安全現(xiàn)狀

稅收是國家財政收入的主要來源，是國民經(jīng)濟的重要命脈。隨著我國信息化技術(shù)的發(fā)展，作為履行我國稅收職能的稅務(wù)機構(gòu)，其信息化建設(shè)越來越成為推動我國經(jīng)濟建設(shè)的重要動力之一。

稅務(wù)系統(tǒng)通過近10年的信息化建設(shè)，先后完成了《人事管理系統(tǒng)》、《地稅信息系統(tǒng)》征管軟件、綜合征管系統(tǒng)、公文處理系統(tǒng)、《因特網(wǎng)辦稅服務(wù)系統(tǒng)》、網(wǎng)上報稅系統(tǒng)、《業(yè)務(wù)交流平臺》等信息系統(tǒng)的建設(shè)。通過信息系統(tǒng)的應(yīng)用，真正實現(xiàn)了“以納稅人自行申報為基點，以計算機網(wǎng)絡(luò)為依托，以新的組織體系和社會化稅收保障網(wǎng)絡(luò)為保證，集中辦稅、優(yōu)質(zhì)服務(wù)、科學(xué)管理、重點稽查相結(jié)合”的稅收征管新格局，強化稅收征管，提高了稅收征管整體水平。

隨著征管軟件、征管系統(tǒng)等稅收系統(tǒng)的應(yīng)用，越來越多的稅務(wù)基礎(chǔ)數(shù)據(jù)以電子化的形式在網(wǎng)絡(luò)上流轉(zhuǎn)、計算機里存儲。為了充分利用稅務(wù)基礎(chǔ)數(shù)據(jù)，同時為預(yù)防意外情況對數(shù)據(jù)造成的危害，稅務(wù)系統(tǒng)利用現(xiàn)有網(wǎng)絡(luò)，采取統(tǒng)一的格式和標(biāo)準(zhǔn)，將全省稅收業(yè)務(wù)數(shù)據(jù)實時上行到省局統(tǒng)一的集中數(shù)據(jù)庫中，實現(xiàn)了稅收業(yè)務(wù)數(shù)據(jù)全省集中。

集中化數(shù)據(jù)中心的建立及稅務(wù)業(yè)務(wù)與信息系統(tǒng)的完全融合，促使數(shù)據(jù)庫系統(tǒng)成為了稅務(wù)核心業(yè)務(wù)開展過程中最具有戰(zhàn)略性的資產(chǎn)，數(shù)據(jù)庫系統(tǒng)通常都保存著重要的納稅相關(guān)業(yè)務(wù)信息，這些信息的完整性、可用性、保密性直接對征稅日常開展起到關(guān)鍵作用。而隨著網(wǎng)上報稅的全面展開，更多的報稅單位可以通過互聯(lián)網(wǎng)直接可以進行相關(guān)操作，在提升業(yè)務(wù)效率的同時也使數(shù)據(jù)庫系統(tǒng)面臨全新的嚴(yán)峻的挑戰(zhàn)。概括起來主要表現(xiàn)在以下三個層面：

安全管理：主要表現(xiàn)為人員的職責(zé)、流程有待完善，內(nèi)部員工的日常操作有待規(guī)范，權(quán)限分配太粗等等，致使安全事件發(fā)生時，無法追溯并定位真實的操作者。

技術(shù)層面：現(xiàn)有的數(shù)據(jù)庫內(nèi)部操作不明，無法通過外部的任何安全工具（比如：防火墻、IDS、IPS等）來阻止內(nèi)部用戶的惡意操作、濫用資源和泄露單位機密信息等行為。

監(jiān)控層面：針對數(shù)據(jù)庫的動態(tài)訪問未實現(xiàn)有效的實時監(jiān)控，無法及時掌握數(shù)據(jù)庫系統(tǒng)的訪問情況，更不用說針對非法訪問采取有效防御措施。

安全需求

針對稅務(wù)數(shù)據(jù)中心安全監(jiān)管目標(biāo)包含如下三個方面：一是讓安全管理者實時全面了解數(shù)據(jù)庫實際發(fā)生的操作情況，能夠使管理人員能夠清晰的了解掌握企業(yè)報稅數(shù)據(jù)的完整更新過程。二是在可疑行為發(fā)生時可以自動啟動預(yù)先設(shè)置的告警流程，盡可能防范數(shù)據(jù)庫風(fēng)險的發(fā)生。諸如一旦發(fā)生內(nèi)部工作人員批量檢索高收入納稅人個人信息的時候觸發(fā)告警。三是一旦發(fā)生非法操作，觸發(fā)事先設(shè)置好的防御策略，實行阻斷，實現(xiàn)主動防御。為了達(dá)到以上的目標(biāo)，需要采取一種可信賴高效的綜合途徑，確保數(shù)據(jù)庫活動記錄的100%捕獲是極為重要的，任何一種遺漏關(guān)鍵活動的行為，都會導(dǎo)致數(shù)據(jù)庫安全上的錯誤判斷，并且干擾數(shù)據(jù)庫在運行時的性能。具體需求大致如下：

捕捉數(shù)據(jù)訪問：不論在什么時間、以什么方式、只要基礎(chǔ)業(yè)務(wù)數(shù)據(jù)被修改或查看了就能夠自動對其進行追蹤記錄；無論是日常工作人員，還是系統(tǒng)維護人員，對基礎(chǔ)數(shù)據(jù)庫的操作都有審計記錄。

捕捉數(shù)據(jù)庫配置變化：當(dāng)“稅務(wù)基礎(chǔ)數(shù)據(jù)庫表結(jié)構(gòu)、控制數(shù)據(jù)訪問的權(quán)限和數(shù)據(jù)庫配置模式”等發(fā)生變化時，實行自動追蹤；

自動告警：當(dāng)探測到觸發(fā)安全規(guī)則的訪問行為時，能夠自動啟動事先設(shè)置的告警策略，以便數(shù)據(jù)庫安全管理員及時采取有效應(yīng)對措施，能夠識別嚴(yán)重影響業(yè)務(wù)運行的高風(fēng)險行為且采取有效的手段阻止；

監(jiān)控策略的靈活配置和管理：提供一種靈活的方法來配置所有目標(biāo)服務(wù)器的監(jiān)控形式、具體說明關(guān)注的活動以及風(fēng)險來臨時采取的動作；

監(jiān)控記錄的管理：將從多個層面追蹤到的信息自動整合到一個便于管理的，長期通用的數(shù)據(jù)存儲中，且這些數(shù)據(jù)需要獨立于被監(jiān)控數(shù)據(jù)庫本身；

靈活的報告生成：臨時和周期性地以各種格式輸出監(jiān)控分析結(jié)果，用于決策分析及安全管理； #p#

安恒提供的解決方案

稅務(wù)系統(tǒng)通過建設(shè)和應(yīng)用安恒明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)，實現(xiàn)了對稅務(wù)核心基礎(chǔ)數(shù)據(jù)的安全監(jiān)控，提升了數(shù)據(jù)的完整性、保密性、可用性能力，切實保障信息系統(tǒng)的業(yè)務(wù)開展。

具體作用如下：

實現(xiàn)了對稅務(wù)業(yè)務(wù)數(shù)據(jù)訪問的實時監(jiān)控：系統(tǒng)內(nèi)置高性能分析和采集引擎，實時解析業(yè)務(wù)訪問數(shù)據(jù)流，還原原始的SQL操作，實現(xiàn)全程的實時監(jiān)控。識別SYBASE,SQLsever, Oracle等數(shù)據(jù)庫類型，記錄辦事大廳工作人員、辦公室工作人員、企業(yè)納稅人、系統(tǒng)維護員、DBA等人員對數(shù)據(jù)庫的訪問及操作,同時記錄操作時間、操作源、操作結(jié)果等等。

實現(xiàn)了對稅務(wù)業(yè)務(wù)數(shù)據(jù)訪問的全程風(fēng)險控制：系統(tǒng)自動根據(jù)預(yù)設(shè)置的稅務(wù)應(yīng)用風(fēng)險控制策略，結(jié)合對數(shù)據(jù)庫活動的實時監(jiān)控信息，進行特征檢測及審計規(guī)則檢測，任何嘗試的攻擊或違反審計規(guī)則的操作都會被檢測到并實時阻斷或告警。結(jié)合稅務(wù)征管系統(tǒng)業(yè)務(wù)特點，以安全風(fēng)險控制為基本，捕獲類似大容量記錄檢索、敏感數(shù)據(jù)信息（高收入納稅人信息或納稅企業(yè)的銷售信息及客戶信息）的越權(quán)訪問、對數(shù)據(jù)庫系統(tǒng)的高風(fēng)險操作（刪除關(guān)鍵字段、大批量更新等等）等等操作，提供告警。

實現(xiàn)了對稅務(wù)業(yè)務(wù)數(shù)據(jù)訪問的全方位審計：審計內(nèi)容覆蓋了登錄、注銷、插入、刪除、存儲過程的執(zhí)行等過程，覆蓋了對DDL類操作、DML類操作。審計對象覆蓋了數(shù)據(jù)庫用戶名、表名、字段名、執(zhí)行結(jié)果、字段內(nèi)容等等。審計信息里面包括了訪問語句信息、操作端應(yīng)用程序信息、操作端IP地址、操作結(jié)果等等。具體體現(xiàn)到應(yīng)用層面，可以看到誰通過哪個賬號通過哪臺電腦對哪個項的具體內(nèi)容作了什么樣的操作，操作的結(jié)果是什么，都實現(xiàn)了完整的記錄。

完整安全事件的追溯回放：允許安全管理員提取審計歷史數(shù)據(jù)，對過去某一時段或單個業(yè)務(wù)訪問過程進行回放，快速真實展現(xiàn)當(dāng)時的完整操作過程，便于分析和追溯系統(tǒng)安全問題。

應(yīng)用示意圖如下：