《杭州美创CAPAA敏感信息安全保护解决方案.ppt》由会员分享,可在线阅读,更多相关《杭州美创CAPAA敏感信息安全保护解决方案.ppt(22页珍藏版)》请在金锄头文库上搜索。
1、美创科技M e i C h u a n g闻建霞闻建霞杭州美创科技杭州美创科技有限公司有限公司敏感信息保护解决方案TrustCAPAASystemV2.0TrustCAPAASystemV2.02 2美创科技M e i C h u a n 解决方案思路2 2美创科技敏感数据保护解决方案3 3敏感数据保护的推动力1 13 3美创科技M e i C h u a n 本质上而言,几乎所有的安全措施都应该是围绕着敏感信息保护存在。在现实生活中,我们对于私密空间加锁,对于重要的财产和物品放置在隐秘的地方,往往还会加锁以防止其他人员意外接触。为什么敏感信息需要被保护?商业秘密核心机密重要财产隐私数据法规遵
2、循法规遵循黑客入侵黑客入侵越权访问越权访问密码被盗密码被盗巨大的商业价值巨大的商业价值开发商人员管理开发商人员管理4 4美创科技M e i C h u a n 保护,审计或者同时存在?在生活中,我们几乎都会采用加锁的方式来保护敏感信息。少数环境下,我们会增加摄像头之类的设备进行监视。也许在技术上的困难导致了目前在信息系统中敏感信息审计优先于敏感信息保护敏感数据敏感数据登陆登陆用户名加密码的登陆方式太简单内控要求DBA不能访问业务数据如何防范黑客入侵a访问访问审计审计第三方服务人员如何管理误删除如何恢复如何禁止危险操作发现异常访问如何及时通知全面审计审计信息量过大5 5美创科技M e i C h
3、 u a n 敏感信息审计的困境很少有审计系统可以执行全面的审计,几乎总是存在不可审计的场景,现实中摄像头总有死角。当安全事件发生之后,对于安全事件处理人员要求很高,很少有机构可以满足安全事件处理的快速响应。想象一下穿着蒙面的黑衣黑帽的银行ATM机取款场景。只能事后追查威慑无法提前预防易被旁路无法全面审计无法阻断B/S应用无法获取终端监控不清晰蒙面的黑衣人缺少监控只有报警才能处理监控有盲区无法识别假冒应用海量审计处理延迟6 6美创科技M e i C h u a n 解决方案思路2 2美创科技敏感数据保护解决方案3 3敏感数据保护的推动力1 17 7美创科技M e i C h u a n 安全基
4、础:敏感信息保护敏感数据数据库操作系统服务器内网外网防火墙敏感信息保护是信息安全的基础性工作等级保护三级明确要求对于敏感信息进行独立管理8 8美创科技M e i C h u a n 敏感信息保护实现流程管理管理敏感信息敏感信息事先预防事先预防配置敏感信息访问规则、分权管理等等;明确可以访问的或禁止访问的人员和终端;明确可以访问或禁止访问的工具软件12事后审计事后审计3对不符合访问规则的操作进行阻断;发现异常及时告警授权管理基于规则的审计统一的事件搜索引擎个性化订阅、个性化报表事事中控制中控制9 9美创科技M e i C h u a n 敏感性操作也需要进行保护Change passwordGr
5、ant DBAChange ViewDrop TableChange PackageTruncate TableCreate User其他敏感操作敏感操作1、Drop Table,Truncate Table等敏感操作会带来巨大的业务伤害和信息丢失问题,即使在严谨的银行业,误操作也时有发生。2、Grant DBA等敏感操作是数据库管理失控的先兆,也是入侵者最喜欢的操作3、仅仅监视敏感操作是不够的,敏感操作需要加以保护,同敏感信息一样实现事先防范,事中阻断和告警,事后审计和报表。1010美创科技M e i C h u a n 敏感信息保护的关键挑战敏感信息保护1、敏感信息私有化是敏感信息保护的先
6、决条件 2、社交网络攻击3、DBA的先天敏感信息访问能力限制 4、应用程序注入攻击和假冒5、Schema User的敏感信息访问能力限制 6、SQL注入攻击7、运维用户的无意识或者有意识访问敏感信息私有化DBA运维用户社交网络攻击应用程序注入攻击SQL注入攻击Schema User1111美创科技M e i C h u a n 解决方案思路2 2美创科技敏感数据保护解决方案3 3敏感数据保护的推动力1 11212美创科技M e i C h u a n 美创科技敏感信息保护解决方案多因素多因素访问控制访问控制敏感信息敏感信息事先预防事先预防 事中控制事中控制及时通知及时通知 事后审计事后审计事后
7、事后事先事先事中事中敏感信息私有化,脱离Schema User的控制敏感信息加壳,形成敏感信息堡垒只有被授权的用户才可以访问敏感信息未知因素的主动性防御阻断千变万化的外部入侵敏感信息进行标签管理,简化身份访问SQL 注入检测和防御应用程序注入检测和防御分权管理、权限细化违规报告违规报告企业用户企业用户访问控制访问控制应用程序应用程序透明透明基于规则的基于规则的访问控制访问控制分权管理分权管理特权用户特权用户管理管理访问应用访问应用管理管理敏感资产敏感资产分类分类1313美创科技M e i C h u a n 敏感资产的拥有者,替代数据库中的Schema User存在。数据管理分权机制CA ow
8、ner管理数据库日常运行和监视。可以进一步细分为帐户创建、帐户管理、运行维护不同的DBA角色DBA管理敏感资产,负责敏感资产创建、分类、归属、授权和审计。可以进一步细分为创建、授权、审计等角色。安全管理员1414美创科技M e i C h u a n 生产生产数据库数据库安全安全服务器服务器MD5值不相同MD5值不相同MD5值不相同MD5值不同MD5值相同MD5值相同MD5值相同根据应用程序名进行阻断,远远不够防假冒防假冒AGENTAGENT防假冒防假冒AGENTAGENT防假冒防假冒AGENTAGENT防假冒防假冒AGENTAGENT为什么?为什么?应用防假冒原理1515美创科技M e i
9、C h u a n 政务数据销售数据人事数据实现DBA、Schema等大权限用户职责分离;限制特权用户、应用用户的访问权限;防止旁路的应用程序;DBASelect * from fin.customers; HR应用HR SchemaSelect * from hr.employees;特权用户管理1616美创科技M e i C h u a n 敏感敏感数据数据非授权终端非授权终端假冒假冒合法应用合法应用非法应用非法应用合法应用合法应用非非授权员工授权员工不合法应用不合法应用非非授权员工授权员工合法应用合法应用授权授权员工员工敏感数据访问控制授权员工通过特定终端通过合法应访问敏感数据,执行敏感
10、操作1717美创科技M e i C h u a n TrustEUM安全组件敏感数据敏感数据 客户端客户端企业员工企业员工实现企业用户身份访问,最大化降低可能涉及的风险企业用户、开发商、维保厂商等真实身份访问与验证; 应用程序、多因素、物理网卡等绑定;通过USB-KEY与安全证书的授权机制访问敏感数据1818美创科技M e i C h u a n 安全产品部署图1919美创科技M e i C h u a n CAPAA WEBCAPAA WEB管理平台管理平台2020美创科技M e i C h u a n 其它的安全解决方案其它的安全解决方案2121美创科技M e i C h u a n 更多信息安全解决方案CAPAACAPAA安全平台安全平台数据库运维安全管理解决方案误操作和入侵防御和恢复解决方案数据库安全审计解决方案浏览器终端身份识别解决方案数据库多因素准入解决方案三权分离的数据库访问控制体系SQL注入检测和防御解决方案2222美创科技M e i C h u a n 杭州美创科技有限公司杭州美创科技有限公司网站:网站:咨询:咨询:400-711-8011微信公众号:hzmckj
