杭州美创CAPAA敏感信息安全保护解决方案2015

1、敏感信息保护解决方案Trust CAPAA System V2.0 解决方案思路2 美创科技敏感数据保护解决方案3 敏感数据保护的推动力12本质上而言，几乎所有的安全措施都应该是围绕着敏感信息保护存在。在现实生活中，我们对于私密空间加锁，对于重要的财产和物品放置在隐秘的地方，往往还会加锁以防止其他人员意外接触。为什么敏感信息需要被保护？商业秘密核心机密重要财产隐私数据法规遵循黑客入侵越权访问密码被盗巨大的商业价值开发商人员管理保护，审计或者同时存在？在生活中，我们几乎都会采用加锁的方式来保护敏感信息。少数环境下，我们会增加摄像头之类的设备进行监视。也许在技术上的困难导致了目前在信息系统中敏感信

2、息审计优先于敏感信息保护敏感数据登陆用户名加密码的登陆方式太简单内控要求DBA不能访问业务数据如何防范黑客入侵a访问审计第三方服务人员如何管理误删除如何恢复如何禁止危险操作发现异常访问如何及时通知全面审计审计信息量过大4敏感信息审计的困境很少有审计系统可以执行全面的审计，几乎总是存在不可审计的场景，现实中摄像头总有死角。当安全事件发生之后，对于安全事件处理人员要求很高，很少有机构可以满足安全事件处理的快速响应。想象一下穿着蒙面的黑衣黑帽的银行ATM机取款场景。只能事后追查威慑无法提前预防易被旁路无法全面审计无法阻断B/S应用无法获取终端监控不清晰蒙面的黑衣人缺少监控只有报警才能处理监控有盲区无

3、法识别假冒应用海量审计处理延迟5 解决方案思路2 美创科技敏感数据保护解决方案3 敏感数据保护的推动力16安全基础：敏感信息保护敏感数据数据库操作系统服务器内网外网防火墙敏感信息保护是信息安全的基础性工作等级保护三级明确要求对于敏感信息进行独立管理7敏感信息保护实现流程管理敏感信息事先预防配置敏感信息访问规则、分权管理等等；明确可以访问的或禁止访问的人员和终端；明确可以访问或禁止访问的工具软件12事后审计3对不符合访问规则的操作进行阻断；发现异常及时告警授权管理基于规则的审计统一的事件搜索引擎个性化订阅、个性化报表事中控制8敏感性操作也需要进行保护Change passwordGrant DB

4、AChange ViewDrop TableChange PackageTruncate TableCreate User其他敏感操作敏感操作1、Drop Table，Truncate Table等敏感操作会带来巨大的业务伤害和信息丢失问题，即使在严谨的银行业，误操作也时有发生。2、Grant DBA等敏感操作是数据库管理失控的先兆，也是入侵者最喜欢的操作3、仅仅监视敏感操作是不够的，敏感操作需要加以保护，同敏感信息一样实现事先防范，事中阻断和告警，事后审计和报表。9敏感信息保护的关键挑战敏感信息保护1、敏感信息私有化是敏感信息保护的先决条件 2、社交网络攻击3、DBA的先天敏感信息访问能力限

5、制 4、应用程序注入攻击和假冒5、Schema User的敏感信息访问能力限制 6、SQL注入攻击7、运维用户的无意识或者有意识访问敏感信息私有化DBA运维用户社交网络攻击应用程序注入攻击SQL注入攻击Schema User10 解决方案思路2 美创科技敏感数据保护解决方案3 敏感数据保护的推动力111美创科技敏感信息保护解决方案多因素访问控制敏感信息事先预防 事中控制及时通知 事后审计事后事先事中敏感信息私有化，脱离Schema User的控制敏感信息加壳，形成敏感信息堡垒只有被授权的用户才可以访问敏感信息未知因素的主动性防御阻断千变万化的外部入侵敏感信息进行标签管理，简化身份访问SQL 注

6、入检测和防御应用程序注入检测和防御分权管理、权限细化违规报告企业用户访问控制应用程序透明基于规则的访问控制分权管理特权用户管理访问应用管理敏感资产分类12敏感资产的拥有者，替代数据库中的Schema User存在。数据管理分权机制CA owner管理数据库日常运行和监视。可以进一步细分为帐户创建、帐户管理、运行维护不同的DBA角色DBA管理敏感资产，负责敏感资产创建、分类、归属、授权和审计。可以进一步细分为创建、授权、审计等角色。安全管理员13生产数据库安全服务器MD5值不相同MD5值不相同MD5值不相同MD5值不同MD5值相同MD5值相同MD5值相同根据应用程序名进行阻断，远远不够防假冒AG

7、ENT防假冒AGENT防假冒AGENT防假冒AGENT为什么？应用防假冒原理政务数据销售数据人事数据实现DBA、Schema等大权限用户职责分离；限制特权用户、应用用户的访问权限；防止旁路的应用程序；DBASelect * from fin.customers; HR应用HR SchemaSelect * from hr.employees;特权用户管理15敏感数据非授权终端假冒合法应用非法应用合法应用非授权员工不合法应用非授权员工合法应用授权员工敏感数据访问控制授权员工通过特定终端通过合法应访问敏感数据，执行敏感操作16Trust EUM 安全组件敏感数据 客户端企业员工实现企业用户身份访问，最大化降低可能涉及的风险企业用户、开发商、维保厂商等真实身份访问与验证； 应用程序、多因素、物理网卡等绑定；通过USB-KEY与安全证书的授权机制访问敏感数据17安全产品部署图18CAPAA WEB管理平台19其它的安全解决方案20更多信息安全解决方案CAPAA安全平台数据库运维安全管理解决方案误操作和入