1、建设背景
《全国人大关于加强网络信息保护的决定》第四条:“网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。” 《中华人民共和国税收征收管理法》第八条:“纳税人、扣缴义务人有权要求税务机关为纳税人、扣缴义务人的情况保密。税务机关应当依法为纳税人、扣缴义务人的情况保密。” 《税务工作秘密管理暂行规定》第十三条:“税务机关在税收业务和内部行政管理中形成的有关事项,涉及纳税人权益和税收安全,不宜对外公开,均属于税务工作秘密范围。”
方白羽智枭
《税务系统信息安全等级保护基本要求》第3.4“税务业务数据是税务信息系统所处理的税务业务的数字化表现形式。税务信息系统的安全保护归根结底都是为了确保税务业务数据的安全”从以上层面不难看出,国家各个层面对税务数据的安全都是非常重视的,特别是随着美国“棱镜门”事件的曝光,信息安全已经上升到国家战略层面的高度了。对于税务数据的安全,我们知道可以通过人员教育、管控外设等传统方式进行加强,实际上我们所看到的和做的仅仅是冰山之一角,比如我们要保护的数据在哪里?我们需要保护那些数据?什么角需要访问这些数据?如何尽快部署足够的防范手段?如何将流程自动化来节约审计成本?现有的方案都没有很好的解决这些问题。因此我局(江苏省无锡地方 税务局)当前需要一套以税务业务系统为目标,以合规为目的,对静态数据、动态数据及使用中的数据进行发现、识别、分类、分级、监控、保护,进而实现税务数据安全的管控平台。
图1:项目目标-五步骤
2、平台建设
2.1、需求分析
旅洋级驱逐舰图2:以业务系统为目标的税务数据泄露需求分析通过图2我们可以全面总结一下,目前防止税务数泄露的难点是什么?
1)不知道税务数据在哪里?
2)不知道哪些税务数据需要保护?
3)不知道哪些角可以访问哪些税务数据?
4)不知道业务人员的日常操作是否有大量或严重的违规行为?
5)不知道各业务单位的税务数据泄露风险情况如何?
6)不知道领导(特权)业务帐号被哪些人员哪些设备非授权的使用?不知道同时做了哪些违规的操作?
7)不知道高度敏感的页面数据在非授权的情况下被查看?比如房产信息
8)不知道哪些业务人员下载了不该下载的业务数据?大数据?
2.2、需求实现
图3:根据客户需求设计的八个技术方向
1)发现管理:根据各类税务业务的关键字模版自动对现有的文件、新生成的文件进行扫描分析,自动把需要保护的业务数据移动到虚拟安全受控磁盘,可以支持常见的office 文档、Pdf文档、文本类文档、数据库脚本等。
2)分类分级:根据各类税务业务的特点,对发现的税务数据自动按照业务类型进行分类(比如个人所
数字机顶盒得税、房产业务、第三方共享、涉税举报等);根据业务和内容的敏感等级进行自动分级。分类和分级可以自动生成相应的统计数据,可以以饼状图、曲线图等方式进行集中展示。
3)输出管理:对业务系统(比如省级大集中)的直接下载数据、打印数据、查询出的高敏感数据(比如房产数据)进行统一的输出管理,落地只允许进入虚拟安全磁盘并受到保护,打印的数据有水印(包含打印人、打印设备等信息)、自动根据帐号属性过滤高敏感数据(比如采用特殊字符直接替换付款人、付款地址信息)。
4)屏幕水印:访问受保护的业务系统时屏幕自动浮现水印(包含登录人、登录IP等信息)来防止截屏和拍照行为泄露屏幕显示的敏感数据,同时支持二维码水印。
所谓教授5)行为审计:对业务系统的日常操作包含导出操作、打印操作、流转操作、帐号登录等行为进行审计,并可以进行控制是否允许导出、是否允许打印、是否允许流转等。
6)文件流转:文件流转分为对内流转和对外流转,对内流转根据岗位自动进行权限识别,同单位同岗位产生的数据可以不受控随意访问,但其他岗位人员拿到将无法查看;对外流转需要进行人工审批,主要用于对第三方单位比如海关、人民银行等的数据分享,审批后数据方可明文传递,同时系统自带文件追踪,一旦文件泄露到互联网(比如百度文库、豆丁网等)只需要下载后导入系统就能快速查到泄露源头。
纸片胎
7)风险报告:风险报告分为总体情况与改进建议、防泄露平台运行数据统计、各单位风险级别状况统计、严重违规事件明细统计。按照月进行自动输出,自动化分析每个月防泄露平台的运行情况,目前可以自动分析的数据项接近800项。
8)管理视图:税务数据的可视化管理分为风险分析视图、违规行为视图、数据流转视图、数据分布视图、数据分类视图、数据分级视图、地图管理视图。采用配置的规则对所有的审计信息进行集中分析处理,形成各类可视化数据包含饼状图、曲线图、TOP排名。
2.3、系统架构
图4:税务数据防泄露平台系统架构
四君子汤加减
本平台管理采用B/S架构,部署采用C/S架构,只需要部署2套管理后台,业务网的所有业务终端部署统一的防泄露客户端软件,所有的策略通过管理中心统一下发。单套平台至少可以管理10000台终端,通过分级管理的方式可以扩展管理到数万乃至数十万终端。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议