数据风险管理实践与最佳典范SWGKOIGuardiumforCxLOBpitch.ppt

1、IBM Corporation,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,IBM Software Group|Information Management,IBM Corporation,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth

2、level,.,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,数据风险管理实践与最佳典范,企业风险管理演进路径,法规管理,（,Policy Mgmt,）,审计检查,（,Audit and testing,）,评价与报告,（,Dashboard and analytics,）,评价与持续改进闭环,执行监控,（,Business/IT control enforcement,）,外部监管条例,内部制度规范,管理策略维护,管理策略比较,策略全景视图,最佳实践与案例,基线设置,访问控制,日志分析,事件管理,流程管理,规则管理,风险评估,审计计划管理,审

3、计作业管理,审计发现跟踪,审计模板管理,审计资源管理,管理视图,统计分析,内外部报告,有效性评价,合规情况披露,外部监管沟通,业务整改闭环,体系整改闭环,1,2,3,4,2,.,风险管理,识别、评估、报告和选择如何管理风险，达成目标,合规,遵守决策及政策要求的过程,治理,建立决策权和制定政策的过程,企业风险管理要素（,GRC,）、现状、及相关部门,各行业对风险管理的认知度差异很大，但均有不同部门关注风险管理的不同层次,许多企业已成立或酝酿成立统一的部门管理风险及信息安全，该部门的工作重点不在,IT,系统建设而是,IT,系统治理，在治理中为企业打造法规遵从和风险管理的统一,各企业在前期,IT,风

4、险防范举措多在于网络、防火墙、物理监控、事后审计等。,目前业界普遍对有效的数据库监控技术缺乏了解,风险管理,/,信息安全部,运维,/,数据库管理,审计部门,3,.,70%,以上,IT,风险属操作风险，其最大漏洞在数据库,随着企业业务对,IT,系统的依赖程度越来越高，,IT,风险对业务风险的影响也越来越大。而,IT,风险中,70%,以上属于,操作风险,，即由人工操作不当（无意或故意）引起的风险。因此，有效地控制,IT,风险，尤其是操作风险，对企业的安全运营至关重要。,3/4,的成员不清楚特权用户对数据库进行过何种操作,2/3,的成员不能有效防止特权用户对数据库的非授权访问,85%,的成员将真实数

5、据不加防范地交与开发人员或第三方人员,将近一半的成员对其非特权用户访问敏感数据毫无措施,大多数成员都未能及时采取防范,SQL,注入的攻击,Source:2010 Independent Oracle User Group(IOUG)Data Security Survey,based on survey of 430 members.,XXXXX-XXXX,信息系统安全 等级保护实施指南（送审稿）,GBT 22239-2008,信息安全技术 信息系统安全等级保护基本要求,GBT 22240-2008,信息安全技术 信息系统安全等级保护定级指南,此外各行业风险相关的法律,/,法规日趋完善,5,.

6、银行业数据安全、法规遵从、及规避风险实施要点,关注领域,要点,相关法规,敏感数据,客户信息、账务信息以及产品信息,商业银行信息科技风险管理指引,第七条（十一）,2009-6-1,实时监控,不良贷款率前,5,名的银行分支机构和不良贷款余额在亿元以上的客户及拥有,5,家以上关联企业、合计贷款余额在亿元以上的集团客户,商业银行不良资产监测和考核暂行办法,-,银监会,流程管理,商业银行各级机构应当明确规定授信审查人、审批人之间的权限和工作程序，严格按照权限和程序审查、审批业务，不得故意绕开审查、审批人,商业银行内部控制指引,第三十八条,2007-7-3,操作日志,主机系统和数据库系统的操作日志至少保

7、留,6,个月,账务更改记录应保存,3,年。,中国人民银行关于加强银行数据集中安全工作的指导意见,银发,2002260,号,参与部门,商业银行数据中心、风险管理委员会、和审计委员会,商业银行合规风险管理指引,2006-10-25,商业银行数据中心监管指引,-,银监办发,2010114,号,6,.,电信业相关法规，新华社,2010,年,11,月,8,日,工业和信息化部已完成的,信息安全条例（报送稿）,对信息网络环境下法律主体的权利、义务，各种危害网络与信息系统安全行为，网络科技创新，加强国际兼容等内容作了规定,该条例针对当前规范信息安全的法律法规等数十部部门规章存在的内容分散、相互交叉甚至抵触的现

8、象，影响了立法效力和执法严肃性，对信息安全监督管理造成不利影响。为此需要制定一部内容综合、法律效力较高的法律或行政法规,该条例借鉴国际上针对信息安全的条例已形成完善的体系，无论是从企业信息安全的组织机构及相应职责、信息系统安全规范、到具体的落实要求都有着明确的规定，国际公认条例有：,SOX,即,萨班斯法案,COBIT,（,Control Objectives for Information and related Technology,）,PCI DSS,版本每两年修订一次，,PCI DSS 2.0,生效时间是,2011,年,ISO 27000,信息安全管理体系标准,总体上讲，条例强调信息安全

9、的加强立足于,预防为主,；即实时对信息安全的风险进行,监控,和审计评估,7,.,为什么说数据风险管理是企业的当务之急,从企业自身利益看，疏于风险管理意识可能给企业带来重大损失：,去年,11.30,电信诈骗案中跨国犯罪集团利用电信防范漏洞从国内银行客户手中骗走了,1.4,亿人民币,.,这一案例值得银行和电信业深思,据中国保监会,2010,年,7,月召开的“打三假”情况通报会披露的数据显示，自,2009,年,7,月,1,日至,2010,年,5,月底，保险业共发现和查处各类假冒保险机构案件,32,起，涉及保费,1804,万元；各类假冒保单,20,万余份，涉及保费,8220,万元；各类虚假赔案,160

10、00,余件，涉及保费,4.19,亿元；全行业向公安机关移交并已立案侦查的“三假”案件,149,起,全球各大媒体,(,包括,CCTV)2010,年,3,月,11,日纷纷报道,:,汇丰银行因内部,IT,员工盗窃客户资料,损失重大,.,在受到侵害的,2.4,万客户中,已有,9,千名白金资格以上的客户离开了汇丰银行,8,.,Guardium,提供分类、评估、监控、审计共四类功能,9,.,10,企业如何做？一句话，把监控引入风险防范机制,Time,实施监控前,实施监控后,监控意味着实时报警及异常状况的跟踪，,监控能有效地降低特权用户对数据库的非授权访问和异常敏感数据操作,异常数据库活动曲线,正常数据库活

11、动曲线,10,.,Guardium,非入侵式数据库活动监控,(DAM),架构,综述,:,流量是数据库活动的载体，在流量中捕获相关的数据库操作，并加工整理成正交化可视信息，用以适时保留、实时报警、事件跟踪、及数据库安全隐患分析等。因为是旁路方式捕获数据库操作，所以对系统性能没有影响。,用途,:,根据安全治理原则，数据库安全是由监测、解析、控制、和审计等过程共同完成的。无论数据库操作源于那种渠道，网络或本机，安全方案都要求对正在发生的和因安全漏洞而可能发生的操作进行有效的控制和操作审计。数据库操作包括：查询敏感数据、改变表定义,(DDL),、数据操作,(DML),、例外操作,(Failed log

12、ins,SQL errors,etc.),、授权变更,(DCL),。,E-Business Suite,Switch or TAP,Guardium S-TAPs for local access monitoring(shared memory,BEQ,named pipes,etc.),Guardium network monitoring appliance&audit repository,非入侵、,网络旁路的方式,可供事件后鉴证分析的审计纪录,跨平台和集中管理,职责分工,Custom apps,11,.,3.,加固,执行安全建议,如,:,安全补丁,数据库安全,2.,弱点和配置评估,评

13、估数据库漏洞和配置缺陷,6.,审计报告,-,针对合规要求,如,:SOX,预先配置报告，自动化整个遵从性审计流程，包括向监督团队分发报告、报告签署和上报,7.,认证、访问控制及权限管理,-,确保每个用户拥有权限赋予访问范畴，并通过管理特权来限制对数据的访问,4.,安全,策略,-,设置,黄金,安全基线，实时获取各种数据库操作信息,5.,活动监控,-,监控敏感数据访问、特权用户行为、变更控制、应用用户活动和安全性异常（比如登录失败），并实施对应安全策略,如实时报警,1.,发现,-,定位和分类企业数据库中的敏感信息,8.,加密,-,使用加密技术呈现敏感数据，阻止攻击者从数据传输过程中获取信息,数据库风

14、险管理最佳实践,12,.,GUARDIUM,数据库操作流量导向方式,镜像导入,(SPAN):,在端口,A,和端口,B,之间建立镜像关系，通过端口,A,传输的数据将同时复制到端口,B,，以便于在端口,B,上连接监控设备,S-TAP:,软件分路器,工作原理同上。灵活性、可拓展性更高，且对网络拓扑和数据库设置无影响,13,.,Guardium,能在最短时间内使企业监控到以下场景,谁在修改、删除数据？,何时发生过非法数据访问、篡改,?,DBA,或其他外部人员正在对数据库做什么操作,?,某段时间内发生过多少次失败的数据库登录,?,谁在读取书库中的信用卡数据,?,敏感数据正在被哪个网络节点访问,?,哪些敏

15、感数据正在被哪些应用程序访问,?,敏感数据正在被以何种方式访问,?,每天的各个时间段内，数据都在以什么样的访问模式被访问着,?,数据库正在产生什么样的错误,?,SQL,注入式攻击在何时由谁发起,?,14,.,基于监控信息分析,Gardium,进而帮助企业应对风险挑战,管理安全的复杂性,涵盖所有,DBMS,平台和应用系统单一的解决方案,自动化和中央化的控制,易于扩容的多层架构,防止内部人员偷窃,实时监控和报警,持续不断、细微的审计,(logging),数据层存取控制,(S-GATE),控制对系统和数据的访问,对特权用户的监测,对应用系统用户的监测,(,防范欺诈做假,),关于权限的报表,Entit

16、lement reports,防止外部攻击对数据的破坏,确立基线,评估薄弱环节,针对数据库的分析,数据发现和分类,满足合规的要求,反映最佳做法的报表,(SOX,PCI,OMB,数据隐私,),自动化的审批签发、评论和问题升级,安全和跨越不同数据库系统的审计资料库,强制执行安全规范,由,IT,安全人员管理的详尽的规范,易于自定义,同,SIEM,产品的整合,主要挑战,Guardium,如何应对,15,.,为什么,Guardium,能为企业提供最优投资回报率（,ROI,）,Other,Guardium,16,.,Guardium,最优投资回报率是如何实现的,风险管理需求,IBM Guardium,10

17、0%,的审计监控能力,无监控死角，完全监控源自网络、数据库服务器、或堡垒机的各种操作,应用系统用户的监控,监控颗粒度能做到通过连接池操作的用户,ID,与,SIEM(SOC),系统集成,SYSLOG,通道实时集成其他监控系统,审计流程自动化,工作流引擎使审计效率提升,40%,非常操作阻断,阻断可使数据泄漏风险降至最低,对生产系统影响小,无须变更网络拓扑、数据库配置、及过量系统存储。较文件方式节约至少,90%,存储空间,客户化报告工作量少,报告由数据库数据直接提供，效率提升,60%,企业级无缝拓展能力,无论项目实施范围是,1,台或数千台数据库，企业均可统一管理部署各环节。例如：策略、报告、和传输加

18、密,17,.,Guardium,在全球（包括中国）各行业均有应用,金融,:,世界五大银行、最大的信用卡公司、最大的公共基金公司,保险,:,全球最大的五个保险公司中的三个,零售业,:,全球三大零售商中的两个,制造业,:,最大饮料食品集团、,PC,制造商之一和最大的汽车制造商,能源,:,美国国家电网集团,电信,:,15,个全球主要的电信运营商,交通,:,主要铁路集团、航空公司和飞机场,政府,:,美国和其它几个国家的政府机构,医疗卫生,:,主要医疗服务机构之一,媒体,:,美国主要媒体集团之一,18,.,Guardium,案例,项目实施状况,客户背景,近年来随着国家法规建设的加强，集团面临越来越大的适

19、时提供真实审计报告的压力。以往靠手工操作编制报告的方式不仅费时费力，远远难以满足集团经营宗旨的要求。,在集团信息安全总裁（,CSO,）的领导下，,2009,年开始部署,IBM Guardium,数据库安全监控方案。,第一期，对财务系统，人力资源系统，等安全审计,第二期，对产险数据库和,AS400,系统审计,第三期，证券系统,寿险数据库审计,(,计划中,),该集团业务覆盖保险、投资、及银行各领域，集团总资产为人民币,9357,亿元，权益总额为人民币,917,亿元。,2008,年进入,财富,世界,500,强，依法经营创造阳光利润是集团的核心宗旨,数据操作信息保存完整，信息颗粒度高,数据操作信息查询

20、简易，生成审计报告效率高,无须变更集团现有网络拓扑和数据库配置，易实施,企业级拓展性高，便于集团统一部署安全策略和报告汇总,单一方案覆盖信息采集、解析、存储、查询、及工作流管理等功能,Why Guardium,客户,XX,金融集团公司,项目,数据库安全监控,软件,IBM InfoSphere Guardium,部署方式,S-TAP,Span Port,项目简介,项目需求,开发人员及维护人员近千人，监管难度大,现有数据库审计依靠,DBA,开发脚本，工作量大、维护成本高,数据库审计产品要支持异构平台，如,Oracle,MSSQL,集中管理，可以由安全部门策略分发,监控通过,Oracle Beque

21、ath,及,Shared Memory,协议进行的数据库操作,与现有的变更管理，网管系统，,LDAP,OID,等整合,支持对,PEOPLESOFT,等应用帐号的识别,敏感数据保护,如客户信息、机构信息、及保单信息,对外包商，运维，开发等特权用户实时审计,可定制阻止重大违规策略,IT,运维环境,:,数据中心在深圳，备份中心在上海,服务器有,1000+,台,(IBM,SUN,HP),数据库有,ORACLE,SYBASE,DB2,SQLSERVER,企业应用有,PEOPLESOFT,，财险，寿险等,19,.,企业数据风险管理迫切性评估,问题,评分,1,DBA,在企业数据安全中的职责是什么？,2,企业关注数据安全的部门有那些？,3,企业有那些数据安全相关的规章制度？,4,企业是否已责成专职人员管理数据安全？,5,企业是否出现过数据安全事故？如：数据泄露、,SQL,注入攻击等,6,企业安全审计的进程如何？有量化报告需求吗？,7,企业风险管理举措现状？如：,4A,、,SIEM,、终端安全项目等,8,企业执行,企业内部控制基本规范,的部门和现状？,9,企业使用的数据库种类？,DB2,、,ORACLE,等,10,企业数据中心的规模？单机房、多机房、异地机房情况,20,.,谢谢观看！,