数据风险管理实践与最佳典范SWGKOIGuardium(forCxLOBpitch)

1、数据(shj)风险管理实践与最佳典范共二十一页企业(qy)风险管理演进路径法规(fgu)管理（Policy Mgmt）审计检查（Audit and testing）评价与报告（Dashboard and analytics）评价与持续改进闭环执行监控（Business/IT control enforcement）外部监管条例内部制度规范管理策略维护管理策略比较策略全景视图最佳实践与案例基线设置访问控制日志分析事件管理流程管理规则管理风险评估审计计划管理审计作业管理审计发现跟踪审计模板管理审计资源管理管理视图统计分析内外部报告有效性评价合规情况披露外部监管沟通业务整改闭环体系整改闭环1234共

2、二十一页风险管理识别、评估、报告和选择如何管理风险，达成目标合规遵守决策及政策要求的过程治理建立决策权和制定政策的过程企业风险管理要素（GRC）、现状、及相关(xinggun)部门各行业对风险管理的认知度差异很大，但均有不同部门关注风险管理的不同层次许多企业已成立或酝酿成立统一的部门管理风险及信息安全，该部门的工作重点不在IT系统建设而是IT系统治理，在治理中为企业打造法规遵从和风险管理的统一各企业在前期(qinq)IT风险防范举措多在于网络、防火墙、物理监控、事后审计等。目前业界普遍对有效的数据库监控技术缺乏了解风险管理/信息安全部运维/数据库管理审计部门共二十一页70%以上IT风险属操作(

3、cozu)风险，其最大漏洞在数据库随着企业业务对IT系统(xtng)的依赖程度越来越高，IT风险对业务风险的影响也越来越大。而IT风险中70%以上属于操作风险，即由人工操作不当（无意或故意）引起的风险。因此，有效地控制IT风险，尤其是操作风险，对企业的安全运营至关重要。3/4的成员不清楚特权用户对数据库进行过何种操作2/3的成员不能有效防止特权用户对数据库的非授权访问85%的成员将真实数据不加防范地交与开发人员或第三方人员将近一半的成员对其非特权用户访问敏感数据毫无措施大多数成员都未能及时采取防范SQL注入的攻击Source: 2010 Independent Oracle User Grou

4、p (IOUG) Data Security Survey, based on survey of 430 members. /dm/offers/fy11/50651_2010_report_ioug_data_security_survey.pdf共二十一页法规(fgu)遵从已成为企业风险管理的强大推动力经历近10年的努力，信息系统安全等级保护已成为指导(zhdo)企业IT建设中治理风险较完善的带有强制性的法规体系。在12.5期间有计划地得以落实是必然趋势GBT XXXXX-XXXX 信息系统安全 等级保护实施指南（送审稿）GBT 22239-2008 信息安全技术 信息系统安全等级保护基

5、本要求GBT 22240-2008 信息安全技术 信息系统安全等级保护定级指南此外各行业风险相关的法律/法规日趋完善共二十一页银行业数据安全、法规遵从、及规避风险(fngxin)实施要点关注领域要点相关法规敏感数据客户信息、账务信息以及产品信息商业银行信息科技风险管理指引第七条（十一） 2009-6-1实时监控不良贷款率前5名的银行分支机构和不良贷款余额在亿元以上的客户及拥有5家以上关联企业、合计贷款余额在亿元以上的集团客户商业银行不良资产监测和考核暂行办法 -银监会流程管理商业银行各级机构应当明确规定授信审查人、审批人之间的权限和工作程序，严格按照权限和程序审查、审批业务，不得故意绕开审查、

6、审批人 商业银行内部控制指引第三十八条 2007-7-3 操作日志主机系统和数据库系统的操作日志至少保留6个月,账务更改记录应保存3年。中国人民银行关于加强银行数据集中安全工作的指导意见银发2002260号参与部门商业银行数据中心、风险管理委员会、和审计委员会商业银行合规风险管理指引2006-10-25商业银行数据中心监管指引-银监办发2010114号共二十一页电信业相关(xinggun)法规， 新华社2010年11月8日工业和信息化部已完成的信息安全条例（报送稿）对信息网络环境(hunjng)下法律主体的权利、义务，各种危害网络与信息系统安全行为，网络科技创新，加强国际兼容等内容作了规定该条

7、例针对当前规范信息安全的法律法规等数十部部门规章存在的内容分散、相互交叉甚至抵触的现象，影响了立法效力和执法严肃性，对信息安全监督管理造成不利影响。为此需要制定一部内容综合、法律效力较高的法律或行政法规该条例借鉴国际上针对信息安全的条例已形成完善的体系，无论是从企业信息安全的组织机构及相应职责、信息系统安全规范、到具体的落实要求都有着明确的规定，国际公认条例有：SOX即萨班斯法案 COBIT（Control Objectives for Information and related Technology） PCI DSS版本每两年修订一次，PCI DSS 2.0生效时间是2011年 ISO

8、27000信息安全管理体系标准总体上讲，条例强调信息安全的加强立足于预防为主；即实时对信息安全的风险进行监控和审计评估共二十一页为什么说数据风险管理是企业(qy)的当务之急从企业自身利益看，疏于风险管理意识可能给企业带来重大损失：去年11.30电信诈骗案中跨国犯罪集团利用电信防范漏洞从国内银行客户手中骗走了1.4亿人民币.这一案例值得银行和电信业深思据中国保监会2010年7月召开(zhoki)的“打三假”情况通报会披露的数据显示，自2009年7月1日至2010年5月底，保险业共发现和查处各类假冒保险机构案件32起，涉及保费1804万元；各类假冒保单20万余份，涉及保费8220万元；各类虚假赔案

9、16000余件，涉及保费4.19亿元；全行业向公安机关移交并已立案侦查的“三假”案件149起全球各大媒体(包括CCTV)2010年3月11日纷纷报道:汇丰银行因内部IT员工盗窃客户资料,损失重大.在受到侵害的2.4万客户中,已有9千名白金资格以上的客户离开了汇丰银行共二十一页Guardium提供分类、评估、监控、审计共四类(s li)功能共二十一页10企业(qy)如何做？一句话，把监控引入风险防范机制Time实施(shsh)监控前实施监控后监控意味着实时报警及异常状况的跟踪，监控能有效地降低特权用户对数据库的非授权访问和异常敏感数据操作异常数据库活动曲线正常数据库活动曲线共二十一页Guardi

10、um非入侵式数据库活动监控(jin kn)(DAM)架构综述:流量是数据库活动的载体，在流量中捕获相关的数据库操作，并加工整理成正交化可视信息，用以适时保留、实时报警、事件跟踪、及数据库安全隐患分析等。因为是旁路方式捕获数据库操作，所以对系统性能(xngnng)没有影响。用途:根据安全治理原则，数据库安全是由监测、解析、控制、和审计等过程共同完成的。无论数据库操作源于那种渠道，网络或本机，安全方案都要求对正在发生的和因安全漏洞而可能发生的操作进行有效的控制和操作审计。数据库操作包括：查询敏感数据、改变表定义 (DDL) 、数据操作 (DML)、例外操作(Failed logins, SQL e

11、rrors, etc.)、授权变更 (DCL)。E-Business SuiteSwitch or TAPGuardium S-TAPs for local access monitoring (shared memory, BEQ, named pipes, etc.)Guardium network monitoring appliance & audit repository非入侵、网络旁路的方式可供事件后鉴证分析的审计纪录跨平台和集中管理 职责分工Custom apps共二十一页3.加固执行(zhxng)安全建议,如:安全补丁数据库安全2.弱点(rudin)和配置评估评估数据库漏洞和配

12、置缺陷 6.审计报告-针对合规要求,如:SOX,预先配置报告，自动化整个遵从性审计流程，包括向监督团队分发报告、报告签署和上报 7.认证、访问控制及权限管理-确保每个用户拥有权限赋予访问范畴，并通过管理特权来限制对数据的访问 4.安全策略-设置黄金安全基线，实时获取各种数据库操作信息5.活动监控-监控敏感数据访问、特权用户行为、变更控制、应用用户活动和安全性异常（比如登录失败），并实施对应安全策略,如实时报警1.发现-定位和分类企业数据库中的敏感信息 8.加密-使用加密技术呈现敏感数据，阻止攻击者从数据传输过程中获取信息数据库风险管理最佳实践共二十一页GUARDIUM数据库操作(cozu)流量

13、导向方式镜像导入(SPAN): 在端口A和端口B之间建立镜像关系，通过端口A传输的数据将同时复制到端口B，以便于在端口B上连接监控设备S-TAP: 软件分路器,工作原理同上。灵活性、可拓展(tu zhn)性更高，且对网络拓扑和数据库设置无影响共二十一页Guardium能在最短时间内使企业(qy)监控到以下场景谁在修改、删除数据？何时发生过非法(fif)数据访问、篡改? DBA或其他外部人员正在对数据库做什么操作?某段时间内发生过多少次失败的数据库登录? 谁在读取书库中的信用卡数据? 敏感数据正在被哪个网络节点访问? 哪些敏感数据正在被哪些应用程序访问?敏感数据正在被以何种方式访问? 每天的各个

14、时间段内，数据都在以什么样的访问模式被访问着?数据库正在产生什么样的错误?SQL注入式攻击在何时由谁发起?共二十一页基于监控信息分析,Gardium进而(jn r)帮助企业应对风险挑战管理(gunl)安全的复杂性 涵盖所有DBMS平台和应用系统单一的解决方案 自动化和中央化的控制 易于扩容的多层架构防止内部人员偷窃 实时监控和报警 持续不断、细微的审计 (logging) 数据层存取控制 (S-GATE)控制对系统和数据的访问 对特权用户的监测 对应用系统用户的监测 (防范欺诈做假) 关于权限的报表Entitlement reports防止外部攻击对数据的破坏 确立基线 评估薄弱环节 针对数据

15、库的分析 数据发现和分类满足合规的要求 反映最佳做法的报表 (SOX, PCI, OMB, 数据隐私) 自动化的审批签发、评论和问题升级 安全和跨越不同数据库系统的审计资料库强制执行安全规范 由IT安全人员管理的详尽的规范 易于自定义 同SIEM产品的整合主要挑战Guardium 如何应对共二十一页为什么Guardium能为企业(qy)提供最优投资回报率（ROI）OtherGuardium共二十一页Guardium最优投资(tu z)回报率是如何实现的风险管理需求IBM Guardium100%的审计监控能力无监控死角，完全监控源自网络、数据库服务器、或堡垒机的各种操作应用系统用户的监控监控颗

16、粒度能做到通过连接池操作的用户ID与SIEM(SOC)系统集成SYSLOG通道实时集成其他监控系统审计流程自动化工作流引擎使审计效率提升40%非常操作阻断阻断可使数据泄漏风险降至最低对生产系统影响小无须变更网络拓扑、数据库配置、及过量系统存储。较文件方式节约至少90%存储空间客户化报告工作量少报告由数据库数据直接提供，效率提升60%企业级无缝拓展能力无论项目实施范围是1台或数千台数据库，企业均可统一管理部署各环节。例如：策略、报告、和传输加密共二十一页Guardium在全球(qunqi)（包括中国）各行业均有应用金融: 世界五大(w d)银行、最大的信用卡公司、最大的公共基金公司保险: 全球最

17、大的五个保险公司中的三个零售业: 全球三大零售商中的两个 制造业: 最大饮料食品集团、PC制造商之一和最大的汽车制造商能源: 美国国家电网集团电信: 15个全球主要的电信运营商交通: 主要铁路集团、航空公司和飞机场政府: 美国和其它几个国家的政府机构医疗卫生: 主要医疗服务机构之一媒体: 美国主要媒体集团之一共二十一页Guardium案例(n l)项目实施(shsh)状况客户背景近年来随着国家法规建设的加强，集团面临越来越大的适时提供真实审计报告的压力。以往靠手工操作编制报告的方式不仅费时费力，远远难以满足集团经营宗旨的要求。在集团信息安全总裁（CSO）的领导下，2009年开始部署IBM Gu

18、ardium数据库安全监控方案。第一期，对财务系统，人力资源系统，等安全审计第二期，对产险数据库和AS400系统审计第三期，证券系统,寿险数据库审计(计划中)该集团业务覆盖保险、投资、及银行各领域，集团总资产为人民币9357亿元，权益总额为人民币917亿元。2008年进入财富世界500强，依法经营创造阳光利润是集团的核心宗旨 数据操作信息保存完整，信息颗粒度高数据操作信息查询简易，生成审计报告效率高无须变更集团现有网络拓扑和数据库配置，易实施企业级拓展性高，便于集团统一部署安全策略和报告汇总单一方案覆盖信息采集、解析、存储、查询、及工作流管理等功能 Why Guardium客户XX金融集团公司

19、项目数据库安全监控 软件IBM InfoSphere Guardium部署方式S-TAP, Span Port项目简介项目需求开发人员及维护人员近千人，监管难度大现有数据库审计依靠DBA开发脚本，工作量大、维护成本高数据库审计产品要支持异构平台，如Oracle, MSSQL集中管理，可以由安全部门策略分发监控通过Oracle Bequeath及Shared Memory协议进行的数据库操作与现有的变更管理，网管系统，LDAP,OID等整合支持对PEOPLESOFT等应用帐号的识别敏感数据保护, 如客户信息、机构信息、及保单信息对外包商，运维，开发等特权用户实时审计可定制阻止重大违规策略IT运维环境:数据中心在深圳，备份中心在上海服务器有1000+台 (IBM,SUN,HP)数据库有ORACLE,SYBASE,D