「安华金和」国家税务总局某市局数据库审计项目
作者:安华金和 发布时间:2021-03-26

微信图片_20210326105919 副本.jpg

试想,一盘棋如果由四五个人同时去下,那场面势必混乱不堪。而近年来,政府部门在借助信息化管理工具实现能力提升与转型发展的过程中,相关工作就很容易陷入“多人棋局”的困境。其中,数据作为政府部门开展信息化建设与管理工作的关键要素,如何确保海量数据的自由流转与安全使用,攸关国家安全与社会稳定。

在此背景下,国家税务总局某市税务局(以下简称:A市税务局)也曾面临上述问题,后凭借部署应用安华金和数据库安全审计系统,打通了数据库监控管理脉络,实现了对市局业务数据库操作行为“事前预警、实时告警、事后溯源”的能力。

项目背景

A市税务局由国家税务总局垂直管理,是行政区域内实施国家税收征收管理工作的行政机关。自我国推动实施“互联网+”战略并陆续出台相关政策以来,A市税务局的一直走在信息化建设的前列,先后上线包括“互联网预约办理业务、微信支付宝收费、微信公众号、自然人税收系统、征管业务”等一些列便民措施。伴随税务体制改革和现代化信息技术高速发展与普及应用,以信息系统作为支撑,提升税务管理效率、优化税务服务质量、深化税务体制改革、增进税务服务系统绩效等,已成为当前税务工作的重要发展方向和必然选择。

在业务和服务模式的转变过程中,数字化税务系统的应用越来越广泛。与此同时,数据库作为信息技术的核心和基础,也随之承载起越来越多的关键业务。数据库逐渐成为A市税务局最具战略性的无形资产,数据库的安全稳定运行直接决定着业务系统能否正常使用。

作为关系民生的重要行政机关单位之一,在税务局内部业务平台的数据库中存有纳税人及各类税务等重要敏感信息。这些信息一旦被篡改或泄露,轻则造成相关方面经济损失、声誉受损,重则影响国家、政府、行业乃至社会的安全与稳定。综上,数据库及数据安全对税务局的重要性可见一斑!为此,A市税务局亟需找到适合的内网数据库安全审计产品及方案,更好应对相关风险威胁。

客户需求

起初,A市税务局选择了一家为政府和大中型企业提供数据库审计产品的安全厂商。但A市税务局的DBA完成实际测试后却意外发现:在模拟生产环境测试的一个月中,自己竟被这套系统折腾的苦不堪言…事实上,该系统在数据库协议解析与日志入库、检索等方面的表现与设想中的差距过大,更适合那些小规模企业或对日志入库检索要求不高的用户单位。然而,对于A市税务局这种数据库并发量和吞吐量上万级别的规模而言,则无法达到其需求。

须知,税务与其他政府部门的数据库管理模式是不同的。从整体流程来看:税务总局先将数据传输到各个省;各省再将数据传输到管辖范围内的各个地区,传输中间没有任何应用系统;而各地级市的数据均自行负责。

因此,A市税务局或下面的分局如要使用ITS数据,需通过数据库里面特定的账号进行连接。此前,A市税务局使用堡垒机对账号进行权限控制,但效果并不理想。对其应用系统的数据库操作主要以DDL查询等为主,工作人员虽然没有改写的权限,但具备查询权限,这就令税务局技术部门无法全面掌握相关工作人员对数据库做了哪些操作。税务局的保险机制是通过堡垒机进行权限分级,但堡垒机无法做到针对特定用户做到权限细粒度控制,且堡垒机不是通道型产品,即关闭堡垒机后权限控制就会失效、形同虚设。为此,A市税务局技术部门亟需对数据库进行安全审计,但数据库所支撑的业务多种多样,比如自然人税收系统(后称ITS)、金税三期系统、决策一包系统等,仅数据库的数量就高达上百个,流量和峰值可想而知。

解决方案

由于针对该厂商及产品的测试结果不理想,A市税务局面向更多数据安全厂商进行了调研,最终选择与专注数据安全领域十余年的安华金和达成合作,决定采用安华金和数据库安全审计系统(DAS),通过更加专业、系统的产品与解决方案,实现自身对数据库安全审计工作的相关需求。

A市税务局能够作出这一决定,一方面看重安华金和在专业、技术、项目经验等方面的行业领先优势;另一方面,是源自DAS可面向数据库运维及安全管理人员实现对数据库操作行为、访问用户身份及外部应用用户信息全量审计,且在日志入库、日志检索等方面的独特技术优势。此外,安华金和作为中国首家提出“数据安全治理”概念与框架体系的专业数据安全厂商,除了为其提供产品本身的功能之外,还能够提供涵盖“人员组织、安全策略、流程制定及技术支撑”全方位、整体思路与解决方案。综上,A市税务局信息化工作负责人表示,安华金和提供的实用、可落地、可持续的数据安全产品及解决方案,将在当下和未来很长一段时期内,满足我们对数据库安全审计的实际需求。

微信图片_20210326105934 副本.jpg

无论政府部门开展了多少种业务,又使用着多少个数据库,从管理上和战略上我们都可将其视为“在下一盘棋”。而在下这盘棋的过程中,确保数据库审计信息的准确性和完整性是棋局的“关键一步”,直接决定着数据安全治理工作是否走对了方向。这不是一步棋的对错能够左右的,而要有一套完整的数据库安全治理思路、产品与解决方案。

项目实施后,安华金和数据库安全审计系统成功部署,接入了包括“IDC机房、市局机房、某地区机房”三个地区的上百个数据库系统,实现了税务局对下属业务系统数据库的全量审计,从而辅助DBA进行数据库性能评估、业务系统优化,并通过系统内置的多维度报表直观呈现相关信息,为主管领导进行决策提供参考依据。A市税务局DBA在实际操作使用后,对具备“SQL完全解析能力、入库快、检索快、深度关联分析、多维度查询”等优势功能给予了高度肯定。

微信图片_20210326105938 副本.jpg

A市税务局数据库安全审计系统部署结构图

市局机房和IDC机房的数据库流量通过专线方式引流到某地区机房所部署的数据库安全审计系统内,已纳入监管的业务数据库达到百余个,其中包括市局的金三、个税、中心数据库、特色数据库等。

客户价值

DAS能够提供比数据库内置功能更加精确、细致、严谨的审计日志。通过一个平台就能够做到对A市税务局整体数据库操作过程的有效监管,并为相关管理及战略决策工作提供可靠依据。在减轻DBA时间、精力成本投入的同时,大幅提高了工作效率。

DAS上线后,A市税务局DBA每天都会登陆系统查看网内数据库是否存在异常和风险。通过实时报表功能,DBA能够便捷、全面地了解各个数据库的运转情况。

此外,DAS设计非常灵活,能够满足A市税务局各种需求规则的设置,系统不仅提供了丰富的内置规则项,同时支持根据自身的业务特点进行数据特征建模,从而更好的满足不同客户的具体需求。

从“举棋不定”到“胸有成竹”,A市税务局通过开展有效的数据库安全审计管理实践,迈出了数据安全治理体系化建设的重要一步,也收获了前所未有的价值与成效。

拓展阅读:

「安华金和」安防领军企业数据库一体化运维管理