实现IT安全合规的最佳实践

InsertPictureHere实现实现实现实现IT安全合规的最佳实践安全合规的最佳实践安全合规的最佳实践安全合规的最佳实践徐懿徐懿徐懿徐懿资深解决方案专家产品战略部内部威胁内部威胁内部威胁内部威胁内部威胁内部威胁内部威胁内部威胁隐私保护隐私保护隐私保护隐私保护隐私保护隐私保护隐私保护隐私保护合规性合规性合规性合规性合规性合规性合规性合规性议程议程议程议程•安全合规的业务驱动因素•安全合规的最佳实践•扫描安全漏洞•加强访问控制•监控关键操作•成功案例•Q&A市场演变带来了创新市场演变带来了创新市场演变带来了创新市场演变带来了创新…和新的风险和新的风险和新的风险和新的风险ServiceOrientedApplicationsMainframeApplicationsClient-ServerApplicationsInternetApplications仅有网络安全是不足够的仅有网络安全是不足够的仅有网络安全是不足够的仅有网络安全是不足够的监控是至关重要的监控是至关重要的监控是至关重要的监控是至关重要的金融危机金融危机金融危机金融危机带来新的法规遵循和风险管理带来新的法规遵循和风险管理带来新的法规遵循和风险管理带来新的法规遵循和风险管理的需求的需求的需求的需求访问控制是必需的访问控制是必需的访问控制是必需的访问控制是必需的内部威胁已经是现实内部威胁已经是现实内部威胁已经是现实内部威胁已经是现实Theemployee,whosenamewasnotreleased,wasfired.Hewasidentifiedasaseniorleveldatabaseadministratorwhohadworkedforthecompanyforsevenyears.Hewascharacterizedasa“rogueanddishonestemployee.”安全漏洞造成的后果安全漏洞造成的后果安全漏洞造成的后果安全漏洞造成的后果资产损失资产损失资产损失资产损失名誉损失名誉损失名誉损失名誉损失“市场风险市场风险市场风险市场风险”客户忠诚度降低客户忠诚度降低客户忠诚度降低客户忠诚度降低收入减少收入减少收入减少收入减少“21%的企业担心的企业担心的企业担心的企业担心安全漏洞安全漏洞安全漏洞安全漏洞会导致其股票价格下跌会导致其股票价格下跌会导致其股票价格下跌会导致其股票价格下跌”——2006年4月Forrester公司的报告“将数据保护优先权与风险控制相协调”监管机构干预监管机构干预监管机构干预监管机构干预安全如今已成为一个业务问题安全如今已成为一个业务问题安全如今已成为一个业务问题安全如今已成为一个业务问题企业内部控制基本规范企业内部控制基本规范企业内部控制基本规范企业内部控制基本规范中国版中国版中国版中国版“萨班斯法案萨班斯法案萨班斯法案萨班斯法案”刑法修正案规定单位泄露公民信息刑法修正案规定单位泄露公民信息刑法修正案规定单位泄露公民信息刑法修正案规定单位泄露公民信息，，，，处罚主管人员处罚主管人员处罚主管人员处罚主管人员•80%的信息泄漏源自内部•很大比例的内部威胁没有被察觉•对内部人员/DBA没有监控手段•IT服务外包日益增多•企业并购或机构合并•日益集中的数据中心•多个系统整合成一个系统•一个应用外包商同时为多个客户服务（例如呼叫中心）内部威胁内部威胁内部威胁内部威胁IT整合整合整合整合IT安全合规的业务驱动安全合规的业务驱动安全合规的业务驱动安全合规的业务驱动•萨班斯法案(SOX),企业内部控制基础规范(中国版SOX)•支付卡行业规范(PCI)•巴塞尔协议(BaselII)•个人信息保护法正在审议•IT治理,COBIT,ITIL•职责分离,风险评估和监控法规遵循法规遵循法规遵循法规遵循9InsertPictureHereIT安全合规的最佳实践安全合规的最佳实践安全合规的最佳实践安全合规的最佳实践——Oracle最大化安全体系架构最大化安全体系架构最大化安全体系架构最大化安全体系架构Oracle最大化安全体系架构最大化安全体系架构最大化安全体系架构最大化安全体系架构•启动数据审计•细粒度的审计•对审计数据进行集中管理、生成报表和监控•定时进行安全配置扫描•数据加密•网络加密•对外发数据进行数据屏蔽•加密导出的数据•对备份数据进行加密•加强对特权用户的控制•控制谁、什么时间、什么地点、如何（3W1H）访问了数据库、数据和应用系统•行级别和列级别的多角度安全控制•对数据进行分类管理•设置安全的密码•集中式用户管理•强认证•代理认证•安全的基本配置用户管理用户管理用户管理用户管理访问控制访问控制访问控制访问控制数据保护数据保护数据保护数据保护监控监控监控监控第一步第一步第一步第一步：：：：扫描安全漏洞扫描安全漏洞扫描安全漏洞扫描安全漏洞主机主机主机主机•检测开放的端口•检测不安全的服务•确保NTFS文件系统类型(Windows)应用服务器应用服务器应用服务器应用服务器•HTTPD具有最低权限•使用HTTP/S•应当启用Apache日志记录•禁用演示应用程序•禁用默认的标题页面•禁用对未使用目录的访问•禁用目录索引•禁止对某些程序包的访问•禁用DAD所有者未使用的程序包•移除未使用的DAD配置•支持复杂的口令数据库服务数据库服务数据库服务数据库服务•启用监听器日志记录•口令保护监听器•不接受默认的监听器名称•确保监听器日志文件有效且为Oracle所有•确保监听器主机名与IP对应数据库文件权限数据库文件权限数据库文件权限数据库文件权限•Init.ora应具有受限的文件权限•$OH/bin中的文件应归Oracle所有•数据文件应归Oracle所有数据库配置文件数据库配置文件数据库配置文件数据库配置文件/配置配置配置配置•默认口令•不允许固定用户链接访问对象•不允许默认表空间设置为SYSTEM•设置password_grace_time•限制或禁止对DBMS_LOB的访问•设置password_reuse_max•避免使用utl_file_dir参数Oracle数据库数据库数据库数据库——检查与安全性相关的配置检查与安全性相关的配置检查与安全性相关的配置检查与安全性相关的配置常用安全性最佳实践常用安全性最佳实践常用安全性最佳实践常用安全性最佳实践•数据库安全性评估自动化•数据库参数•数据库配置文件•数据库访问•数据库文件权限•安装之后的检查•跟踪数据库间的“配置偏差”•持续的合规可见性•合规性分数（0-100%）•违规通知•跟踪一定时间段的合规性进展•映射到COBIT、CIS和Oracle的最佳实践•现成的最佳实践•250多个策略•支持Oracle8i及更高版本OracleEnterpriseManageConfigurationManagementPack安全配置扫描安全配置扫描安全配置扫描安全配置扫描合规性趋势分析合规性趋势分析合规性趋势分析合规性趋势分析第二步第二步第二步第二步：：：：提高访问控制能力提高访问控制能力提高访问控制能力提高访问控制能力OracleDatabaseVault合规性和内部威胁合规性和内部威胁合规性和内部威胁合规性和内部威胁•控制特权用户控制特权用户控制特权用户控制特权用户•限制DBA访问应用程序数据•提供职责分离•数据库和信息整合安全性•实施数据访问安全性策略实施数据访问安全性策略实施数据访问安全性策略实施数据访问安全性策略•控制访问数据的对象、时间、地点和方式•根据IP地址、时间、作者…来制定决策•在在在在Oracle10gR2/11g和和和和Oracle9.2.0.8中提供中提供中提供中提供•在在在在PeopleSoft、、、、EBS、、、、Siebel等等等等应用系统中得到认证应用系统中得到认证应用系统中得到认证应用系统中得到认证报表保护领域多因素授权职责分离命令规则•防止特权用户访问其无权访问的应用程序数据•安全地将应用程序数据整合至一个数据库中•实施预防控制措施•职责分离•最低权限特权用户控制特权用户控制特权用户控制特权用户控制使用保护域使用保护域使用保护域使用保护域DBAHR应用系应用系应用系应用系统统统统DBASELECT*FROMHR.EMPFIN应用应用应用应用系统系统系统系统DBAHRHR域域域域FINFIN域域域域实时访问控制实时访问控制实时访问控制实时访问控制基于规则的多因素授权基于规则的多因素授权基于规则的多因素授权基于规则的多因素授权HR应用程序用应用程序用应用程序用应用程序用户户户户FIN应用程序应用程序应用程序应用程序DBAHRFINCONNECT…DROP…•根据考虑了多因素的规则授予应用程序数据的访问权限•防止应用程序绕行和即席访问•保护应用程序数据免受无意伤害•预防不受监视的更改•需要对DBA实行强身份验证域违规报告域违规报告域违规报告域违规报告可证明的预防控制措施可证明的预防控制措施可证明的预防控制措施可证明的预防控制措施•内置审计和报告功能•域违规报告•权限报告，如“谁担任着谁担任着DBADBA角色？角色？”•共有20多种报告•易于设置和管理•Web界面•API6个步骤保护业务数据个步骤保护业务数据个步骤保护业务数据个步骤保护业务数据轻松地对任何应用程序部署轻松地对任何应用程序部署轻松地对任何应用程序部署轻松地对任何应用程序部署DatabaseVault12定义域定义域定义域定义域添加添加添加添加SQL命令规则命令规则命令规则命令规则（（（（可选可选可选可选））））添加其他安全策略添加其他安全策略添加其他安全策略添加其他安全策略（（（（可选可选可选可选））））346测试您的应用程序测试您的应用程序测试您的应用程序测试您的应用程序部署生产环境部署生产环境部署生产环境部署生产环境5部署安全策略部署安全策略部署安全策略部署安全策略第三步第三步第三步第三步：：：：监控所有敏感操作监控所有敏感操作监控所有敏感操作监控所有敏感操作Oracle数据库中的审计功能数据库中的审计功能数据库中的审计功能数据库中的审计功能强健强健强健强健、、、、灵活灵活灵活灵活、、、、高精确度的审计高精确度的审计高精确度的审计高精确度的审计•自Oracle7开始提供的数据库审计功能(1993)•审计语句、权限、对象的相关事件、失败或成功、•对SYS操作的审计•Oracle9i引入了细粒度审计(2001)•灵活的格式，支持XML、SYSLOG、数据库表、Windows事件查看器•目前，其客户遍及近乎各级市场•金融•医疗保健•政府企业级审计的需求企业级审计的需求企业级审计的需求企业级审计的需求•收集审计数据•存在许多不同地点的审计数据•报告审计数据•从分散各点的审计数据生成统一报告很困难•需要为审计者定制审计报告•监控审计数据•需要集中化扫描的效率•管理审计数据•审计数据的安全性•大规模审计数据的管理•审计数据的归档•管理审计设置•需要可通过系统方便地对审计设置进行供应和监控的能力OracleAuditVault概要概要概要概要Trust-but-Verify•收集并整合审计数据•Oracle9iRelease2以上版本•SQLServer2000and2005•IBMDB28.2and9.5•SybaseASE12.5and15.0•简化合规性报告•内建的报告•定制的报告•检测及预防内部威胁•提早检测及警报嫌疑活动•监控及检测数据变化•可伸缩性和安全性•强壮的Oracle数据库技术•DatabaseVault,AdvancedSecurity•Partitioning•集中管理/供应审计设置10gR210gR1Oracle9iR2其他数据库其他数据库其他数据库其他数据库监控监控监控监控策略策略策略策略报表报表报表报表安全安全安全安全AuditVault部署方式示例部署方式示例部署方式示例部署方式示例Source1AgentAuditVaultServerSource2DBAUDOSAUDREDODBAUDOSAUDREDOAgentSource3DBAUDOSAUDREDOHost2H