为税务信息披上大数据“盾甲” ——青海省税务局大数据安全态势感知平台建设实践
近些年来以云计算、大数据、物联网、移动 互联网 等为代表的新兴技术为税务工作带来业务的再造与转型,但也带来网络安全边界弱化、黑客攻击手段多元化等一系列信息安全风险;特别是近期爆发的WannaCry勒索病毒,让税务工作中敏感数据的保护面临巨大的风险;这也直接暴露出传统信息安全防御体系在防护能力上的不足。同时应国税总局要求,按照《税务信息系统网络安全日志留存指引》的指导意见,各级税务机关应收集、留存及监控分析需涵盖税务信息系统当前网络环境中的7大类(网络设备、操作系统、安全设备、数据库、中间价、业务系统、终端设备)各个品牌的设备及系统的日志。青海省税务局信息中心启动了税务信息化平台安全态势感知平台建设,旨在进一步扩大安全防控识别区,提升税收信息系统安全效能。
经过公开招标及多轮性能比对测试,锐捷网络RG-BDS大数据安全平台凭借优秀的安全分析性能,承担了青海税务局安全态势感知核心平台建设,基于各类流量和日志数据分析,利用大数据和人工智能/机器学习/深度学习等高级安全分析技术,结合大量黑白样本,机器自动学习黑客的攻击方法,自动输出检测模型;利用机器学习来对抗不断升级的黑客攻击手段,全面覆盖钓鱼邮件/供应链攻击渗透、黑客远控通讯(含WebShell后门通讯)、侵入黑客攻击和员工内部违规行为、隐蔽通道外泄等关键攻击链环节;让青海省税务局信息中心业务安全监控能力得到全面提升!真正做到全网协防、全网可视!
通过平台上线后的实际运行,RG-BDS帮助用户在安全管理上进一步提升了效率,具体如下:
一、秒级查询:“看得懂”的安全日志
按照“充分收集”的原则,首先先对税务系统网络及相关日志进行收集,针对用户的网络传统设备首先进行接入,如网络设备、安全设备、终端设备等。通过统一的日志格式,进行标准化后接入。
图1 RG-BDS日志标准化可选字段示意图
此外,当日志量达到海量时,如何查询就成为了管理者无法回避的难题。基于日期、资产名称、特定IP的查询和追成为用户日常工作的抓手,RG-BDS采用的大数据底层架构以及逻辑清晰的日志查询方式,不仅能够在清晰地架构逻辑中进行查询,更能让信息调取速度达到“秒级”。
二、DBS+BDS:突破数据库审计困局
青海税务局的整体架构上采用异构安全深度防御的理念,在数据库审计层面结合了安全厂商的数据库审计设备,但是在实际运用工作中发现对于个别数据库如redis、oracle 9等类型数据库,审计数据无法记录,当有redis相关数据到达数据库审计设备,从设备端无法识别相关数据,更无法达到客户需要的审计内容的要求。
针对该问题,青海省税务局信息中心采用锐捷网络RG-DBS数据库审计设备,设备上线后,完整复原了redis数据库的审计数据,针对之前无法被审计的数据库进行了统一梳理,同时按照客户要求完善了审计的规则。同时RG-DBS和RG-BDS联动,将审计数据统一录入到RG-BDS中,实现了DBS+BDS的联合监控。
图2 RG-BDS和RG-DBS联动示意图
三、全网协防让安全可控可视
日志收集只是第一步,通过对日志收集发现各类安全事件是税务信息系统网络安全日志留存的核心诉求。通过BDS基于大数据日志的安全分析功能,通过对基础网络、中间件、业务系统、终端、安全设备等多维度安全攻击感知信息采集,结合深度分析、机器学习等关键技术,实现对用户网络中攻击行为的及时发现和精准定位,并通过攻击溯源、归并告警等多种方式进行可视化呈现,让网络中的攻击行为无处可藏。构建了集“可发现”、“可协同”、“可预测”、“可度量”四大特性的安全网络防护体系。
图3 RG-BDS态势感知页面示意图
客户收益
只依靠部署安全设备,并不等于安全能力提升。跨越安全设备到真正安全间的鸿沟,实现“人+平台+设备”的有机结合及高效协同,才是为客户提供真正的安全。
青海省税务局信息中心通过BDS的大数据安全平台的云端智能分析系统、安全知识库体系、安全专家咨询和工单跟踪闭环等机制,构建多元联动的立体化主动防御安全体系,实现从安全设备到真正安全的鸿沟跨越。
今天IT环境日益复杂、系统规模迅速扩大,为了为税务工作提供坚实的后勤保障和技术支持,锐捷网络RG-BDS将进一步深度打造全网安全态势感知平台,为青海省税务信息化工作保驾护航!