欧美日韩国产在线观看网站_亚洲欧美国产另类_秋霞成人午夜鲁丝一区二区三区_色综合中文字幕

1.背景概述
1.1.數據泄漏事件頻發
Verizon發布的《2016年度數據泄露調查報告》稱：2015年，全球82個國家出現64199起數據泄露事件。而運營商行業是數據泄漏的重災區之一。例如2015年10月，英國最大的寬帶服務提供商TalkTalk，遭受了三次黑客攻擊，約400多萬用戶的隱私數據被泄露，這可能是英國史上最大規模的數據泄漏事件之一。而在美國，美國移動電話服務公司T-Mobile的 1500萬用戶個人信息被泄露。在國內，據報道，2015年10月底中國電信某系統再度曝出重大漏洞。通過該漏洞可以查詢上億用戶信息。而在2016年1月，中國聯通接連爆出多處漏洞，其中一處漏洞泄露了2000多萬用戶信息。
1.2.相關標準和法規
事實上，國家級和行業級的安全法規和標準，比如《等保》、《分?！贰ⅰ渡堂堋返?，都對數據安全管理提出了明確的要求。針對當前數據泄露事件頻發的態勢，我國政府對數據安全的政策和法規不斷加碼，頻繁出臺新的政策。尤其是《國家網絡安全法》即將出臺，對個人隱私保護有明確的法規要求，這將成為數據安全管理領域的綱領性要求。
運營商行業也有相對應的法規和標準。工信部第24號令，即電信和互聯網用戶個人信息保護規定（運營商行業專用），以及工信部?！?014〕368號文件，關于加強電信和互聯網行業網絡安全工作的指導意見（運營商行業專用）都明確要求加強運營商行業對網絡數據和用戶個人信息進行保護。
2.需求分析
運營商行業歷來十分重視信息安全工作，已經建成了比較完備的安全防護體系。具體部署的安全產品包括網絡防火墻、網絡入侵檢測、UTM、DLP、防病毒、VPN、DPI、堡壘機、4A和災備等等。但是這些技術手段都不是直接針對數據進行防護，真正針對數據的安全防護措施還相當有限。
Gartner對當前網絡環境下的數據安全管理和數據庫安全問題進行了調研，總結了數據庫及其管理的數據所面臨的泄密風險，主要有：1）越權權限的濫用；2）合法權限的濫用；3）權限盜用；4）數據庫平臺漏洞；5）SQL注入、緩沖區溢出風險；6）弱鑒權機制；7）備份數據缺乏保護；8）缺乏詳盡審計；9）數據庫通信協議漏洞。除了上述泄密風險，我們在長期的數據庫防泄密實踐中還發現如下兩個嚴重的泄密風險：惡意軟件和明文存儲。
據了解，上述問題在運營商行業同樣存在。比如，在電信行業目前的IT系統中，最突出的數據泄漏風險如下：

1）運維外包人員惡意盜取敏感信息：目前在電信行業中，運維外包是一個普遍的現象，個別的運營中心，外包人員達到上百人之多。外包人員可以直接或者經過4A系統訪問到數據庫。雖然4A審計可以記錄訪問的過程，但是不能阻止敏感數據被查看或者批量導出。而且運維人員還可以通過“跳板”，繞過4A系統，訪問到敏感數據庫。
2）系統管理員和應用管理員越權訪問傳播敏感數據。在典型的電信行業運營中心，有超過200多個應用系統。系統管理員和這些應用系統的管理員擁有訪問數據庫的直連通道和帳號密碼。更為嚴重的是，不少應用系統是外包開發的，相應的系統管理員也是外部人員。
3）系統開發和測試使用真實數據。在開發和測試過程中，使用真實的數據，能夠保證真實性，但是卻極其容易造成真實數據的泄密。
3.解決方案
中安威士為運營商行業推出的數據安全管理方案滿足三大主要需求：可視、可控和合規。按照這一基本思路，方案的功能組成部分包括：數據庫訪問的全面審計+細粒度訪問控制+敏感數據加密和脫敏。
數據活動的全面審計：對數據的分布、性能、訪問和活動情況進行全方位的監控和記錄，便于事后審計和追查。及時發現數據的異?；顒忧闆r和風險，產生報警。并輸出可視化的報表，便于分析。
細粒度訪問控制：基于自動學習，生成細粒度的訪問控制規則，阻斷異常的查詢和訪問，防止敏感數據泄漏。阻斷異常的和違規的數據修改和刪除操作，防止敏感數據被非法篡改。
敏感內容加密和脫敏：有選擇性的對敏感內容加密和脫敏，使敏感數據在存儲、使用、外發時被脫敏，防止真實數據被泄漏。而增強的對敏感數據的權限管理可以防止越權權限的濫用、合法權限被盜用和濫用所導致的數據泄漏。
中安威士數據安全解決方案基于自主研發的系列數據庫安全加固產品來實現。具體的實施方案如下。

該解決方案的要點如下：
1)部署數據庫脫敏系統，對應用、運維、開發測試場景管理數據查看權限
· 對于運維操作，通過動態脫敏功能，確保運維人員不能看到真實的數據；
· 對于需要管控的應用程序，通過動態脫敏功能，確保應用系統看到脫敏后的準真實數據；
· 對于開發和測試工程，通過靜態脫敏功能，確保開發和測試人員只能看到脫敏后的準真實數據；
· 對于外包、數據外送等情形，使用靜態脫敏功能，確保真實數據不外發。
2)部署數據庫審計系統對所有數據庫訪問進行審計
· 通過旁路鏡像的方式，實現對數據庫的在線監控和保護；
· 對云計算和虛擬化平臺上的數據庫系統、難以實施鏡像部署的系統，以及需要進行全面審計的系統，通過部署中安威士特有的軟件探針，實現全面審計；
· 使用數據發現功能，將所有發現和分類結果直接應用到后續模塊的規則中；
· 開啟數據庫性能監控功能，保障業務系統的連續可用性；
· 開啟數據庫性能和風險評估功能，全面評估數據庫系統的性能和風險狀態；
· 開啟學習功能，自動生成基線模型和白名單訪問規則，鎖定“用戶”到“數據”的訪問權限；
· 開啟入侵檢測功能，及時發現針對數據庫的違規操作行為；
· 開啟運維審計功能，審計通過SSH/TELNET/FTP等協議對數據庫服務器進行的運維操作；
· 開啟Web應用審計和三層關聯審計，實現完整地溯源能力。
3)實施數據庫防火墻系統，徹底阻止SQL注入攻擊和越權操作
· 對于更重要的、易受攻擊的系統，尤其是需要外包人員接觸的，以及對外提供服務的數據庫，部署數據庫防火墻；
· 開啟入侵保護功能，以抵御SQL注入攻擊和針對數據庫漏洞的攻擊，同時防止全表刪除等誤操作和超級權限濫用等風險；
· 開啟學習功能，生成白名單規則，并手工添加黑名單規則，解決詳細設置數據庫防火墻規則困難的問題；
· 對于云計算和虛擬化平臺上的數據庫，部署虛擬機形態的數據庫防火墻系統。
4)部署數據庫加密系統，保護尤其重要的敏感數據
· 對于尤其重要的數據庫，部署數據庫加密系統，對指定的敏感字段進行加密；
· 通過三權分立的權限管控系統來實現對敏感數據的訪問權限控制，確保其數據的安全性；
· 開啟敏感數據訪問審計功能，記錄對加密數據的訪問；
· 定期輪換密鑰，保證數據的加密強度。
4.方案優勢
中安威士數據安全管理解決方案基于數據庫審計、數據庫防火墻、數據庫加密和數據庫脫敏產品實現。方案完整地解決了當前運營商行業信息系統所廣泛面臨的數據泄露困境。該方案的優勢體現在：
快：卓爾不凡的處理性能；
智：智能化自動學習，實現數據庫審計/防火墻零配置；
穩：十余年技術積累，國內最早專利技術，上千實際部署案例，產品運行穩定；
全：功能全面、全面覆蓋可能的泄密路徑；
美：美觀的管理界面和報表；
細：達到字段、語句級的細粒度數據活動審計和訪問控制。
5.方案價值
通過上述解決方案，有效滿足了運營商所面臨的數據安全管理的需求：使數據安全可視、使數據安全可控、使數據安全合規。除帶來上述主要價值外，具體來說，中安威士數據安全管理解決方案還帶給運營商客戶帶來如下價值：
1)簡化業務治理流程，提高數據安全管理能力；
2)完善縱深防御體系，提升整體安全防護能力；
3)減少核心數據資產被侵犯，保障業務連續性；
4)有效維護企業的公信力和聲譽。
中安威士為北京中安比特科技有限公司專有品牌，通過持續創新，為企業帶來嶄新的數據安全體驗。
6.案例
6.1中國電信某部—某運營中心
項目目標：針對可獲取或查詢客戶信息的業務系統后臺運維處理過程，通過動態模糊化技術，限制運維人員對數據庫中客戶信息內容的訪問，從而降低客戶信息泄漏事件發生的可能性。

系統實施方案：
在運維區部署兩臺動態脫敏系統，防止單點失敗以及分擔高峰時期的負載。所有的運維管理都通過動態脫敏系統進行過濾和脫敏。普通用戶看到脫敏后的數據如下：
6.2移動集團某省公司經分系統后臺數據模糊化

數據脫敏的目標（共2大類，12小類）
■對運維人員脫敏：通過4A使用PLSQL工具運維Oracle數據庫，包括數據查詢、導出等SQL命令
■對經分系統的使用人員脫敏：通過4A訪問經分頁面
脫敏策略舉例
模糊化字段模糊化規則舉例
郵件地址@前面的用3個*代替，或全部使用8個*代替例如：
13901234567@139.com->***@139.com
身份證號碼出生年月日用*代替，最后一位用*代替，或全部使用8個*代替例如：
330101197701014237->330101********423*
部署方案
采用雙機熱備的方式，將脫敏接入在數據庫前。前端經分系統、堡壘機等經過脫敏系統訪問數據庫。設置脫敏規則，將敏感信息脫敏。
模糊化效果-通過4A使用PLSQL工具運維Oracle數據庫時

模糊化效果-通過4A訪問經分頁面時