1、需求來源

近年來,隨著《網絡安全法》及相關規定出臺,對業務數據泄露做了相關泄露級別和懲罰力度的規定,在這種要求下各級稅務機關必須做好數據防泄露工作。同時在《中華人民共和國稅收征收管理法》中明確提出稅務信息系統的安全保護歸根結底都是為了確保稅務業務數據的安全,稅務總局在《稅務工作秘密管理暫行規定》中更是明確稅務機關在稅收業務和內部行政管理中形成的有關事項,涉及納稅人權益和稅收安全,不宜對外公開,均屬于稅務工作秘密范圍。

經過對大量客戶的調研,我們發現稅務客戶數據泄露主要在三個方面:

一是內部權限管理不到位,內部人員容易獲取授權以外的數據,或內部人員將各類敏感數據存在辦公終端中非常容易導致泄露;

二是外部服務商對數據的管理缺乏控制,外來人員容易獲取內部敏感信息;

三是業務系統數據保護不完善導致敏感數據泄露等。

2、解決方案

以聯軟科技 UniDLP和 UniwMS為基礎的《稅務數據防泄露整體解決方案》,能很好解決業務系統、內部員工、外來人員及終端外發通道帶來的泄密風險。

防泄露目標

●稅務業務系統:以稅務業務系統為目標,以合規為目的,對靜態數據、動態移動數據及使用中的數據進行發現、識別、分類、分級、監控、保護(如在線預覽、下載限制外發、水印防拍照等),確保稅務業務敏感數據安全,防止稅務業務敏感數據泄露；

●終端數據保護:以稅務辦公區域終端為目標,對終端涉及U盤等外設、打印、文檔操作、網絡共享、郵件外發等行為進行審計或管控,防止終端敏感數據外泄。

防泄露手段

建立了網絡邊界防護、終端系統防護、數據發現及評估、數據分類分級、實施數據防護、審計監控及報告等六大流程組成的數據保護管理體系。

●網絡邊界防護:做好內部人員和外部人員接入認證、訪問控制等邊界管理,防止越權訪問;

●終端系統防護:對終端涉及的外設及U盤進行管控,禁止非法設備使用,審計敏感文件的拷貝;對終端本地存放的敏感數據進行掃描,及時發現終端上的敏感數據,并提供整改建議;提供打印和屏幕水印,對內部用戶進行震懾,防范泄密發生;對終端文檔操作行為進行審計,防范通過FTP、網盤、網絡共享等方式泄密對文檔流轉進行追蹤,找到泄密源頭,對郵件發送、上網行為進行審計審批,防范內部用戶通過郵件、瀏覽器等方式泄密；

●數據發現及評估:自動識別稅務業務敏感數據,從源頭進行保護對終端上的數據按策略條件進行掃描,及時發現終端上敏感數據分布,并可根據策略進行保護,如上傳后臺服務器,將數據移到安全受控盤等;

●數據分類分級:通過關鍵字、正則表達式、文檔DNA智能聚類等敏感數據識別技術對數據進行自動分類分級,并分級采用不同的保護措施；

●實施數據保護:對B/S業務、C/S業務、數據庫進行保護,非授權終端無法訪問受保護業務系統,并可對數據內、外部流轉進行授權保護,未經授權無法與外部程序、存儲、網絡、設備進行交互;

●審計監控及報告:內部人員訪問業務時,在非授權的終端使用特權賬號,前后臺立即產生告警信息,并將告警信息上傳后臺;同時可業務管理員登錄進行審計,對內部人員(含管理員)業務系統操作打印等行為進行審計控制,并附有矢量水印信息,對泄密事件能進行事后追溯;對文檔使用隱藏標簽作為輔助追溯的依據和手段防范策略不清晰導致的敏感數據沒有被識別而造成的數據泄露風險;也可對違規事件自動統計,可視化呈現數據泄露風險,數據泄露狀況一目了然。