杭州美創(chuàng)CAPAA敏感信息安全保護(hù)解決方案2015

1、敏感信息保護(hù)解決方案Trust CAPAA System V2.0 解決方案思路2 美創(chuàng)科技敏感數(shù)據(jù)保護(hù)解決方案3 敏感數(shù)據(jù)保護(hù)的推動力12本質(zhì)上而言，幾乎所有的安全措施都應(yīng)該是圍繞著敏感信息保護(hù)存在。在現(xiàn)實(shí)生活中，我們對于私密空間加鎖，對于重要的財(cái)產(chǎn)和物品放置在隱秘的地方，往往還會加鎖以防止其他人員意外接觸。為什么敏感信息需要被保護(hù)？商業(yè)秘密核心機(jī)密重要財(cái)產(chǎn)隱私數(shù)據(jù)法規(guī)遵循黑客入侵越權(quán)訪問密碼被盜巨大的商業(yè)價值開發(fā)商人員管理保護(hù)，審計(jì)或者同時存在？在生活中，我們幾乎都會采用加鎖的方式來保護(hù)敏感信息。少數(shù)環(huán)境下，我們會增加攝像頭之類的設(shè)備進(jìn)行監(jiān)視。也許在技術(shù)上的困難導(dǎo)致了目前在信息系統(tǒng)中敏感信

2、息審計(jì)優(yōu)先于敏感信息保護(hù)敏感數(shù)據(jù)登陸用戶名加密碼的登陸方式太簡單內(nèi)控要求DBA不能訪問業(yè)務(wù)數(shù)據(jù)如何防范黑客入侵a訪問審計(jì)第三方服務(wù)人員如何管理誤刪除如何恢復(fù)如何禁止危險操作發(fā)現(xiàn)異常訪問如何及時通知全面審計(jì)審計(jì)信息量過大4敏感信息審計(jì)的困境很少有審計(jì)系統(tǒng)可以執(zhí)行全面的審計(jì)，幾乎總是存在不可審計(jì)的場景，現(xiàn)實(shí)中攝像頭總有死角。當(dāng)安全事件發(fā)生之后，對于安全事件處理人員要求很高，很少有機(jī)構(gòu)可以滿足安全事件處理的快速響應(yīng)。想象一下穿著蒙面的黑衣黑帽的銀行ATM機(jī)取款場景。只能事后追查威懾?zé)o法提前預(yù)防易被旁路無法全面審計(jì)無法阻斷B/S應(yīng)用無法獲取終端監(jiān)控不清晰蒙面的黑衣人缺少監(jiān)控只有報(bào)警才能處理監(jiān)控有盲區(qū)無

3、法識別假冒應(yīng)用海量審計(jì)處理延遲5 解決方案思路2 美創(chuàng)科技敏感數(shù)據(jù)保護(hù)解決方案3 敏感數(shù)據(jù)保護(hù)的推動力16安全基礎(chǔ)：敏感信息保護(hù)敏感數(shù)據(jù)數(shù)據(jù)庫操作系統(tǒng)服務(wù)器內(nèi)網(wǎng)外網(wǎng)防火墻敏感信息保護(hù)是信息安全的基礎(chǔ)性工作等級保護(hù)三級明確要求對于敏感信息進(jìn)行獨(dú)立管理7敏感信息保護(hù)實(shí)現(xiàn)流程管理敏感信息事先預(yù)防配置敏感信息訪問規(guī)則、分權(quán)管理等等；明確可以訪問的或禁止訪問的人員和終端；明確可以訪問或禁止訪問的工具軟件12事后審計(jì)3對不符合訪問規(guī)則的操作進(jìn)行阻斷；發(fā)現(xiàn)異常及時告警授權(quán)管理基于規(guī)則的審計(jì)統(tǒng)一的事件搜索引擎?zhèn)€性化訂閱、個性化報(bào)表事中控制8敏感性操作也需要進(jìn)行保護(hù)Change passwordGrant DB

4、AChange ViewDrop TableChange PackageTruncate TableCreate User其他敏感操作敏感操作1、Drop Table，Truncate Table等敏感操作會帶來巨大的業(yè)務(wù)傷害和信息丟失問題，即使在嚴(yán)謹(jǐn)?shù)你y行業(yè)，誤操作也時有發(fā)生。2、Grant DBA等敏感操作是數(shù)據(jù)庫管理失控的先兆，也是入侵者最喜歡的操作3、僅僅監(jiān)視敏感操作是不夠的，敏感操作需要加以保護(hù)，同敏感信息一樣實(shí)現(xiàn)事先防范，事中阻斷和告警，事后審計(jì)和報(bào)表。9敏感信息保護(hù)的關(guān)鍵挑戰(zhàn)敏感信息保護(hù)1、敏感信息私有化是敏感信息保護(hù)的先決條件 2、社交網(wǎng)絡(luò)攻擊3、DBA的先天敏感信息訪問能力限

5、制 4、應(yīng)用程序注入攻擊和假冒5、Schema User的敏感信息訪問能力限制 6、SQL注入攻擊7、運(yùn)維用戶的無意識或者有意識訪問敏感信息私有化DBA運(yùn)維用戶社交網(wǎng)絡(luò)攻擊應(yīng)用程序注入攻擊SQL注入攻擊Schema User10 解決方案思路2 美創(chuàng)科技敏感數(shù)據(jù)保護(hù)解決方案3 敏感數(shù)據(jù)保護(hù)的推動力111美創(chuàng)科技敏感信息保護(hù)解決方案多因素訪問控制敏感信息事先預(yù)防 事中控制及時通知 事后審計(jì)事后事先事中敏感信息私有化，脫離Schema User的控制敏感信息加殼，形成敏感信息堡壘只有被授權(quán)的用戶才可以訪問敏感信息未知因素的主動性防御阻斷千變?nèi)f化的外部入侵敏感信息進(jìn)行標(biāo)簽管理，簡化身份訪問SQL 注

6、入檢測和防御應(yīng)用程序注入檢測和防御分權(quán)管理、權(quán)限細(xì)化違規(guī)報(bào)告企業(yè)用戶訪問控制應(yīng)用程序透明基于規(guī)則的訪問控制分權(quán)管理特權(quán)用戶管理訪問應(yīng)用管理敏感資產(chǎn)分類12敏感資產(chǎn)的擁有者，替代數(shù)據(jù)庫中的Schema User存在。數(shù)據(jù)管理分權(quán)機(jī)制CA owner管理數(shù)據(jù)庫日常運(yùn)行和監(jiān)視?？梢赃M(jìn)一步細(xì)分為帳戶創(chuàng)建、帳戶管理、運(yùn)行維護(hù)不同的DBA角色DBA管理敏感資產(chǎn)，負(fù)責(zé)敏感資產(chǎn)創(chuàng)建、分類、歸屬、授權(quán)和審計(jì)?？梢赃M(jìn)一步細(xì)分為創(chuàng)建、授權(quán)、審計(jì)等角色。安全管理員13生產(chǎn)數(shù)據(jù)庫安全服務(wù)器MD5值不相同MD5值不相同MD5值不相同MD5值不同MD5值相同MD5值相同MD5值相同根據(jù)應(yīng)用程序名進(jìn)行阻斷，遠(yuǎn)遠(yuǎn)不夠防假冒AG

7、ENT防假冒AGENT防假冒AGENT防假冒AGENT為什么？應(yīng)用防假冒原理政務(wù)數(shù)據(jù)銷售數(shù)據(jù)人事數(shù)據(jù)實(shí)現(xiàn)DBA、Schema等大權(quán)限用戶職責(zé)分離；限制特權(quán)用戶、應(yīng)用用戶的訪問權(quán)限；防止旁路的應(yīng)用程序；DBASelect * from fin.customers; HR應(yīng)用HR SchemaSelect * from hr.employees;特權(quán)用戶管理15敏感數(shù)據(jù)非授權(quán)終端假冒合法應(yīng)用非法應(yīng)用合法應(yīng)用非授權(quán)員工不合法應(yīng)用非授權(quán)員工合法應(yīng)用授權(quán)員工敏感數(shù)據(jù)訪問控制授權(quán)員工通過特定終端通過合法應(yīng)訪問敏感數(shù)據(jù)，執(zhí)行敏感操作16Trust EUM 安全組件敏感數(shù)據(jù) 客戶端企業(yè)員工實(shí)現(xiàn)企業(yè)用戶身份訪問，最大化降低可能涉及的風(fēng)險企業(yè)用戶、開發(fā)商、維保廠商等真實(shí)身份訪問與驗(yàn)證； 應(yīng)用程序、多因素、物理網(wǎng)卡等綁定；通過USB-KEY與安全證書的授權(quán)機(jī)制訪問敏感數(shù)據(jù)17安全產(chǎn)品部署圖18CAPAA WEB管理平臺19其它的安全解決方案20更多信息安全解決方案CAPAA安全平臺數(shù)據(jù)庫運(yùn)維安全管理解決方案誤操作和入