一、概述
1、建设背景
当今社会,各行各业根据自身的特点各自建立了一套适合自身需求的评定信用等级的方法,如早期各家商业银行针对企业贷款归还及企业通过该家银行进出金额的多少等,对企业进行信用等级评定。此后,各地工商局也对企业设立了一套评定信用等级的办法,税务部门针对企业纳税、技术监督部门针对企业产品质量也各自出台了企业信用等级评定办法。
这种征信体系模型的建设,对于深化我国改革开放进程,优化金融体系改革具有务必重要的作用。xx税务局为满足银行系统征信系统数据需要,为市内金融机构开通了纳税企业纳税记录数据接口,以满足银行评估企业申请人贷款额度等征信系统建设需要。
2、系统概况
xx税务局银行征信系统包括纳税人信息库和银行前置机两部分,由前置机定时与银行系统完成征信信息的传递。系统示意结构如下图:
税务系统从纳税人信息库抽取对应法人的征信记录。首先放置到前置机的数据库上,通过前置机和银行系统实现数据交换。
当前系统建设完成后,对系统运维工作进行了外包,并对前置机部署了运维堡垒机。
二、需求分析
我国政府高度重视信息安全,自2014年成立中央网络安全和信息化领导小组办公室以来,相继出台了《加强网络信息保护的决定》、《信息安全等级保护管理办法2.0》、《电信和互联网用户个人信息保护规定》、《网络安全法》等几十项法规和标准,并开展了以数据安全管理为重点的安全评测和检查,对信息系统安全管理和运行提出来高标准的要求。
xx税务局纳税人信息库与银行系统需要交换企业的纳税信息,包含纳税记录、处罚记录等重要和敏感数据。在网络安全形势日趋严峻的今天,适应国家政策要求和安全形势需要,加强系统核心数据安全势在必行。
1、安全风险分析
从xx税务局银行征信接口数据应用架构来看,其安全风险点包括:
1)征信敏感信息外发泄漏风险;
2)前置机征信记录被非法访问风险;
3)银行征信数据泄漏无法溯源风险。
2、征信敏感信息外发泄漏风险
征信记录中含有纳税记录和处罚记录,这些信息具有很强的敏感性,如果外发之后发生泄漏,则会对企业造成不良影响。而且不管这些数据从哪里泄漏,都可以很容易的定位到信息的最初来源是税务局,这对于税务局来说,将会是一个潜在的风险。
因此可以对征信信息中的关键信息进行脱敏处理,在不耽误银行使用的前提下,防止真实数据的泄漏。但是在实际应用过程中,纳税人真实会被银行用于计算法人的贷款额度,所以不宜对其内容进行实质性的修改。而脱敏方法通常都会对其内容进行实质性修改,比如对数值型数据进行随机替换等等。所以对其进行脱敏,可能会使得数据失去是用价值。所以,该条需求,在实际情况下,是很难得到满足的。
3、税务前置机征信记录被非法访问风险
税务局前置机上存放了纳税人纳税和处罚记录。因此在运维和管理过程中,需要防止运维人员、开发人员的权限滥用;这种权限滥用风险很大,将会导致数据的批量泄漏。
因此需要对税务局前置机进行监控审核,防止非法获取企业纳税记录。
4、银行征信数据泄漏无法溯源风险
银行系统获取了企业纳税记录后将长期存储,用于企业信用分析。在此过程中这些记录可能会由于各种原因存在从银行被泄漏的风险,由于这些纳税记录可能发送给多家银行,但是又缺乏溯源机制,所以无法判定这些记录是从哪个银行泄露出去的。
因此需要对税务外发的纳税记录添加溯源水印,当发生数据泄露的时候,能够对其泄漏源进行溯源、分析。
三、解决方案
1、使用溯源水印
1)方案架构示意
在此解决方案下,在税务局部署溯源水印系统,实现外发数据带数字水印,以实现外发数据源的可追溯性。解决方案示意如下图:
策略 | 主要作用 | 应对需求点 |
---|---|---|
部署溯源水印系统 | 对导出的数据添加水印,并对泄露的数据进行溯源 | 2.4 |
部署数据库审计 | 对前置机上所有数据访问行为进行审计,并提供追溯能力 | 2.3 |
2、部署数据库审计系统
1)通过旁路方式,获取对数据的访问行为,并进行记录。
2)对数据访问行为进行智能分析和画像,自动发现数据访问的风险,在形成重大的数据安全事件之前,提前预警和干预。
3)可以作为现有的堡垒机的防绕过检测,防止有绕过堡垒机而对数据直接访问的行为。
3、部署溯源水印系统
1)对导出的征信记录中的数值型内容,预先与银行沟通精度要求,在不改变征信计算结果的前提下,通过修改内容的方式添加溯源水印。
2)对导出的文本类型类容,添加不可见字符组成的水印。
3)当数据泄漏事件发生时,通过该系统可以追溯该数据是从哪个备份泄露出去的。
4、与用户签订数据授权协议
与申请贷款的用户签订数据授权协议,允许税务局将其征信记录发送给银行,从而进行免责。
来源:freebuf.com 2019-11-25 17:10:13 by: 数据库安全专家
请登录后发表评论
注册