身份管理和敏感数据的安全访问

InsertPictureHere身份管理和敏感数据的安全访问-关乎企业信息安全TimothySiu蕭文豪大中华区安全解决方案高级经理演讲提纲•业务驱动因素•安全性对企业的重要性•加强信息的安全性•确保管理软件和用户安全•确保Web服务安全•确保数据安全•证明合规性演讲提纲•业务驱动因素•安全性对企业的重要性•加强信息的安全性•确保管理软件和用户安全•确保Web服务安全•确保数据安全•证明合规性安全性如今已成为一个业务问题•不再只是一个技术问题•安全漏洞会影响企业的盈利水平•在线金融服务——为用户提供轻松的访问并可挖掘企业潜能，但……•同时可带来更高的业务风险•安全性威胁的复杂性和严重性显著提高•公司治理和隐私法规强调了严格的安全性控制企业的信息安全性已发生了改变1996•黑客爱好者•网站破坏•病毒•不频繁的攻击2006•罪犯•IP盗窃•身份盗窃•持续的威胁安全漏洞如今成为头版新闻安全漏洞造成的后果资产损失名誉损失“市场风险”客户忠诚度降低收入减少“21%的企业担心安全漏洞会导致其股票价格下跌”——2006年4月Forrester公司的报告“将数据保护优先权与风险控制相协调”监管机构干预法规要求不断增多•美国•健康保险可携性及责任性法案(HIPAA)•联邦法规第21章第11部分•总统管理与预算局公告A-123•美国证交会和国防部的记录保留要求•美国爱国者法案•Gramm-Leach-Bliley法案•美国联邦量刑指南•美国反海外腐败法•关于市场工具的第52款（加拿大）欧洲、中东和非洲•欧盟隐私法令•英国公司法•危害物质限用指令(ROHS/WEE)亚太地区•J-SOX（日本）•CLERP9：审计改革和公司信息披露法案（澳大利亚）•泰国股票交易所关于公司治理的规定全球•国际会计准则•新巴塞尔协议（针对全球企业）•OECD公司治理原则•个人卡信息数据安全标准中国版萨班斯法案倒计时企业内控进关键时刻(财经时报8/10/2006)•6月5日上海证券交易所出台《上市公司内部控制指引》•9月28日，深圳证券交易所公布《上市公司内部控制指引》的文件规定：深市主板上市公司自该日至2007年6月30日期间，必须建立起完备的内部控制制度，在2007年7月1日文件正式生效后，上市公司均要按要求披露内控制度制订和实施情况。•“国资委近期将出台中央企业内部控制管理办法、内部控制评估管理办法，并最终探索出适应中国国情的企业内部控制和风险管理的制度体系”(9月27日上午，国资委副秘书长兼统计评价局局长孟建民在一个公开场合做出上述表示)安全性管理是一种预防性控制•安全控制可加强对法规的遵守，以满足新的隐私和公司治理法规（萨班斯-奥克斯利法案、健康保险可携性及责任性法案、Gramm-Leach-Bliley法案、支付卡行业数据安全标准等）的要求。•从手动方式转变为自动化方式•从检测性法规遵守控制转变为预防性控制•自动化预防控制可降低遵守法规的成本•自动执行职责分离•自动化的证明•自动化的审计和报表编制演讲提纲•业务驱动因素•安全性对企业的重要性•加强信息的安全性•确保管理软件和用户安全•确保Web服务安全•确保数据安全•证明合规性遵守法规企业安全性层次结构网络周边管理软件Web服务数据关注信息安全性“截至2007年，在企业安全性方面的新开支将有40%直接投入到数据安全性问题上，而不是网络周边安全性上”——2005年8月Gartner公司的报告“机构必须实施有效的数据安全性策略”“最普通的进攻方式是被授权的用户利用他们的权限做案，39%的数据被盗事件采用的是这种方式。”——2006年4月Forrester公司的报告“将数据保护优先权与风险控制相协调”1.确保管理软件安全2.确保Web服务安全3.确保数据安全4.证明合规性信息安全性的层次结构网络周边管理软件Web服务数据遵守法规安全性是Oracle的核心•从构建软件之初，就将安全性牢记在心•在安全性方面连续创造第一•第一个值得信任的数据库——1990•第一个网络加密——1995•第一个生物特性认证——1996•第一个静止数据加密——1998•第一个超级用户访问限制——2006•在安全性方面始终保持领先演讲提纲•业务驱动因素•安全性对企业的重要性•加强信息安全性•确保管理软件和用户安全•确保Web服务安全•确保数据安全•证明合规性挑战：执行访问控制•安全性策略分散•过多的用户ID和密码•孤立的账户•过期的访问权限•缺少综合审计和责任制•密码被盗•手动身份信息供给请求流程容易出错•网络管理员不了解机构变革和角色的变更安全性和身份管理大多数企业进行访问控制的传统方法业务领域业务领域业务实体业务角色员工客户供应商/合作伙伴政策/角色政策/角色政策/角色政策/角色企业管理软件公司门户文件和打印件LotusNotes/Outlook大型机用户ITIT领域领域目录数据库操作系统企业管理软件公司门户文件和打印件LotusNotes/Outlook大型机TIM/TAMIBM目录服务器MicrosoftAD微软网络服务Oracle单一登录安全性和身份管理Oracle单一业务实体业务实体业务角色员工客户供应商/合作伙伴Oracle互联网目录数据平台““安全性是业务流程的产物安全性是业务流程的产物””Oracle身份管理确保对企业系统的安全访问•集中的安全性和政策管理•在整个机构执行一致的政策•对用户、访问权限、审计数据拥有企业范围的可视性•自动身份信息供给/撤销•基于角色的用户身份信息供给和撤销•由用户角色变更触发自动更新•单一登录，授权管理•减少密码泄漏•将政策管理授予企业所有者•跨各个企业的联邦访问•与合作伙伴进行安全、价格合理的身份集成网络操作系统/目录操作系统(Unix)系统和信息库管理软件ERPOCRM人力资源大型机员工IT员工萨班斯-奥克斯利法案管理软件合作伙伴外部萨班斯-奥克斯利法案管理软件客户内部身份管理服务工作流和编排工作流和编排审计和报表审计和报表编制编制目录服务目录服务身份信息供给身份信息供给监控监控和管理和管理访问管理访问管理身份管理身份管理数据抽象层数据抽象层多渠道贷款Oracle身份管理（iDM）自助式密码重设和访问管理提供员工和承包商数据（近期或实时）平台企业环境中的身份管理利用Oracle身份管理确保企业内部的安全性将管理软件和平台的身份信息供给、撤销和核对流程自动化核心企业系统管理软件（不采用目录认证方式）物理安全现有目录管理大楼出入证件单一目录信息视图员工授权的来源和员工主文件公司人力资源管理系统首席安全官和审计人员审计和报表审计和报表编制编制授权存储授权存储身份信息供给身份信息供给虚拟目录虚拟目录访问管理访问管理物理安全物理安全身份管理弥补了法规遵守方面的不足实现遵守萨班斯-奥克斯利法案的途径•执行职责分离•限制访问•自动化访问管理•自动化证明和审计报表编制•证明企业部署了内部控制且其正发挥作用综述身份管理的好处•加强保安•降低管理成本•单点登录,重置密码,授管理,用户自服务,自动供应預配•IT服务台成本能降低$420每用户每年•身份預配能做到每年$1250投資回报*•加强过程的合规性•职责分离、执行隐私政策、审核汇总•提高用户友善体验身份管理項目遠不止技术实施–它能帶來的真正商业价值包括减少固有成本,提高经营效率,符合法规要求.Averagenumberofidentitiesperindividualuserisbetween6-8动怸身份管理及访问控制甲骨文企业安全及身份管理产品優勢应用為本身份管理完备•滿足所有重點要求•具备所有必須組件熱插拔及開放式•支持所有主流平台,中間件及应用•支持公開標準应用為本•服务導向架構平台的基石–開發及部署•跟业务应用整合甲骨文身份管理LeadingPortals&ApplicationsLeadingDirectories,OS,DBs,App-ServersOracleFederationOracleAccessManagerOracleIdentityManagerOracleWebServicesManagerOracleVirtualDirectoryOracleDirectoryServices用戶目录服务(LDAP服务)虚拟目录服务安全Web服务用戶賬戶預配加強從外部跨域对系統访问的安全控制单点登录审计、法规遵循报表•一流的全球化投资企业，“财富”排名第113位•提供的价值：访问权限可视性和控制•实际部署情况：•22,000名用户•管理650种资源，高峰时期每周最多添加10种资源•管理内容：AD、NT、Exchange5.5/2000、Java目录、Unix、资源访问控制设施(RACF)、Oracle数据库、Sybase、RSA认证管理器、ClearTrust、CiscoVPN、CiscoACS•自2003年2月开始投入使用•荣获嘉奖的部署雷曼兄弟公司案例研究身份管理客户安全性和身份管理——部分客户金融服务其他演讲提纲•业务驱动因素•安全性对企业的重要性•加强信息的安全性•确保管理软件和用户安全•确保Web服务安全•确保数据安全•证明合规性挑战：保护Web服务•利用面向服务的架构（SOA）提供的业务逻辑和数据•可通过HTTP轻松访问•可通过防火墙•通常是纯文本数据•对Web服务执行访问控制•最终用户或其他Web服务器•监控和审计Web服务的交互活动•对整个企业范围内的服务执行一致的安全性策略OracleWeb服务管理器•对web服务执行安全性策略•认证和授权——类似于人类用户•集中的策略管理，并按当地具体情况执行•审计和监控•记录Web服务交互活动•通过信息显示板进行监控•互操作•支持的标准：JAAS、JACC、Web服务安全性•支持.Net和J2EEWeb服务演讲提纲•业务驱动因素•安全性对企业的重要性•加强信息的安全性•确保企业管理软件和用户安全•确保Web服务安全•确保数据安全•证明合规性挑战：保护敏感的企业数据•对敏感数据的保护不够•具有很高权限的用户•访问控制限制的应用过于广泛•职责分离不清晰，如数据库管理员/安全组/IT/开发人员都具有数据库管理员的访问权限•环境复杂——界面和异构数据单一数据库实例财务数据库管理员财务数据客户数据贷款数据Oracle数据库Vault选件•首个限制授权用户访问的数据库安全性解决方案•创建数据保护区域并执行访问限制•创建并执行数据访问业务规则•时间和日期•IP地址•认证模式•为授权用户提供完成其工作所需的数据——而不提供任何其他数据拒绝访问拒绝访问加密：最后一道防线高级安全性选项•传输数据加密•无需更改管理软件•通过SQL进行加密/解密•可基于列进行加密•网络加密–使用标准算法进行本地加密安全备份•高效的低成本磁带备份•在数据离开数据库之前对其进行加密•以最快的速度将Oracle数据库备份到磁带对数据进行加密和存储对备份文件上的敏感数据进行加密数据在传输过程中进行加密“截至2007年末，80％的财富1000强企业将对大多数重要的‘静止数据’进行加密”——2004年3月，Gartner公司演讲提纲•业务驱动因素•安全性对企业的重要性•加强信息的安全性•确保管理软件和用户安全•确保Web服务安全•确保数据安全•证明合规性挑战：有效证明合规性•手动执行访问控制•孤立账户和未关闭账户广泛存在•与业务规则和IT访问相冲突•管理人员可以打开和关闭审计跟踪•基于每个系统生成审计日志•缺少涵盖整个企业范围的报表•所有系统中的安全性策略不一致安全性解决方案使企业能更轻松地遵守法规Oracle审计Vault选件实现企业范围的审计管理和报表编制Oracle身份管理OracleWeb服务管理器确保各个系统中安全策略的一致性Oracle身份管理OracleWeb服务管理器自动化访问管理Oracle数据库Vault选件Oracle高级安全性选项Oracle安全备份确保数据机密性Oracle身份管理Oracle数据库Vault选件执行职责分离ORACLE产品解决方案确保提供遵守法规的证明•确保审计数据完整性•Or