BOSS敏感资料管控平台ppt课件.ppt

联创安全内控审计解决方案 BOSS敏感资料安全管控平台 电信 联通 移动 前台 后台 IT 业务支撑系统部存储了所有客户个人信息 主任作为第一责任人 有责任 有义务保证个人信息的安全 泄漏源 背景 央视315晚会爆料个别运营商用户信息泄露 用户信息每个被卖五分钱 案例2 程某31岁 是X公司资深软件研发工程师 从2005年2月 他由A地运营商系统进入B地运营商的业务系统 充值中心数据库 获得最高系统权限 根据 已充值 的充值卡显示的18位密码破解出对应的34位密钥 然后把 已充值 状态改为 未充值 并修改其有效日期 激活了已经使用过的充值卡 他把面值300元的充值密码以281 5到285元面值不等价格在网上售出 非法获利380万 案例1 信息安全面临的挑战 BOSS系统数据库维护现状 多种方式分散接入缺乏有效的控制手段帐号管理混乱 帐号滥用授权混乱 越权访问敏感资料泄密缺乏审计 无法进行事后稽核 BOSS敏感数据包括 客户资料 包括普通客户资料 个人大客户资料 集团大客户资料 渠道合作伙伴资料等 计费帐务数据 包括详单 账单 帐务信息和记录等 统计数据 包括统计报表 结算报表等 运营商的迫切需求 访问控制功能要求 具备较强访问控制能力 能够在核实人员真实身份的基础上 控制其能够访问的BSS BOSS系统中的具体数据库 以及能够精确到那些表 防范越权访问 用户资料管控需求 涉及用户资料的批量查询 批量下载的操作行为 需实现可管理 可控制 可跟踪的管控需求 批量下载等操作需要申请 审批等流程 审计能力需求 平台能够纪录维护人员的操作 为安全审计和事件调查提供原始资料 同时批量下载的文件需要进行存档 统一运维需求 支持Plsql Sqlplus Toad等常用的数据库维护工具 单点登录到数据库实体 提升运维管理效率 需求探讨 我们已经部署数据库审计系统 能够审计出后台操作命令 还需要CDMP吗 恩 当然 敏感资料的导出在审计系统上只能看到select命令操作 无法审计出是否导出 我们已有4A系统 请问和4A系统如何进行整合 和4A系统可以实现无缝整合 在4A平台上看到所有资源 点击资源 调用CDMP发布的运维工具 实现 瘦 客户端接入机制 使用CDMP 运维的复杂度是否变高 是否影响开发进度 通过CDMP实现数据库 主机的单点登录 无需输入密码 提高了工作效率 而且能够实现资源密码自动变更 无需通知维护人员 如何实现数据库细粒度授权 通过网络嗅探技术实时抓取和截获数据包 实现数据库操作的实时控制 如是否允许对敏感表进行select查询 敏感数据安全管控平台 ConfidentialDateManageplatform 以下简称CDMP 是南京联创公司经过长时间的技术积累和攻关研发 针对数据库的安全管理 日志审计 业界领先并且拥有自主知识产权的一款信息管控产品 实现功能如下 数据库的细粒度授权敏感资料的管控 申请 审批 操作行为的日志审计四重授权功能 应用程序授权 授权用户可访问哪些应用程序 实体级授权 授权用户可使用的数据库实例和目标IP 实体内授权 授权用户可使用的表 sql语句的授权 数据下载授权 授权用户可下载的表数据 日志记录功能实现CDMP的日志记录能力 对于经过该平台的维护操作 应当形成日志记录 以便于日后审计与追踪 联创CDMP产品介绍 联创CDMP功能解析 行为审计 管理部署 敏感数据安全管控平台对业务支撑网数据的泄漏及数据篡改做到事前预防 事中控制 事后审计 稽查 以保证核心数据的高机密性 防止客户资料外泄 外部非法入侵 盗取客户资料 内部合法用户有意或无意下载客户资料造成泄密 防止非法操作 篡改 改话费余额改帐户属性新建充值卡非法营利事后审计 稽核 有据可查 快速定位泄漏源 建设目标 建设目标 联创CDMP系统架构 CDMP功能 三大创新 对业务支撑网数据的泄漏及数据篡改做到事前预防 事中控制 事后审计 构建了申请 审批 实时告警 审计的信息安全闭环控制体系 保证了核心数据的高机密性 有效杜绝了可能存在的不安全因素 为业务支撑的优秀运作提供了强有力的保障和支持 敏感数据管控 传统的审计系统 类似于监控系统 这个机密文件被谁看过 是可以审计 但此文件是否被复印 不得而知 房间门禁系统 类似于细粒度授权 给数据库的表安装了一个门禁系统 保安 进入需要出示工牌 搜身检查 物品进行登记 等同于认证 实现一人一账号 敏感数据需要申请 审批 PDF水印等 和数据库审计的区别 联创CDMP连接示意图 数据库 数据库 域 文档服务器 服务器 数据库 传统模式 集中模式 桌面 客户端 桌面 客户端 桌面 客户端 CDMP带来维护集中化 简化部署 强化安全管理 CDMP系统简介 提供对维护工具的管理 UltraEdit SecureCRT Plsql Sqplus Toad C S客户端等 提供实体级管理 主机 网络设备 数据库 应用系统资源等 提供实体内管理 可对资源可使用的主机命令 unix linux命令 以及sql语句进行授权 分为操作指令的细粒度授权 数据库操作的细腻粒度授权 单点登录 提供统一登录界面 代填用户访问不同目标资源的密码 闭环控制 提供申请 审批等流程 实现敏感数据的闭环控制 核心技术 Windows2008 终端服务Windows2008 终端服务RemoteApp WebaccessWeb化发布Windows2008 终端服务TSSessionBroker负载均衡配置依据 每用户RDP请求消耗50M 用户内存 并发120用户即60G内存 现在配置了32G内存 WEB桌面虚拟化 用户 虚拟桌面 虚拟应用 PLSQL Sqlplus 个人文件夹 10 153 170 70 ORACLE 10 153 170 71 ORACLE Select Update 清单 详单表 集中接入维护系统使用流程 敏感数据1 敏感数据2 下载申请 审批同意 集中维护系统演示 通过水印技术 PDF安全级别技术实现敏感数据导出的可控制 可追查 构建信息安全的闭环控制体系 无论敏感数据的访问 操作 导出等各个层面的接触都可以实现短信实时告警 通过应用虚