帕拉迪数据库运维审计系统解决方案.pptxVIP

前 言 目 录 过渡页 各大网站核心数据泄露，引发数据库安全问题 自2011年末开始CSDN的600万用户数据被泄露，垂直游戏网站多玩网被传泄露800万用户数据；天涯社区4000万用户数据包被疯传；51CTO、CNZZ、eNet、UUU9、YY语音、百合网、开心网、人人网、美空网、珍爱网等相继被卷用户数据泄露风波；支付宝、当当网以及京东商城亦未幸免，网络传交通银行7000万及民生银行3500万用户卡号、姓名及密码泄露，恐慌感被推至高点，“泄密门”达到高潮。 必威体育精装版新闻有支付宝1000万用户数据泄漏、腾讯7500万QQ群用户数据泄漏。 数据库频繁遭受入侵、篡改 敏感信息泄露和数据篡改引发社会问题 某医院主任反馈，现在很多医生都知道数据库账号（共同个），当医生病历写错时，自己可以直接进行修改。如被人误改或恶意篡改会给病人带来生命危险； 某医院病人病历遭篡改，导致医疗纠纷，病人院前静坐，社会影响严重； 深圳市10万孕产妇个人信息遭泄漏，使得孕产妇遭受各类广告骚扰； 事件1 事件2 事件3 事件4 某医院患者病例信息泄漏，老人上当受骗，引发心脏病去世。 合法人做非法的事，70%的安全威胁来自于企业的内部 3.15移动联通网通“内鬼”泄密 一调查公司的“私家侦探”涉案被抓后，牵出“移动、联通及原中国网通三大电信运营商的3个内鬼多次向其泄露公民个人信息”一事。2010年的3.15晚会上暴露出该电信行业内鬼泄密事件。 事件的过程是内部坐席维护人员利用工作中的便利途径，获取客服操作员的工号、口令；利用该操作员身份登录客户应用系统。利用修改客服口令不需要旧口令的业务逻辑漏洞，直接修改用户客服密码；以用户的身份和修改后的新客服密码直接登录业务系统，导出短信、通话记录等信息，以此为私家侦探提供线索累计获利300多万。 程稚瀚北京移动充值卡盗窃案 2005年3月至8月间，被告人程稚瀚多次通过互联网，经由西藏移动通信有限责任公司（以下简称西藏移动公司）计算机系统，非法侵入北京移动通信有限责任公司（以下简称北京移动公司）充值中心，采取将数据库中已充值的充值卡数据修改后重新写入未充值数据库的手段，对已使用的充值卡进行非法充值后予以销售，非法获利人民币377．5万元。 数据库故障无法及时定位排除 XX XX单位业务系统运行一端时间后就会出现获取连接超时、失败，或者报告这是一个无效的连接等问题，需要重新启动服务器才能正常运行；还有一些类似业务访问慢等问题，这类问题经常困扰着数据库工程师。 故障快速定位 过渡页 企业数据中心面临的内外部安全挑战 内部用户 外部用户 数据库 权限滥用 恶意访问 误操作 越权使用 DBA 数据库开发人员 …… 黑客 互联网应用 …… 不了解数据库“被”怎么了！ 数据资产使用“有规无据”! 缺少数据库行之有效的“分析审计依据“！ 数据库访问“暗箱操作”，数据库访问不透明！ 各行业法规和条例对数据安全的保障 行业 法规标准 互联网服务商 《互联网安全保护技术措施规定（82号令）》 电信行业 《中国移动集团内控手册》 《中国移动业务支撑网安全域划分和边界整合技术规范》 《中国电信股份有限公司内部控制手册》 《中国网通集团信息质量问责管理若干规定 》 《中国网通集团内部控制体系建设指导意见 》 金融保险行业 《银行业金融机构信息系统风险管理指引》 《商业银行合规风险管理指引》 《中国银行业监督委员会办公厅文件银监办通313号》 《保险公司内部审计指引（试行）》《保险公司风险管理指引（试行）》 《电子银行安全评估指引（2007）》《电子银行业务管理办法（2008）》 《期货公司信息技术管理指引》 《商业银行内部控制指引》——计算机信息系统的内部控制 《支付卡行业数据安全标准——要求和安全评估程序（2008）》 国内上市企业 《深圳证券交易所上市公司内部控制指引 》 《上海证券交易所上市公司内部控制指引 》 电力行业 《电力二次系统安全防护总体方案（2005）》 《国家电网公司信息化“SG186”工程安全防护总体方案（实行）(2008)》 医疗行业 《互联网医疗保健信息服务管理办法》(卫生部令第66号) 政府行业 《信息安全技术信息系统安全等级保护基本要求（GBT 22239-2008）》 《关于开展全国重要信息系统安全等级保护定级工作的通知（公信安[2007]861号）》 《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知（公信安[2010]303号）》 《国务院办公厅关于印发＜政府信息系统安全检查办法＞的通知（国办发〔 2009 〕 28 号）》 传统的安全手段无法解决数据库安全 传统安全手段也有鞭长莫及之处，数据库安全，迫切需要专业产品 数据库系统自身审