上讯IFC-DBA-V3.5-产品-V1.0-20160129-1.ppt

满足合规性要求，顺利通过IT审计 追踪溯源，便于追查原因与界定责任 有效减少核心信息资产的破坏和泄漏 直观掌握业务系统运行状况，保障稳定运行 实现独立审计与三权分立，完善IT内控机制 用户收益 5 4 3 1 2 行业现状 产品资质专利 产品特点优势 产品功能 产品介绍 目录 产品资质 产品专利 Thanks！ Suninfo Information Technology Co., Ltd 上海市浦东新区张江高科技园区郭守敬路498号20号楼 P: 86-21F: 86-21S:: 400 880 5062 Without SUNINFO written approval,No organization or individual shall not in any fromin any region of the world in any text,Copy, copy or reprint this proposal of any part or all of the content. 未经上讯信息技术股份有限公司书面认可， 任何组织或个人不得以任何形式在世界任何地区以任何文字翻印、 拷贝、仿制或装载本提案任何一部分或全部内容。 * * * * Suninfo Information Technology Co., Ltd Suninfo Information Technology Co., Ltd Suninfo Information Technology Co., Ltd Suninfo Information Technology Co., Ltd SUNINFO InforCube数据库安全审计防护系统产品介绍 同王颜 2016.01 5 4 3 1 2 行业现状 产品资质专利 产品特点优势 产品功能 产品介绍 目录 5 4 3 1 2 行业现状 产品资质专利 产品特点优势 产品功能 产品介绍 目录 2014 1367 2012 855 2011 90 2013 921 根据Verizon2011-2014年的报告显示，已确认的数据库泄密事件已经在逐年增长。 数据库泄密事件统计 国内数据库安全事件 支付宝前员工贩20G用户资料 12306爆用户信息泄露漏洞 小米陷“泄密门?” 软件商“侵”车管所系统“删违”万余条 关注数据库安全刻不容缓！ 数据库安全风险产生 内部 用户 合法权限滥用 权限盗用 越权滥用 权限分配不当 临时帐号未及时清理 备份数据缺乏保护 离职员工的后门 软件 自身 数据库平台漏洞 通讯协议漏洞 弱鉴权机制 日志缺失或不完整 合作 伙伴 合法权限滥用 权限盗用 越权滥用 后门程序 应用 程序 程序漏洞 应检查关键服务器和关键数据库管理系统，查看安全审计配置是否符合安全审计策略的要求；应检查关键服务器和关键数据库系统，查看审计记录信息是否包括事件发生的日期和时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等内容；应检查关键服务器操作系统和关键数据库管理系统，查看是否对审计记录实施了保护措施，使其避免受到未预期的删除、修改或者覆盖等。 安全审计应与身份鉴别、访问控制、数据完整性等安全功能的设计紧密结合，并为下属可审计事件产生审计记录： 服务器、涉密重要用户终端、安全保密设备的启动和关闭； 审计功能的启动和关闭； 系统内用户增加、删除； 用户权限的更改；系统管理员、系统安全员、审计员和一般操作员所实施的操作； 其他与系统安全有关的事件或专门定义的可审计事件；系统记录应包括以下内容：事件发生的事件、地点、类型、主题和结果（成功或失败）。 等级保护 《2002Sarbanes-Oxley Act(bilingual)》 《PCAOB Auditing Standard No.2》 上市公司 《中国移动集团内控手册》 《中国电信股份有限公司内部控制手册》 《中国网通集团内部控制体系建设指导意见》 电信行业 《银行业金融机构信息系统风险管理指引》 《保险公司内部审计指引(试行)》 《上海证券交易所上市公司内部控制指引》 金融行业 《卫生部关于进一步深化治理医药购销领域商业贿赂工作的通知》 《关于加强医院信息系统药品、高值耗材统计功能管理的通知》》 医疗行业 行业标准 1 3 2 4 对数据库访问与操作进行监测审计 对数据库异常操作监测报警 提供分类统计图形报表方便管理 对运维操作进行实时录像和回放 5 对数据库安全实时监控，并提供优化分析 6 数据库安全需求 独立