1. 安全現(xiàn)狀

稅收是國(guó)家財(cái)政收入的主要來源，是國(guó)民經(jīng)濟(jì)的重要命脈。隨著我國(guó)信息化技術(shù)的發(fā)展，作為履行我國(guó)稅收職能的稅務(wù)機(jī)構(gòu)，其信息化建設(shè)越來越成為推動(dòng)我國(guó)經(jīng)濟(jì)建設(shè)的重要?jiǎng)恿χ弧?

稅務(wù)系統(tǒng)通過近10年的信息化建設(shè)，先后完成了《人事管理系統(tǒng)》、《地稅信息系統(tǒng)》征管軟件、綜合征管系統(tǒng)、 公文處理系統(tǒng)、《因特網(wǎng)辦稅服務(wù)系統(tǒng)》、網(wǎng)上報(bào)稅系統(tǒng)、《業(yè)務(wù)交流平臺(tái)》等信息系統(tǒng)的建設(shè)。通過信息系統(tǒng)的應(yīng)用，真正實(shí)現(xiàn)了“以納稅人自行申報(bào)為基點(diǎn)，以 計(jì)算機(jī)網(wǎng)絡(luò)為依托，以新的組織體系和社會(huì)化稅收保障網(wǎng)絡(luò)為保證，集中辦稅、優(yōu)質(zhì)服務(wù)、科學(xué)管理、重點(diǎn)稽查相結(jié)合”的稅收征管新格局，強(qiáng)化稅收征管，提高了 稅收征管整體水平。

隨著征管軟件、征管系統(tǒng)等稅收系統(tǒng)的應(yīng)用，越來越多的稅務(wù)基礎(chǔ)數(shù)據(jù)以電子化的形式在網(wǎng)絡(luò)上流轉(zhuǎn)、計(jì)算機(jī)里存 儲(chǔ)。為了充分利用稅務(wù)基礎(chǔ)數(shù)據(jù)，同時(shí)為預(yù)防意外情況對(duì)數(shù)據(jù)造成的危害，稅務(wù)系統(tǒng)利用現(xiàn)有網(wǎng)絡(luò)，采取統(tǒng)一的格式和標(biāo)準(zhǔn)，將全省稅收業(yè)務(wù)數(shù)據(jù)實(shí)時(shí)上行到省局統(tǒng) 一的集中數(shù)據(jù)庫中，實(shí)現(xiàn)了稅收業(yè)務(wù)數(shù)據(jù)全省集中。

集中化數(shù)據(jù)中心的建立及稅務(wù)業(yè)務(wù)與信息系統(tǒng)的完全融合，促使數(shù)據(jù)庫系統(tǒng)成為了稅務(wù)核心業(yè)務(wù)開展過程中最具有戰(zhàn) 略性的資產(chǎn)，數(shù)據(jù)庫系統(tǒng)通常都保存著重要的納稅相關(guān)業(yè)務(wù)信息，這些信息的完整性、可用性、保密性直接對(duì)征稅日常開展起到關(guān)鍵作用。而隨著網(wǎng)上報(bào)稅的全面展 開，更多的報(bào)稅單位可以通過互聯(lián)網(wǎng)直接可以進(jìn)行相關(guān)操作，在提升業(yè)務(wù)效率的同時(shí)也使數(shù)據(jù)庫系統(tǒng)面臨全新的嚴(yán)峻的挑戰(zhàn)。概括起來主要表現(xiàn)在以下三個(gè)層面：

安全管理：主要表現(xiàn)為人員的職責(zé)、流程有待完善，內(nèi)部員工的日常操作有待規(guī)范，權(quán)限分配太粗等等，致使安全事件發(fā)生時(shí)，無法追溯并定位真實(shí)的操作者。

技術(shù)層面：現(xiàn)有的數(shù)據(jù)庫內(nèi)部操作不明，無法通過外部的任何安全工具（比如：防火墻、IDS、IPS等）來阻止內(nèi)部用戶的惡意操作、濫用資源和泄露單位機(jī)密信息等行為。

監(jiān)控層面：針對(duì)數(shù)據(jù)庫的動(dòng)態(tài)訪問未實(shí)現(xiàn)有效的實(shí)時(shí)監(jiān)控，無法及時(shí)掌握數(shù)據(jù)庫系統(tǒng)的訪問情況，更不用說針對(duì)非法訪問采取有效防御措施。

2. 安全需求

針對(duì)稅務(wù)數(shù)據(jù)中心安全監(jiān)管目標(biāo)包含如下三個(gè)方面：一是讓安全管理者實(shí)時(shí)全面了解數(shù)據(jù)庫實(shí)際發(fā)生 的操作情況，能夠使管理人員能夠清晰的了解掌握企業(yè)報(bào)稅數(shù)據(jù)的完整更新過程。二是在可疑行為發(fā)生時(shí)可以自動(dòng)啟動(dòng)預(yù)先設(shè)置的告警流程，盡可能防范數(shù)據(jù)庫風(fēng)險(xiǎn) 的發(fā)生。諸如一旦發(fā)生內(nèi)部工作人員批量檢索高收入納稅人個(gè)人信息的時(shí)候觸發(fā)告警。三是一旦發(fā)生非法操作，觸發(fā)事先設(shè)置好的審計(jì)策略，進(jìn)行實(shí)時(shí)監(jiān)控。為了達(dá) 到以上的目標(biāo)，需要采取一種可信賴高效的綜合途徑，確保數(shù)據(jù)庫活動(dòng)記錄的100%捕獲是極為重要的，任何一種遺漏關(guān)鍵活動(dòng)的行為，都會(huì)導(dǎo)致數(shù)據(jù)庫安全上的 錯(cuò)誤判斷，并且干擾數(shù)據(jù)庫在運(yùn)行時(shí)的性能。

3. 解決方案

稅務(wù)系統(tǒng)通過建設(shè)和部署安恒明御數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)，實(shí)現(xiàn)了對(duì)稅務(wù)核心基礎(chǔ)數(shù)據(jù)的安全監(jiān)控，提升了數(shù)據(jù)的完整性、保密性、可用性能力，切實(shí)保障信息系統(tǒng)的業(yè)務(wù)開展。

具體作用如下：

實(shí)現(xiàn)了對(duì)稅務(wù)業(yè)務(wù)數(shù)據(jù)訪問的實(shí)時(shí)監(jiān)控：系統(tǒng)內(nèi)置高性能分析和采集引擎，實(shí)時(shí)解析業(yè)務(wù)訪問數(shù)據(jù)流，還原原始的SQL 操作，實(shí)現(xiàn)全程的實(shí)時(shí)監(jiān)控。識(shí)別SYBASE、SQLSever、Oracle等數(shù)據(jù)庫類型，記錄辦事大廳工作人員、辦公室工作人員、企業(yè)納稅人、系統(tǒng)維 護(hù)員、DBA等人員對(duì)數(shù)據(jù)庫的訪問及操作,同時(shí)記錄操作時(shí)間、操作源、操作結(jié)果等等。

實(shí)現(xiàn)了對(duì)稅務(wù)業(yè)務(wù)數(shù)據(jù)訪問的全程風(fēng)險(xiǎn)控制：系統(tǒng)自動(dòng)根據(jù)預(yù)設(shè)置的稅務(wù)應(yīng)用風(fēng)險(xiǎn)控制策略，結(jié)合對(duì)數(shù)據(jù)庫活動(dòng)的實(shí)時(shí)監(jiān) 控信息，進(jìn)行審計(jì)規(guī)則檢測(cè)，任何嘗試的惡意訪問或違反審計(jì)規(guī)則的操作都會(huì)被檢測(cè)到并實(shí)時(shí)告警。結(jié)合稅務(wù)征管系統(tǒng)業(yè)務(wù)特點(diǎn)，以安全風(fēng)險(xiǎn)控制為基本，捕獲類似 大容量記錄檢索、敏感數(shù)據(jù)信息（高收入納稅人信息或納稅企業(yè)的銷售信息及客戶信息）的越權(quán)訪問、對(duì)數(shù)據(jù)庫系統(tǒng)的高風(fēng)險(xiǎn)操作（刪除關(guān)鍵字段、大批量更新等 等）等等操作，提供告警。

實(shí)現(xiàn)了對(duì)稅務(wù)業(yè)務(wù)數(shù)據(jù)訪問的全方位審計(jì)：覆蓋了對(duì)DDL類、DML類、DCL類等操作。審計(jì)對(duì)象覆蓋了數(shù)據(jù)庫用戶 名、表名、字段名、執(zhí)行結(jié)果、字段內(nèi)容等等。審計(jì)信息里面包括了訪問語句信息、操作端應(yīng)用程序信息、操作端IP地址、操作結(jié)果等等。具體體現(xiàn)到應(yīng)用層面， 可以看到誰通過哪個(gè)賬號(hào)通過哪臺(tái)電腦對(duì)哪個(gè)項(xiàng)的具體內(nèi)容作了什么樣的操作，操作的結(jié)果是什么，都實(shí)現(xiàn)了完整的記錄。

完整安全事件的追溯回放：允許安全管理員提取審計(jì)歷史數(shù)據(jù)，對(duì)過去某一時(shí)段或單個(gè)業(yè)務(wù)訪問過程進(jìn)行回放，快速真實(shí)展現(xiàn)當(dāng)時(shí)的完整操作過程，便于分析和追溯系統(tǒng)安全問題。

應(yīng)用示意圖如下：

圖3－1 系統(tǒng)部署圖

4. 客戶收益

部署了數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)后，一方面可以對(duì)稅務(wù)系統(tǒng)的業(yè)務(wù)數(shù)據(jù)操作進(jìn)行實(shí)時(shí)監(jiān)控，為單位的敏感數(shù)據(jù)訪問做到有效地監(jiān)管；另一方面符合國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)政策的要求；做到數(shù)據(jù)操作的可監(jiān)控、可審計(jì)、可追溯。

5. 客戶清單

• 浙江省地稅
• 浙江省國(guó)稅
• 臺(tái)州財(cái)政
• 紹興市地方稅務(wù)局
• 衢州市地方稅務(wù)局
• 淮南市地稅局
• 溫州財(cái)稅
• ······