能够使管理人员能够清晰的了解掌握企业报税数据的完整更新过程。二是在可疑行为发生时可以自动启动预先设置的告警流程,尽可能防范数据库风险的发生。诸如一旦发生内部工作人员批量检索高收入纳税人个人信息的时候触发告警。三是一旦发生非法操作,触发事先设置好的审计策略,进行实时监控。为了达到以上的目标,需要采取一种可信赖高效的综合途径,确保数据库活动记录的100%捕获是极为重要的,任何一种遗漏关键活动的行为,都会导致数据库安全上的错误判断,并且干扰数据库在运行时的性能。

解决方案

税务系统通过建设和部署安恒明御数据库审计与风险控制系统,实现了对税务核心基础数据的安全监控,提升了数据的完整性、保密性、可用性能力,切实保障信息系统的业务开展。

具体作用如下:

实现了对税务业务数据访问的实时监控:系统内置高性能分析和采集引擎,实时解析业务访问数据流,还原原始的SQL操作,实现全程的实时监控。识别SYBASE、SQLSever、Oracle等数据库类型,记录办事大厅工作人员、办公室工作人员、企业纳税人、系统维护员、DBA等人员对数据库的访问及操作,同时记录操作时间、操作源、操作结果等等。

实现了对税务业务数据访问的全程风险控制:系统自动根据预设置的税务应用风险控制策略,结合对数据库活动的实时监控信息,进行审计规则检测,任何尝试的恶意访问或违反审计规则的操作都会被检测到并实时告警。结合税务征管系统业务特点,以安全风险控制为基本,捕获类似大容量记录检索、敏感数据信息(高收入纳税人信息或纳税企业的销售信息及客户信息)的越权访问、对数据库系统的高风险操作(删除关键字段、大批量更新等等)等等操作,提供告警。

实现了对税务业务数据访问的全方位审计:覆盖了对DDL类、DML类、DCL类等操作。审计对象覆盖了数据库用户名、表名、字段名、执行结果、字段内容等等。审计信息里面包括了访问语句信息、操作端应用程序信息、操作端IP地址、操作结果等等。具体体现到应用层面,可以看到谁通过哪个账号通过哪台电脑对哪个项的具体内容作了什么样的操作,操作的结果是什么,都实现了完整的记录。

完整安全事件的追溯回放:允许安全管理员提取审计历史数据,对过去某一时段或单个业务访问过程进行回放,快速真实展现当时的完整操作过程,便于分析和追溯系统安全问题。

应用示意图如下:



客户收益

部署了数据库审计与风险控制系统后,一方面可以对税务系统的业务数据操作进行实时监控,为单位的敏感数据访问做到有效地监管;另一方面符合国家信息系统安全等级保护相关政策的要求;做到数据操作的可监控、可审计、可追溯。

客户清单

● 浙江省地税


● 浙江省国税
     

● 台州财政
     

● 绍兴市地方税务局
     

● 衢州市地方税务局
    

● 淮南市地税局
     

● 温州财税


返回列表
杭州安恒信息技术有限公司 版权所有 © 2007-2017    浙ICP备09102757号 | 法律声明 | 隐私保护 |