1、需求来源
近年来,随着《网络安全法》及相关规定出台,对业务数据泄露做了相关泄露级别和惩罚力度的规定,在这种要求下各级税务机关必须做好数据防泄露工作。同时在《中华人民共和国税收征收管理法》中明确提出税务信息系统的安全保护归根结底都是为了确保税务业务数据的安全,税务总局在《税务工作秘密管理暂行规定》中更是明确税务机关在税收业务和内部行政管理中形成的有关事项,涉及纳税人权益和税收安全,不宜对外公开,均属于税务工作秘密范围。
经过对大量客户的调研,我们发现税务客户数据泄露主要在三个方面:
一是内部权限管理不到位,内部人员容易获取授权以外的数据,或内部人员将各类敏感数据存在办公终端中非常容易导致泄露;
二是外部服务商对数据的管理缺乏控制,外来人员容易获取内部敏感信息;
三是业务系统数据保护不完善导致敏感数据泄露等。
2、解决方案
以联软科技 UniDLP和 UniwMS为基础的《税务数据防泄露整体解决方案》,能很好解决业务系统、内部员工、外来人员及终端外发通道带来的泄密风险。
防泄露目标
●税务业务系统:以税务业务系统为目标,以合规为目的,对静态数据、动态移动数据及使用中的数据进行发现、识别、分类、分级、监控、保护(如在线预览、下载限制外发、水印防拍照等),确保税务业务敏感数据安全,防止税务业务敏感数据泄露;
●终端数据保护:以税务办公区域终端为目标,对终端涉及U盘等外设、打印、文档操作、网络共享、邮件外发等行为进行审计或管控,防止终端敏感数据外泄。
防泄露手段
建立了网络边界防护、终端系统防护、数据发现及评估、数据分类分级、实施数据防护、审计监控及报告等六大流程组成的数据保护管理体系。
●网络边界防护:做好内部人员和外部人员接入认证、访问控制等边界管理,防止越权访问;
●终端系统防护:对终端涉及的外设及U盘进行管控,禁止非法设备使用,审计敏感文件的拷贝;对终端本地存放的敏感数据进行扫描,及时发现终端上的敏感数据,并提供整改建议;提供打印和屏幕水印,对内部用户进行震慑,防范泄密发生;对终端文档操作行为进行审计,防范通过FTP、网盘、网络共享等方式泄密对文档流转进行追踪,找到泄密源头,对邮件发送、上网行为进行审计审批,防范内部用户通过邮件、浏览器等方式泄密;
●数据发现及评估:自动识别税务业务敏感数据,从源头进行保护对终端上的数据按策略条件进行扫描,及时发现终端上敏感数据分布,并可根据策略进行保护,如上传后台服务器,将数据移到安全受控盘等;
●数据分类分级:通过关键字、正则表达式、文档DNA智能聚类等敏感数据识别技术对数据进行自动分类分级,并分级采用不同的保护措施;
●实施数据保护:对B/S业务、C/S业务、数据库进行保护,非授权终端无法访问受保护业务系统,并可对数据内、外部流转进行授权保护,未经授权无法与外部程序、存储、网络、设备进行交互;
●审计监控及报告:内部人员访问业务时,在非授权的终端使用特权账号,前后台立即产生告警信息,并将告警信息上传后台;同时可业务管理员登录进行审计,对内部人员(含管理员)业务系统操作打印等行为进行审计控制,并附有矢量水印信息,对泄密事件能进行事后追溯;对文档使用隐藏标签作为辅助追溯的依据和手段防范策略不清晰导致的敏感数据没有被识别而造成的数据泄露风险;也可对违规事件自动统计,可视化呈现数据泄露风险,数据泄露状况一目了然。