安全現(xiàn)狀

稅收是國家財政收入的主要來源，是國民經(jīng)濟的重要命脈。隨著我國信息化技術的發(fā)展，作為履行我國稅收職能的稅務機構，其信息化建設越來越成為推動我國經(jīng)濟建設的重要動力之一。

稅務系統(tǒng)通過近10年的信息化建設，先后完成了《人事管理系統(tǒng)》、《地稅信息系統(tǒng)》征管軟件、綜合征管系統(tǒng)、公文處理系統(tǒng)、《因特網(wǎng)辦稅服務系統(tǒng)》、網(wǎng)上報稅系統(tǒng)、《業(yè)務交流平臺》等信息系統(tǒng)的建設。通過信息系統(tǒng)的應用，真正實現(xiàn)了“以納稅人自行申報為基點，以計算機網(wǎng)絡為依托，以新的組織體系和社會化稅收保障網(wǎng)絡為保證，集中辦稅、優(yōu)質服務、科學管理、重點稽查相結合”的稅收征管新格局，強化稅收征管，提高了稅收征管整體水平。

隨著征管軟件、征管系統(tǒng)等稅收系統(tǒng)的應用，越來越多的稅務基礎數(shù)據(jù)以電子化的形式在網(wǎng)絡上流轉、計算機里存儲。為了充分利用稅務基礎數(shù)據(jù)，同時為預防意外情況對數(shù)據(jù)造成的危害，稅務系統(tǒng)利用現(xiàn)有網(wǎng)絡，采取統(tǒng)一的格式和標準，將全省稅收業(yè)務數(shù)據(jù)實時上行到省局統(tǒng)一的集中數(shù)據(jù)庫中，實現(xiàn)了稅收業(yè)務數(shù)據(jù)全省集中。

集中化數(shù)據(jù)中心的建立及稅務業(yè)務與信息系統(tǒng)的完全融合，促使數(shù)據(jù)庫系統(tǒng)成為了稅務核心業(yè)務開展過程中最具有戰(zhàn)略性的資產(chǎn)，數(shù)據(jù)庫系統(tǒng)通常都保存著重要的納稅相關業(yè)務信息，這些信息的完整性、可用性、保密性直接對征稅日常開展起到關鍵作用。而隨著網(wǎng)上報稅的全面展開，更多的報稅單位可以通過互聯(lián)網(wǎng)直接可以進行相關操作，在提升業(yè)務效率的同時也使數(shù)據(jù)庫系統(tǒng)面臨全新的嚴峻的挑戰(zhàn)。概括起來主要表現(xiàn)在以下三個層面：

安全管理：主要表現(xiàn)為人員的職責、流程有待完善，內部員工的日常操作有待規(guī)范，權限分配太粗等等，致使安全事件發(fā)生時，無法追溯并定位真實的操作者。

技術層面：現(xiàn)有的數(shù)據(jù)庫內部操作不明，無法通過外部的任何安全工具（比如：防火墻、IDS、IPS等）來阻止內部用戶的惡意操作、濫用資源和泄露單位機密信息等行為。

監(jiān)控層面：針對數(shù)據(jù)庫的動態(tài)訪問未實現(xiàn)有效的實時監(jiān)控，無法及時掌握數(shù)據(jù)庫系統(tǒng)的訪問情況，更不用說針對非法訪問采取有效防御措施。

安全需求

針對稅務數(shù)據(jù)中心安全監(jiān)管目標包含如下三個方面：一是讓安全管理者實時全面了解數(shù)據(jù)庫實際發(fā)生的操作情況，能夠使管理人員能夠清晰的了解掌握企業(yè)報稅數(shù)據(jù)的完整更新過程。二是在可疑行為發(fā)生時可以自動啟動預先設置的告警流程，盡可能防范數(shù)據(jù)庫風險的發(fā)生。諸如一旦發(fā)生內部工作人員批量檢索高收入納稅人個人信息的時候觸發(fā)告警。三是一旦發(fā)生非法操作，觸發(fā)事先設置好的防御策略，實行阻斷，實現(xiàn)主動防御。為了達到以上的目標，需要采取一種可信賴高效的綜合途徑，確保數(shù)據(jù)庫活動記錄的100%捕獲是極為重要的，任何一種遺漏關鍵活動的行為，都會導致數(shù)據(jù)庫安全上的錯誤判斷，并且干擾數(shù)據(jù)庫在運行時的性能。具體需求大致如下：

捕捉數(shù)據(jù)訪問：不論在什么時間、以什么方式、只要基礎業(yè)務數(shù)據(jù)被修改或查看了就能夠自動對其進行追蹤記錄；無論是日常工作人員，還是系統(tǒng)維護人員，對基礎數(shù)據(jù)庫的操作都有審計記錄。

捕捉數(shù)據(jù)庫配置變化：當“稅務基礎數(shù)據(jù)庫表結構、控制數(shù)據(jù)訪問的權限和數(shù)據(jù)庫配置模式”等發(fā)生變化時，實行自動追蹤；

自動告警：當探測到觸發(fā)安全規(guī)則的訪問行為時，能夠自動啟動事先設置的告警策略，以便數(shù)據(jù)庫安全管理員及時采取有效應對措施，能夠識別嚴重影響業(yè)務運行的高風險行為且采取有效的手段阻止；

監(jiān)控策略的靈活配置和管理：提供一種靈活的方法來配置所有目標服務器的監(jiān)控形式、具體說明關注的活動以及風險來臨時采取的動作；

監(jiān)控記錄的管理：將從多個層面追蹤到的信息自動整合到一個便于管理的，長期通用的數(shù)據(jù)存儲中，且這些數(shù)據(jù)需要獨立于被監(jiān)控數(shù)據(jù)庫本身；

靈活的報告生成：臨時和周期性地以各種格式輸出監(jiān)控分析結果，用于決策分析及安全管理； #p#

安恒提供的解決方案

稅務系統(tǒng)通過建設和應用安恒明御數(shù)據(jù)庫審計與風險控制系統(tǒng)，實現(xiàn)了對稅務核心基礎數(shù)據(jù)的安全監(jiān)控，提升了數(shù)據(jù)的完整性、保密性、可用性能力，切實保障信息系統(tǒng)的業(yè)務開展。

具體作用如下：

實現(xiàn)了對稅務業(yè)務數(shù)據(jù)訪問的實時監(jiān)控：系統(tǒng)內置高性能分析和采集引擎，實時解析業(yè)務訪問數(shù)據(jù)流，還原原始的SQL操作，實現(xiàn)全程的實時監(jiān)控。識別SYBASE,SQLsever, Oracle等數(shù)據(jù)庫類型，記錄辦事大廳工作人員、辦公室工作人員、企業(yè)納稅人、系統(tǒng)維護員、DBA等人員對數(shù)據(jù)庫的訪問及操作,同時記錄操作時間、操作源、操作結果等等。

實現(xiàn)了對稅務業(yè)務數(shù)據(jù)訪問的全程風險控制：系統(tǒng)自動根據(jù)預設置的稅務應用風險控制策略，結合對數(shù)據(jù)庫活動的實時監(jiān)控信息，進行特征檢測及審計規(guī)則檢測，任何嘗試的攻擊或違反審計規(guī)則的操作都會被檢測到并實時阻斷或告警。結合稅務征管系統(tǒng)業(yè)務特點，以安全風險控制為基本，捕獲類似大容量記錄檢索、敏感數(shù)據(jù)信息（高收入納稅人信息或納稅企業(yè)的銷售信息及客戶信息）的越權訪問、對數(shù)據(jù)庫系統(tǒng)的高風險操作（刪除關鍵字段、大批量更新等等）等等操作，提供告警。

實現(xiàn)了對稅務業(yè)務數(shù)據(jù)訪問的全方位審計：審計內容覆蓋了登錄、注銷、插入、刪除、存儲過程的執(zhí)行等過程，覆蓋了對DDL類操作、DML類操作。審計對象覆蓋了數(shù)據(jù)庫用戶名、表名、字段名、執(zhí)行結果、字段內容等等。審計信息里面包括了訪問語句信息、操作端應用程序信息、操作端IP地址、操作結果等等。具體體現(xiàn)到應用層面，可以看到誰通過哪個賬號通過哪臺電腦對哪個項的具體內容作了什么樣的操作，操作的結果是什么，都實現(xiàn)了完整的記錄。

完整安全事件的追溯回放：允許安全管理員提取審計歷史數(shù)據(jù)，對過去某一時段或單個業(yè)務訪問過程進行回放，快速真實展現(xiàn)當時的完整操作過程，便于分析和追溯系統(tǒng)安全問題。

應用示意圖如下：