杭州美创CAPAA敏感信息安全保护解决方案2015

美创科技MeiChuang闻建霞wenjx@mchz.com.cn杭州美创科技有限公司敏感信息保护解决方案TrustCAPAASystemV2.02美创科技MeiChuang@2015@2015•本质上而言，几乎所有的安全措施都应该是围绕着敏感信息保护存在。•在现实生活中，我们对于私密空间加锁，对于重要的财产和物品放置在隐秘的地方，往往还会加锁以防止其他人员意外接触。为什么敏感信息需要被保护？商业秘密核心机密重要财产隐私数据法规遵循黑客入侵越权访问密码被盗……巨大的商业价值开发商人员管理4美创科技MeiChuang@2015保护，审计或者同时存在？•在生活中，我们几乎都会采用加锁的方式来保护敏感信息。少数环境下，我们会增加摄像头之类的设备进行监视。•也许在技术上的困难导致了目前在信息系统中敏感信息审计优先于敏感信息保护敏感数据登陆•用户名加密码的登陆方式太简单•内控要求DBA不能访问业务数据•如何防范黑客入侵……访问审计•第三方服务人员如何管理•误删除如何恢复•如何禁止危险操作•发现异常访问如何及时通知……•全面审计•审计信息量过大•……5美创科技MeiChuang@2015敏感信息审计的困境•很少有审计系统可以执行全面的审计，几乎总是存在不可审计的场景，现实中摄像头总有死角。•当安全事件发生之后，对于安全事件处理人员要求很高，很少有机构可以满足安全事件处理的快速响应。•想象一下穿着蒙面的黑衣黑帽的银行ATM机取款场景。只能事后追查威慑无法提前预防易被旁路无法全面审计无法阻断B/S应用无法获取终端监控不清晰蒙面的黑衣人缺少监控只有报警才能处理监控有盲区无法识别假冒应用海量审计处理延迟6美创科技MeiChuang@2015@2015安全基础：敏感信息保护敏感数据数据库操作系统服务器内网外网防火墙敏感信息保护是信息安全的基础性工作等级保护三级明确要求对于敏感信息进行独立管理8美创科技MeiChuang@2015敏感信息保护实现流程管理敏感信息事先预防•配置敏感信息访问规则、分权管理等等；•明确可以访问的或禁止访问的人员和终端；•明确可以访问或禁止访问的工具软件……12事后审计3•对不符合访问规则的操作进行阻断；•发现异常及时告警•授权管理……•基于规则的审计•统一的事件搜索引擎•个性化订阅、个性化报表•……事中控制9美创科技MeiChuang@2015、DropTable，TruncateTable等敏感操作会带来巨大的业务伤害和信息丢失问题，即使在严谨的银行业，误操作也时有发生。2、GrantDBA等敏感操作是数据库管理失控的先兆，也是入侵者最喜欢的操作3、仅仅监视敏感操作是不够的，敏感操作需要加以保护，同敏感信息一样实现事先防范，事中阻断和告警，事后审计和报表。10美创科技MeiChuang@2015、敏感信息私有化是敏感信息保护的先决条件2、社交网络攻击3、DBA的先天敏感信息访问能力限制4、应用程序注入攻击和假冒5、SchemaUser的敏感信息访问能力限制6、SQL注入攻击7、运维用户的无意识或者有意识访问敏感信息私有化DBA运维用户社交网络攻击应用程序注入攻击SQL注入攻击SchemaUser11美创科技MeiChuang@2015@2015美创科技敏感信息保护解决方案多因素访问控制敏感信息事先预防事中控制及时通知事后审计事后敏感信息私有化，脱离SchemaUser的控制敏感信息加壳，形成敏感信息堡垒只有被授权的用户才可以访问敏感信息未知因素的主动性防御阻断千变万化的外部入侵敏感信息进行标签管理，简化身份访问SQL注入检测和防御应用程序注入检测和防御分权管理、权限细化违规报告企业用户访问控制应用程序透明基于规则的访问控制分权管理特权用户管理访问应用管理敏感资产分类13美创科技MeiChuang@2015敏感资产的拥有者，替代数据库中的SchemaUser存在。数据管理分权机制CAowner管理数据库日常运行和监视。可以进一步细分为帐户创建、帐户管理、运行维护不同的DBA角色DBA管理敏感资产，负责敏感资产创建、分类、归属、授权和审计。可以进一步细分为创建、授权、审计等角色。安全管理员14美创科技MeiChuang@2015生产数据库非敏感数据敏感数据安全服务器根据应用程序名进行阻断，远远不够防假冒AGENT防假冒AGENT防假冒AGENT防假冒AGENT应用防假冒原理15美创科技MeiChuang@2015政务数据销售数据人事数据•实现DBA、Schema等大权限用户职责分离；•限制特权用户、应用用户的访问权限；•防止旁路的应用程序；DBASelect*fromfin.customers;HR应用HRSchemaSelect*fromhr.employees;特权用户管理16美创科技MeiChuang@2015敏感数据非授权终端假冒合法应用非法应用合法应用非授权员工不合法应用非授权员工合法应用授权员工敏感数据访问控制授权员工通过特定终端通过合法应访问敏感数据，执行敏感操作17美创科技MeiChuang@2015安全组件敏感数据客户端企业员工实现企业用户身份访问，最大化降低可能涉及的风险企业用户、开发商、维保厂商等真实身份访问与验证；应用程序、多因素、物理网卡等绑定；通过USB-KEY与安全证书的授权机制访问敏感数据18美创科技MeiChuang@2015@2015@2015其它的安全解决方案……21美创科技MeiChuang@2015更多信息安全解决方案……CAPAA安全平台数据库运维安全管理解决方案误操作和入侵防御和恢复解决方案数据库安全审计解决方案浏览器终端身份识别解决方案数据库多因素准入解决方案三权分离的数据库访问控制体系SQL注入检测和防御解决方案22美创科技MeiChuang@2015杭州美创科技有限公司网站：咨询：400-711-8011微信公众号：hzmckj