税务行业信息中心安全运维整体解决方案
我国税务信息化自金税工程以来,取得了令人瞩目的成果,极大的提高了税务部门的工作质量和效率。随着税务行业信息化水平的不断提高,基于网络外部和内部人员违规和犯罪事件时有发生;同时......
我国税务信息化自金税工程以来,取得了令人瞩目的成果,极大的提高了税务部门的工作质量和效率。随着税务行业信息化水平的不断提高,基于网络外部和内部人员违规和犯罪事件时有发生;同时,在税务行业中聘用了大量的第三方服务外包人员提供驻场运维服务,外包人员自带设备存在安全接入和数据外泄等潜在的安全问题。因此,税务行业所面临的信息安全风险不容忽视。
北京久安世纪科技有限公司基于多年与税务行业的合作经验和技术能力,充分了解和认识到税务行业IT运维所存在的普遍且具有共性的安全问题:
对第三方驻场服务的人员及自带设备接入缺乏有效安全管控;
网络设备、安全设备、主机尤其是数据库的管理员高权限帐户和口令缺乏有效安全管控,不符合国家政策法规及税务总局的相关安全规范的规定;
缺乏对接触敏感数据的特权账号(如DBA)的主动管控,无法有效防范对敏感数据具有高操作权限的账号被非授权用户盗用,或是被授权用户滥用或恶意使用;
对高权限的管理帐户的操作行为缺乏管控,无法有效防范数据库管理员或其他用户能正确、合规的访问及修改数据,对不合规的访问缺少阻止或报警,无法准确、有效地定位每个高权限的管理帐户实际操作的自然人;
对IT部门内部运维人员和第三方驻场服务人员的身份缺乏强身份认证,对运维操作行为的审计无法做到:审计到实人、追责到实人。
针对从终端接入、特权账户及运维审计三个环节所暴露出来的税务行业信息中心安全运维工作的诸多安全风险,久安世纪将自主研发的基于指纹识别的强身份认证系统,与行业生态合作厂商杭州盈高科技有限公司(以下简称“盈高科技”)和广州海颐信息安全技术有限公司(以下简称“海颐安全”)产品进行了深入整合,创新提出了一套行之有效的税务行业信息中心安全运维整体解决方案。
久安世纪一贯倡导的IT安全运维理念是:
● 防住入口:即管住内网终端设备、操作人员、用户帐户、用户口令、身份权限;
● 看住过程:即管住操作行为,对操作行为有记录、有审计;
● 管住出口:即管住数据不被非法泄露。
基于上述IT安全运维理念,本方案以税务行业用户强身份认证为基石,与行业生态厂商产品深入整合,实现对入口、过程、出口的全面安全管控,有效的帮助税务行业用户解决实际运维中的安全痛点问题。
税务行业数据中心安全运维整体解决方案
盈高终端准入采用指纹认证,为终端入网规范管理系统构建一个立体的网络主动安全防御体系,可以有效避免终端非法接入;而海颐特权帐户系统采用指纹登录认证,能够有效杜绝运维人员账号密码共用的风险。基于“身份鉴别、准入控制及访问控制”的整体安全防护策略,实现对信息中心所有运维参与者在统一的安全框架下的运维行为全流程管控。
终端准入控制
税务行业内网面临运维外包人员外接设备风险,无法确认外接设备的合法性和安全性、无法准确定位外接设备和掌握使用状况,无法杜绝外接设备的违观外联。通过部署盈高科技网络准入系统,能够帮助税务行业用户建立网络终端可信体系,信息中心工作人员及其第三方驻场的服务外包运维人员的终端设备在受到统一管理的同时做到规范入网:
● 建立真实有效的高安全隔离网络,用户或设备根据权限访问相应的网络资源,禁止越权跨域访问,对内网终端设备非法连接外网及非保护网络的行为进行警告及阻断,降低风险网络的安全威胁;
● 实现网络边界管理,有线网络存在边界,达到“违规不入网,入网必合规”的效果;
● 通过技术手段落实管理规范,对员工有意或者无意的违规行为,通过技术手段进行阻止,降低违规事件带来的网络安全风险;
● 建设可信网络,防止仿冒入侵绕过安全策略,或者恶意入侵带来的泄密事故,让内网终端都是可信、可控的终端设备;
● 通过指纹强身份认证,可以对终端设备实现实人管控,出现问题可以追责到实人。
特权账户管控
税务行业特权账号视作一种特殊而关键的资产,须要对特权账号的申请、建立、使用、审计、回收的全生命周期依据安全管理制度进行管控。全面建立特权账户的台账,通过指纹认证的强身份鉴别,配以账户的合规性的自动策略,实现账户操作中全程监控,对异常的高权限进行告警,事后快速的溯源追责。
通过部署海颐安全特权帐户系统可以帮助税务行业用户有效梳理现有用户帐户,对涉及敏感数据的特权帐户进行帐户全生命周期管控;不同身份用户按需分配权限,可对用户权限进行应用级、命令级的细粒度管理,从而实现对用户权限的最小化管控;指纹认证的采用可以实现特权帐户登录的强身份认证,对操作行为审计到实人,出现问题追责到实人。
实人运维审计系统
税务行业信息中心网络设备、安全设备、主机服务器、操作系统等基础网络设备的运维工作也是交由第三方驻场外包服务人员,所面临的安全风险基本与特权帐户基本一致。部署运维实人审计系统对参与网络基础运维的人员及其操作行为进行管控。
通过事前双人授权、指纹认证登录;细粒度的操作权限控制;操作过程中实时监控、及时阻断敏感和非授权;保留完整操作记录作为操作审计依据等高危操作等技术管控手段,实现了对参与运维的人员、账号、身份、权限及操作行为的有效管控,对运维操作行为审计到人、出现问题追责到人,极大提高了对网络基础设施运维的安全性。
北京久安世纪科技有限公司与指纹身份认证生态合作伙伴本着“价值绑定 合作共赢”的原则,基于税务行业IT运维的现状,为用户提供行之有效的IT运维的安全解决方案,解决了用户IT运维工作中的痛点问题。目前,该方案已应用于国家税务总局湖南省税务局、国家税务总局广西壮族自治区税务局,并获得用户的积极评价。