聯(lián)軟出席第七屆稅務(wù)信息化大會(huì)并發(fā)表主題演講“稅務(wù)敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)管控平臺(tái)”為稅務(wù)數(shù)據(jù)安全做重要分析(上)
聯(lián)軟科技應(yīng)邀出席第七屆稅務(wù)信息化大會(huì),聯(lián)軟科技營銷中心副總裁魏繼超參與此會(huì)并代表我司發(fā)表主題演講-“稅務(wù)敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)管控平臺(tái)”。
文章原出處:http://www.ctax.org.cn/news/rdzt/yxlwbj2013/bjsl/201401/t20140127_760035.html
此次會(huì)議圓滿成功,與會(huì)的嘉賓、領(lǐng)導(dǎo)以及來自全國各地的稅務(wù)代表和IT企業(yè)代表都融入在其樂融融的氛圍內(nèi),大家互動(dòng)交流,成果斐然!
以下為演講具體內(nèi)容:
大家上午好!
今天我為大家做的技術(shù)報(bào)告的主題是《稅務(wù)敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)管控平臺(tái)》,簡稱防泄露平臺(tái)。我們的目標(biāo)就是保護(hù)稅務(wù)的敏感數(shù)據(jù)。
有四個(gè)部分的內(nèi)容:
第一部分是我們的平臺(tái)介紹。
第二部分是我們的幾個(gè)核心功能。
第三部分是平臺(tái)價(jià)值。
第四部分對(duì)我們公司做個(gè)簡單的介紹。
首先我們?yōu)槭裁匆ㄔO(shè)這個(gè)平臺(tái),主要有四點(diǎn)。
早在今年年初的時(shí)候,我們國家的主席習(xí)總跟美國的總統(tǒng)奧巴馬會(huì)晤的時(shí)候就已經(jīng)提到了網(wǎng)絡(luò)及信息的安全。今年三中全會(huì)以后,成立了國家安全委員會(huì),為了確保網(wǎng)絡(luò)和信息安全。其中重點(diǎn)提到了稅務(wù)。所以我們趕上了這么一個(gè)好時(shí)機(jī)。今年我們是花了很大的精力,在江蘇地稅定制開發(fā)了一套防泄露平臺(tái)。
第二個(gè)要素,是在國稅總局2012年的年底的時(shí)候,面向全國的稅務(wù)系統(tǒng)發(fā)布了一個(gè)文件,就是稅務(wù)工作秘密的管理暫行規(guī)定,這個(gè)文件主要從管理方面提出了一些要求。對(duì)我們來講,我們明確了我們要保護(hù)什么,明確了我們的防護(hù)邊界。所以我們把這種管理精神變成了技術(shù)手段,通過技術(shù)手段來落實(shí)這樣的管理指導(dǎo)精神。其他的就是征管法,以及我們對(duì)稅務(wù)業(yè)務(wù)數(shù)據(jù)的保護(hù),保護(hù)稅務(wù)業(yè)務(wù)系統(tǒng)歸根結(jié)底是保護(hù)稅務(wù)業(yè)務(wù)數(shù)據(jù)的安全,因此我們這個(gè)平臺(tái),我們保護(hù)的對(duì)象就是業(yè)務(wù)系統(tǒng),而不是相應(yīng)的文件。目標(biāo)是很明確的。
我們都知道的一個(gè)問題,如果我們的設(shè)備丟失了,我們?cè)撛趺崔k,人員怎么去做培訓(xùn),我們也知道。同時(shí)對(duì)于這種外設(shè)和通訊工具的管控都是非常成熟的技術(shù),這些都是我們可以做到的,目前全國的國地稅系統(tǒng)在這方面都可以做得非常好,但是我們提出幾個(gè)問題,首先我們的系統(tǒng)中,哪些信息都存在什么地方,它們都是什么,哪些人需要訪問,需要使用這些信息,他們的使用是否合規(guī),是否規(guī)范。我們有沒有足夠快的手段來防護(hù)這些信息,同時(shí)配套以相應(yīng)的審計(jì)手段,其實(shí)很難。
在這樣的環(huán)境下,在這樣一些問題下,我們就推出了防泄露的平臺(tái),我們的平臺(tái)目標(biāo)是什么?我們主要是以業(yè)務(wù)系統(tǒng)為我們的管控對(duì)象,這個(gè)就直接與世面上國內(nèi)外的數(shù)據(jù)安全平臺(tái)、防泄露平臺(tái)拉開了距離,他們還在做文件、還在做網(wǎng)絡(luò)數(shù)據(jù)的一種檢測(cè),我們把目標(biāo)面向到我們的征管系統(tǒng)。
三類數(shù)據(jù),靜態(tài)數(shù)據(jù)、動(dòng)態(tài)數(shù)據(jù)和使用中的數(shù)據(jù),對(duì)它們進(jìn)行發(fā)現(xiàn)、識(shí)別、分類、分級(jí)、監(jiān)控和保護(hù),形成一個(gè)完整的周期。我們的原則就是不對(duì)業(yè)務(wù)和數(shù)據(jù)庫做任何的開發(fā)和改造,零改造。
我們建設(shè)的思路,五個(gè)步驟,是根據(jù)我們的建設(shè)目標(biāo)來確定的。
第一,是我們的敏感數(shù)據(jù)的發(fā)現(xiàn)與遷移。這里我們提議提到敏感兩個(gè)字,因?yàn)槎悇?wù)數(shù)據(jù)種類很多、文件也特別多,哪些數(shù)據(jù)是我們需要保護(hù)的,所以我們定義了一個(gè)敏感,這個(gè)敏感怎么來的呢?我們是根據(jù)國家稅務(wù)總局的文件的精神,文件已經(jīng)定義到了,分兩類,一大類屬于業(yè)務(wù)數(shù)據(jù),另外一大類屬于工作行政數(shù)據(jù)。
目前為止我們平臺(tái)的管控平臺(tái)已經(jīng)形成了知識(shí)庫的是我們的業(yè)務(wù)數(shù)據(jù)。對(duì)于業(yè)務(wù)數(shù)據(jù),我們采用關(guān)鍵字的技術(shù),然后對(duì)它進(jìn)行發(fā)現(xiàn)和遷移。
第二,遷移之后怎么辦,我們剛才說了信息在什么地方,它們都是什么,然后什么人需要去使用它。實(shí)際上很難做統(tǒng)計(jì)和科學(xué)管理,那么我們這個(gè)平臺(tái)有一個(gè)創(chuàng)新的地方,就是我們對(duì)數(shù)據(jù)自動(dòng)可以做分類、分級(jí),同時(shí)對(duì)數(shù)據(jù)的分布和數(shù)據(jù)的流轉(zhuǎn),不管是對(duì)內(nèi)的流轉(zhuǎn),還是第三方對(duì)外的流轉(zhuǎn),我們可以形成完整的審計(jì),同時(shí)我們?cè)谂浜蠑?shù)據(jù)可視化的技術(shù),形成數(shù)據(jù)的管理視圖,通過視圖我們可以簡單直觀的了解到,我們整個(gè)系統(tǒng)的運(yùn)行情況,我們數(shù)據(jù)的分布情況。簡單來說我可以看到全省、哪一個(gè)市的敏感文件是最多的,具體有多少份,甚至我可以一步定位到某一臺(tái)設(shè)備上它的文件是最多的,我們所說的都是敏感文件。
第三,就是根據(jù)我們現(xiàn)在第一步和第二步所做的基礎(chǔ)工作,我們要定義有效的防護(hù)策略。通過有效的防護(hù)策略,我們要實(shí)施和執(zhí)行這個(gè)防護(hù)策略,最終形成整個(gè)項(xiàng)目的精華所在就是我們的監(jiān)控報(bào)告與審計(jì),因?yàn)槲覀儠?huì)最終輸出一份風(fēng)險(xiǎn)報(bào)告。
那么平臺(tái)的獨(dú)到之處,我剛才說了由于國內(nèi)外的數(shù)據(jù)安全平臺(tái)我們有一個(gè)比較大的距離,就是根據(jù)稅務(wù)系統(tǒng)的特點(diǎn),我們不僅做到國外產(chǎn)品防被動(dòng)泄密,我們更做到國內(nèi)產(chǎn)品來防主動(dòng)泄密,所以我們是雙防。
第四,我們的對(duì)象從傳統(tǒng)的文件保護(hù)演變?yōu)闃I(yè)務(wù)系統(tǒng)的保護(hù)。
第五,我們不僅僅是在做功能,我們更進(jìn)一步去做了管理,什么樣的行為是合規(guī)的,我們存在哪些風(fēng)險(xiǎn),我們通過報(bào)告的手段一目了然。
那么第二部分就是我們的重點(diǎn)部分,是我們平臺(tái)的核心功能。
核心功能,也是依據(jù)我前面的五個(gè)思路,就是我們的五個(gè)步驟,因?yàn)槲覀冋麄€(gè)平臺(tái)的開發(fā)也是依照五個(gè)步驟來進(jìn)行的。
第一點(diǎn),就是我們的敏感數(shù)據(jù)的發(fā)現(xiàn)與遷移。
這邊有幾個(gè)數(shù)據(jù)的一個(gè)共享。這個(gè)數(shù)據(jù)稍微有點(diǎn)老了,事實(shí)上我截止到來會(huì)場(chǎng)之前,我們?cè)跓o錫地稅1650臺(tái)設(shè)備終端上,我們管控了22.5萬份文件。平均一個(gè)設(shè)備上的文件被管控的數(shù)量大概是在159份。那么同時(shí)我們的發(fā)現(xiàn)效率,一分鐘可以做到227兆,這里面因?yàn)橐獙?duì)所有的我們所定義的內(nèi)容進(jìn)行檢索,最重要的是我們已經(jīng)在大征管、大集中這個(gè)系統(tǒng)里面我們已經(jīng)首先通過工作秘密管理暫行規(guī)定這個(gè)文件的要求,我們選了五個(gè)業(yè)務(wù),作為我們的一期的管控的要點(diǎn),就是個(gè)人所得稅,房產(chǎn)、涉稅舉報(bào)、納稅人的隱私和個(gè)人秘密,以及第三方共享數(shù)據(jù)。我們形成了1300個(gè)關(guān)鍵字的支持度,同時(shí)我們的模板也有十幾個(gè)。這里面1300個(gè)關(guān)鍵字,肯定不是由我們來進(jìn)行篩選的。首先肯定是我們跟業(yè)務(wù)人員進(jìn)行反復(fù)的溝通,最終定義下來這個(gè)寶貴的一個(gè)數(shù)據(jù)。
第二點(diǎn),就是我們剛才已經(jīng)提到了數(shù)據(jù)的可視化管理。那么在這里面這個(gè)圖片是跳動(dòng)的,其實(shí)可以從左邊看到有我們的三分視圖,分布、分類與分級(jí)。
分布,就是告訴你數(shù)據(jù)在什么地方。 分類,就是我們按照五個(gè)業(yè)務(wù)的類型來告訴你哪個(gè)業(yè)務(wù)的數(shù)據(jù)是最多的,然后它的使用情況是怎樣樣的。 分級(jí)的話,我們根據(jù)同樣是數(shù)據(jù),那么有些數(shù)據(jù)是比較敏感中是更敏感的。比如說是一些大數(shù)據(jù)。我們過程中發(fā)現(xiàn)比賽的數(shù)據(jù),幾百兆、上G的到處都是。這就是大數(shù)據(jù),相應(yīng)來講就是高度敏感的數(shù)據(jù)。
同樣我們對(duì)數(shù)據(jù)的流轉(zhuǎn),內(nèi)部的流轉(zhuǎn)和外部的流轉(zhuǎn)。對(duì)外,就是我們對(duì)第三方共享。對(duì)內(nèi),因?yàn)槲覀冇懈鞣志帧^(qū)級(jí)、以及科室之間的流轉(zhuǎn),所以這些流轉(zhuǎn)我們都會(huì)進(jìn)行統(tǒng)計(jì),因?yàn)檫@里很有可能就有一些違規(guī)的行為。
通過前面的這樣的一些基礎(chǔ),三分視圖,加上我們的數(shù)據(jù)流轉(zhuǎn)視圖,我們就形成了我們的違規(guī)行為分析和風(fēng)險(xiǎn)的視圖。這兩類視圖是建立在我們前面三分視圖和流轉(zhuǎn)視圖的基礎(chǔ)之上。
在這些所有視圖的基礎(chǔ)之上,我們最終形成平臺(tái)最重要的也是最直觀的展示的就是地圖視圖,通過地圖視圖,其實(shí)這也是我們?nèi)粘_\(yùn)維中領(lǐng)導(dǎo)最關(guān)心的一些數(shù)據(jù)。因?yàn)橥ㄟ^地圖視圖,我們這個(gè)地圖視圖是可以下轉(zhuǎn)的,也就是說我可以點(diǎn)到江陰市,就是江陰市的所有分局都會(huì)出來,我可以一目了然地看到我的總共的二十幾個(gè)單位這些分局,哪個(gè)分局目前情況最嚴(yán)重,如果發(fā)生了嚴(yán)重的違規(guī)事件,直接就跟地震一樣,我這邊的紅色圖標(biāo)就會(huì)跳動(dòng)起來,也會(huì)發(fā)出實(shí)時(shí)地告警,所以這就是我們構(gòu)建的一個(gè)預(yù)警平臺(tái),所以這個(gè)地圖視圖我們是花了相當(dāng)大的精力,后臺(tái)進(jìn)行了大量的數(shù)據(jù)運(yùn)算。通過地圖視圖,在右上角可以輸出我們的風(fēng)險(xiǎn)報(bào)告,風(fēng)險(xiǎn)報(bào)告有一個(gè)專門的演示講這個(gè)問題。