构建以数据为核心的安全壁垒+Oracle大中华区产品战略部资深产品战略专家+杨超先生
构建以数据为核心的安全堡垒
Oracle Product Strategy
杨超
议题
1? 2? 3 ? 4 ? 5 ? 6 ?
政府行业面临的信息安全挑战 中国信息安全建设现状及法律法规要求 信息安全建设的关键要素 Oracle数据安全解决方案介绍 成功案例介绍 问与答
CONFIDENTIAL: All capabilities and dates are for planning purposes only and may not be used in any contract
政府行业的信息安全挑战
?政府管理的透明化带来管理和安全性方面要求 9电子政务发展趋势:推进公共服务多元化
和公共服务平台的整合,带来信息安全隐患
9管理的透明化要求信息的公开和权威,这
些对信息和数据的安全管理提出了新的要求
9经济刺激计划要求更宽的监管范围,同时要求更高的管理性和安全性 ?复杂的社会环境对信息安全带来的挑战 9 藏独、疆独、法轮。。。蠢蠢欲动 9经济危机带来的不稳定因素大大增加。管理,危机控制和依法办事也
需要依托信息安全增加可执行性
CONFIDENTIAL: All capabilities and dates are for planning purposes only and may not be used in any contract
信息安全业现状分析
? 信息安全重要性已经被普遍接受,受重视程度很高
– 信息安全是信息化的命脉
9 美国每年信息安全事故造成的损失超过170亿美元,中国的经济损失也在逐 年上升 9 政府信息安全可能导致的负面影响:公民/企业->谁会秩序->国家安全 9 十六届四中全会决议中有,“要坚决防范和打击各种敌对势力的渗透,颠覆 分裂活动,有效防范应对来自国际经济各种风险,确保国家的政治安全、经 济安全、文化安全和信息安全”
? IT对信息安全的支持
– 安全系统和方案是IT建设的不可或缺的部分 – 所占预算的比重越来越大
9 2004年,雅典方面对奥运网络安全的高度重视,整个电脑保安系统价值高 达4亿美元 。2008年北京奥运会的IT安全费用甚至超过了硬件预算
CONFIDENTIAL: All capabilities and dates are for planning purposes only and may not be used in any contract
中国等保的政策和标准体系
– 1994—2007 中国版的“SOX”从立项到落实
? 1994年,富有“中国特色”的、定位在企业信息系统安全的“等 级保护制度”被首度立项提出; ? 2007年7月,由公安部、国家保密局、国家密码管理局、国务院 信息化工作办公室在北京联合召开“全国重要信息系统安全等级 保护定级工作电视电话会议”,部署了在全国范围内开展重要信 息系统安全等级保护定级工作。
– 2007—2008 实质定案到试点推广
? 近年来,相关的、针对性强的红头文件频繁发布,各行业的试点 工作的有效推进,意味着我国的等级保护制度已经逐渐落实到了 实际应用之中。 ? 截止于2008,各行业企业已经完成了:等保3 级及以上的信息系 统定级、备案工作(由行业管理和监督部门)
?现有保护政策包括:
?国务院147号令、中央27号文件、 《关于信息安全等级保护工作的实施 意见》 (公通字[2004]66号)》、 ?《信息安全等级保护管理办法(公通 字[2007]43号)》
– 2009.7.1
强制执行
? 2009.5 由国务院信息化工作办公室、公安部牵头发布了等保评 测制度大力度推进的相关文件及各行业相关的执行指示; ? 2009.7.1,我国等保5级制度进入强制执行阶段。并确定了已报 备的3级及以上的需通过测评,获得证书的最后期限 ? 2009.7.1起,任何不规范或无视事件,将由各行业、地区所属行 业管理部门及所在区域公安局监督
?现行标准包括:
?《计算机信息系统安全保护等级划分 准则》(GB17859‐1999)、《信息系 统安全等级保护基本要求》、 ?《信息系统安全等级保护实施指南》、 《信息系统安全等级保护测评要求》 等30多个标准。
CONFIDENTIAL: All capabilities and dates are for planning purposes only and may not be used in any contract
范围 哪些行业和单位需要实施等级保护
9政府机关:各大部委、各省级政府机关、各地市级政府机关、 各事业单位等 9能源行业:电力公司、石油公司、烟草公司 9企业单位:大中型企业、央企、上市公司等 9金融行业:金融监管机构、各大银行、证券、保险公司等 9电信行业:各大电信运营商、各省电信公司、各地市电信公 司、各类电信服务商等 9其它有信息系统定级需求的行业 与单位
CONFIDENTIAL: All capabilities and dates are for planning purposes only and may not be used in any contract
五级 信息系统等保1~5级特征描述
CONFIDENTIAL: All capabilities and dates are for planning purposes only and may not be used in any contract
刑法修正案规定单位泄露公民信息,处罚主管人员
CONFIDENTIAL: All capabilities and dates are for planning purposes only and may not be used in any contract
数据安全问题的大众化表象 -- 身份证信息泄露严重
CONFIDENTIAL: All capabilities and dates are for planning purposes only and may not be used in any contract
信息安全问题的政府和企业表象
--重视信息安全但信息安全事故频繁
? 地税局内部人员通过正常业务操作窜改数据 ? 多个证券公司客户资金频繁被挪用。 ? 深圳市孕妇信息泄漏并被公开买卖。 ? 省级电信公司的增值服务客户信息被竞争对手掌握 ? 社保核心参数被修改 ? 劳保受益账户修改,诈领养老金事件 ? 更为严重的,公司的核心机密被泄露(华为等),造成 巨大的损失。 还有国家机密被窃取的恶性信息安全事件 也常有发生
CONFIDENTIAL: All capabilities and dates are for planning purposes only and may not be used in any contract
信息安全事故背后的深层原因
? 制度的不完善
– 从国家,到各级政府和各个企业,涉及到电子化的信息安全立法 和管理制度很不完善,走简单化和复杂到难以执行的两个极端
? 技术方案的不完善
– 主要存在重网络轻数据,和重外部轻内部两个方面的问题
? 大众和业务人员普遍的技能和技术提高
– 当简单的防护遭遇到内行,即使这些人原本没有恶意
? 环境的诱惑和压力
– 除了经济等方面的诱惑外,被迫离职或换岗的人,很容易成为信 息安全事故的主角 – 金融危机形势下,当面临压力时,问题就更容易产生了
CONFIDENTIAL: All capabilities and dates are for planning purposes only and may not be used in any contract
CIO的应对措施
? 继续强化网络安全设施:
– 这是防范外部入侵最有效的手段,当然也是最简单的,除了 费用很贵
? 寻找安全系统缺陷并加以改善:
– 小的安全缺陷是相应系统的短板
? 内部管理方式和制度的完善:
– 安全的根本政策,一定要包含内部的安全管理规范。但制度 本身还需要合适的技术手段支持,才能不至于过于繁杂。比 如对核心系统的内部操作和管理规范
? 统一的安全监控和审计平台:
– 对于外部和内部,监控和审计的粒度应当区别对待。 – 外部大量来去无踪的访问,以及无意识攻击,可以设计成粗 粒度审计。内部敏感操作,需为细粒度
CONFIDENTIAL: All capabilities and dates are for planning purposes only and may not be used in any contract
数据安全来自于外部和内部的威胁
外部安全威胁
黑客攻击 病毒木马 防火墙 硬件安全 ……
内部安全威胁
人为误操作
企业数据 安全
敏感数据 职责分离 集中审计 ……
CONFIDENTIAL: All capabilities and dates are for planning purposes only and may not be used in any contract
数据安全最大威胁来自于内部
来自:Ponemon研究所<<2008数据外泄不确定性研究>>
CONFIDENTIAL: All capabilities and dates are for planning purposes only and may not be used in any contract
数据安全目前存在的“八二”现象
传统的黑客、木马、病毒等 … 外部威胁仅占20%
而内部泄密、攻击、违章、管理不善 等 … 内部威胁竟高达80% !
CONFIDENTIAL: All capabilities and dates are for planning purposes only and may not be used in any contract
目前的数据安全保障手段严重失衡
大多数企业正在用90%以上的投入 解决20%的外部安全威胁问题 而面对高达80%的内部安全威胁 仅靠密码、制度、觉悟,投资几乎为0 !
墙 防火 软件 杀毒
VPN专
外
检测 入侵 线
数据 部的
据安全 数 的 内部
安全
CONFIDENTIAL: All capabilities and dates are for planning purposes only and may not be used in any contract
安全性管理是一种预防性控制
? 安全控制可加强对法规的遵守,以满足新的 隐私和公司治理法规要求
– 从手动方式转变为自动化方式 – 从检测性法规遵守控制转变为预防性控制
? 自动化预防控制可降低遵守法规的成本
– 自动执行职责分离 – 自动化的证明 – 自动化的审计和报表编制
CONFIDENTIAL: All capabilities and dates are for planning purposes only and may not be used in any contract
安全现状
1、容灾 物理 环境 网络 应用 主机 数据库 数据
2、防火墙、IDS、VPN、 HTTPS 3、CA、HTTPS、USER /PASSWORD 4、操作系统安全 USER/PASSWORD 5、数据库访问安全 USER/PASSWORD ??
CONFIDENTIAL: All capabilities and dates are for planning purposes only and may not be used in any contract
解决方案:信息安全体系架构
用户管理 访问控制 数据保护 监控
?设置安全的密码 ?集中式用户管理 ?强认证 ?代理认证 ?安全的基本配置
?加强对特权用户的控制
?数据加密
?启动数据审计
?细粒度的审计 ?控制谁、什么时间、什 ?网络加密 么地点、如何(3W1H) 访问了数据库、数据和 ?对外发数据进行数 ?对审计数据进行集中 应用系统 据屏蔽 管理、生成报表和监 控 ?行级别和列级别的多角 ?加密导出的数据 度安全控制 ?定时进行安全配置扫 描 ?对备份数据进行加 ?对数据进行分类管理 密
CONFIDENTIAL: All capabilities and dates are for planning purposes only and may not be used in any contract
加密 数据安全
Advanced Security
存储数据加密——保护超级敏感数据
数据私密性
Label Security
行标签安全——增强行级数据安全
内部风险控制
Database Vault
保护敏感信息免遭内部威胁
审计 备份 遮蔽 网络安全 嗅探 篡改
Audit Vault
提供了数据访问审计数据仓库
Secure Backup
数据加密功能的磁带备份管理软件
Data Masking Pack
保护敏感的生产数据
Advanced Security
加密与数据库连接的所有协议——防止嗅探及篡改
CONFIDENTIAL: All capabilities and dates are for planning purposes only and may not be used in any contract