數(shù)據(jù)風(fēng)險(xiǎn)管理實(shí)踐與最佳典范SWG KOI01 Guardium (for Cx LOB pitch)

1、IBM Corporation數(shù)據(jù)風(fēng)險(xiǎn)管理實(shí)踐與最佳典范IBM Software Group | Information ManagementIBM Corporation企業(yè)風(fēng)險(xiǎn)管理演進(jìn)路徑法規(guī)管理（Policy Mgmt）審計(jì)檢查（Audit and testing）評(píng)價(jià)與報(bào)告（Dashboard and analytics）評(píng)價(jià)與持續(xù)改進(jìn)閉環(huán)執(zhí)行監(jiān)控（Business/IT control enforcement）外部監(jiān)管條例內(nèi)部制度規(guī)范管理策略維護(hù)管理策略比較策略全景視圖最佳實(shí)踐與案例基線設(shè)置訪問控制日志分析事件管理流程管理規(guī)則管理風(fēng)險(xiǎn)評(píng)估審計(jì)計(jì)劃管理審計(jì)作業(yè)管理審計(jì)發(fā)現(xiàn)跟蹤審計(jì)模板管

2、理審計(jì)資源管理管理視圖統(tǒng)計(jì)分析內(nèi)外部報(bào)告有效性評(píng)價(jià)合規(guī)情況披露外部監(jiān)管溝通業(yè)務(wù)整改閉環(huán)體系整改閉環(huán)1234IBM Software Group | Information ManagementIBM Corporation風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理識(shí)別、評(píng)估、報(bào)告和選擇如何識(shí)別、評(píng)估、報(bào)告和選擇如何管理風(fēng)險(xiǎn)，達(dá)成目標(biāo)管理風(fēng)險(xiǎn)，達(dá)成目標(biāo)合規(guī)合規(guī)遵守決策及政策要求遵守決策及政策要求的過程的過程治理治理建立決策權(quán)和制定政策的建立決策權(quán)和制定政策的過程過程企業(yè)風(fēng)險(xiǎn)管理要素（GRC）、現(xiàn)狀、及相關(guān)部門各行業(yè)對(duì)風(fēng)險(xiǎn)管理的認(rèn)知度差異很大，但均有不同部門關(guān)注風(fēng)險(xiǎn)管理的不同層次許多企業(yè)已成立或醞釀成立統(tǒng)一的部門管理風(fēng)險(xiǎn)及

3、信息安全，該部門的工作重點(diǎn)不在IT系統(tǒng)建設(shè)而是IT系統(tǒng)治理，在治理中為企業(yè)打造法規(guī)遵從和風(fēng)險(xiǎn)管理的統(tǒng)一各企業(yè)在前期IT風(fēng)險(xiǎn)防范舉措多在于網(wǎng)絡(luò)、防火墻、物理監(jiān)控、事后審計(jì)等。目前業(yè)界普遍對(duì)有效的數(shù)據(jù)庫監(jiān)控技術(shù)缺乏了解風(fēng)險(xiǎn)管理/信息安全部運(yùn)維/數(shù)據(jù)庫管理審計(jì)部門IBM Software Group | Information ManagementIBM Corporation70%以上IT風(fēng)險(xiǎn)屬操作風(fēng)險(xiǎn)，其最大漏洞在數(shù)據(jù)庫 隨著企業(yè)業(yè)務(wù)對(duì)IT系統(tǒng)的依賴程度越來越高，IT風(fēng)險(xiǎn)對(duì)業(yè)務(wù)風(fēng)險(xiǎn)的影響也越來越大。而IT風(fēng)險(xiǎn)中70%以上屬于操作風(fēng)險(xiǎn)，即由人工操作不當(dāng)（無意或故意）引起的風(fēng)險(xiǎn)。因此，有效地控制IT

4、風(fēng)險(xiǎn)，尤其是操作風(fēng)險(xiǎn)，對(duì)企業(yè)的安全運(yùn)營至關(guān)重要。 3/4的成員不清楚特權(quán)用戶對(duì)數(shù)據(jù)庫進(jìn)行過何種操作 2/3的成員不能有效防止特權(quán)用戶對(duì)數(shù)據(jù)庫的非授權(quán)訪問 85%的成員將真實(shí)數(shù)據(jù)不加防范地交與開發(fā)人員或第三方人員 將近一半的成員對(duì)其非特權(quán)用戶訪問敏感數(shù)據(jù)毫無措施 大多數(shù)成員都未能及時(shí)采取防范SQL注入的攻擊Source: 2010 Independent Oracle User Group (IOUG) Data Security Survey, based on survey of 430 members. http:/ Software Group | Information Managem

5、entIBM Corporation法規(guī)遵從已成為企業(yè)風(fēng)險(xiǎn)管理的強(qiáng)大推動(dòng)力 經(jīng)歷近10年的努力，信息系統(tǒng)安全等級(jí)保護(hù)已成為指導(dǎo)企業(yè)IT建設(shè)中治理風(fēng)險(xiǎn)較完善的帶有強(qiáng)制性的法規(guī)體系。在12.5期間有計(jì)劃地得以落實(shí)是必然趨勢(shì) GBT XXXXX-XXXX 信息系統(tǒng)安全 等級(jí)保護(hù)實(shí)施指南（送審稿） GBT 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 GBT 22240-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南 此外各行業(yè)風(fēng)險(xiǎn)相關(guān)的法律/法規(guī)日趨完善IBM Software Group | Information ManagementIBM Corporation銀行業(yè)

6、數(shù)據(jù)安全、法規(guī)遵從、及規(guī)避風(fēng)險(xiǎn)實(shí)施要點(diǎn)關(guān)注領(lǐng)域要點(diǎn)相關(guān)法規(guī)敏感數(shù)據(jù)客戶信息、賬務(wù)信息以及產(chǎn)品信息商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引第七條（十一） 2009-6-1實(shí)時(shí)監(jiān)控不良貸款率前5名的銀行分支機(jī)構(gòu)和不良貸款余額在億元以上的客戶及擁有5家以上關(guān)聯(lián)企業(yè)、合計(jì)貸款余額在億元以上的集團(tuán)客戶商業(yè)銀行不良資產(chǎn)監(jiān)測(cè)和考核暫行辦法 -銀監(jiān)會(huì)流程管理商業(yè)銀行各級(jí)機(jī)構(gòu)應(yīng)當(dāng)明確規(guī)定授信審查人、審批人之間的權(quán)限和工作程序，嚴(yán)格按照權(quán)限和程序?qū)彶?、審批業(yè)務(wù)，不得故意繞開審查、審批人 商業(yè)銀行內(nèi)部控制指引第三十八條 2007-7-3 操作日志主機(jī)系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的操作日志至少保留6個(gè)月,賬務(wù)更改記錄應(yīng)保存3年。中國人民銀行

7、關(guān)于加強(qiáng)銀行數(shù)據(jù)集中安全工作的指導(dǎo)意見銀發(fā)2002260號(hào)參與部門商業(yè)銀行數(shù)據(jù)中心、風(fēng)險(xiǎn)管理委員會(huì)、和審計(jì)委員會(huì)商業(yè)銀行合規(guī)風(fēng)險(xiǎn)管理指引2006-10-25商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引-銀監(jiān)辦發(fā)2010114號(hào)IBM Software Group | Information ManagementIBM Corporation電信業(yè)相關(guān)法規(guī)， 新華社2010年11月8日 工業(yè)和信息化部已完成的信息安全條例（報(bào)送稿）對(duì)信息網(wǎng)絡(luò)環(huán)境下法律主體的權(quán)利、義務(wù)，各種危害網(wǎng)絡(luò)與信息系統(tǒng)安全行為，網(wǎng)絡(luò)科技創(chuàng)新，加強(qiáng)國際兼容等內(nèi)容作了規(guī)定 該條例針對(duì)當(dāng)前規(guī)范信息安全的法律法規(guī)等數(shù)十部部門規(guī)章存在的內(nèi)容分散、相互交叉

8、甚至抵觸的現(xiàn)象，影響了立法效力和執(zhí)法嚴(yán)肅性，對(duì)信息安全監(jiān)督管理造成不利影響。為此需要制定一部內(nèi)容綜合、法律效力較高的法律或行政法規(guī) 該條例借鑒國際上針對(duì)信息安全的條例已形成完善的體系，無論是從企業(yè)信息安全的組織機(jī)構(gòu)及相應(yīng)職責(zé)、信息系統(tǒng)安全規(guī)范、到具體的落實(shí)要求都有著明確的規(guī)定，國際公認(rèn)條例有：SOX即薩班斯法案 COBIT（Control Objectives for Information and related Technology） PCI DSS版本每兩年修訂一次，PCI DSS 2.0生效時(shí)間是2011年 ISO 27000信息安全管理體系標(biāo)準(zhǔn) 總體上講，條例強(qiáng)調(diào)信息安全的加強(qiáng)立足于

9、預(yù)防為主；即實(shí)時(shí)對(duì)信息安全的風(fēng)險(xiǎn)進(jìn)行監(jiān)控和審計(jì)評(píng)估IBM Software Group | Information ManagementIBM Corporation為什么說數(shù)據(jù)風(fēng)險(xiǎn)管理是企業(yè)的當(dāng)務(wù)之急從企業(yè)自身利益看，疏于風(fēng)險(xiǎn)管理意識(shí)可能給企業(yè)帶來重大損失： 去年11.30電信詐騙案中跨國犯罪集團(tuán)利用電信防范漏洞從國內(nèi)銀行客戶手中騙走了1.4億人民幣.這一案例值得銀行和電信業(yè)深思 據(jù)中國保監(jiān)會(huì)2010年7月召開的“打三假”情況通報(bào)會(huì)披露的數(shù)據(jù)顯示，自2009年7月1日至2010年5月底，保險(xiǎn)業(yè)共發(fā)現(xiàn)和查處各類假冒保險(xiǎn)機(jī)構(gòu)案件32起，涉及保費(fèi)1804萬元；各類假冒保單20萬余份，涉及保費(fèi)822

10、0萬元；各類虛假賠案16000余件，涉及保費(fèi)4.19億元；全行業(yè)向公安機(jī)關(guān)移交并已立案?jìng)刹榈摹叭佟卑讣?49起 全球各大媒體(包括CCTV)2010年3月11日紛紛報(bào)道:匯豐銀行因內(nèi)部IT員工盜竊客戶資料,損失重大.在受到侵害的2.4萬客戶中,已有9千名白金資格以上的客戶離開了匯豐銀行IBM Software Group | Information ManagementIBM CorporationGuardium提供分類、評(píng)估、監(jiān)控、審計(jì)共四類功能IBM Software Group | Information ManagementIBM Corporation10企業(yè)如何做？一句話，把監(jiān)

11、控引入風(fēng)險(xiǎn)防范機(jī)制Time實(shí)施監(jiān)控前實(shí)施監(jiān)控后監(jiān)控意味著實(shí)時(shí)報(bào)警及異常狀況的跟蹤，監(jiān)控能有效地降低特權(quán)用戶對(duì)數(shù)據(jù)庫的非授權(quán)訪問和異常敏感數(shù)據(jù)操作異常數(shù)據(jù)庫活動(dòng)曲線正常數(shù)據(jù)庫活動(dòng)曲線IBM Software Group | Information ManagementIBM CorporationGuardium非入侵式數(shù)據(jù)庫活動(dòng)監(jiān)控(DAM)架構(gòu) 綜述:流量是數(shù)據(jù)庫活動(dòng)的載體，在流量中捕獲相關(guān)的數(shù)據(jù)庫操作，并加工整理成正交化可視信息，用以適時(shí)保留、實(shí)時(shí)報(bào)警、事件跟蹤、及數(shù)據(jù)庫安全隱患分析等。因?yàn)槭桥月贩绞讲东@數(shù)據(jù)庫操作，所以對(duì)系統(tǒng)性能沒有影響。 用途:根據(jù)安全治理原則，數(shù)據(jù)庫安全是由監(jiān)測(cè)、解析

12、、控制、和審計(jì)等過程共同完成的。無論數(shù)據(jù)庫操作源于那種渠道，網(wǎng)絡(luò)或本機(jī)，安全方案都要求對(duì)正在發(fā)生的和因安全漏洞而可能發(fā)生的操作進(jìn)行有效的控制和操作審計(jì)。數(shù)據(jù)庫操作包括：查詢敏感數(shù)據(jù)、改變表定義 (DDL) 、數(shù)據(jù)操作 (DML)、例外操作(Failed logins, SQL errors, etc.)、授權(quán)變更 (DCL)。E-Business SuiteSwitch or TAPGuardium S-TAPs for local access monitoring (shared memory, BEQ, named pipes, etc.)Guardium network monitor

13、ing appliance & audit repository非入侵、網(wǎng)絡(luò)旁路的方式可供事件后鑒證分析的審計(jì)紀(jì)錄跨平臺(tái)和集中管理 職責(zé)分工Custom appsIBM Software Group | Information ManagementIBM Corporation3.加固執(zhí)行安全建議,如:安全補(bǔ)丁2.弱點(diǎn)和配置評(píng)估評(píng)估數(shù)據(jù)庫漏洞和配置缺陷 6.審計(jì)報(bào)告-針對(duì)合規(guī)要求,如:SOX,預(yù)先配置報(bào)告，自動(dòng)化整個(gè)遵從性審計(jì)流程，包括向監(jiān)督團(tuán)隊(duì)分發(fā)報(bào)告、報(bào)告簽署和上報(bào) 7.認(rèn)證、訪問控制及權(quán)限管理-確保每個(gè)用戶擁有權(quán)限賦予訪問范疇，并通過管理特權(quán)來限制對(duì)數(shù)據(jù)的訪問 4.安全策略-設(shè)置

14、黃金安全基線，實(shí)時(shí)獲取各種數(shù)據(jù)庫操作信息5.活動(dòng)監(jiān)控-監(jiān)控敏感數(shù)據(jù)訪問、特權(quán)用戶行為、變更控制、應(yīng)用用戶活動(dòng)和安全性異常（比如登錄失?。?shí)施對(duì)應(yīng)安全策略,如實(shí)時(shí)報(bào)警1.發(fā)現(xiàn)-定位和分類企業(yè)數(shù)據(jù)庫中的敏感信息 8.加密-使用加密技術(shù)呈現(xiàn)敏感數(shù)據(jù)，阻止攻擊者從數(shù)據(jù)傳輸過程中獲取信息數(shù)據(jù)庫風(fēng)險(xiǎn)管理最佳實(shí)踐IBM Software Group | Information ManagementIBM CorporationGUARDIUM數(shù)據(jù)庫操作流量導(dǎo)向方式 鏡像導(dǎo)入(SPAN): 在端口A和端口B之間建立鏡像關(guān)系，通過端口A傳輸?shù)臄?shù)據(jù)將同時(shí)復(fù)制到端口B，以便于在端口B上連接監(jiān)控設(shè)備 S-TAP:

15、 軟件分路器,工作原理同上。靈活性、可拓展性更高，且對(duì)網(wǎng)絡(luò)拓?fù)浜蛿?shù)據(jù)庫設(shè)置無影響IBM Software Group | Information ManagementIBM CorporationGuardium能在最短時(shí)間內(nèi)使企業(yè)監(jiān)控到以下場(chǎng)景 誰在修改、刪除數(shù)據(jù)？ 何時(shí)發(fā)生過非法數(shù)據(jù)訪問、篡改? DBA或其他外部人員正在對(duì)數(shù)據(jù)庫做什么操作? 某段時(shí)間內(nèi)發(fā)生過多少次失敗的數(shù)據(jù)庫登錄? 誰在讀取書庫中的信用卡數(shù)據(jù)? 敏感數(shù)據(jù)正在被哪個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)訪問? 哪些敏感數(shù)據(jù)正在被哪些應(yīng)用程序訪問? 敏感數(shù)據(jù)正在被以何種方式訪問? 每天的各個(gè)時(shí)間段內(nèi)，數(shù)據(jù)都在以什么樣的訪問模式被訪問著? 數(shù)據(jù)庫正在產(chǎn)生什么

16、樣的錯(cuò)誤? SQL注入式攻擊在何時(shí)由誰發(fā)起?IBM Software Group | Information ManagementIBM Corporation基于監(jiān)控信息分析,Gardium進(jìn)而幫助企業(yè)應(yīng)對(duì)風(fēng)險(xiǎn)挑戰(zhàn)管理安全的復(fù)雜性 涵蓋所有DBMS平臺(tái)和應(yīng)用系統(tǒng)單一的解決方案 自動(dòng)化和中央化的控制 易于擴(kuò)容的多層架構(gòu)防止內(nèi)部人員偷竊 實(shí)時(shí)監(jiān)控和報(bào)警 持續(xù)不斷、細(xì)微的審計(jì) (logging) 數(shù)據(jù)層存取控制 (S-GATE)控制對(duì)系統(tǒng)和數(shù)據(jù)的訪問 對(duì)特權(quán)用戶的監(jiān)測(cè) 對(duì)應(yīng)用系統(tǒng)用戶的監(jiān)測(cè) (防范欺詐做假) 關(guān)于權(quán)限的報(bào)表Entitlement reports防止外部攻擊對(duì)數(shù)據(jù)的破壞 確立基線 評(píng)

17、估薄弱環(huán)節(jié) 針對(duì)數(shù)據(jù)庫的分析 數(shù)據(jù)發(fā)現(xiàn)和分類滿足合規(guī)的要求 反映最佳做法的報(bào)表 (SOX, PCI, OMB, 數(shù)據(jù)隱私) 自動(dòng)化的審批簽發(fā)、評(píng)論和問題升級(jí) 安全和跨越不同數(shù)據(jù)庫系統(tǒng)的審計(jì)資料庫強(qiáng)制執(zhí)行安全規(guī)范 由IT安全人員管理的詳盡的規(guī)范 易于自定義 同SIEM產(chǎn)品的整合主要挑戰(zhàn)Guardium 如何應(yīng)對(duì)IBM Software Group | Information ManagementIBM Corporation為什么Guardium能為企業(yè)提供最優(yōu)投資回報(bào)率（ROI）OtherGuardiumIBM Software Group | Information ManagementIB

18、M CorporationGuardium最優(yōu)投資回報(bào)率是如何實(shí)現(xiàn)的風(fēng)險(xiǎn)管理需求IBM Guardium100%的審計(jì)監(jiān)控能力無監(jiān)控死角，完全監(jiān)控源自網(wǎng)絡(luò)、數(shù)據(jù)庫服務(wù)器、或堡壘機(jī)的各種操作應(yīng)用系統(tǒng)用戶的監(jiān)控監(jiān)控顆粒度能做到通過連接池操作的用戶ID與SIEM(SOC)系統(tǒng)集成SYSLOG通道實(shí)時(shí)集成其他監(jiān)控系統(tǒng)審計(jì)流程自動(dòng)化工作流引擎使審計(jì)效率提升40%非常操作阻斷阻斷可使數(shù)據(jù)泄漏風(fēng)險(xiǎn)降至最低對(duì)生產(chǎn)系統(tǒng)影響小無須變更網(wǎng)絡(luò)拓?fù)洹?shù)據(jù)庫配置、及過量系統(tǒng)存儲(chǔ)。較文件方式節(jié)約至少90%存儲(chǔ)空間客戶化報(bào)告工作量少報(bào)告由數(shù)據(jù)庫數(shù)據(jù)直接提供，效率提升60%企業(yè)級(jí)無縫拓展能力無論項(xiàng)目實(shí)施范圍是1臺(tái)或數(shù)千臺(tái)數(shù)據(jù)庫

19、，企業(yè)均可統(tǒng)一管理部署各環(huán)節(jié)。例如：策略、報(bào)告、和傳輸加密IBM Software Group | Information ManagementIBM CorporationGuardium在全球（包括中國）各行業(yè)均有應(yīng)用金融: 世界五大銀行、最大的信用卡公司、最大的公共基金公司保險(xiǎn): 全球最大的五個(gè)保險(xiǎn)公司中的三個(gè)零售業(yè): 全球三大零售商中的兩個(gè) 制造業(yè): 最大飲料食品集團(tuán)、PC制造商之一和最大的汽車制造商能源: 美國國家電網(wǎng)集團(tuán)電信: 15個(gè)全球主要的電信運(yùn)營商交通: 主要鐵路集團(tuán)、航空公司和飛機(jī)場(chǎng)政府: 美國和其它幾個(gè)國家的政府機(jī)構(gòu)醫(yī)療衛(wèi)生: 主要醫(yī)療服務(wù)機(jī)構(gòu)之一媒體: 美國主要媒體集團(tuán)

20、之一IBM Software Group | Information ManagementIBM CorporationGuardium案例項(xiàng)目實(shí)施狀況項(xiàng)目實(shí)施狀況客戶背景客戶背景近年來隨著國家法規(guī)建設(shè)的加強(qiáng)，集團(tuán)面臨越來越大的適時(shí)提供真實(shí)審計(jì)報(bào)告的壓力。以往靠手工操作編制報(bào)告的方式不僅費(fèi)時(shí)費(fèi)力，遠(yuǎn)遠(yuǎn)難以滿足集團(tuán)經(jīng)營宗旨的要求。在集團(tuán)信息安全總裁（CSO）的領(lǐng)導(dǎo)下，2009年開始部署IBM Guardium數(shù)據(jù)庫安全監(jiān)控方案。第一期，對(duì)財(cái)務(wù)系統(tǒng)，人力資源系統(tǒng)，等安全審計(jì)第二期，對(duì)產(chǎn)險(xiǎn)數(shù)據(jù)庫和AS400系統(tǒng)審計(jì)第三期，證券系統(tǒng),壽險(xiǎn)數(shù)據(jù)庫審計(jì)(計(jì)劃中)該集團(tuán)業(yè)務(wù)覆蓋保險(xiǎn)、投資、及銀行各領(lǐng)域，集團(tuán)總資產(chǎn)為人民幣9357億元，權(quán)益總額為人民幣917億元。2008年進(jìn)入財(cái)富世界500強(qiáng)，依法經(jīng)營創(chuàng)造陽光利潤是集團(tuán)的核心宗旨 數(shù)據(jù)操作信息保存完整，信息顆粒度高數(shù)據(jù)操作信息查詢簡易，生成審計(jì)報(bào)告效率高無須變更集團(tuán)現(xiàn)有網(wǎng)絡(luò)拓?fù)浜蛿?shù)據(jù)庫配置，易實(shí)施企業(yè)級(jí)拓展性高，便于集團(tuán)統(tǒng)一部署安全策略和報(bào)告匯總單一方案覆蓋信息采集、解析、存儲(chǔ)、查詢、及工作流管理等功能 Why Guardium客戶XX金融集團(tuán)公司項(xiàng)目數(shù)據(jù)庫安全監(jiān)控 軟