数据库安全解决方案V4.ppt

数据库安全解决方案功能最多，业界最佳的数据库中 关键数据 保护，加密和审计方案第二十六届世界大学生夏季运动会网络信息安全技术支撑单位 背景概述 解决方案 业务场景 部分案例 目标客户 关键控制点目录2 “亿元网络不堪一击”/content-88596.html 中央电视台报道了全国最大的网上盗窃通讯资费案，31岁的程稚瀚是UT斯达康（中国）有限公司深圳分公司资深软件研发工程师，主要工作是帮助公司解决网络安全问题。 此前任华为技术有限公司工程师，负责西藏移动等公司的设备安装。他做的事情是，从2005年2月，从西藏移动公司系统进入北京移动公司的充值中心数据库，获得最高系统权限，根据“已充值”的充值卡显示的18位密码破解出对应的34位密钥，然后把“已充值”状态改为“未充值”，并修改其有效日期，激活了已经使用过的充值卡。 在随后的4个多月中他在充值数据库中如此操作，并复制出了14000个充值密码。他把面值300元的充值密码以281.5到285元面值不等价格在网上售出，获利380万元。 2005年7月，程稚瀚在窃取最后一批密码时，忘记了修改有效日期，他的这个“疏忽”让买卡的客户向北京移动投诉。7月16日，北京移动接到用户投诉说购买的充值卡无法充值，这才发现密码被人盗窃并报警。数据库出问题！ 真实的安全隐患 | 切实的安全需求 孕产妇资料售价一万二 ???深圳卫生局承认信息泄露  今年6月，有人向部分儿童用品类商家兜售包含深圳市孕产妇信息的光盘，这张光盘上记录了4万余名预产期在2008年3月至8月的深圳孕产妇资料，涉及孕产妇姓名、年龄、户口性质、家庭住址、联系电话、就诊医院等信息，售价高达1.2万元。部分孕产妇表示已接到广告推销电话或短信骚扰，推销内容包括月嫂、婴儿奶粉、百日摄影、胎毛毛笔、产妇健身等信息。 ????对此，深圳市卫生局负责人承认，孕产妇信息系统部分内容被泄露是事实。市场上流传的非法光碟所记录的孕产妇信息，与深圳市妇幼信息系统所记录的相符。也就是说，光碟所泄露的资料确实来自市卫生局所属单位所管理的官方系统。有关单位也表示严查不贷。但至今没有公布调查结果。 －－《北京晚报》 个人隐私、信息被肆无忌惮泄露的现状，随着刑法的修改或将得到遏制 【《财经网》专稿 / 记者 叶逗逗】针对个人信息被肆意侵犯的现象，中国正在审议的新的刑法修正案，将提出专门条款，加强对个人信息的保护。　　8月25日，十一届全国人大常委会第四次会议将就刑法第七次修订(下称刑法修正案（七）)进行审议。　　刑法修正案（七）规定，如果国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，将被处以三年以下有期徒刑或者拘役，并处或者单处罚金。　　业内人士指出，这一规定非常有针对性，在商业、金钱利益的驱动下，金融、电信、交通、教育、医疗等单位掌握大量公众信息，因为公民同这些单位打交道往往需要填写各种单据，如果不加强这些部门的责任，公众的个人信息很容易被泄露，被垃圾广告、垃圾邮件骚扰还是小事，严重的甚至可能导致银行账户被盗等后果。 还是数据库出问题！ 相关案例：CSDN网站的用户数据库，600余万个注册邮箱账号和与之对应的明文密码泄露。随后，天涯、新浪微博、腾讯 QQ、人人、开心网等知名网站的用户密码也遭到泄露。 698% 数据泄漏来自服务器48% 来自超级权限账号40% 来自包括SQL攻击在内的黑客攻击70% 来自外部代理48% 来自内部根据Verzon的数据违规报告显示 什么原因导致数据被侵犯？ 敏感数据未加密或者简单加密没有有效的控制特权用户的数据访问 没有有效的监控和预警机制 没有对SQL注入等外部攻击手段的有效防护安全隐患 背景概述 解决方案 业务场景 部分案例 目标客户 关键控制点目录8 风险：数据泄露数据库安全机密性完整性可用性后果：信誉&竞争力受损风险：数据被篡改风险：黑客攻击导致数据库不可用后果：收入受损，业务运营受损后果：业务中断，收入和声誉受损需求：数据加密，数据屏蔽，访问控制需求：访问控制，数据库防火墙，监控审计需求：数据库防火墙，维护安全配置和监控，回滚和撤销损坏 怎样做到数据保护的深度防御?需要做到：敏感数据“看不见”核心数据“拿不走”运维操作“能审计”引导出九个要点 加密和屏蔽访问控制审计和监视 阻止和记录 数据库安全整体架构设计HRRebates数据库审计HRRebates备份加密数据加密传输加密数据伪装审计鉴权认证敏感机密公开应用服务器网络SQL监控和阻止 多因素鉴权和认证 整合DB安全 非法D