我國稅務(wù)信息化自金稅工程以來,取得了令人矚目的成果,極大的提高了稅務(wù)部門的工作質(zhì)量和效率。隨著稅務(wù)行業(yè)信息化水平的不斷提高,基于網(wǎng)絡(luò)外部和內(nèi)部人員違規(guī)和犯罪事件時有發(fā)生;同時,在稅務(wù)行業(yè)中聘用了大量的第三方服務(wù)外包人員提供駐場運(yùn)維服務(wù),外包人員自帶設(shè)備存在安全接入和數(shù)據(jù)外泄等潛在的安全問題。因此,稅務(wù)行業(yè)所面臨的信息安全風(fēng)險不容忽視。
北京久安世紀(jì)科技有限公司基于多年與稅務(wù)行業(yè)的合作經(jīng)驗(yàn)和技術(shù)能力,充分了解和認(rèn)識到稅務(wù)行業(yè)IT運(yùn)維所存在的普遍且具有共性的安全問題:
? 對第三方駐場服務(wù)的人員及自帶設(shè)備接入缺乏有效安全管控;
? 網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)尤其是數(shù)據(jù)庫的管理員高權(quán)限帳戶和口令缺乏有效安全管控,不符合國家政策法規(guī)及稅務(wù)總局的相關(guān)安全規(guī)范的規(guī)定;
? 缺乏對接觸敏感數(shù)據(jù)的特權(quán)賬號(如DBA)的主動管控,無法有效防范對敏感數(shù)據(jù)具有高操作權(quán)限的賬號被非授權(quán)用戶盜用,或是被授權(quán)用戶濫用或惡意使用;
? 對高權(quán)限的管理帳戶的操作行為缺乏管控,無法有效防范數(shù)據(jù)庫管理員或其他用戶能正確、合規(guī)的訪問及修改數(shù)據(jù),對不合規(guī)的訪問缺少阻止或報警,無法準(zhǔn)確、有效地定位每個高權(quán)限的管理帳戶實(shí)際操作的自然人;
? 對IT部門內(nèi)部運(yùn)維人員和第三方駐場服務(wù)人員的身份缺乏強(qiáng)身份認(rèn)證,對運(yùn)維操作行為的審計無法做到:審計到實(shí)人、追責(zé)到實(shí)人。
針對從終端接入、特權(quán)賬戶及運(yùn)維審計三個環(huán)節(jié)所暴露出來的稅務(wù)行業(yè)信息中心安全運(yùn)維工作的諸多安全風(fēng)險,久安世紀(jì)將自主研發(fā)的基于指紋識別的強(qiáng)身份認(rèn)證系統(tǒng),與行業(yè)生態(tài)合作廠商杭州盈高科技有限公司(以下簡稱“盈高科技”)和廣州海頤信息安全技術(shù)有限公司(以下簡稱“海頤安全”)產(chǎn)品進(jìn)行了深入整合,創(chuàng)新提出了一套行之有效的稅務(wù)行業(yè)信息中心安全運(yùn)維整體解決方案。
久安世紀(jì)所一貫倡導(dǎo)的IT安全運(yùn)維理念是:
? 防住入口:即管住內(nèi)網(wǎng)終端設(shè)備、操作人員、用戶帳戶、用戶口令、身份權(quán)限;
? 看住過程:即管住操作行為,對操作行為有記錄、有審計;
? 管住出口:即管住數(shù)據(jù)不被非法泄露。
基于上述IT安全運(yùn)維理念,本方案以稅務(wù)行業(yè)用戶強(qiáng)身份認(rèn)證為基石,與行業(yè)生態(tài)廠商產(chǎn)品深入整合,實(shí)現(xiàn)對入口、過程、出口的全面安全管控,有效的幫助稅務(wù)行業(yè)用戶解決實(shí)際運(yùn)維中的安全痛點(diǎn)問題。
稅務(wù)行業(yè)數(shù)據(jù)中心安全運(yùn)維整體解決方案
盈高終端準(zhǔn)入采用指紋認(rèn)證,為終端入網(wǎng)規(guī)范管理系統(tǒng)構(gòu)建一個立體的網(wǎng)絡(luò)主動安全防御體系,可以有效避免終端非法接入;而海頤特權(quán)帳戶系統(tǒng)采用指紋登錄認(rèn)證,能夠有效杜絕運(yùn)維人員賬號密碼共用的風(fēng)險。基于“身份鑒別、準(zhǔn)入控制及訪問控制”的整體安全防護(hù)策略,實(shí)現(xiàn)對信息中心所有運(yùn)維參與者在統(tǒng)一的安全框架下的運(yùn)維行為全流程管控。
終端準(zhǔn)入控制
稅務(wù)行業(yè)內(nèi)網(wǎng)面臨運(yùn)維外包人員外接設(shè)備風(fēng)險,無法確認(rèn)外接設(shè)備的合法性和安全性、無法準(zhǔn)確定位外接設(shè)備和掌握使用狀況,無法杜絕外接設(shè)備的違觀外聯(lián)。通過部署盈高科技網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),能夠幫助稅務(wù)行業(yè)用戶建立網(wǎng)絡(luò)終端可信體系,信息中心工作人員及其第三方駐場的服務(wù)外包運(yùn)維人員的終端設(shè)備在受到統(tǒng)一管理的同時做到規(guī)范入網(wǎng):
? 建立真實(shí)有效的高安全隔離網(wǎng)絡(luò),用戶或設(shè)備根據(jù)權(quán)限訪問相應(yīng)的網(wǎng)絡(luò)資源,禁止越權(quán)跨域訪問,對內(nèi)網(wǎng)終端設(shè)備非法連接外網(wǎng)及非保護(hù)網(wǎng)絡(luò)的行為進(jìn)行警告及阻斷,降低風(fēng)險網(wǎng)絡(luò)的安全威脅;
? 實(shí)現(xiàn)網(wǎng)絡(luò)邊界管理,有線網(wǎng)絡(luò)存在邊界,達(dá)到“違規(guī)不入網(wǎng),入網(wǎng)必合規(guī)”的效果;
? 通過技術(shù)手段落實(shí)管理規(guī)范,對員工有意或者無意的違規(guī)行為,通過技術(shù)手段進(jìn)行阻止,降低違規(guī)事件帶來的網(wǎng)絡(luò)安全風(fēng)險;
? 建設(shè)可信網(wǎng)絡(luò),防止仿冒入侵繞過安全策略,或者惡意入侵帶來的泄密事故,讓內(nèi)網(wǎng)終端都是可信、可控的終端設(shè)備;
? 通過指紋強(qiáng)身份認(rèn)證,可以對終端設(shè)備實(shí)現(xiàn)實(shí)人管控,出現(xiàn)問題可以追責(zé)到實(shí)人。
特權(quán)賬戶管控
稅務(wù)行業(yè)特權(quán)賬號視作一種特殊而關(guān)鍵的資產(chǎn),須要對特權(quán)賬號的申請、建立、使用、審計、回收的全生命周期依據(jù)安全管理制度進(jìn)行管控。全面建立特權(quán)賬戶的臺賬,通過指紋認(rèn)證的強(qiáng)身份鑒別,配以賬戶的合規(guī)性的自動策略,實(shí)現(xiàn)賬戶操作中全程監(jiān)控,對異常的高權(quán)限進(jìn)行告警,事后快速的溯源追責(zé)。
通過部署海頤安全特權(quán)帳戶系統(tǒng)可以幫助稅務(wù)行業(yè)用戶有效梳理現(xiàn)有用戶帳戶,對涉及敏感數(shù)據(jù)的特權(quán)帳戶進(jìn)行帳戶全生命周期管控;不同身份用戶按需分配權(quán)限,可對用戶權(quán)限進(jìn)行應(yīng)用級、命令級的細(xì)粒度管理,從而實(shí)現(xiàn)對用戶權(quán)限的最小化管控;指紋認(rèn)證的采用可以實(shí)現(xiàn)特權(quán)帳戶登錄的強(qiáng)身份認(rèn)證,對操作行為審計到實(shí)人,出現(xiàn)問題追責(zé)到實(shí)人。
實(shí)人運(yùn)維審計系統(tǒng)
稅務(wù)行業(yè)信息中心網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)服務(wù)器、操作系統(tǒng)等基礎(chǔ)網(wǎng)絡(luò)設(shè)備的運(yùn)維工作也是交由第三方駐場外包服務(wù)人員,所面臨的安全風(fēng)險基本與特權(quán)帳戶基本一致。部署運(yùn)維實(shí)人審計系統(tǒng)對參與網(wǎng)絡(luò)基礎(chǔ)運(yùn)維的人員及其操作行為進(jìn)行管控。
通過事前雙人授權(quán)、指紋認(rèn)證登錄;細(xì)粒度的操作權(quán)限控制;操作過程中實(shí)時監(jiān)控、及時阻斷敏感和非授權(quán);保留完整操作記錄作為操作審計依據(jù)等高危操作等技術(shù)管控手段,實(shí)現(xiàn)了對參與運(yùn)維的人員、賬號、身份、權(quán)限及操作行為的有效管控,對運(yùn)維操作行為審計到人、出現(xiàn)問題追責(zé)到人,極大提高了對網(wǎng)絡(luò)基礎(chǔ)設(shè)施運(yùn)維的安全性。
北京久安世紀(jì)科技有限公司與指紋身份認(rèn)證生態(tài)合作伙伴本著“價值綁定合作共贏”的原則,基于稅務(wù)行業(yè)IT運(yùn)維的現(xiàn)狀,為用戶提供行之有效的IT運(yùn)維的安全解決方案,解決了用戶IT運(yùn)維工作中的痛點(diǎn)問題。目前,該方案已應(yīng)用于國家稅務(wù)總局湖南省稅務(wù)局、國家稅務(wù)總局廣西壯族自治區(qū)稅務(wù)局,并獲得用戶的積極評價。
