帕拉迪数据库风险分析、安全监控审计及合规解决方案.pptVIP

帕拉迪数据库风险分析、安全监控 审计及合规解决方案 杭州帕拉迪网络科技有限公司 数据库面临的安全威胁！！！ 根据最新研究显示,恶意内部人员和人为错误是对数据库安全的最大威胁,而不是外部入侵者。 在对国际sybase用户组织216名成员的调查中发现,超过一半的受访者认为人为错误是对企业数据安全的最大威胁。 在这次调查中,约有56%的非金融机构认为人为错误是最大的挑战,而24%受访者则认为滥用特权的恶意内部人员才是更大的威胁.而对于金融机构,这些数据则更加突出,77%受访者主要担心人为错误, 约有48%的受访者担心内部人员滥用特权.近四分之一到受访者来自金融服务企业。 电信员工等23人出售手机用户信息被起诉, 23人被控出卖公民个人信息。 2008年深圳市4万余孕产妇信息泄露事件。 个人身份信息泄漏，网站等信息数据库容易遭受攻击。 数据库安全威胁—来自内部的威胁 2011上半年发生的黑客攻击事件，受害者从各国政府机构到具有很高知名度的银行和商业公司，如美国军方承包商、国际货币基金组织、花旗银行和索尼，还有专业安全机构，如RSA。事实表明无人能幸免于黑客攻击，毕竟媒体报道出来的黑客事件只是“冰山一角”，还有大量未被报道，甚至都还不曾被发现的网络攻击存在。 2011年黑客攻击纪事 美军方承包商机密数据遭泄漏 华盛顿邮报招聘网站遭黑 Anonymous黑客组织瞄上苹果 报业巨头Gannett数据库遭袭 北大西洋公约网络书店遭袭 艺电旗下网站遭袭 EA证实遭遇黑客攻击 巴西政府网站成最新受害者 花旗集团：黑客攻击影响客户超过36万 Sega用户数据库被黑 黑客侵入国家级教育网站 篡改官方数据造“真证书” 黑客篡改双色球中奖数据 3305万巨奖险些落入黑手 数据库安全威胁—来自外部的威胁 索尼PlayStation数据泄漏事件 索尼在其博客表示，“超过7000万用户的个人资料于4月17日——4月19日被黑客非法获取，包括用户姓名，地址，电子邮件地址，生日，PlayStation网络密码，用户名等信息”。 CNET网站的读者Konfuzed接受调查时表示，对没有第一时间受到警告表示失望。为什么索尼要等待16天才告诉我，应该对这次事件提高警惕，这样的服务和相应暴露了太多不足。不给出合理解释，我将放弃PS3。 XXX医院“统方”事件 医院的处方信息被统计后提供给医药代表，而后医药代表按照处方开具药品数量为响应的医师提供回扣。 事件一经爆出，就引起强烈围观。对于一个军属医院来说，损失可能不止于金钱上…… 数据库泄密典型事件 十大数据库安全威胁 1. 滥用过高权限2. 滥用合法权限3. 权限提升4. 数据库平台漏洞5. SQL 注入6. 审计记录不足7. 拒绝服务8. 数据库通信协议漏洞9. 身份验证不足10. 备份数据暴露 内部用户 外部用户 资源设备 权限滥用 恶意访问 误操作 权力限用 系统管理员 网管员 安全管理员 软件系统开发人员 黑客 代维厂商 合作伙伴 临时用户 不了解数据库“被”怎么了！ 数据资产使用“有规无据”! 缺少数据库行之有效的“分析审计依据“！ 数据库访问“暗箱操作”，数据库访问不透明！ 企业数据库现状 无法有效分析数据来源，做到快速定位。 没有数据库的完整审计记录，无法满足相关审计方面的要求。 对关键数据的访问无记录，出现事故无法追踪。 一旦数据库日志被清除，无法发现事故，无法做到事故定位。 对于黑客攻击，无法做到有效防范和攻击留痕。 非授权进入业务系统或误操作、越权操作，导致数据泄漏或被修改。 不能实时监控对数据库的非法访问，没有预警。 目前数据库管理存在问题 数据库操作过程“雾化”，无有效快速分析依据。 法规遵从 国际标准 萨班斯法案 ISO27001 行业标准 行业 法规标准 互联网服务商 《互联网安全保护技术措施规定（82号令）》 电信行业 《中国移动集团内控手册》 《中国移动业务支撑网安全域划分和边界整合技术规范》 《中国电信股份有限公司内部控制手册》 《中国网通集团信息质量问责管理若干规定 》 《中国网通集团内部控制体系建设指导意见 》 金融保险行业 《银行业金融机构信息系统风险管理指引》 《商业银行合规风险管理指引》 《中国银行业监督委员会办公厅文件银监办通313号》 《保险公司内部审计指引（试行）》 《保险公司风险管理指引（试行）》 《电子银行安全评估指引（2007）》 《电子银行业务