杭州美创CAPAA数据安全解决方案课件_第1页
杭州美创CAPAA数据安全解决方案课件_第2页
杭州美创CAPAA数据安全解决方案课件_第3页
杭州美创CAPAA数据安全解决方案课件_第4页
杭州美创CAPAA数据安全解决方案课件_第5页
已阅读5页,还剩35页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、1杭州美创科技有限公司 数据安全管理系统数据安全管理系统TRUST CAPAA V2.0 TRUST CAPAA V2.0 2杭州美创科技有限公司 互联网泄密事件互联网泄密事件 近期安全事件频繁发生!3杭州美创科技有限公司 更加严厉的监管更加严厉的监管PCI DSS欧盟数据指令UK/PRO侵犯披露SAS 70HI PAAAUS/PROJ SOXK SOXISO 17799Basel II世界各地法律法规对敏感数据采取保护措施!世界各地法律法规对敏感数据采取保护措施!4杭州美创科技有限公司 当前数据安全的推动力当前数据安全的推动力l 数据巨大的商业价值使内外勾结成为主要安全威胁l 有很大比重的威

2、胁无法发现l 开发商以及合作伙伴的安全管理l 客户希望监视公司内部人员/DBAl SOX、J-SOX、PCI、隐私法l 适当的 IT 控制l 职责分离l 合规性证明l 风险评估与监视 内部威胁1法规遵循和合规管理25杭州美创科技有限公司 信息泄漏危害具有延迟性信息泄漏危害具有延迟性发生具有不确定性,具有延迟性和外部驱动的性质。由于其传播和可复制的特性,一旦发生其危害难以被控制。很难被事后审计到,即使审计发现也会因为危害尚未发生而无法采取行动。机制基本无法防止和控敏感信息泄露,甚至也无法降低敏感信息泄露的可能性。信息泄露的危害数据泄露信息泄露6杭州美创科技有限公司 非法更新的即时收益性非法更新的

3、即时收益性 轻量级别的非法更新很难被审计发现 事后审计机制无法降低敏感信息非法更新的危害,只能在案件排查的时候发生作用 非法更新在侵害的同时产生损伤 很少有非法更新可以在事后弥补7杭州美创科技有限公司 CAPAACAPAA的安全观点的安全观点事先防范事先防范核心核心数据数据事中通知事中通知事后审计事后审计事中审批事中审批事先防范事先防范追踪和发现提供进一步的证据 授权、审批保障核心数据访问安全构筑完善的防御体系及时通知第一时间发现可疑行为8杭州美创科技有限公司 防范管理防范管理保护保护“关键关键”基础数据基础数据 严格遵循数据访问严格遵循数据访问授权授权和和审批审批管理管理 禁止任意的禁止任意

4、的非法数据非法数据访问行为访问行为事先构筑防御保护体系9杭州美创科技有限公司 事中管理事中管理授权和审批授权和审批 通过通过 “白名单白名单” 和和“黑名单黑名单”方式来识别方式来识别“不合法不合法操作。操作。 每次每次“关键数据访问关键数据访问”操作,严格执行授权,并授权到人。操作,严格执行授权,并授权到人。以事中授权和统方流程审批进一以事中授权和统方流程审批进一步保障步保障“关键数据关键数据”的访问安全的访问安全数据库关键数据PC终端10杭州美创科技有限公司 事中管理事中管理及时通知及时通知事中及时通知,在第一时间发现可疑事中及时通知,在第一时间发现可疑“非法访问非法访问”行为,行为,为为

5、 安全管理提供威慑力。安全管理提供威慑力。 无论无论“关键数据访问关键数据访问”操作合法或非法,均第一时间通知。操作合法或非法,均第一时间通知。 提供行为追溯能力提供行为追溯能力, ,把握把握“关键数据访问关键数据访问”行为特征。行为特征。邮件邮件网页网页短信短信动画动画多种通知方式多种通知方式11杭州美创科技有限公司 事后管理事后管理追踪和发现提供审计威慑力追踪和发现提供审计威慑力任意关键数据访问行为,不管是授权、未授权任意关键数据访问行为,不管是授权、未授权的的, ,都加以追踪和审计。都加以追踪和审计。l 提供多种级别的行为追溯能力,把握可疑行为提供多种级别的行为追溯能力,把握可疑行为特征

6、。特征。l 对可疑统方行为第一时间介入调查,产生审计对可疑统方行为第一时间介入调查,产生审计威慑力。威慑力。l 详尽的海量审计信息为惩戒提供了精细的证据。详尽的海量审计信息为惩戒提供了精细的证据。12杭州美创科技有限公司 CAPAA CAPAA 数据安全组件数据安全组件访问控制访问控制CAM数据保护数据保护CAP 审计审计 CAA CAA 监视监视&告警告警 CAPAACAPAA安全平台安全平台身份管理身份管理 MDIDM EUM EidM13杭州美创科技有限公司 CAPAA CAPAA 体系结构体系结构管理数据库管理数据库Java EE 应用服务器应用服务器业务系统业务系统业务系统业

7、务系统 Trust CAPAAsystem serverhttp:/localhost:8080/capaa用户用户用户用户用户用户安全管理员安全管理员 Trust CAPAA web console14杭州美创科技有限公司 CAPAA WEB CAPAA WEB 管理界面管理界面15杭州美创科技有限公司 安全现象安全现象 一一控制大权限用户访问业务数据!应用程序访问用户密码无法管理,几乎广为传播。内控规定DBA不允许访问业务数据,但我们 没有办法控制。最小权限原则由于其过于复杂无法实施。每个用户都应该通过安全应用程序访问业务数据。16杭州美创科技有限公司 敏感资产访问控制功能敏感资产访问控制

8、功能敏感资产敏感资产/业务分离业务分离特权用户管理特权用户管理应用访问用户管理应用访问用户管理职责分离职责分离/分权管理分权管理违规报告违规报告应用程序透明应用程序透明多因素访问控制多因素访问控制基于规则的访问控制基于规则的访问控制企业企业(应用应用)用户访问控制用户访问控制CAM17杭州美创科技有限公司 特权用户管理特权用户管理采购采购HR财务财务Select * from fin.customersDBASelect * from hr.employeesHR SchemaHR应用应用lDBA职责分离l限制特权用户权限lUser访问控制l防止旁路应用程序18杭州美创科技有限公司 多因素访问

9、控制多因素访问控制采购采购HR财务财务DBASelect * from v$session/Select * from hr.employeesHR应用l 指定特定的终端可以通过SQLPLUS访问l 指定特定的人员可以通过SQLPLUS访问l 敏感资产可以拒绝SQLPLUS访问l SQLPLUS等应用程序的严格控制杜绝其安全危 l 害性,同时利用其强大的能力Select * from v$sessionDBA19杭州美创科技有限公司 数据管理分权机制数据管理分权机制管理敏感资产,负责敏感资产创建、分类管理敏感资产,负责敏感资产创建、分类、归属、授权和审计。可以进一步细分为、归属、授权和审计。可

10、以进一步细分为创建、授权、审计等角色创建、授权、审计等角色。管理数据库日常运行和监视。可以进一步管理数据库日常运行和监视。可以进一步细分为帐户创建、帐户管理、运行维护细分为帐户创建、帐户管理、运行维护不同的不同的DBA角色角色敏感资产的拥有者,替代数据库中的敏感资产的拥有者,替代数据库中的Schema User存在。存在。20杭州美创科技有限公司 工具型应用的访问管理工具型应用的访问管理l指定特定的终端可以通过SQLPLUS访问l指定特定的人员可以通过SQLPLUS访问l敏感资产可以拒绝SQLPLUS访问lSQLPLUS等应用程序的严格控制杜绝其安全危害性,同时利用其强大的能力采购采购HR财务

11、财务Select * from hr.employeesHR报表人员SQLPLUS终端用户Select * from v$session/SQLPLUSSelect * from v$sessionDBASQLPLUS21杭州美创科技有限公司 安全现象安全现象 三三开发商具有很好的技术水平,几乎总是采用共享用户访问开发商熟悉业务数据结构,开发商几乎总是熟悉应用程序密码驻场开发商处于用户内部,但缺乏管理开发商人员流动频繁驻场开发商由于其缺乏约束性,比较内部人员具有更大的安全威胁开发商和合作伙伴管理22杭州美创科技有限公司 Trust EUM Trust EUM 安全组件安全组件l 企业员工真实身

12、份访问 l 企业用户身份验证 l 应用程序绑定 l 多因素绑定 实现企业用户身份访问,最大化降低可能涉及的风险 客户端客户端敏感数据敏感数据企业员工企业员工l 开发商职员真实身份访问 l 企业用户访问控制l 物理网卡绑定l 真实员工身份的行为审计23杭州美创科技有限公司 企业员工企业员工( (开发商开发商) )真实身份访问真实身份访问采购采购HR财务财务Select * from v$session张三张三李四李四张三张三Select * from v$sessionl实现对于企业员工的访问控制l企业员工和物理网卡的绑定l企业员工和多因素的绑定l企业员工身份作为规则的一部分24杭州美创科技有限

13、公司 安全现象安全现象 四四l 敏感信息的商业化价值在不断增强,利益驱动使敏感信息l 泄露不断发生l 内外合作使敏感信息泄露防不胜防l 严格控制非相关人员接触敏感信息l 无法区分业务操作还是信息盗窃l 应用程序数据库访问用户密码几乎无法保密l 假冒应用程序访问无法区分l 很难被审计,即使被审计了几乎也无法追究l 客户需要深度的访问控制和精确的审计25杭州美创科技有限公司 刑法修正案(七)刑法修正案(七) 2009 年 2 月 28 日刑法修正案 ( 七 )通过 七、在刑法第二百五十三条后增加一条,作为第二百五十三 条之一:“国家机关或者金融、电信、交通、教育、医疗等单 位的工作人员,违反国家规

14、定,将本单位在履行职责或者提 供服务过程中获得的公民个人信息,出售或者非法提供给他 人,情节严重的,处三年以下有期徒刑或者拘役,并 处或者 单处罚金。 窃取或者以其他方法非法获取上述信息,情节严重的,依照 前款的规定处罚。 单位犯前两款罪的,对单位判处罚金,并对其直接负责的主 管人员和其他直接责任人员,依照各该款的规定处罚。”26杭州美创科技有限公司 数据查询泄漏解决方案数据查询泄漏解决方案l 只有合法应用可以访问敏感数据l 合法应用保证只有相关用户可以执行敏感操作l 只有特定的企业员工才可以执行敏感操作l 防止应用程序假冒l 敏感操作审计包含企业员工身份,任何非授权的人员敏感操作以最高审计级

15、别警告。l 授权人员的敏感操作以次等级别警告。27杭州美创科技有限公司 数据泄漏数据泄漏( (敏感操作敏感操作) )访问控制访问控制合法应用授权员工授权员工通过特定终端通过合法应用访问敏感数据,执行敏感操作假冒合法应用用非授权终端非法应用合法应用非授权员工非授权员工不合法应用28杭州美创科技有限公司 安全现象五安全现象五误操作和入侵破坏客户认识到误操作依赖于备份系统来恢复业务和数据缺乏有效性客户迫切需要对危险操作加以识别和避免误操作几乎不可避免,误操作总是用户最大的安全威胁之一误操作发生后需要有效的手段来加以恢复29杭州美创科技有限公司 Trust CAP Trust CAP 安全组件安全组件

16、l DDL误操作的访问控制和恢复 Drop Table Drop Table Partition Truncate Table Truncate Table Partition Drop Tablespacel DML误操作恢复 Delete、Insert、Updatel 代码类误操作l 对于存储过程、包等数据库代码实现误操作恢复30杭州美创科技有限公司 DDL DDL 误操作恢复误操作恢复lTrust CAP实现了类似于Windows的垃圾箱功能,使用户可以在后悔期内实现快速恢复。经过后悔期之后会自动从垃圾箱中永久清除。lTrust DDL误操作恢复对于任何规模的表格均可以在1分钟之内恢复数

17、据。恢复任何规模的表空间在10分钟之内恢复。lTrust DDL误操作恢复不会丢失任何数据。31杭州美创科技有限公司 DML DML 误操作恢复误操作恢复l DML误操作恢复快速恢复Update 、Insert 、Delete操作。l 基于审计的误操作恢复确保识别误操作的时间点,从而保障数据恢复的零丢失。一键还原32杭州美创科技有限公司 安全现象六安全现象六浏览器终端身份识别对于敏感信息的访问需要确认终端信息,甚至需要确认应用程序用户。我们只能依赖于应用程序的安全性。在B/S结构中,缺乏终端身份信息使审计几乎没有任何价值。敏感操作要求在特定的终端绑定。33杭州美创科技有限公司 谁是真的用户?谁

18、是真的用户?他们在做什么?他们在做什么?应用程序在做什么?应用程序在做什么?为哪个原始用户?为哪个原始用户?Use1Use 2Use 3 Application Account WebApplicationuserUser InteractsWith ApplicationApplicationInteracts with DBDatabase哈哈,没人知道我在哈哈,没人知道我在哪里?不知道我是谁?哪里?不知道我是谁?我知道终端用户在我知道终端用户在哪里,但我不告诉哪里,但我不告诉!我知道中间我知道中间件,不知道件,不知道终端用户终端用户.部署部署EIDM EIDM 前前34杭州美创科技有限公

19、司 谁是真的用户?谁是真的用户?他们在做什么?他们在做什么?应用程序在做什么?应用程序在做什么?为哪个原始用户?为哪个原始用户?Use1Use 2Use 3 Application Account WebApplicationuserUser InteractsWith ApplicationApplicationInteracts with DBDatabaseTrust WEB agentUser InteractsWith ApplicationApplicationInteracts with DB哎呀,我不敢哎呀,我不敢乱来了乱来了哈哈,我知哈哈,我知道藏在后面道藏在后面的人是谁?的人是谁?部署部署EIDM EIDM 后后35杭州美创科技有限公司 l EIdM可以作为MDIdM的一个验证要素,从而使MDIdM的功能更为强大。l EIdM作用在Web中间件之下,使Oracle数据库可以识别出浏览器所在的终端信息,而不是终端信息被Web中间件所屏蔽。l EIdM目前支持:Oracle WebLogic,IBM WebSphere,To

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论