數(shù)據(jù)風險管理實踐與最佳典范SWG KOI01 Guardium (for Cx LOB pitch)

1、IBM Corporation數(shù)據(jù)風險管理實踐與最佳典范IBM Software Group | Information ManagementIBM Corporation企業(yè)風險管理演進路徑法規(guī)管理（Policy Mgmt）審計檢查（Audit and testing）評價與報告（Dashboard and analytics）評價與持續(xù)改進閉環(huán)執(zhí)行監(jiān)控（Business/IT control enforcement）外部監(jiān)管條例內(nèi)部制度規(guī)范管理策略維護管理策略比較策略全景視圖最佳實踐與案例基線設置訪問控制日志分析事件管理流程管理規(guī)則管理風險評估審計計劃管理審計作業(yè)管理審計發(fā)現(xiàn)跟蹤審計模板管

2、理審計資源管理管理視圖統(tǒng)計分析內(nèi)外部報告有效性評價合規(guī)情況披露外部監(jiān)管溝通業(yè)務整改閉環(huán)體系整改閉環(huán)1234IBM Software Group | Information ManagementIBM Corporation風險管理風險管理識別、評估、報告和選擇如何識別、評估、報告和選擇如何管理風險，達成目標管理風險，達成目標合規(guī)合規(guī)遵守決策及政策要求遵守決策及政策要求的過程的過程治理治理建立決策權(quán)和制定政策的建立決策權(quán)和制定政策的過程過程企業(yè)風險管理要素（GRC）、現(xiàn)狀、及相關(guān)部門各行業(yè)對風險管理的認知度差異很大，但均有不同部門關(guān)注風險管理的不同層次許多企業(yè)已成立或醞釀成立統(tǒng)一的部門管理風險及

3、信息安全，該部門的工作重點不在IT系統(tǒng)建設而是IT系統(tǒng)治理，在治理中為企業(yè)打造法規(guī)遵從和風險管理的統(tǒng)一各企業(yè)在前期IT風險防范舉措多在于網(wǎng)絡、防火墻、物理監(jiān)控、事后審計等。目前業(yè)界普遍對有效的數(shù)據(jù)庫監(jiān)控技術(shù)缺乏了解風險管理/信息安全部運維/數(shù)據(jù)庫管理審計部門IBM Software Group | Information ManagementIBM Corporation70%以上IT風險屬操作風險，其最大漏洞在數(shù)據(jù)庫 隨著企業(yè)業(yè)務對IT系統(tǒng)的依賴程度越來越高，IT風險對業(yè)務風險的影響也越來越大。而IT風險中70%以上屬于操作風險，即由人工操作不當（無意或故意）引起的風險。因此，有效地控制IT

4、風險，尤其是操作風險，對企業(yè)的安全運營至關(guān)重要。 3/4的成員不清楚特權(quán)用戶對數(shù)據(jù)庫進行過何種操作 2/3的成員不能有效防止特權(quán)用戶對數(shù)據(jù)庫的非授權(quán)訪問 85%的成員將真實數(shù)據(jù)不加防范地交與開發(fā)人員或第三方人員 將近一半的成員對其非特權(quán)用戶訪問敏感數(shù)據(jù)毫無措施 大多數(shù)成員都未能及時采取防范SQL注入的攻擊Source: 2010 Independent Oracle User Group (IOUG) Data Security Survey, based on survey of 430 members. http:/ Software Group | Information Managem

5、entIBM Corporation法規(guī)遵從已成為企業(yè)風險管理的強大推動力 經(jīng)歷近10年的努力，信息系統(tǒng)安全等級保護已成為指導企業(yè)IT建設中治理風險較完善的帶有強制性的法規(guī)體系。在12.5期間有計劃地得以落實是必然趨勢 GBT XXXXX-XXXX 信息系統(tǒng)安全 等級保護實施指南（送審稿） GBT 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求 GBT 22240-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南 此外各行業(yè)風險相關(guān)的法律/法規(guī)日趨完善IBM Software Group | Information ManagementIBM Corporation銀行業(yè)

6、數(shù)據(jù)安全、法規(guī)遵從、及規(guī)避風險實施要點關(guān)注領(lǐng)域要點相關(guān)法規(guī)敏感數(shù)據(jù)客戶信息、賬務信息以及產(chǎn)品信息商業(yè)銀行信息科技風險管理指引第七條（十一） 2009-6-1實時監(jiān)控不良貸款率前5名的銀行分支機構(gòu)和不良貸款余額在億元以上的客戶及擁有5家以上關(guān)聯(lián)企業(yè)、合計貸款余額在億元以上的集團客戶商業(yè)銀行不良資產(chǎn)監(jiān)測和考核暫行辦法 -銀監(jiān)會流程管理商業(yè)銀行各級機構(gòu)應當明確規(guī)定授信審查人、審批人之間的權(quán)限和工作程序，嚴格按照權(quán)限和程序?qū)彶?、審批業(yè)務，不得故意繞開審查、審批人 商業(yè)銀行內(nèi)部控制指引第三十八條 2007-7-3 操作日志主機系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的操作日志至少保留6個月,賬務更改記錄應保存3年。中國人民銀行

7、關(guān)于加強銀行數(shù)據(jù)集中安全工作的指導意見銀發(fā)2002260號參與部門商業(yè)銀行數(shù)據(jù)中心、風險管理委員會、和審計委員會商業(yè)銀行合規(guī)風險管理指引2006-10-25商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引-銀監(jiān)辦發(fā)2010114號IBM Software Group | Information ManagementIBM Corporation電信業(yè)相關(guān)法規(guī)， 新華社2010年11月8日 工業(yè)和信息化部已完成的信息安全條例（報送稿）對信息網(wǎng)絡環(huán)境下法律主體的權(quán)利、義務，各種危害網(wǎng)絡與信息系統(tǒng)安全行為，網(wǎng)絡科技創(chuàng)新，加強國際兼容等內(nèi)容作了規(guī)定 該條例針對當前規(guī)范信息安全的法律法規(guī)等數(shù)十部部門規(guī)章存在的內(nèi)容分散、相互交叉

8、甚至抵觸的現(xiàn)象，影響了立法效力和執(zhí)法嚴肅性，對信息安全監(jiān)督管理造成不利影響。為此需要制定一部內(nèi)容綜合、法律效力較高的法律或行政法規(guī) 該條例借鑒國際上針對信息安全的條例已形成完善的體系，無論是從企業(yè)信息安全的組織機構(gòu)及相應職責、信息系統(tǒng)安全規(guī)范、到具體的落實要求都有著明確的規(guī)定，國際公認條例有：SOX即薩班斯法案 COBIT（Control Objectives for Information and related Technology） PCI DSS版本每兩年修訂一次，PCI DSS 2.0生效時間是2011年 ISO 27000信息安全管理體系標準 總體上講，條例強調(diào)信息安全的加強立足于

9、預防為主；即實時對信息安全的風險進行監(jiān)控和審計評估IBM Software Group | Information ManagementIBM Corporation為什么說數(shù)據(jù)風險管理是企業(yè)的當務之急從企業(yè)自身利益看，疏于風險管理意識可能給企業(yè)帶來重大損失： 去年11.30電信詐騙案中跨國犯罪集團利用電信防范漏洞從國內(nèi)銀行客戶手中騙走了1.4億人民幣.這一案例值得銀行和電信業(yè)深思 據(jù)中國保監(jiān)會2010年7月召開的“打三假”情況通報會披露的數(shù)據(jù)顯示，自2009年7月1日至2010年5月底，保險業(yè)共發(fā)現(xiàn)和查處各類假冒保險機構(gòu)案件32起，涉及保費1804萬元；各類假冒保單20萬余份，涉及保費822

10、0萬元；各類虛假賠案16000余件，涉及保費4.19億元；全行業(yè)向公安機關(guān)移交并已立案偵查的“三假”案件149起 全球各大媒體(包括CCTV)2010年3月11日紛紛報道:匯豐銀行因內(nèi)部IT員工盜竊客戶資料,損失重大.在受到侵害的2.4萬客戶中,已有9千名白金資格以上的客戶離開了匯豐銀行IBM Software Group | Information ManagementIBM CorporationGuardium提供分類、評估、監(jiān)控、審計共四類功能IBM Software Group | Information ManagementIBM Corporation10企業(yè)如何做？一句話，把監(jiān)

11、控引入風險防范機制Time實施監(jiān)控前實施監(jiān)控后監(jiān)控意味著實時報警及異常狀況的跟蹤，監(jiān)控能有效地降低特權(quán)用戶對數(shù)據(jù)庫的非授權(quán)訪問和異常敏感數(shù)據(jù)操作異常數(shù)據(jù)庫活動曲線正常數(shù)據(jù)庫活動曲線IBM Software Group | Information ManagementIBM CorporationGuardium非入侵式數(shù)據(jù)庫活動監(jiān)控(DAM)架構(gòu) 綜述:流量是數(shù)據(jù)庫活動的載體，在流量中捕獲相關(guān)的數(shù)據(jù)庫操作，并加工整理成正交化可視信息，用以適時保留、實時報警、事件跟蹤、及數(shù)據(jù)庫安全隱患分析等。因為是旁路方式捕獲數(shù)據(jù)庫操作，所以對系統(tǒng)性能沒有影響。 用途:根據(jù)安全治理原則，數(shù)據(jù)庫安全是由監(jiān)測、解析

12、、控制、和審計等過程共同完成的。無論數(shù)據(jù)庫操作源于那種渠道，網(wǎng)絡或本機，安全方案都要求對正在發(fā)生的和因安全漏洞而可能發(fā)生的操作進行有效的控制和操作審計。數(shù)據(jù)庫操作包括：查詢敏感數(shù)據(jù)、改變表定義 (DDL) 、數(shù)據(jù)操作 (DML)、例外操作(Failed logins, SQL errors, etc.)、授權(quán)變更 (DCL)。E-Business SuiteSwitch or TAPGuardium S-TAPs for local access monitoring (shared memory, BEQ, named pipes, etc.)Guardium network monitor

13、ing appliance & audit repository非入侵、網(wǎng)絡旁路的方式可供事件后鑒證分析的審計紀錄跨平臺和集中管理 職責分工Custom appsIBM Software Group | Information ManagementIBM Corporation3.加固執(zhí)行安全建議,如:安全補丁2.弱點和配置評估評估數(shù)據(jù)庫漏洞和配置缺陷 6.審計報告-針對合規(guī)要求,如:SOX,預先配置報告，自動化整個遵從性審計流程，包括向監(jiān)督團隊分發(fā)報告、報告簽署和上報 7.認證、訪問控制及權(quán)限管理-確保每個用戶擁有權(quán)限賦予訪問范疇，并通過管理特權(quán)來限制對數(shù)據(jù)的訪問 4.安全策略-設置

14、黃金安全基線，實時獲取各種數(shù)據(jù)庫操作信息5.活動監(jiān)控-監(jiān)控敏感數(shù)據(jù)訪問、特權(quán)用戶行為、變更控制、應用用戶活動和安全性異常（比如登錄失敗），并實施對應安全策略,如實時報警1.發(fā)現(xiàn)-定位和分類企業(yè)數(shù)據(jù)庫中的敏感信息 8.加密-使用加密技術(shù)呈現(xiàn)敏感數(shù)據(jù)，阻止攻擊者從數(shù)據(jù)傳輸過程中獲取信息數(shù)據(jù)庫風險管理最佳實踐IBM Software Group | Information ManagementIBM CorporationGUARDIUM數(shù)據(jù)庫操作流量導向方式 鏡像導入(SPAN): 在端口A和端口B之間建立鏡像關(guān)系，通過端口A傳輸?shù)臄?shù)據(jù)將同時復制到端口B，以便于在端口B上連接監(jiān)控設備 S-TAP:

15、 軟件分路器,工作原理同上。靈活性、可拓展性更高，且對網(wǎng)絡拓撲和數(shù)據(jù)庫設置無影響IBM Software Group | Information ManagementIBM CorporationGuardium能在最短時間內(nèi)使企業(yè)監(jiān)控到以下場景 誰在修改、刪除數(shù)據(jù)？ 何時發(fā)生過非法數(shù)據(jù)訪問、篡改? DBA或其他外部人員正在對數(shù)據(jù)庫做什么操作? 某段時間內(nèi)發(fā)生過多少次失敗的數(shù)據(jù)庫登錄? 誰在讀取書庫中的信用卡數(shù)據(jù)? 敏感數(shù)據(jù)正在被哪個網(wǎng)絡節(jié)點訪問? 哪些敏感數(shù)據(jù)正在被哪些應用程序訪問? 敏感數(shù)據(jù)正在被以何種方式訪問? 每天的各個時間段內(nèi)，數(shù)據(jù)都在以什么樣的訪問模式被訪問著? 數(shù)據(jù)庫正在產(chǎn)生什么

16、樣的錯誤? SQL注入式攻擊在何時由誰發(fā)起?IBM Software Group | Information ManagementIBM Corporation基于監(jiān)控信息分析,Gardium進而幫助企業(yè)應對風險挑戰(zhàn)管理安全的復雜性 涵蓋所有DBMS平臺和應用系統(tǒng)單一的解決方案 自動化和中央化的控制 易于擴容的多層架構(gòu)防止內(nèi)部人員偷竊 實時監(jiān)控和報警 持續(xù)不斷、細微的審計 (logging) 數(shù)據(jù)層存取控制 (S-GATE)控制對系統(tǒng)和數(shù)據(jù)的訪問 對特權(quán)用戶的監(jiān)測 對應用系統(tǒng)用戶的監(jiān)測 (防范欺詐做假) 關(guān)于權(quán)限的報表Entitlement reports防止外部攻擊對數(shù)據(jù)的破壞 確立基線 評

17、估薄弱環(huán)節(jié) 針對數(shù)據(jù)庫的分析 數(shù)據(jù)發(fā)現(xiàn)和分類滿足合規(guī)的要求 反映最佳做法的報表 (SOX, PCI, OMB, 數(shù)據(jù)隱私) 自動化的審批簽發(fā)、評論和問題升級 安全和跨越不同數(shù)據(jù)庫系統(tǒng)的審計資料庫強制執(zhí)行安全規(guī)范 由IT安全人員管理的詳盡的規(guī)范 易于自定義 同SIEM產(chǎn)品的整合主要挑戰(zhàn)Guardium 如何應對IBM Software Group | Information ManagementIBM Corporation為什么Guardium能為企業(yè)提供最優(yōu)投資回報率（ROI）OtherGuardiumIBM Software Group | Information ManagementIB

18、M CorporationGuardium最優(yōu)投資回報率是如何實現(xiàn)的風險管理需求IBM Guardium100%的審計監(jiān)控能力無監(jiān)控死角，完全監(jiān)控源自網(wǎng)絡、數(shù)據(jù)庫服務器、或堡壘機的各種操作應用系統(tǒng)用戶的監(jiān)控監(jiān)控顆粒度能做到通過連接池操作的用戶ID與SIEM(SOC)系統(tǒng)集成SYSLOG通道實時集成其他監(jiān)控系統(tǒng)審計流程自動化工作流引擎使審計效率提升40%非常操作阻斷阻斷可使數(shù)據(jù)泄漏風險降至最低對生產(chǎn)系統(tǒng)影響小無須變更網(wǎng)絡拓撲、數(shù)據(jù)庫配置、及過量系統(tǒng)存儲。較文件方式節(jié)約至少90%存儲空間客戶化報告工作量少報告由數(shù)據(jù)庫數(shù)據(jù)直接提供，效率提升60%企業(yè)級無縫拓展能力無論項目實施范圍是1臺或數(shù)千臺數(shù)據(jù)庫

19、，企業(yè)均可統(tǒng)一管理部署各環(huán)節(jié)。例如：策略、報告、和傳輸加密IBM Software Group | Information ManagementIBM CorporationGuardium在全球（包括中國）各行業(yè)均有應用金融: 世界五大銀行、最大的信用卡公司、最大的公共基金公司保險: 全球最大的五個保險公司中的三個零售業(yè): 全球三大零售商中的兩個 制造業(yè): 最大飲料食品集團、PC制造商之一和最大的汽車制造商能源: 美國國家電網(wǎng)集團電信: 15個全球主要的電信運營商交通: 主要鐵路集團、航空公司和飛機場政府: 美國和其它幾個國家的政府機構(gòu)醫(yī)療衛(wèi)生: 主要醫(yī)療服務機構(gòu)之一媒體: 美國主要媒體集團

20、之一IBM Software Group | Information ManagementIBM CorporationGuardium案例項目實施狀況項目實施狀況客戶背景客戶背景近年來隨著國家法規(guī)建設的加強，集團面臨越來越大的適時提供真實審計報告的壓力。以往靠手工操作編制報告的方式不僅費時費力，遠遠難以滿足集團經(jīng)營宗旨的要求。在集團信息安全總裁（CSO）的領(lǐng)導下，2009年開始部署IBM Guardium數(shù)據(jù)庫安全監(jiān)控方案。第一期，對財務系統(tǒng)，人力資源系統(tǒng)，等安全審計第二期，對產(chǎn)險數(shù)據(jù)庫和AS400系統(tǒng)審計第三期，證券系統(tǒng),壽險數(shù)據(jù)庫審計(計劃中)該集團業(yè)務覆蓋保險、投資、及銀行各領(lǐng)域，集團總資產(chǎn)為人民幣9357億元，權(quán)益總額為人民幣917億元。2008年進入財富世界500強，依法經(jīng)營創(chuàng)造陽光利潤是集團的核心宗旨 數(shù)據(jù)操作信息保存完整，信息顆粒度高數(shù)據(jù)操作信息查詢簡易，生成審計報告效率高無須變更集團現(xiàn)有網(wǎng)絡拓撲和數(shù)據(jù)庫配置，易實施企業(yè)級拓展性高，便于集團統(tǒng)一部署安全策略和報告匯總單一方案覆蓋信息采集、解析、存儲、查詢、及工作流管理等功能 Why Guardium客戶XX金融集團公司項目數(shù)據(jù)庫安全監(jiān)控 軟