安华金和保险行业数据安全防护方案
■版权声明
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属安华金和所有,受到有关产权及版权法保护。任何个人、机构未经安华金和的书面授权许可,不得以任何方式复制或引用本文的任何片断。
保险行业数据库安全
解决方案
■文档编号
■密级■版本编号v1.0■日期2019.1
?2019安华金和
目录
保险行业数据库安全 (1)
解决方案 (1)
一.背景概述 (4)
二.保险业务与威胁分析 (6)
2.1系统分析 (6)
2.1.1外网业务系统 (6)
2.1.2内网业务系统 (6)
2.2人员分析 (6)
2.3安全威胁分析 (7)
2.3.1数据库系统具有脆弱性 (7)
2.3.2敏感信息存在泄密威胁 (8)
2.3.3外部SQL注入攻击威胁 (8)
2.3.4违规操作非法篡改风险 (8)
2.3.5安全职责无法准确界定 (8)
2.3.6管理流程缺乏有效手段 (9)
2.3.7出现安全事件取证困难 (9)
三.数据库安全防护方案 (9)
3.1主动防御 (9)
3.1.1细粒度访问控制 (9)
3.1.2网络可信接入 (10)
3.1.3应用身份识别 (10)
3.1.4抵御SQL注入 (10)
3.1.5阻断漏洞攻击 (11)
3.1.6行为有效监控,违规无法抵赖 (11)
3.2底线防守 (11)
3.2.1防止明文存储引起的数据泄密 (11)
3.2.2防止高权限用户进行数据泄密 (11)
3.2.3防止利用合法用户的身份,进行违规数据访问 (12)
四.方案优势 (12)
4.1周期防护构建纵深 (12)
4.2主动防御减少威胁 (12)
4.3权限控制解决拖库 (13)
4.4透明部署零改应用 (13)
4.5政策合规满足标准 (13)
一.背景概述
2016年12月,保监会《网络与安全通报》第五期对保险行业相关单位存在的问题进行了通报:
某外资寿险公司核心业务系统和保单系统存在漏洞,涉及大量车险用户详细数据和证件照信息泄露;
某寿险公司存在高危漏洞,上千万交易记录和数百万用户信息,保单记录和支付信息存在泄露的风险;
某互联网保险公司网站存在源码泄露,可直接访问数据库,大量敏感信息泄露的风险;
某小型寿险公司系统存在命令执行漏洞,可能泄露数百万客户信息等。
针对以上问题提出整改要求:
配置必要的网络安全设备和安全服务,主动发现网络安全隐患和阻止网络安全风险的能力。
对SQL注入等漏洞进行排查。
对保单个人信息数据进行加密存储和传输,加强运行监控,确保信息数据和在线交易安全可靠。
保险行业是我国市场经济体系的重要组成部分,在国民经济发展过程中发挥了重要作用,随着经济全球一体化,保险业务的发展也日趋竞争激烈,各保险公司的业务模式也发生了颠覆性的变革,从以保单以产品为中心的传统业务模式,渐渐向以客户为中心的方向转换。
在业务模式转变的过程中,保险业务平台已经成为保险行业非常重要的生产系统,保险业务平台涉及人身保险、财产保险、车辆保险等,集承保、理赔、结算全流程管理于一体,同时与银行、公安、社保等相关政府部门、金融机构实现一定程度的对接,提供个人、企业、跨行业全面信息共享服务的综合性平台,在发展保险基础业务、规范保险市场秩序、促进保险创新等方面均发挥了重要作用,对于保险行业实施大数据战略和推进费率市场化改革都具有重要的战略意义。
2016年1月保监会通报信诚人寿内控、信息安全均曝漏洞
保监会发函通报信诚人寿存在内控缺陷,要求进行整改。保监会指出,信诚人寿在客户信息真实性管理、银邮渠道业务管理、团险业务管理、公司治理、财务基础管理等方面存在
问题及内控缺陷。除了公司内控问题外,信诚人寿此前还被曝出存在严重信息安全漏洞,面临泄漏数以万计的客户银行卡号、密码、开户行地址、身份证等敏感信息的风险。
2015年2月6日Anthem医疗保险公司被攻击
2月6日消息,据《华盛顿邮报》报道,美国第二大医疗保险公司Anthem被黑,约数百万公司职员和客户的个人资料曝光。这可能是迄今大保险公司中最大一起数据泄密事件客户约为6900万,覆盖了1/9的美国人口。盗取了我们现成员和前成员的个人信息,包括名字、生日、医疗ID、社会安全码、街道地址、电邮地址和收入等信息。
同时《保险公司内部审计指引(试行)》、《保险公司风险管理指引(试行)》、《保险法》、《个人信息保护法》、保监会发《保险机构信息化监管规定(征求意见稿)》,第二十二条等都提到保险公司对在办理保险业务中知道的投保人、被保险人、受益人的业务和财产情况及个人隐私,负有保密的义务。
由此可见,个人隐私安全对与保险行业来说已是亟待解决的问题,而个人隐私绝大数有数存储在数据库中,数据库做为保险业务平台信息技术的核心和基础,承载着越来越多的关键数据,渐渐成为保险行业公共安全中最具有战略性的资产,数据库的安全稳定运行也直接决定着保险业务系统能否正常使用。并且保险业务平台的数据库中往往储存着诸如个人信息、保费信息、银行账户等极其重要和敏感的信息。这些信息一旦被篡改或者泄露,轻则造成保险行业企业经济损失,重则影响保险行业企业形象,甚至行业、社会安全。可见,保险数据库安全至关重要。所以对数据库的保护是一项必须的,关键的,重要的工作任务。
二.保险业务与威胁分析
随着保险行业信息化程度的提高,大量机密敏感数据集中存储在数据库系统中,比如身份信息、企业信息、信用信息等,尽管保险行业业务系统内已经有很多网络安全防范措施,而真正处于核心层的数据库保障能力较低,抗攻击能力严重不足,但仍然存在外部黑客、内部工作人员、第三方维护人员这三类人员非法篡改和违规利用的漏洞,一旦这些漏洞被利用,将极可能发生信息泄露,直接威胁到保险行业的信息安全程度。
2.1系统分析
2.1.1外网业务系统
保险行业外部的业务系统主要为网站,保险行业由于产品内容非常丰富,按照标的不同可以分为财产保险产品体系和人身保险产品体系。不同的体系包括多各险种,如医疗保险、家庭财产险、机动车辆险、信用保证险等,主要提供保险行业的动态信息、产品信息等,并能够及时的处理各种保单、审批理赔、个人信息上传、交易缴费等工作。
2.1.2内网业务系统
保险行业内部办公系统也种类繁多,包括业务管理、信息管理、收费系统、核保系统、保单信息系统、运维系统、客户资源管理、财务管理等业务系统,主要处理内部文件、客户资料、收发办公邮件、查询通讯录等工作。
2.2人员分析
保险行业从业人员众多,客户分散,分支机构也众多。其服务的对象非常广泛,但是从业务应用的角度而言,分别是对内业务和对外业务,涉及到应用用户、业务用户、管理用户。
由于所面对的工作不一样,其性质也有所差别:
(1)应用用户:保户,是保险公司客户信息服务的主体,保户在投保过程中需要即时
了解保险的各类知识、同时能够及时的了解投保进度,另外还包括理赔通知、保费催缴、投诉意见等。
(2)业务用户:保险代理人,是连接保险公司与保户之间的桥梁,一个方面要实时方便的了保解保险公司险种变化情况以及投保进展的查询,另外需要现场完成对于保户的信息传递,包括实时保单受理、保户关怀、投保进展查询等;
(3)管理用户:内部技术人员,由于保险行业内部技术人员复杂多样大致可分为这几类:
a)运维管理员:主要负责整体保险业务系统的安装、配置、管理和维护工作;
b)系统开发管理员:处理保险业务平台系统的开发、测试工作;
c)数据分析管理员:通过分析参保用户的信息判定市场动向,从而制定合适的
生产及销售计划,为保险行业提供有价值的信息;
由以上三类人员为保险业务平台系统的运行提供技术支撑,保障保险业务平台可以安全、稳定的运行。
2.3安全威胁分析
鉴于上述系统及人员的复杂性,决定了保险行业数据库系统被攻击、破坏的原因是多方面的,这些风险及安全隐患主要表现在:
2.3.1数据库系统具有脆弱性
数据库系统因为其功能强大、结构复杂、各种应用客户端众多,因此系统自身的漏洞也十分的繁多。其中很多漏洞会威胁到数据库自身的安全。据CVE的数据安全漏洞统计,数据库的漏洞逐年上升。恶意用户会利用这些漏洞攻击数据库进而入侵数据库系统,内部数据库漏洞一旦被利用,就会发生窃取或篡改保险业务平台数据库极其重要和敏感的信息,对保险行业造成信息泄露的安全事件。
2.3.2敏感信息存在泄密威胁
在当前保险行业的业务系统中,有大量的个人信息、企业信息、信誉信息等敏感数据。数据库维护人员、外部攻击者,都有机会利用数据库存在的高权限账户以及漏洞,直接获取敏感个人隐私信息。
2.3.3外部SQL注入攻击威胁
互联网的非法用户可以通过互联网,针对外网业务系统进行注入和攻击操作,利用SQL 注入及植入恶意程序等技术,非法入侵外网业务系统数据库,有目的窃取、篡改、破坏、拷贝重要数据,从而造成信息泄露。
2.3.4违规操作非法篡改风险
当前保险行业的业务系统中,内部数据库维护人员、第三方厂商维护人员都有可能被他人利用,借助自己的职权,通过窃取敏感数据卖给第三方从而获得经济利益,这些行为都将直接影响保险行业的信誉度。
2.3.5安全职责无法准确界定
对保险行业内部网络来讲,DBA、三方测试、开发等人员的行为同样存在着风险,超级管理员用户操作难以管理,并且存在多人公用一个帐号,责任难以分清;DBA等运维人员的误操作、违规操作、越权操作等行为均影响着业务系统数据库的安全运行;所以针对业务平台核心数据库进行违规操作的安全隐患,例如非授权访问敏感数据、非工作时间访问核心业务表、非工作场所访问数据库、运维误操作、(delete、update)高危指令的操作等等行为,都可能存在着重大安全隐患。
同时,业务信息系统往往是保险行业管理人员、第三方厂商实施人员共同维护数据。一旦发生了违规的数据篡改行为,也无法有效界定到底是哪方人员造成的安全事故。
2.3.6管理流程缺乏有效手段
在保险行业现有环境中,在大多数环境中,往往缺乏运维管理流程,大部分流程是通过“人工批复+事后审计”的方式来实现运维安全,这种前端依托于OA或纸质审批,后端依托于堡垒机或数据库自身审计的组合流程,忽视了最重要的事中控制环节。
目前保险行业针对核心资产数据库的运维管控并没有太好的效果,内部人员权限无法控制,对数据库安全造成极大隐患;虽然堡垒机运维管控产品对系统运维行为做到有效的管制,但如何建立数据库的审批管理制度,如何建立数据库的申请审批工作流程,如何分析申请语句是否安全,成为保险行业数据库运维管控迫在眉睫的难题。
2.3.7出现安全事件取证困难
在保险行业业务平台数据库系统中,现有的日志系统可以实时或非实时的监测和追踪侵入者,但是数据库系统遭受入侵和非授权操作时,攻击者也可拿到系统高权限账户,可以有选择的删除部分或全部审计日志,导致无法准确定位和追责破坏和泄露行为,对日后调查取证造成严重阻碍。所以保险行业对数据库系统缺乏有效的第三方审计追踪手段,对违规操作、风险操作进行及时的分析记录。
三.数据库安全防护方案
根据保险行业数据的安全现状,对数据的安全防护需要建立主动防御与底限防守,以解决数据库所面临的攻击、篡改、泄密、追责等问题:
3.1主动防御
提升数据库防黑客SQL注入、高危操作、“内鬼”泄密的能力。
3.1.1细粒度访问控制
现阶段,保险公司都需要提供外网对用户提供查询,注册,缴费等相关服务,WEB服务器被暴露在网络之中,攻击者对WEB服务器进行网段扫描很容易得到后台数据的IP和开放
端口。串入数据库防火墙后,会有效的保护后台数据库不暴露在复杂的网络环境中,构建类似内网的安全防护状态。对于攻击者通过WEB应用,用“SQL注入”攻击的方法从后台数据库服务器尝试进行“刷库”,数据库防火墙有多道防线帮助您防止sql注入的发生。
3.1.2网络可信接入
设备、应用、人员实现可信接入
图1可信接入防护示意
1)网络上可信:串联数据库防火墙后,黑客无法绕过数据库防火墙直接访问数据库。
2)应用服务器可信:通过IP/MAC绑定,确保只有授权服务器、设备访问数据库。
3.1.3应用身份识别
开启应用身份识别,只有合法应用发出的SQL语句可以穿过防火墙访问数据库,其他登陆工具和应用都无法通过防火墙登陆后台数据库,确保数据来自指定应用。
3.1.4抵御SQL注入
系统提供缺省的SQL注入特征库,通过对SQL语句进行注入特征描述,完成对“SQL注入”行为的检测和阻断。提供了虚拟补丁功能,在数据库外的网络层创建了一个安全层,在用户在无需补丁情况下,完成数据库漏洞防护,对于有“扩展脚本”和“缓冲区溢出”攻击的特征的SQL语句,直接进行拦截。
3.1.5阻断漏洞攻击
可以通过数据库防火墙手动配置许可禁止模型,按照SQL自身语法结构划分SQL类别,通过自定义模型手动添加新的SQL注入特征,进行有效拦截。
数据库漏洞攻击防控:开启虚拟补丁配置策略,即可防范数据库漏洞的攻击。
3.1.6行为有效监控,违规无法抵赖
对于通过应用程序后门批量导出敏感数据的“刷库”行为,首先要构建保险核心应用的行为模型,通过数据库防火墙的学习期将合法应用的SQL语句全部捕获,统一放到“白名单”里,防止合法语句被误报,通过学期完善期,然后切换到保护期,此时如果出现了通过Web 访问应用程序后门批量导出敏感数据的操作,数据库防火墙会报“新型语句”,这类语句属于“灰名单”语句,安全管理员要根据具体情况判断语句风险,防止通过后门程序批量导出敏感信息的行为。
保险业务人员的数据库操作基本是合法的,但是也不能排除被利用或被攻击的情况,通过数据库审计精确记录关键业务操作和关联具体业务操作人员,为事后追溯定责提供准确依据,同时对数据库运维操作和非法批量导出行为进行告警。
3.2底线防守
提升数据“底线”防守能力,保证核心数据不被非法获取
3.2.1防止明文存储引起的数据泄密
数据库加密产品通过加密存储功能,从根本上保证数据安全,即使反向解析数据文件后,看到的加密字段数据仍是乱码。
3.2.2防止高权限用户进行数据泄密
数据库中的DBA等高权限用户,可以访问所有数据。
数据库加密产品可以通过独立于Oracle的安全权限,保证即使是DBA用户,若无密文访问权限,照样无法进行密文数据的访问操作。
防止外部黑客利用Oracle的安全漏洞,获取高权限用户的操作权限,窃取敏感数据Oracle有很多安全漏洞,普通用户可以利用视图、触发器等漏洞,使普通用户升级,获取DBA的高级操作权限。
使用数据库加密技术后,即使黑客获取DBA的权限,仍无法访问密文数据。
3.2.3防止利用合法用户的身份,进行违规数据访问
对于普通的加密产品,具备密文访问权限的合法Oracle用户,可能由于人为因素或管理不善,将用户名及口令泄露给他人,他人则可以通过命令行或管理工具等直接访问密文数据,批量窃取数据。
数据库加密产品具备真正应用安全能力,可以保证用户和应用系统绑定,同一用户只能通过指定的应用系统访问密文数据,使用命令行等其他方式则无法访问密文数据。
同时数据库加密产品提示审计功能,能对可疑的访问行为进行事后的追踪分析。过数据库安全脱敏产品,自动识别敏感数据和管理敏感数据,对敏感数据进行变形、屏蔽、替换、随机化、加密,将敏感数据转化为虚构数据,隐藏了真正的隐私信息,为数据的安全使用提供了基础保障。
同时提供灵活的策略和脱敏方案配置,高效可并行的脱敏能力,帮助保险行业快速实施敏感数据脱敏处理,保证数据的有效性和可用性,使脱敏后的数据能够安全的应用于测试、开发、分析和第三方应用使用环境中。
四.方案优势
4.1周期防护构建纵深
为了解决数据库在防攻击、防篡改、防丢失、防泄密、防超级权限等问题。安华金和结合多层次安全技术防护能力,形成整体的数据库防护体系。
4.2主动防御减少威胁
通过事中主动防御手段在数据库前端对入侵行为做到有效的控制,通过强大特征库和漏
洞防御库,主动防御内外部用户的违规操作以及黑客的入侵行为。
对IP/MAC等要素进行策略配置,确保应用程序的身份安全可靠。通过黑白名单对敏感数据访问控制,定义非法用户行为的方式定义安全策略,有效通过SQL注入特征识别库。
4.3权限控制解决拖库
从数据库级别进行最小化权限控制,杜绝超级管理员的产生,通过数据库防火墙和数据库加密措施进行从根源上彻底控制数据信息的泄露,为信息化打好底层基础。有效防止存储文件和备份文件被“拖库”的风险。
4.4透明部署零改应用
本方案所提出的技术实施,对于现有应用系统基本透明,无需改造,对原有数据库特性、原有应用无改造,不改变应用及用户使用习惯。保证快速、无缝地融合到现有保险行业信息系统中。
4.5政策合规满足标准
在等级保护保护基本要求中,数据库安全是主机安全的一个部分,数据库的测评指标是从“主机安全”和“数据安全及备份恢复”中根据数据库的特点映射得到的。对等保三级以上系统中,关键敏感数据的安全防护要求满足了标准特性:
?数据保密性
满足了“实现系统管理数据、鉴别信息和重要业务数据的存储保密性”。
?访问控制性
实现了最小授权原则,使得用户的权限最小化,同时要求对重要信息资源设置敏感
标记。
?安全审计性
完成了“对用户行为、安全事件等进行记录”。
校园网络安全防护解决方案
校园网安全防护解决方案
提纲
校园安全防护需求分析 校园安全防护解决方案 典型案例
https://www.360docs.net/doc/2e3160239.html,
2
职业院校网络面临的安全问题
出口网络问题:多出口,高带宽,网络结构复杂 P2P应用已经成为校园主流 病毒、蠕虫传播成为最大安全隐患 核心网络问题:缺少相应的安全防护手段 无法对不同区域进行灵活的接入控制 主机众多管理难度大 数据中心问题: 缺少带宽高高性能的防护方案 无法提供有效的服务器防护 数据中心网络资源有限但浪费严重 用户认证问题: 用户认证计费不准,不灵活 无法针对用户进行有效的行为审计 用户带宽滥用现象严重
https://www.360docs.net/doc/2e3160239.html,
3
挑战之一:不断增加的校园出口安全威胁
应用层威胁来势凶猛 网页被篡改 带宽总也不够 服务器应用访问很慢
https://www.360docs.net/doc/2e3160239.html,
病毒和蠕虫泛滥 间谍软件泛滥 服务器上的应用是关键应 用,不能随时打补丁
4
?“网络B超” 是优化安全管理的有效工具!
挑战之二:业务系统集中后的数据中心安全
如何解决数据共享和 海量存储的问题? 资源静态配置 数据增长迅猛 访问量越大,性能越 低,如何解决? 大量并发访问 性能无法保障
体系平台异构 管理移植困难 如何保障数据访问不 受设备、时空限制?
招生科研财务 关键信息无保护 数据安全如何保障?
?集中管理是解决问题的前提和基础 ?数据资源整合是优化资源管理的必由之路
https://www.360docs.net/doc/2e3160239.html,
5
安华金和数据库运维管理系统(DOMS)
安华金和数据库运维管理系统 (DOMS) ?2019安华金和 ■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属安华金和所有,受到有关产权及版权法保护。任何个人、机构未经安华金和的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录 安华金和数据库运维管理系统(DOMS) (1) 目录 (2) 一. 关于安华金和 (3) 1.1发展历史 (3) 1.2产品路标 (4) 二. 数据库运维管理系统(DOMS) (5) 2.1产品概述 (5) 2.2客户价值 (5) 2.2.1 规范审批流程,有效实现事中管控 (5) 2.2.2 实时运维监控,提供完善管控手段 (5) 2.2.3 实现办公流程的深度整合 (5) 2.2.4 实现数据库操作管理的政策合规性 (6) 2.3产品优势 (6) 2.3.1 开放管理接口,完美融入管理流程 (6) 2.3.2 提供高易用性的管理体验 (6) 2.3.3 基于数据库协议精准解析 (6) 2.3.4 多种身份认证途径 (6) 2.3.5 敏感数掩码遮蔽 (7) 2.4适用场景 (7)
一. 关于安华金和 1.1 发展历史 北京安华金和科技有限公司(以下简称安华金和),2009年3月2日成立,长期专注于数据安全领域,是中国专业的数据安全产品及解决方案提供商。安华金和由长期致力于数据处理和信息安全的专业人士共同创造,作为中国“数据安全治理”体系框架的提出者,安华金和提供涵盖人员组织、安全策略、流程制定及技术支撑全方位的整体数据安全思路与方案;同时,安华金和作为独立的第三方云数据安全服务商(CDSP),为国内外各大云平台用户提供专业的数据安全保障;安华金和也是中国最大的公有云平台——阿里云在数据安全领域的战略合作方。 安华金和总部位于北京,分设北京营销中心与天津研发中心,下设11大分支机构,业务覆盖华北、东北、华东、华中、华南、西南等全国省市地区。在政府、军工、金融、能源、教育、医疗、企业等各大行业建立多个标杆案例,并取得了良好的信誉口碑。 安华金和以“让数据使用更安全”为最高使命,立志成为世界级数据安全厂商。 围绕该愿景,安华金和主营业务方向分为三大部分: 1、围绕数据库的安全,安华金和推出全线数据库安全产品及解决方案; 2、以整体数据库安全产线为技术支撑,安华金和推出数据安全治理解决方案,面向重点行业推广与实践; 3、基于公有云和私有云环境特征,安华金和推出公有云数据安全服务和私有云数据安全解决方案。
校园网安全防护解决方案
校园网安全防护解决方案 随着校园网接入互联网以及其它各种应用的增多,校园网上的各种数据也急剧增加,我们在享受网络带来便利的同时,各种各样的安全问题也就开始困扰我们每一个网络管理人员,如何保证校园网不被攻击和破坏,已经成为各个学校校园网络管理的重要任务之一。本文针对这类问题提出了相应的解决方案,使校园网能够有效应对网络应用带来的安全威胁和风险,以确保校园网系统的安全。 一、校园网安全风险分析 校园网络作为学校信息平台重要的基础设施,担负着学校教学、科研、办公管理和对外交流等责任。在网络建成应用的初期,安全问题还不十分突出,但随着应用的深入,校园网上的各种数据也急剧增加,各种各样的安全问题也就开始困扰我们。对校园网来说,谁也无法保证其不受到攻击,不管攻击是有意的还是无意的,也不管这种攻击是来自外部还是来自内部网络。操作系统、数据库系统、网络设备、应用系统和网络连接的复杂性、多样性和脆弱性使得其面临的安全威胁多种多样。校园网络系统可能面临的安全威胁可以分为以下几个方面: ⒈物理层的安全风险分析 网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。我们在考虑校园网络安全时,首先要考虑物理安全风险,它是整个网络系统安全的前提。物理安全风险有:设备被盗、被毁坏,线路老化或被有意或者无意的破坏,通过搭线窃取数据,电子辐射造成信息泄露,设备意外故障、停电,地震、火灾、水灾等自然灾害。 ⒉网络层安全风险分析 网络层是网络入侵者进攻信息系统的渠道和通路。许多安全问题都集中体现在网络的安全方面。由于网络系统内运行的TPC/IP协议并非专为安全通讯而设计,所以网络系统存在大量安全隐患和威胁。校园网是一个应用广泛的局域网,且接入了互联网,如何处理好校园网网络边界的安全问题,直接关系到整个校园网网络系统的稳定运行和安全可控;另一方面,由于校园网中使用到大量的交换机、路由器等网络设备,这些设备的自身安全性直接影响到校园网和各种网络应用的正常运转。例如,路由器口令泄露,路由表配置错误,ACL设置不当等均会
安华金和医疗行业数据库安全防护解决方案
保障医疗数据安全,提升医疗数据价值北京安华金和科技有限公司
目录01数据流动,创造价值 02医疗数据安全现状及形势 03构建以患者为核心的数据安全防御体系 04医疗数据安全治理实践
数据流动,创造价值 01 数据只有流动才会产生价值,才能实现数据融 合后更大的增值效益。
数据利用——医院信息化进入3.0时代 ?以实现业务系统的数字化为主要任务,解决业务系 统本身的执行问题,然而系统之间的整合。 1.0时代(业务数字化) ?通过数据集成,业务流 程可以实现闭环管理,同时,用户也可以基于数据做度量分析和科学研究。 2.0时代(数据融合) ?信息从产生到聚集,整合 信息生命周期,实现数据挖掘和分析,数据在流动中产生价值。 3.0时代(数据价值) 数据,正变得越来越重要。因为无论哪种进化,都是以数据为基础。
以数据为核心的医疗信息化 以患者为核心的临床数据中心建设。 临床大数据中心建立 当下的智慧医疗体系推进 智慧医疗体系建设 人工智能的应用 临床决策智能化、科研数据挖掘分析、智能化个体给药 互联网数据接入 区域医疗、医联体建设、社区胸痛中心建设、便民服务体系、数据互联互通
医疗数据在流动中提升价值 ?保险风险控制欺诈防范 ?医疗服务质量评估?药品个性研发?药品临床应用 ?人口统计学分析?就诊行为分析?个人健康管理?慢病管理 ?治疗方案比较 ?临床决策支持?远程病人监控 ?医生培养?临床科研 ?疾病、疫情监管?新农合、社保基金分析?基本药物临床应用分析?医疗资源投放 公共卫生医疗机构商业应 用 患者行 为 只有数据的开放与流 动,让更多机构和企业进行利用,这样才能发挥数据的价值
安华金和数据库加密系统(DBCoffer)
安华金和数据库加密系统系统 (DBCoffer) 一. 产品概述 安华金和数据库加密系统(简称DBCoffer) 是一款基于透明加密技术的数据库防泄漏产品,该产品能够实现对数据库中的敏感数据加密存储、访问控制增强、应用访问安全、安全审计以及三权分立功能。 安华金和数据库加密系统能够防止明文存储引起的数据泄密、防止突破边界防护的外部黑客攻击、防止内部高权限用户的数据窃取,从根源上防止敏感数据泄漏。 安华金和数据库加密系统通过独创的、专利的三层透明视图技术、密文索引技术和应用绑定技术,突破传统数据库安全加固产品的技术瓶颈,真正实现数据高度安全、应用完全透明、密文高效访问。
二. 产品价值 2.1 全方位主动预防数据泄密 预防外部黑客窃取数据 威胁:数据库权限提升是当前数据库漏洞中黑客使用率最高的攻击手段,通过该手段黑客直接获得DBA身份,任意访问敏感数据。 防护:安华金和数据库加密系统的密文访问控制体系,可以保证即使数据库自身的权限被突破,非授权用户仍然无法访问密文数据。 防止开发人员绕过合法应用 威胁:业务系统的数据库账户常被开发或运维人员掌握,通过该账户这些人员可以直接访问数据库。 防护:安华金和数据库加密系统的应用身份鉴别,确保第三方人员无法绕开合法的业务系统,直接访问敏感数据。 预防存储层明文泄密 威胁:硬件设备、备份磁盘丢失,数据文件、备份文件的拷贝,都将引起机密数据泄漏。 防护:通过安华金和数据库加密系统,将关键信息进行加密,加密后的数据在存储层以密文形态存在,保证他人即使拿到数据文件,也“看不懂”。 防止数据库运维人员操作敏感数据 威胁:数据库的运维人员,往往有最高范围权限,一般为DBA,可看到数据库中的所有敏感信息,不符合安全管理要求。 防护:安华金和数据库加密系统通过独立的二次权限控制、三权分立,保证即使是高权限运维用户,在得不到特殊授权时也无法访问敏感数据,同时不会影响其日常运维工作。 2.2 符合信息安全政策需求 等级保护:要求三级以上系统应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。
数据泄露防护解决方案
数据泄露防护(DLP)解决方案 以数据资产为焦点、数据泄露风险为驱动,依据用户数据特点(源代码、设计图纸、Office文档等)与具体应用场景(数据库、文件服务器、电子邮件、应用系统、PC终端、笔记本终端、智能终端等),在DLP平台上灵活采取数据加密、隔离、内容识别等多种技术手段,为用户提供针对性数据泄露防护整体解决方案,保障数据安全,防止数据泄露。 其中包括: 数据安全网关 数据安全隔离桌面 电子邮件数据安全防护 U盘外设数据安全防护 笔记本涉密数据隔离安全保护系统 笔记本电脑及移动办公安全 文档数据外发控制安全 1、数据安全网关 背景: 如今,企业正越来越多地使用ERP、OA、PLM等多种应用系统提升自身竞争力。与此同时,应用系统中的数据资产正受到前所未有的安全挑战。如何防止核心数据资产泄露,已成为信息安全建设的重点与难点。 概述: 数据安全网关是一款部署于应用系统与终端计算机之间的数据安全防护硬件设备。瞬间部署、无缝集成,全面实现ERP、OA、PLM等应用系统数据资产安全,保障应用系统中数据资产只能被合法用户合规使用,防止其泄露。
具体可实现如下效果: 应用安全准入 采用双向认证机制,保障终端以及服务器的真实性与合规性,防止数据资产泄露。非法终端用户禁止接入应用服务器,同时保障合法终端用户不会链接至仿冒的应用服务器。合法用户可正常接入应用服务器,访问应用系统资源,不受限制; 统一身份认证 数据安全网关可与LDAP协议等用户认证系统无缝集成,对用户进行统一身份认证,并可进一步实现用户组织架构分级管理、角色管理等; 下载加密上传解密 下载时,对经过网关的文件自动透明加密,下载的文档将以密文保存在本地,防止其泄露;上传时对经过网关的文件自动透明解密,保障应用系统对文件的正常操作; 提供黑白名单机制 可依据实际管理需要,对用户使用权限做出具体规则限定,并以此为基础,提供白名单、黑名单等例外处理机制。如:对某些用户下载文档可不执行加密操作; 提供丰富日志审计 详细记录所有通过网关的用户访问应用系统的操作日志。包括:时间、服务器、客户端、传输文件名、传输方式等信息,并支持查询查看、导出、备份等操作; 支持双机热备、负载均衡,并可与虹安DLP客户端协同使用,更大范围保护企业数据资产安全; 2、数据安全隔离桌面 背景: 保护敏感数据的重要性已不言而喻,但如何避免安全保护的“一刀切”模式(要么全保护、要么全不保护)?如何在安全保护的同时不影响外部网络与资源的正常访问?如何在安全保护的同时不损坏宝贵数据? 概述: 在终端中隔离出安全区用于保护敏感数据,并在保障安全区内敏感数据不被泄露的前提下,创建安全桌面用于安全访问外部网络与资源。在保障敏感数据安全的同时,提升工作效率。 具体可实现效果: 1)只保护安全区内敏感数据安全,其它数据不做处理; 2)通过身份认证后,方可进入安全区; 3)安全区内可直接通过安全桌面访问外部网络与资源; 4)安全区内敏感数据外发必须通过审核,数据不会通过网络、外设等途径外泄; 5)敏感数据不出安全区不受限制,数据进入安全区是否受限,由用户自定义;
视频监控数据安全防护系统解决方案
文档类型: 文档编号: 视频数据安全防护系统 解决方案 北京XX公司科技发展有限责任公司 二O一二年五月
目录 第一章项目背景............................................................................................................................... 第二章需求分析.. (5) 2.1需求分析............................................................................................................................ 2.2使用效果............................................................................................................................ 2.3管理手段............................................................................................................................ 第三章解决方案............................................................................................................................... 3.1系统体系原则.................................................................................................................... 3.1.1合理性 ............................................................................................................................ 3.1.2先进性 ............................................................................................................................ 3.1.3稳定性 ............................................................................................................................ 3.1.4健壮性 ............................................................................................................................ 3.1.5拓展性 ............................................................................................................................ 3.1.6易操作性 ........................................................................................................................ 3.2详细设计............................................................................................................................ 3.2.1方案概述 ........................................................................................................................ 3.2.2系统构成 ........................................................................................................................ 3.3方案功能模块.................................................................................................................... 3.3.1在线视频系统准入控制 ................................................................................................ 3.3.2视频存储数据下载管控 ................................................................................................ 3.4产品核心技术.................................................................................................................... 3.4.1文件级智能动态加解密技术 ........................................................................................ 3.4.2网络智能动态加解密技术 ............................................................................................ 3.4.3协议隧道加密技术 ........................................................................................................ 3.4.4终端自我保护技术 ........................................................................................................ 3.5方案管理应用功能基础 (16) 3.5.1透明动态加密 ................................................................................................................ 3.5.2通讯隧道加密 ................................................................................................................ 3.5.3终端强身份认证 ............................................................................................................
安华金和数据库脱敏系统白皮书
安华金和数据库脱敏系统 白皮书
目录 安华金和数据库脱敏系统 (1) 白皮书 (1) 一. 产品简介 (3) 二. 应用背景 (3) 2.1数据库安全已经成为信息安全焦点 (3) 2.2企业需要安全的使用隐私数据 (4) 2.3越发复杂的敏感数据使用场景 (4) 2.4数据安全相关政策与法律法规 (4) 三. 客户价值 (5) 3.1保护隐私数据,满足合规性 (5) 3.2保证业务可靠运行 (5) 3.3实时动态保护生产系统数据 (6) 3.4敏感数据统一管理 (8) 四. 功能特点 (8) 4.1自动识别敏感数据 (8) 4.2灵活的策略和方案管理 (8) 4.3内置丰富脱敏算法 (9) 4.4数据子集管理 (9) 4.5脱敏任务管理 (9) 4.6脱敏数据验证 (10) 4.7动态数据脱敏 (10) 五. 联系我们 ............................................................................................................. 错误!未定义书签。
一. 产品简介 安华金和数据库脱敏系统(简称DBMasker)是一款高性能、高扩展性的数据屏蔽和脱敏产品,采用专门的脱敏算法对敏感数据进行变形、屏蔽、替换、随机化、加密,将敏感数据转化为虚构数据,隐藏了真正的隐私信息,为数据的安全使用提供了基础保障。同时脱敏后的数据可以保留原有数据的特征和分布,无需改变相应的业务系统逻辑,实现了企业低成本、高效率、安全的使用生产的隐私数据。 安华金和数据库脱敏系统脱敏产品,实现了自动识别敏感数据和管理敏感数据,提供灵活的策略和脱敏方案配置,高效可并行的脱敏能力,帮助企业快速实施敏感数据脱敏处理,同时保证数据的有效性和可用性,使脱敏后的数据能够安全的应用于测试、开发、分析,和第三方使用环境中。 安华金和数据库脱敏系统脱敏产品提供了具有极高附加价值的数据动态脱敏功能,该功能在数据库通讯协议层面,通过SQL代理技术,实现了完全透明的、实时的敏感数据掩码能力;在不需要对生产数据库中的数据进行任何改变的情况下,依据用户的角色、职责和其他IT定义规则,动态的对生产数据库返回的数据进行专门的屏蔽、加密、隐藏和审计,确保业务用户、外包用户、兼职雇员、合作伙伴、数据分析、研发和测试团队及顾问能够恰如其分地访问生产环境的敏感数据。 安华金和数据库脱敏系统支持Oracle、MSSQL、Informix等主流数据库,支持Windows、Linux、AIX、Solaris等多个主流数据库应用平台,提供灵活的脱敏规则配置及脱敏规则扩展。 安华金和数据库脱敏系统产品广泛适用于银行、证券、保险等金融机构,同时在政府部门、涉密单位也有良好适用场景。产品在国家等级保护、分级保护等领域均具有很强的政策合规性。 二. 应用背景 2.1 数据库安全已经成为信息安全焦点 在企业和金融机构的后台数据库中,储存着大量的敏感信息,无论是从商业惯例还是数据安全角度,这些敏感信息都应得到有效的保护,一旦发生信息泄密行为,不仅会造成重大的财产损失,也会对企业的名誉造成严重影响。
数据安全解决方案之企业防护墙
数据安全解决方案之企业防护墙撇开外部攻击的原因,信息时代企业内部本身也存在着很多潜在的数据安全隐患,而这种安全隐患需要针对性的数据安全解决方案才能化解。 一个好的企业可以带领员工稳步的发展,过上更好的生活;而对于企业本身来说,它又是由众多员工组成的,是一个组织。但是身处信息时代的也会面临着意想不到的阻力,这个阻力来自一个名为“信息安全”的问题。 一、信息是商机开始源头数据安全防护刻不容缓 (一) 企业内重要文件被非法拷贝走,给企业带来极大的损失。 (二) 缺乏基于角色的用户权限管理措施,企业内部因部门不同、员工级别不同,针对文件使用 范围也不同。然而企业内部管理人员无法根据实际需求设置不同权限部门、员工使用不同的文件。 (三) 缺乏对文件的使用权限控制措施,企业内部文件甚至核心机密文件不能合理地设置不同使 用权限,造成文件在企业内部的滥用,从而给企业核心机密外泄带来了隐患。 (四) 缺乏对文件有效的离线控制,企业内部常常面临信息外携使用、交互使用的需求,文件一 旦外携出去将处于不可控状态,离线文件可以被随意编辑、复制、刻录、打印。 (五) 缺乏全面的日志审计,企业内部一旦发生机密信息外泄,管理者无法对外泄事件进行审计, 不能为企业内部安全事件提供有力的追踪依据。
(六) 缺乏有效的备份机制,企业电脑一旦出现物理损坏或病毒感染等情况,存储在电脑上的文 档很有可能无法恢复。 (七) 缺乏防范企业内部员工主动泄密的措施,企业内部员工因工作需要常使用电子邮件、QQ 等工具,员工能随意将企业内部文件拷贝、复制、粘贴到QQ上,给企业数据安全造成巨大隐患。 二、致得E6协同文档管理系统文档安全控制方案 (一) 文档的加密存储 支持开启加密存储,系统自动将服务器文件转换为加密形式存储。 自动加密企业核心资料文件,加密的文件即使拷贝出去,也无法正常打开,确保信息安全。此安全防扩散泄密机制,有效防止机密外泄充分保证了数据安全。 (二) 目录与文件权限管理 支持针对目录进行权限管理。例如,设置【销售部文档】的浏览权,只能查看该目录无法对其进行任何操作。 支持针对文件进行权限管理。例如,如果您不想某个用户对您编辑过的文档进行修改,可以将其锁定,只有解锁后方可修改。 支持同时为部门及用户分配不同的权限 支持为整个部门授予指定权限。例如,让销售部全体对【通知公告】目录具有浏览和阅读权。
网站安全防护解决方案
网站安全防护解决方案 WEB应用是当前业务系统使用最为广泛的形式。根据 Gartner 的调查,信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。同时,数据也显示,2/3的WEB网站都相当脆弱,易受攻击。据美国国防部统计,每1000行Web 代码中存在5~15个漏洞,而修补一个漏洞通常需要2~9小时。 根据CNCERT的最新统计数据,2007年CNCERT共接到网络安全事件报告4390件。2007年我国大陆被篡改网站总数达到了61228个,同比增长1.5倍;其中政府网站(https://www.360docs.net/doc/2e3160239.html,)被篡改3407个,占大陆被篡改网站的7%。CNCERT统计显示,大陆地区约有4.3万个IP地址主机被植入木马,约有362万个IP地址主机被植入僵尸程序。从以上数据可以看出,提高业务网站的安全防护,是保障业务正常进行的必然前提。 因此,对于影响力强和受众多的门户网站,需要专门的网页(主页)防篡改系统来保护网页和保障网站内容的安全。 政府门户网站的潜在风险 政府门户网站因需要被公众访问而暴露于因特网上,容易成为黑客的攻击目标。其中,黑客和不法分子对网站的网页(主页)内容的篡改是时常发生的,而这类事件对公众产生的负面影响又是非常严重的,即:政府形象受损、信息传达失准,甚至可能引发信息泄密等安全事件。。网页篡改者利用操作系统的漏洞和管理的缺陷进行攻击,而目前大量的安全措施(如安装防火墙、入侵检测)集中在网络层上,它们无法有效阻止网页篡改事件发生。目前,政府门户网站常因以下安全漏洞及配置问题,而引发网页信息被篡改、入侵等安全事件:
1. 网站数据库账号管理不规范,如:使用默认管理帐号(admin,root,manager等)、弱口令等; 2. 门户网站程序设计存在的安全问题,网站程序设计者在编写时,对相关的安全问题没有做适当的处理,存在安全隐患,如SQL注入,上传漏洞,脚本跨站执行等; 3. WEB服务器配置不当,系统本身安全策略设置存在缺陷,可导致门 户网站被入侵的问题; 4. WEB应用服务权限设置导致系统被入侵的问题; 5. WEB服务器系统和应用服务的补丁未升级导致门户网站可能被入侵 的安全问题等。 政府门户网站安全防护解决方案 根据目前政府门户网站可能存在的安全隐患及风险,给政府门户网站提出如下安全防护解决方案: 在政府门户网站信息系统的Internet边界上或者WEB服务器的前端部署KILL-WEB应用防火墙,并在Web防火墙上实施以下安全策略: l 对政府门户网站及网上系统进行全面的安全防护,过滤如SQL注入、跨站脚本等因传统防火墙不能防护的安全问题; l 对政府门户网站进行WEB隐藏,避免利用扫描软件对其进行信息获取分析; l 设置政府门户网站页面防篡改功能及恢复功能,避免恶意篡改页面;
安华金和数据库加密系统技术白皮书
安华金和数据库加密系统系统 白皮书
目录 安华金和数据库加密系统 (1) 白皮书 (1) 一. 安华金和数据库加密系统产品简介 (3) 二. 安华金和数据库加密系统应用背景 (3) 2.1数据库安全已经成为信息安全焦点 (3) 2.2数据库层面的泄密事件频发 (4) 2.3数据安全相关政策与法律法规 (4) 三. 安华金和数据库加密系统客户价值 (5) 3.2防止由于明文存储引起的泄密 (5) 3.3防止外部非法入侵窃取敏感数据 (6) 3.4防止内部高权限用户数据窃取 (6) 3.5防止合法用户违规数据访问 (6) 四. 安华金和数据库加密系统功能特点 (7) 4.1透明数据加密 (7) 4.2高效数据检索 (7) 4.3身份鉴别增强 (7) 4.4增强访问控制 (7) 4.5真正应用安全 (8) 4.6敏感数据审计 (8) 4.7高可用性 (8) 4.8可维护性 (9)
一. 安华金和数据库加密系统产品简介 安华金和数据库加密系统系统(简称DBCoffer)(以下称:安华金和数据库加密系统)是一款基于透明加密技术的数据库安全加固系统,该产品能够实现对数据库中对的加密存储、访问控制增强、应用访问安全、安全审计以及三权分立等功能。 安华金和数据库加密系统基于主动防御机制,可以防止明文存储引起的数据泄密、突破边界防护的外部黑客攻击、来自于内部高权限用户的数据窃取、防止绕开合法应用系统直接访问数据库,从根本上解决数据库敏感数据泄漏问题。 安华金和数据库加密系统利用数据库自身扩展机制,通过独创的、已获专利的三层视图技术和密文索引等核心技术,突破了传统数据库安全加固产品的技术瓶颈,真正实现了数据高度安全、应用完全透明、密文高效访问。 安华金和数据库加密系统当前支持Windows、AIX、Linux、Solaris等多个平台,提供基于加密硬件的企业版和纯软件的标准版,支持主、从、应急等自身高可用模式,可以满足用户的多种部署需求。安华金和数据库加密系统兼容主流加密算法和国产加密设备,提供可扩展的加密设备和加密算法接口。安华金和数据库加密系统的功能特性更适合于本土应用需求,性能领先5倍以上。 安华金和数据库加密系统产品适用于政府、军队、军工、机要、电信、电力、医疗、金融、互联网等各个领域,同时针对国家等级保护、分级保护、军队保密规定均具有很强的政策合规性。 二. 安华金和数据库加密系统应用背景 2.1 数据库安全已经成为信息安全焦点 政府机关、企事业单位的核心信息的80%是以结构化形式存储在数据库中的,数据库作为核心资产的载体,一旦发生泄密将会造成最为惨痛的损失。当前,数据库的安全防护作为信息安全防护任务的“最后一公里”,其重要性已经被越来越多的部门所认可。据国际权威机构verizon2014统计报告分析,当前96%数据攻击行为是针对数据库进行的;就“核心数
信息安全防护方案(初稿)
编号:密级: 1. 概 要 项目名称:计划日期:客户方项目负责人信息安全防护方案 一期实施计划书 xxx 有限公司 二〇一六年十一 月
软件实施人员: 实施规划书重要说明: 1.本实施规划书编制的目的是为接下来的南京交通厅信息安全防护项目实施 培训工作提供指导性的文件,以便使该项目的实施工作更有计划性与条理性; 2.实施日程的具体计划,xxx 有限公司将在软件购销及服务协议签署之后 做详细调研(不超过3 个工作日)后提供,经双方负责人同意确认之后,严格执行;xxx 有限公司不允许由于软件公司实施工程师工作延误的原因导致实际项目实施结案时间超过本实施规划十个工作日。过此期限,导致实施结案延误,其责任归软件公司自行承担;xxx 有限公司必须就此南京交通厅信息安全防护实际实施完毕并得到客户方确认方可结案; 3.本实施规划书是一份对双方均有约束力的一份文件,对双方的工作内容 有明确的规定,请详细阅读,各步骤完成之后需相关人员签字确认,将作为项目结案文档重要文件,作为实施进度及工作评估的最重要依据,并成为xxx 有限公司南京交通厅信息安全防护项目实施结案及收取合同相关协议款项的依据。
2. 问题阐述 2.1数据安全 通常,机构的用户数据都存储在数据库中。而信息泄露的主要途径是对数据库以及运行数据库的各类访问行为。随着企业信息化进程不断深入,企业的业务系统变得日益复杂,由内部员工违规操作导致的数据泄露问题变得日益突出起来。机构在发展的过程中,因为战略定位和人力等诸多原因,越来越多的会将非核心业务外包给设备商或者其他专业代维公司。如何有效地规范设备厂商和代维人员的操作行为, 是各类机构面临的一个关键问题。 2.2日志管理 1、数据库重要数据增删改操作 2、应用系统操作 2.3服务器异地备份 1、服务器异常 2、网络节点异常
信息安全数据泄漏防护DLP解决的方案
信息安全数据泄露防护DLP解决方案Copyright HESUN COMPUTER INFORMATION SYSTEMS
目录 信息安全数据泄露防护DLP解决方案 (1) 一、概述 (3) 1.背景 (3) 2.数据泄露防护技术DLP (3) 二、解决方案 (4) 1.目标 (4) 2.分析信息外泄的途径 (4) 3.DLP防护指导思想 (5) 4.信息安全的特点和保护策略 (6) 三、产品功能介绍 (7) 1.Windows数据防丢失子系统功能列表 (7) 2.Linux数据防丢失子系统功能列表 (10) 3.安全网关子系统功能列表 (11) 四、产品规格 (12) 1.Windows系统支持规格 (12) 2.Linux系统支持规格 (13) 3.Windows 加密与Linux加密兼容 (13) 五、产品技术 (13) 1. Windows文件加密系统优势 (13) 六、项目实施 (15) 1.确认可信域 (15) 2.信息安全评估 (15) 3.选择部署策略 (15) 4.软件实施过程 (16)
一、概述 1.背景 有一农户在杀鸡前的晚上喂鸡,不经意地说:快吃吧,这是你最后一顿!第二日,见鸡已躺倒并留遗书:爷已吃老鼠药,你们别想吃爷了,爷他妈也不是好惹的。 当对手知道了你的决定之后,就能做出对自己最有利的决定。——纳什均衡理论 所以加强信息内容安全的管理很重要。 当今信息技术高度发达,人们早已习惯了用电子化平台获取信息,企业的数据、信息以电子档案形式处理,传输,存储已成主流。但是信息化就像一把双刃剑,给企业运营带来极大便利的同时,也相应地存在安全隐患。威胁企业信息安全的方式多种多样,计算机犯罪、网络“黑客”行为、内部泄密、信息丢失、人为错误,甚至自然灾害、意外事故等都能造成信息侵害。要保障企业信息安全,一方面是要加强内部管理,提高人员道德修养和技术水平,防止内部泄密或者因技术水准不高而引发的失误性损害;另一方面是加强信息技术软硬件建设,做好信息安全防护工作。 实际上,随着信息化发展,企业的信息安全管理开始重视,可是相关调查显示,多数企业并未设立专业的信息管理团队,因此信息安全形势不容乐观。一旦信息被破坏或泄露,要挽回损失,将面临取证困难和法律规范将是两大难点。因此,企业建立完备的信息安全体系势在必行。 2.数据泄露防护技术DLP 信息安全威胁主要来源于外部的黑客攻击和内部员工的信息泄露。通过防火墙、防毒软件等手段可以阻挡外部的入侵,但是事实上90%以上的信息泄密事件源于企业内部,针对企业内部数据泄露防护技术DLP应运而生。DLP主要是提供文档加密、身份认证、行为管理、监控审计等功能对信息安全进行防护。防火墙是由外而内的信息安全防护,DLP的是由内而外的信息安全防护,两者相辅相成,一起构筑了企业的信息安全环境。
安华金和-电信行业解决方案--CRM系统客户信息保密
CRM系统客户信息保密解决方案 1.背景 在以“客户信息为中心”的CRM系统中,存储着大量重要客户资料,如客户的姓名、电话账户、余额、资费套餐等,都是电信运营商最重要的核心业务数据。为保护这些“数字资产”不被泄露,运营商们花费了很大代价,购买并实施了包括防火墙、入侵检测系统、异常流量检测与过滤、集中管控等在内的大量信息安全产品,在边界防护上构筑了一道固若金汤的安全防护“铁闸”。 然而,在近几年电信运营商数据泄密事件仍频频发生,除造成直接的经济损失外,这些泄密事件带来的损失还包括:被泄密客户诉讼、被客户/潜在客户抛弃、品牌受损失、促进竞争对手的成长。 程序员程稚瀚四次侵入北京移动充值中心数据库盗取充值卡密码,获利达300多万元。 2003年,广东联通7名人员利用内部工号和密码对欠费停机手机进行充值,使联通损失260万元。 今年,3.15晚会曝光了移动、联通及原中国网通三大电信运营商的3个“内鬼”多次向“私家侦探”泄露客户信息、通话记录、手机定位信息共获利300万元,其犯罪手段就是通过应用数据库用户口令获取操作员的工号和口令,再通过业务系统导出各种信息,目前,3人均已获刑。 …… 2.CRM系统客户隐私保密需求分析 目前,各大运营商围绕着网络防护、主机防护和应用防护展开了一些列的安全建设,已建立起相对安全的数据应用环境,但由于技术局限和相关安全产品匮乏等原因,数据库安全建设一直未能得到有效开展。因此,在CRM系统中,至少存在以下数据库安全漏洞,能够导致客户隐私信息泄密的发生: 1)应用系统引起的敏感数据泄密 目前CRM系统是一个统一的应用系统,集中了业务受理、投诉申告、故障受理、欠费催缴管理、流失管理、信用度管理、大客户分析、业务分析、收益分析等核心业务模块,同时
云安全等保防护解决方案
概述 随着美国棱镜门事件以来,信息安全受到越来越多的国家和企业的重视,特别是今年从国家层面成立了网络安全与信息化领导小组,因此就某种程度而言,2014年可以说是真正的信息安全元年。就当前的信息安全建设驱动来看,主要来自政策性合规驱动和市场需求驱动是两个重要的驱动点。 ·从政策层面看国家成立了网络安全与信息化领导小组,强调自主可控是信息安全领域国家的基本意志体现。同时也出台了相关的政策要求对信息安全产品、云计算服务等进行安全审查,通过政策、法律、规范的合规性要求加强对信息安全的把控。 ·从需求层面来看,随着愈演愈烈各种的信息泄密事件、大热的APT攻击等,大量的企业对信息安全的认识已经从过去的“被动防御”转变成“主动防御”,尤其是新型的互联网金融、电商业务、云计算业务等都前瞻性企业都把安全当做市场竞争的重要砝码,并寻求各种资源不断提升用户对其信任性。 ·用户选择云计算服务的角度来看,我们了解了很多的云计算用户或潜在的云计算用户,用户的一项业务在往云计算中心迁移时考虑的前三位的要素一般是安全、技术成熟度和成本,其中首要考虑的是安全。因为由于云服务模式的应用,云用户的业务数据都在云端,因此用户就担心自己的隐私数据会不会被其他人看到,数据会不会被篡改,云用户的业务中断了影响收益怎么办,云计算服务商声称的各种安全措施是否有、能否真正起作用等,云用户不知道服务提供商提供的云服务是否真的达到许诺的标准等担忧。 1.云环境下的等级保护问题研究 综上所述,用户在选择云计算的时候首先会考虑安全性,对普通用户来说,云计算服务的合规性是安全上很重要的参考依据。云计算服务的安全合规目前主要有等级保护、27001、CSA云计算联盟的相关认证。其中等级保护是一项基本
安华金和数据库脱敏系统(DBMasker)
安华金和数据库脱敏系统 (DBMasker) 一. 产品概述 安华金和数据库脱敏系统(简称DBMasker)是一款面向生产数据进行数据抽取、数据漂白和动态掩码的专业数据脱敏产品。 DBMasker可以满足测试、开发、培训和数据共享场景的敏感数据保护需求。 DBMasker符合金融、运营商、能源、政府等行业敏感数据防护的政策合规性需求。 二. 产品价值 2.1 防止生产库中敏感数据泄露 DBMasker通过对生产库中的身份、地址、银行卡号、电话号码等敏感数据进行混淆、扰乱后再提供给第三方使用,防止生产库中的敏感数据泄露;DBMasker通过对生产或漂白后的数据进行局部数据抽取,实现非生产环境下数据集合最小化。
2.2 提升测试、开发和培训数据质量 DBMasker通过内置策略和算法,保证脱敏数据有效性(保持原有数据类型和业务格式)、完整性(保证长度不变、数据内涵不丢失)、关系性(保持表间、表内数据关联关系),以提升在测试、开发和培训环节的真实有效性。 2.3 提高数据维护和数据共享安全性 DBMasker通过对生产数据库访问者用户名、IP、工具类型、时间等多个身份维度,控制对生产数据访问结果的差异化;返回结果可以为真实数据或掩码数据,或进行阻断、返回行数限定。 通过对访问者的不同策略,满足细粒度的生产数据访问需求。比如:DBA可维护,但看不到敏感数据;业务系统访问真实数据,BI系统看到扰乱后用户身份信息。 2.4 实现隐私数据管理的政策合规性 通过DBMasker脱敏产品,可以帮助组织满足国际标准、行业监管政策中,对测试和开发环节的敏感数据保护需求。 三. 产品优势 3.1 漂白只是开始,完备脱敏解决方案 DBMasker具备全面的数据漂白能力,同时DBMasker具备以下能力: 1)数据间关系保持:实现表间关系、同表列间关系、数据分布关系保持;