杭州美创CAPAA敏感信息安全保护解决方案.ppt

闻建霞wenjx 杭州美创科技有限公司 敏感信息保护解决方案 TrustCAPAASystemV2 0 为什么敏感信息需要被保护 法规遵循 黑客入侵 越权访问 密码被盗 巨大的商业价值 开发商人员管理 保护 审计或者同时存在 敏感数据 登陆 用户名加密码的登陆方式太简单内控要求DBA不能访问业务数据如何防范黑客入侵 a 访问 审计 第三方服务人员如何管理误删除如何恢复如何禁止危险操作发现异常访问如何及时通知 全面审计审计信息量过大 敏感信息审计的困境 很少有审计系统可以执行全面的审计 几乎总是存在不可审计的场景 现实中摄像头总有死角 当安全事件发生之后 对于安全事件处理人员要求很高 很少有机构可以满足安全事件处理的快速响应 想象一下穿着蒙面的黑衣黑帽的银行ATM机取款场景 安全基础 敏感信息保护 敏感信息保护实现流程 管理 事先预防 配置敏感信息访问规则 分权管理等等 明确可以访问的或禁止访问的人员和终端 明确可以访问或禁止访问的工具软件 1 2 事后审计 3 对不符合访问规则的操作进行阻断 发现异常及时告警授权管理 基于规则的审计统一的事件搜索引擎个性化订阅 个性化报表 事中控制 敏感性操作也需要进行保护 GrantDBA DropTable TruncateTable 其他敏感操作 敏感信息保护的关键挑战 敏感信息保护 私有化 DBA 运维用户 社交网络攻击 应用程序注入攻击 SQL注入攻击 SchemaUser 美创科技敏感信息保护解决方案 多因素访问控制 敏感信息 事先预防事中控制及时通知事后审计 事后 事先 事中 敏感信息私有化 脱离SchemaUser的控制 敏感信息加壳 形成敏感信息堡垒 只有被授权的用户才可以访问敏感信息 未知因素的主动性防御阻断千变万化的外部入侵 敏感信息进行标签管理 简化身份访问 SQL注入检测和防御 应用程序注入检测和防御 分权管理 权限细化 违规报告 企业用户访问控制 应用程序透明 基于规则的访问控制 分权管理 特权用户管理 访问应用管理 敏感资产分类 敏感资产的拥有者 替代数据库中的SchemaUser存在 数据管理分权机制 管理数据库日常运行和监视 可以进一步细分为帐户创建 帐户管理 运行维护不同的DBA角色 管理敏感资产 负责敏感资产创建 分类 归属 授权和审计 可以进一步细分为创建 授权 审计等角色 生产数据库 安全服务器 根据应用程序名进行阻断 远远不够 为什么 应用防假冒原理 实现DBA Schema等大权限用户职责分离 限制特权用户 应用用户的访问权限 防止旁路的应用程序 HR应用 特权用户管理 敏感数据 非授权终端假冒合法应用 非法应用 合法应用非授权员工 不合法应用非授权员工 合法应用授权员工 敏感数据访问控制 TrustEUM安全组件 企业员工 安全产品部署图 CAPAAWEB管理平台 其它的安全解决方案 更多信息安全解决方案 CAPAA安全平台 数据库运维安全管理解决方案 误操作和入侵防御和恢复解决方案 数据库安全审计解决方案 浏览器终端身份识别解决方案数据库多因素准入解决方案 三权