欢迎来到天天文库
浏览记录
ID:39715446
大小:4.29 MB
页数:22页
时间:2019-07-09
《杭州美创CAPAA敏感信息安全保护解决方案》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、闻建霞wenjx@mchz.com.cn杭州美创科技有限公司敏感信息保护解决方案TrustCAPAASystemV2.0解决方案思路2美创科技敏感数据保护解决方案3敏感数据保护的推动力1本质上而言,几乎所有的安全措施都应该是围绕着敏感信息保护存在。在现实生活中,我们对于私密空间加锁,对于重要的财产和物品放置在隐秘的地方,往往还会加锁以防止其他人员意外接触。为什么敏感信息需要被保护?商业秘密核心机密重要财产隐私数据法规遵循黑客入侵越权访问密码被盗……巨大的商业价值开发商人员管理保护,审计或者同时存在?在生活中,我们几乎都会采用加锁的方式来保护敏感信息。少数环境下,我们
2、会增加摄像头之类的设备进行监视。也许在技术上的困难导致了目前在信息系统中敏感信息审计优先于敏感信息保护敏感数据登陆用户名加密码的登陆方式太简单内控要求DBA不能访问业务数据如何防范黑客入侵……a访问审计第三方服务人员如何管理误删除如何恢复如何禁止危险操作发现异常访问如何及时通知……全面审计审计信息量过大……敏感信息审计的困境很少有审计系统可以执行全面的审计,几乎总是存在不可审计的场景,现实中摄像头总有死角。当安全事件发生之后,对于安全事件处理人员要求很高,很少有机构可以满足安全事件处理的快速响应。想象一下穿着蒙面的黑衣黑帽的银行ATM机取款场景。只能事后追查威慑无法
3、提前预防易被旁路无法全面审计无法阻断B/S应用无法获取终端监控不清晰蒙面的黑衣人缺少监控只有报警才能处理监控有盲区无法识别假冒应用海量审计处理延迟解决方案思路2美创科技敏感数据保护解决方案3敏感数据保护的推动力1安全基础:敏感信息保护敏感数据数据库操作系统服务器内网外网防火墙敏感信息保护是信息安全的基础性工作等级保护三级明确要求对于敏感信息进行独立管理敏感信息保护实现流程管理敏感信息事先预防配置敏感信息访问规则、分权管理等等;明确可以访问的或禁止访问的人员和终端;明确可以访问或禁止访问的工具软件……12事后审计3对不符合访问规则的操作进行阻断;发现异常及时告警授权管
4、理……基于规则的审计统一的事件搜索引擎个性化订阅、个性化报表……事中控制敏感性操作也需要进行保护ChangepasswordGrantDBAChangeViewDropTableChangePackageTruncateTableCreateUser其他敏感操作敏感操作1、DropTable,TruncateTable等敏感操作会带来巨大的业务伤害和信息丢失问题,即使在严谨的银行业,误操作也时有发生。2、GrantDBA等敏感操作是数据库管理失控的先兆,也是入侵者最喜欢的操作3、仅仅监视敏感操作是不够的,敏感操作需要加以保护,同敏感信息一样实现事先防范,事中阻断和告
5、警,事后审计和报表。敏感信息保护的关键挑战敏感信息保护1、敏感信息私有化是敏感信息保护的先决条件2、社交网络攻击3、DBA的先天敏感信息访问能力限制4、应用程序注入攻击和假冒5、SchemaUser的敏感信息访问能力限制6、SQL注入攻击7、运维用户的无意识或者有意识访问敏感信息私有化DBA运维用户社交网络攻击应用程序注入攻击SQL注入攻击SchemaUser解决方案思路2美创科技敏感数据保护解决方案3敏感数据保护的推动力1美创科技敏感信息保护解决方案多因素访问控制敏感信息事先预防事中控制及时通知事后审计事后事先事中敏感信息私有化,脱离SchemaUser的控制敏感
6、信息加壳,形成敏感信息堡垒只有被授权的用户才可以访问敏感信息未知因素的主动性防御阻断千变万化的外部入侵敏感信息进行标签管理,简化身份访问SQL注入检测和防御应用程序注入检测和防御分权管理、权限细化违规报告企业用户访问控制应用程序透明基于规则的访问控制分权管理特权用户管理访问应用管理敏感资产分类敏感资产的拥有者,替代数据库中的SchemaUser存在。数据管理分权机制CAowner管理数据库日常运行和监视。可以进一步细分为帐户创建、帐户管理、运行维护不同的DBA角色DBA管理敏感资产,负责敏感资产创建、分类、归属、授权和审计。可以进一步细分为创建、授权、审计等角色。安
7、全管理员生产数据库安全服务器MD5值不相同MD5值不相同MD5值不相同MD5值不同MD5值相同MD5值相同MD5值相同根据应用程序名进行阻断,远远不够防假冒AGENT防假冒AGENT防假冒AGENT防假冒AGENT为什么?应用防假冒原理政务数据销售数据人事数据实现DBA、Schema等大权限用户职责分离;限制特权用户、应用用户的访问权限;防止旁路的应用程序;DBASelect*fromfin.customers;HR应用HRSchemaSelect*fromhr.employees;特权用户管理敏感数据非授权终端假冒合法应用非法应用合法应用非授权员工不合法应用非
此文档下载收益归作者所有