我國稅務信息化自金稅工程以來,取得了令人矚目的成果,極大的提高了稅務部門的工作質量和效率。隨著稅務行業信息化水平的不斷提高,基于網絡外部和內部人員違規和犯罪事件時有發生;同時,在稅務行業中聘用了大量的第三方服務外包人員提供駐場運維服務,外包人員自帶設備存在安全接入和數據外泄等潛在的安全問題。因此,稅務行業所面臨的信息安全風險不容忽視。
北京久安世紀科技有限公司基于多年與稅務行業的合作經驗和技術能力,充分了解和認識到稅務行業IT運維所存在的普遍且具有共性的安全問題:
? 對第三方駐場服務的人員及自帶設備接入缺乏有效安全管控;
? 網絡設備、安全設備、主機尤其是數據庫的管理員高權限帳戶和口令缺乏有效安全管控,不符合國家政策法規及稅務總局的相關安全規范的規定;
? 缺乏對接觸敏感數據的特權賬號(如DBA)的主動管控,無法有效防范對敏感數據具有高操作權限的賬號被非授權用戶盜用,或是被授權用戶濫用或惡意使用;
? 對高權限的管理帳戶的操作行為缺乏管控,無法有效防范數據庫管理員或其他用戶能正確、合規的訪問及修改數據,對不合規的訪問缺少阻止或報警,無法準確、有效地定位每個高權限的管理帳戶實際操作的自然人;
? 對IT部門內部運維人員和第三方駐場服務人員的身份缺乏強身份認證,對運維操作行為的審計無法做到:審計到實人、追責到實人。
針對從終端接入、特權賬戶及運維審計三個環節所暴露出來的稅務行業信息中心安全運維工作的諸多安全風險,久安世紀將自主研發的基于指紋識別的強身份認證系統,與行業生態合作廠商杭州盈高科技有限公司(以下簡稱“盈高科技”)和廣州海頤信息安全技術有限公司(以下簡稱“海頤安全”)產品進行了深入整合,創新提出了一套行之有效的稅務行業信息中心安全運維整體解決方案。
久安世紀所一貫倡導的IT安全運維理念是:
? 防住入口:即管住內網終端設備、操作人員、用戶帳戶、用戶口令、身份權限;
? 看住過程:即管住操作行為,對操作行為有記錄、有審計;
? 管住出口:即管住數據不被非法泄露。
基于上述IT安全運維理念,本方案以稅務行業用戶強身份認證為基石,與行業生態廠商產品深入整合,實現對入口、過程、出口的全面安全管控,有效的幫助稅務行業用戶解決實際運維中的安全痛點問題。
稅務行業數據中心安全運維整體解決方案
盈高終端準入采用指紋認證,為終端入網規范管理系統構建一個立體的網絡主動安全防御體系,可以有效避免終端非法接入;而海頤特權帳戶系統采用指紋登錄認證,能夠有效杜絕運維人員賬號密碼共用的風險。基于“身份鑒別、準入控制及訪問控制”的整體安全防護策略,實現對信息中心所有運維參與者在統一的安全框架下的運維行為全流程管控。
終端準入控制
稅務行業內網面臨運維外包人員外接設備風險,無法確認外接設備的合法性和安全性、無法準確定位外接設備和掌握使用狀況,無法杜絕外接設備的違觀外聯。通過部署盈高科技網絡準入系統,能夠幫助稅務行業用戶建立網絡終端可信體系,信息中心工作人員及其第三方駐場的服務外包運維人員的終端設備在受到統一管理的同時做到規范入網:
? 建立真實有效的高安全隔離網絡,用戶或設備根據權限訪問相應的網絡資源,禁止越權跨域訪問,對內網終端設備非法連接外網及非保護網絡的行為進行警告及阻斷,降低風險網絡的安全威脅;
? 實現網絡邊界管理,有線網絡存在邊界,達到“違規不入網,入網必合規”的效果;
? 通過技術手段落實管理規范,對員工有意或者無意的違規行為,通過技術手段進行阻止,降低違規事件帶來的網絡安全風險;
? 建設可信網絡,防止仿冒入侵繞過安全策略,或者惡意入侵帶來的泄密事故,讓內網終端都是可信、可控的終端設備;
? 通過指紋強身份認證,可以對終端設備實現實人管控,出現問題可以追責到實人。
特權賬戶管控
稅務行業特權賬號視作一種特殊而關鍵的資產,須要對特權賬號的申請、建立、使用、審計、回收的全生命周期依據安全管理制度進行管控。全面建立特權賬戶的臺賬,通過指紋認證的強身份鑒別,配以賬戶的合規性的自動策略,實現賬戶操作中全程監控,對異常的高權限進行告警,事后快速的溯源追責。
通過部署海頤安全特權帳戶系統可以幫助稅務行業用戶有效梳理現有用戶帳戶,對涉及敏感數據的特權帳戶進行帳戶全生命周期管控;不同身份用戶按需分配權限,可對用戶權限進行應用級、命令級的細粒度管理,從而實現對用戶權限的最小化管控;指紋認證的采用可以實現特權帳戶登錄的強身份認證,對操作行為審計到實人,出現問題追責到實人。
實人運維審計系統
稅務行業信息中心網絡設備、安全設備、主機服務器、操作系統等基礎網絡設備的運維工作也是交由第三方駐場外包服務人員,所面臨的安全風險基本與特權帳戶基本一致。部署運維實人審計系統對參與網絡基礎運維的人員及其操作行為進行管控。
通過事前雙人授權、指紋認證登錄;細粒度的操作權限控制;操作過程中實時監控、及時阻斷敏感和非授權;保留完整操作記錄作為操作審計依據等高危操作等技術管控手段,實現了對參與運維的人員、賬號、身份、權限及操作行為的有效管控,對運維操作行為審計到人、出現問題追責到人,極大提高了對網絡基礎設施運維的安全性。
北京久安世紀科技有限公司與指紋身份認證生態合作伙伴本著“價值綁定合作共贏”的原則,基于稅務行業IT運維的現狀,為用戶提供行之有效的IT運維的安全解決方案,解決了用戶IT運維工作中的痛點問題。目前,該方案已應用于國家稅務總局湖南省稅務局、國家稅務總局廣西壯族自治區稅務局,并獲得用戶的積極評價。
