伴隨大數(shù)據(jù)、人工智能、互聯(lián)網(wǎng)、云計(jì)算等新興技術(shù)的蓬勃發(fā)展，數(shù)字經(jīng)濟(jì)正迎來快速發(fā)展。隨著不斷深入推進(jìn)數(shù)字化建設(shè)，財(cái)稅體制改革勢(shì)在必行，財(cái)稅數(shù)字化逐漸成為轉(zhuǎn)型升級(jí)風(fēng)向標(biāo)，越來越多的信息化應(yīng)用正在被各省份及自治區(qū)稅務(wù)局采用，如自然人電子稅務(wù)局、地方電子稅務(wù)局等Web應(yīng)用。然而線上應(yīng)用地廣泛使用不可避免的帶來更多安全風(fēng)險(xiǎn)。除了防不勝防的零日漏洞，企業(yè)及個(gè)人隱私的數(shù)據(jù)保護(hù)更是受到極大挑戰(zhàn)。同時(shí)，國(guó)家稅務(wù)總局也會(huì)定期對(duì)各省、自治區(qū)、直轄市稅務(wù)單位的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)開展網(wǎng)絡(luò)安全攻防演練，如何應(yīng)對(duì)稅務(wù)行業(yè)的新型安全風(fēng)險(xiǎn)，提高稅務(wù)企業(yè)的安全防護(hù)能力是當(dāng)下的重中之重。

你必須知道的稅務(wù)行業(yè)四大新型安全風(fēng)險(xiǎn)

1、0day漏洞攻擊

漏洞探測(cè)作為監(jiān)管機(jī)構(gòu)的重要檢查標(biāo)準(zhǔn)和攻防對(duì)抗中信息收集的重要部分，一直是Web安全防護(hù)的重點(diǎn)。然而傳統(tǒng)安全設(shè)備基于規(guī)則進(jìn)行識(shí)別的防護(hù)原理無法匹配0day漏洞尚未被知悉的特征，補(bǔ)丁的出臺(tái)也必然存在滯后性。電子稅務(wù)局等重要應(yīng)用一旦被發(fā)現(xiàn)零日漏洞，使用精心構(gòu)造的xml數(shù)據(jù)可能造成任意代碼執(zhí)行，拿到服務(wù)器權(quán)限，后果極嚴(yán)重。同時(shí)，部署在服務(wù)器之前的安全產(chǎn)品如果被探測(cè)到0day漏洞并被利用，原本充當(dāng)護(hù)盾的安全設(shè)備則會(huì)直接成為攻擊者進(jìn)入內(nèi)網(wǎng)的通道。

2、企業(yè)敏感信息泄漏

如今，各地方稅務(wù)局會(huì)將失信企業(yè)信息、欠稅單位信息等在涉稅查詢板塊公示，公示內(nèi)容包括失信企業(yè)的名稱、法人代表、案件性質(zhì)和處罰情況等。然而，原本為了讓政務(wù)更加公開透明的公示信息卻成為了黑產(chǎn)獲利的捷徑。黑產(chǎn)團(tuán)隊(duì)通過Bots自動(dòng)化工具批量查詢爬取這些敏感信息，進(jìn)而出售并獲取非法利益。除此之外，大規(guī)模、長(zhǎng)時(shí)間的爬蟲更會(huì)對(duì)網(wǎng)站造成很大負(fù)荷，影響網(wǎng)站的正常運(yùn)行和訪問。

3、發(fā)票信息批量查詢

部分第三方平臺(tái)利用自動(dòng)化工具調(diào)用電子稅務(wù)局的查詢頁(yè)面，繞過驗(yàn)證碼、黑名單等防護(hù)，從而獲取電子發(fā)票的查詢結(jié)果，并將結(jié)果展示在自身平臺(tái)上供互聯(lián)網(wǎng)用戶查詢。這對(duì)稅務(wù)站點(diǎn)的權(quán)威性和電子票據(jù)的隱私性都有可能造成負(fù)面影響。

4、App仿冒

目前市面上已經(jīng)出現(xiàn)了仿冒個(gè)人所得稅、自助辦稅等應(yīng)用的假冒APP。不法分子通過套殼或是克隆正版APP的方式欺騙用戶下載，從而盜取個(gè)人用戶和企業(yè)用戶的登錄賬號(hào)以及隱私數(shù)據(jù)。

四大舉措保障稅務(wù)行業(yè)應(yīng)用、業(yè)務(wù)與數(shù)據(jù)安全

1、0day漏洞防護(hù)

通過“動(dòng)態(tài)封裝”技術(shù)隱藏網(wǎng)站敏感信息，讓自動(dòng)化工具的探測(cè)無法得到網(wǎng)站的框架和入口，防護(hù)潛在0day漏洞的路徑被發(fā)現(xiàn)。同時(shí)通過“動(dòng)態(tài)令牌”技術(shù)直接阻斷腳本或掃描器請(qǐng)求，主動(dòng)即時(shí)攔截針對(duì)0day漏洞的掃描行為。

2、重要數(shù)據(jù)保護(hù)

應(yīng)用“動(dòng)態(tài)令牌”技術(shù)，攔截通過腳本工具進(jìn)行的批量爬取。而針對(duì)使用高級(jí)工具如web_driver、Phantomjs模擬瀏覽器訪問發(fā)起的爬蟲攻擊，可通過“動(dòng)態(tài)驗(yàn)證”技術(shù)采集客戶端信息并進(jìn)行分析，直接阻斷由工具驅(qū)動(dòng)瀏覽器發(fā)起的爬蟲行為。同時(shí)，全流量記錄的日志平臺(tái)會(huì)通過細(xì)粒度分析，溯源爬蟲主要針對(duì)的頁(yè)面及攻擊手法，以便深度了解黑產(chǎn)手法和攻擊目標(biāo)。

3、查詢及辦帳業(yè)務(wù)防護(hù)

利用“動(dòng)態(tài)令牌”技術(shù)，能夠細(xì)粒度檢查每一次請(qǐng)求是否合法合規(guī)，是否由正常用戶通過瀏覽器發(fā)起。在實(shí)際防護(hù)過程中，瑞數(shù)信息發(fā)現(xiàn)及攔截了大量由第三方平臺(tái)通過工具發(fā)起的業(yè)務(wù)請(qǐng)求，保障了稅務(wù)官方應(yīng)用的權(quán)威性及公信度。

4、防止APP仿冒

通過驗(yàn)證證書、“動(dòng)態(tài)驗(yàn)證”技術(shù)，能夠多維度驗(yàn)證請(qǐng)求是否由仿冒APP或套殼APP發(fā)起，手機(jī)端是否進(jìn)行過越獄或通過沙盒訪問。通過“動(dòng)態(tài)混淆”技術(shù)，防止請(qǐng)求被中間人進(jìn)行篡改。瑞數(shù)信息多維度的驗(yàn)證和加密，保障了官方APP的唯一性，保護(hù)了用戶賬號(hào)和個(gè)人信息的安全。

全景威脅透視+實(shí)時(shí)阻斷+輕量管理

1、全景威脅透視

自適應(yīng)業(yè)務(wù)變化，能夠根據(jù)業(yè)務(wù)特性調(diào)優(yōu)。通過細(xì)粒度針對(duì)性防護(hù)，全景透視攻擊威脅，深度挖掘攻擊持續(xù)時(shí)間、威脅評(píng)分和依據(jù)等優(yōu)質(zhì)有效的威脅數(shù)據(jù)。

2、實(shí)時(shí)阻斷掃描探測(cè)

對(duì)于使用工具發(fā)起的批量漏洞探測(cè)和掃描，通過動(dòng)態(tài)安全防護(hù)技術(shù)，直接從根源阻斷該類探測(cè)請(qǐng)求，擺脫封禁IP、打補(bǔ)丁的滯后和繁瑣，實(shí)現(xiàn)主動(dòng)式安全防御。

3、業(yè)務(wù)數(shù)據(jù)保護(hù)

攔截惡意爬蟲對(duì)公告等重要信息的提取，避免黑產(chǎn)加以利用并從中獲利。對(duì)批量操作繳稅業(yè)務(wù)及批量發(fā)票查詢等違規(guī)操作進(jìn)行攔截，保障權(quán)威性及業(yè)務(wù)的正常運(yùn)轉(zhuǎn)。

4、輕量管理

無需修改任何應(yīng)用服務(wù)器代碼，客戶端無需配置，大幅減少人工維護(hù)量和資源消耗，實(shí)現(xiàn)快速和輕量的部署與管理。

“十四五”規(guī)劃建議中提出，財(cái)稅改革是深化改革的重點(diǎn)之一。對(duì)于各行各業(yè)而言，在數(shù)字化技術(shù)的加持下，財(cái)稅體制改革將重塑生產(chǎn)方式、服務(wù)模式、組織形態(tài)，催生財(cái)稅管理方式變革，不斷釋放經(jīng)濟(jì)活力。因此，采用更加有效的手段，防范和消除財(cái)稅數(shù)字化轉(zhuǎn)型過程中的安全風(fēng)險(xiǎn)，確保系統(tǒng)的穩(wěn)定、安全運(yùn)行就尤為重要！