IBM数据治理解决方案—数据安全、合规及优化

ARealGuardofBusinessDataDSCO：业务数据的终极保镖(数据安全、合规及优化）甘佳凌ShinyKan大中華區数据治理(Guardium,Optim)经理2%代理/间谍2%匿名5%一般雇员41%IT管理员50%匿名21%远程雇员3%远程IT管理员16%现场雇员3%合作伙伴系统接口57%内部风险来源分布合作伙伴风险来源分布•2008DataBreachInvestigationsReport•深入分析2004至2007年间全球500+的数据安全案件企业数据安全倍受关注原因之一:数据安全风险实实在在70%以上IT风险属操作风险，该风险的最大漏洞在数据库•随着企业业务对IT系统的依赖程度越来越高，IT风险对业务风险的影响也越来越大。而IT风险中70%以上属于操作风险，即由人工操作不当（无意或故意）引起的风险。因此，有效地控制IT风险，尤其是操作风险，对企业的安全运营至关重要。•3/4的成员不清楚特权用户对数据库进行过何种操作•2/3的成员不能有效防止特权用户对数据库的非授权访问•85%的成员将真实数据不加防范地交与开发人员或第三方人员•将近一半的成员对其非特权用户访问敏感数据毫无措施•大多数成员都未能及时采取防范SQL注入的攻击Source:2010IndependentOracleUserGroup(IOUG)DataSecuritySurvey,basedonsurveyof430members.企业数据安全倍受关注原因之二:国家/企业自身的法规遵从的要求逐年加强•经历近10年的努力，《信息系统安全等级保护》已成为指导企业IT建设中治理风险较完善的带有强制性的法规体系。在12.5期间有计划地得以落实是必然趋势–GBTXXXXX-XXXX信息系统安全等级保护实施指南（送审稿）–GBT22239-2008信息安全技术信息系统安全等级保护基本要求–GBT22240-2008信息安全技术信息系统安全等级保护定级指南•此外各行业风险相关的法律/法规日趋完善银行业数据安全、法规遵从、及规避风险实施要点关注领域要点相关法规敏感数据客户信息、账务信息以及产品信息《商业银行信息科技风险管理指引》第七条（十一）2009-6-1实时监控不良贷款率前5名的银行分支机构和不良贷款余额在亿元以上的客户及拥有5家以上关联企业、合计贷款余额在亿元以上的集团客户《商业银行不良资产监测和考核暂行办法》-银监会流程管理商业银行各级机构应当明确规定授信审查人、审批人之间的权限和工作程序，严格按照权限和程序审查、审批业务，不得故意绕开审查、审批人《商业银行内部控制指引》第三十八条2007-7-3操作日志主机系统和数据库系统的操作日志至少保留6个月,账务更改记录应保存3年。《中国人民银行关于加强银行数据集中安全工作的指导意见》银发[2002]260号参与部门商业银行数据中心、风险管理委员会、和审计委员会《商业银行合规风险管理指引》2006-10-25《商业银行数据中心监管指引》-银监办发[2010]114号《企业内部控制基本规范》及相关《配套指引》-中国版萨班斯/奥克斯利法案为了促进企业建立、实施和评价内部控制，规范会计师事务所内部控制审计行为，根据国家有关法律法规和《企业内部控制基本规范》（财会〔2008〕7号），财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制应用指引第1号-组织架构》等18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》（以下简称企业内部控制配套指引），现予印发，自2011年1月1日起在境内外同时上市的公司施行，自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行；在此基础上，择机在中小板和创业板上市公司施行。鼓励非上市大中型企业提前执行。请各上市公司及相关非上市大中型企业切实做好执行前的各项准备工作。注:涉及银行、证券和保险等业务的３项指引暂未发布Visa和MasterCard已明确在2011年中期完成对银行的信用卡交易实施PCIDSS审计，不符合要求的银行将开罚单否停业整顿•Visa计划将进一步在中国完成所有通过VisaNet网络进行交易处理的收单银行或服务商的安全验证工作，从而将受保护的安全用卡环境扩展到支付产业的所有环节。Visa表示：“推动PCIDSS的实施，体现了Visa支付安全策略中的重要一环，它也是加强支付系统的基础设施建设、预防持卡人数据泄露的重要策略之一。希望通过Visa的努力，可以联合更多的业界合作伙伴，加快推进数据安全标准的合规认证工作，共同推动PCIDSS在中国的实施，确保持卡人的数据安全和利益。”企业数据安全倍受关注原因之三:数据安全直接关系到企业的实际利益!!!•去年11.30电信诈骗案中跨国犯罪集团利用电信防范漏洞从国内银行客户手中骗走了1.4亿人民币.这一案例值得银行和电信业深思•据中国保监会2010年7月召开的“打三假”情况通报会披露的数据显示，自2009年7月1日至2010年5月底，保险业共发现和查处各类假冒保险机构案件32起，涉及保费1804万元；各类假冒保单20万余份，涉及保费8220万元；各类虚假赔案16000余件，涉及保费4.19亿元；全行业向公安机关移交并已立案侦查的“三假”案件149起•全球各大媒体(包括CCTV)2010年3月11日纷纷报道:”汇丰银行因内部IT员工盗窃客户资料,损失重大.在受到侵害的2.4万客户中,已有9千名离开了汇丰银行•2008年17个国家的43家大型公司丢失的4200条到113000条客户记录中,每条记录平均损失202美元中，有139美元（占69%）是指丢失业务•在Fortune排名前100家的公司中，每次电子文档泄漏的平均损失是50万美元•有数据显示，我国每年因网络泄密导致的经济损失高达上百亿！IBM安全框架的一部分9数据库监控及審計市場領導地位-Guardium•“Dominanceinthisspace.”•“ALeaderacrosstheboard.”•“Leadershipinsupportinglargeheterogeneousenvironments,…highperformanceandscalability,simplifyingadministration…andreal-timedatabaseprotection.•“Strongroadmapaheadwithmoreinnovationandfeatures.”TheForresterWaveiscopyrightedbyForresterResearch,Inc.ForresterandForresterWavearetrademarksofForresterResearch,Inc.TheForresterWaveisagraphicalrepresentationofForrester'scallonamarketandisplottedusingadetailedspreadsheetwithexposedscores,weightings,andcomments.Forresterdoesnotendorseanyvendor,product,orservicedepictedintheForresterWave.Informationisbasedonbestavailableresources.Opinionsreflectjudgmentatthetimeandaresubjecttochange.Source:“TheForresterWave™:EnterpriseDatabaseAuditingandReal-TimeProtection,Q42007”(October2007)Guardium提供分类、评估、监控、审计共四类功能发现&分类审计&报表•了解数据库网络中数据库的访问方式•敏感数据识别和分类•安全策略更新•防止嵌入式恶意软件•漏洞/弱点评估管理•配置审计•根据最佳实践标准（STIG、CIS、CVE）测试数据库安全性能•中心化报表管理•审计过程工作流•审计信息合规性•事件分析和挖掘•信息保存和签发•独立于数据库管理•预防网络攻击•监视、限制特权用户•设置安全基线•异常操作阻断•SIEM日志集成•报警/跟踪•侦测应用程序层欺诈•实施变更控制•异构环境支持Guardium能在最短时间内使企业监控到以下场景–谁在修改、删除数据？(Whoischangingdatabaseschemasordroppingtables?)–何时发生过非法数据访问、篡改?(Whenarethereanyunauthorizedsourceprogramschangingdata?)–DBA或其他外部人员正在对数据库做什么操作?(WhatareDBAsoroutsourcedstaffdoingtothedatabases?)–某段时间内发生过多少次失败的数据库登录?(Howmanyfailedloginattemptshaveoccurred?)–谁在读取书库中的信用卡数据?(Whoisextractingcreditcarddata?)–敏感数据正在被哪个网络节点访问?(Whatdataisbeingaccessedfromwhichnetworknode?）–哪些敏感数据正在被哪些应用程序访问?(Whatdataisbeingaccessedbywhichapplication?)–敏感数据正在被以何种方式访问?(Howisdatabeingaccessed?)–每天的各个时间段内，数据都在以什么样的访问模式被访问着?(Whataretheaccesspatternsbasedontimeofday?)–数据库正在产生什么样的错误?(Whatdatabaseerrorsarebeinggenerated?)–SQL注入式攻击在何时由谁发起?(WhenissomeoneattemptinganSQLinjectionattack?)单一系统设计•非侵入性架构•外部数据库•性能影响最小化(2-3%)•无需变更DBMS或应用程序•交叉DBMS解决方案•100%可视性，包括本地DBA访问•确保职责区分(SoD)•不依赖基于DBMS的记录，这类记录很容易被攻击者、不良内部人员清除•细微化实时策略和审计•人员、事件、时间、方式•自动化合规报告、签发和升级（SOX，PCI，NIST等）13可扩展的企业级多层架构•集中管理–中央管理者将政策交至收集者•企业级汇总分析–收集者汇总数据到中央审计库•分布式平台和systemZ–统一的数据收集结构•强行阻断(S-Gate)–阻止特权用户访问敏感信息•异构的数据库支持–Oracle,DB2,SQLServer,Sybase,etc.TestandDevelopmentIntegrationwithLDAP,IAM,IBMTivoli,…SIEM,IBMTSM,Remedy数据库活动监控在安全、审计、系统管理之要求15安全操控实时政策保留审计痕迹数据采集和取证100%可见性&一致性观点审计遵从应用&数据影响最小化变动管理性能优化职责分离最佳实践报告自动控制Guardium在全球各行业均有应用金融:世界五大银行、最大的信用卡公司、最大的公共基金公司保险:全球最大的五个保险公司中的三个零售业:全球三大零售商中的两个制造业:最大饮料食品集团、PC制造商之一和最大的汽车制造商能源:美国国家电网集团电信:15个全球主要的电信运营商交通:主要铁路集团、航空公司和飞机场政府:美国和其它几个国家的政府机构医疗卫生:主要医疗服务机构之一媒体:美国主要媒体集团之一•金融:华南知名金融机构,台灣地区某中大型銀行•保险:华南及台灣地区知名保险公司•电信:台湾地区的某大电信公司•政府:华北及台湾地区政府机构2家、•医疗卫生: