行业现状
如何保障纳税人的个人信息安全?DBA、开发/运维人员、窗口办税人员...遍布基层的网络,无处不在的漏洞;CSDN事件、利用纳税人信息愈加猖狂... 这只是开始,下一个爆发的火山口会在哪里?封堵?加密?审计? 联软业务数据防泄露系统保护纳税人的机密数据,全面地保障纳税人个人信息安全!
信息安全概述:
信息技术的进步与网络经济的兴起为我国各区域、各行业调整产业结构,利用后发优势实现跨越式发展提供了机遇,同时,信息技术在行业的应用已得到IT界广泛认可,政府上网工程、企业上网工程、家庭上网工程已是信息化发展的重点。税务系统中的应用包括各种内部应用以及开始逐步推广的网上报税系统。作为电子政务的一个重要组成部分,网上报税开始得到越来越多的应用。整个网上报税系统在Internet中传输的信息包括税务数据、帐户查询信息、清算信息、客户信息以及内部应用数据等等。不管是在税务系统内部网中还是Internet上传输的信息,都会遭受来自各方的攻击,因此在传输过程中都需要保证安全特性在政府上网工程中,"金税工程"被誉为增值税的"生命线",它的建设也成为国民经济信息化的重点之一。随着覆盖全国税务系统的计算机网络在全国范围内建立,科技兴税开始初见成效。传统业务受到了很大的限制,如果不利用信息手段加速信息化的进程,不但新业务的发展变得很困难,而且也很可能会失去本身具有优势的业务。因此,面对现状及自身的行业特点,国家及地方税务部门开展信息化建设势在必行。
数据安全隐患:
1 身份认证机制不强。 由于非法用户可以伪造、网上报税系统和纳税户的身份,因此登录到网上报税系统的纳税户无法知道他们所登录的系统是否是可信的网上报税系统,网上报税系统也无法验证登录的纳税户是否是经过认证的合法纳税户,非法用户可以借机进行破坏。"用户名+口令"的传统认证方式安全性较弱,纳税户口令易被窃取而导致损失。 | 2 无法实现事件的防否认。 如果纳税户与税务部门间进行的税务申报行为一旦被其中的一方所否认,另一方没有已签名的记录来作为仲裁的依据。对于报税业务来说,就是企业要对自己呈报的税务数据负责,由技术手段保证企业不能事后否认自己的行为。由于现有的报税系统没有使用数字证书,无法通过数字签名技术来实现不可抵赖性。 |
3 缺乏有效的访问控制机制。 现有的访问控制都需要开发人员通过编码方式实现,例如针对某一个目录或是文件的访问控制,就需要开发人员编辑动态脚本来保护某一目录或是单个文件。既对服务器资源产生了损耗,又增加了系统的管理和维护成本,无法实现用户权限的集中管理。 | 4 安全手段无法有效管控。近年来,各行业信息事件越来越多,再次为税务信息的安全敲响了警钟。在努力去做“金税工程"的同时,避免不了个人或企业通过非法的盗窃和无意中的传输把重要数据泄露出去,内部技术人员的安全意识和风险能力需要进一步加强。作为一个税务信息安全建设工程,税务系统的信息化建设必须要从长期规划入手,防止走弯路、重复建设。 |
信息化建设必须能够符合税务系统的组织管理特点,系统上实现统一管理,应用上实现分级应用,让和工作人员都能够得到适当的权利和功能,真正满足整个税务系统的业务需要。
解决方案
准入控制系统可以将接入企业内部网络的终端分为三类:
1.稳定安全性设计
软件设计必须保证系统运行稳定、安全可靠。各功能模块能够正确地完成设定功能流程,还要有较强的容错能力。由于系统架构采用多层结构,后台服务和数据库可以分别安装在不同的机器(服务器)上,能充分利用客户已有设备,能很好的支持负载均衡。
2.开放性策略
提供多厂商的可互联性与可移植性,不依赖于某一特定的计算机硬件系统和特定的操作系统;同时保证系统结构设计的性规范,包括系统内部程序设计的规范、系统各模块之间接口的规范、系统内部与外部接口的规范和系统用户界面的规范,以便于与其他系统(包括业务子系统和外部系统)进行信息交互。
3.安全性策略
系统的安全性包括系统内部的安全性、系统平台的安全性。要求提供方便有效的安全控制手段,可采用用户鉴别、电子签名、信息加密以及数据库、文档、域的多级权限设置等安全措施。目前系统建议主要采用账号/口令来进行身份验证,也可使用CA认证体系对本系统使用者进行身份确认,通过下发证书的形式,保证系统用户的应用安全。 为了配合用户身份认证,系统还支持ADLDAP、邮件服务器等认证结合,杜绝非法用户对网络资源的存取和破坏,极大的提高网络的安全性。 应用中,针对具体业务,结合用户系统身份、应用权限、应用角色的设置进行应用级的安全控制。
4.易用性策略
为管理人员提供功能全面的系统管理工具,使管理人员可以方便地对整个系统进行维护和操作。为税务系统用户提供使用简单、清晰、操作方便的界面,并且提供详细的联机操作指南。
5.可扩展性策略
系统设计时要充分考虑税务系统信息化系统今后一段时间的系统扩展等要求,系统要具有良好的延展性。系统可适应数据级、应用级、系统级的扩展。 针对数据级扩展,应用系统提供开放的应用接口(API)和基于JDBC的通用数据库访问服务,可以方便地连接企事业其他系统(如: MIS系统、ERP系统、CRM系统)的数据,进行处理发布,在扩大信息采集面的前提下,使信息采集方式更简便、更直接。
6.信息高度安全策略
业界的业务信息防泄露(Uni
DLP)方案,采用的应用虚拟沙箱技术,来保护业务信息的安全性。支持各种基于B/S、C/S架构的业务、运营、基础系统或设备,比如:数据库、ERP、CRM、财务系统EAM、SCM、电子客票系统、OA、文件共享系统等。
7.信息追踪策略
针对税务网络内的所有信息,配合联软的Uni
DLP方案,做到对所有使用人的有依可查、有依可证。真正做到数据的追踪定位。
