《福建移动经营分析系统信息安全管理技术研讨-谢志崇.ppt》由会员分享,可在线阅读,更多相关《福建移动经营分析系统信息安全管理技术研讨-谢志崇.ppt(65页珍藏版)》请在三一办公上搜索。
1、福建移动经营分析系统信息安全管理技术交流2011年8月,目录,业界做法和我们的方案,经分安全面临的挑战,我们对安全的理解,应用案例分析,总结及后续计划,Oracle 机密,4,比以往更多的数据,信息来源:IDC,2008,400 TB,2003,2011,信息风险、威胁持续增加信息安全管理成为GRC战略的重要组成部分,罚款 1500万!,赔赏 5000万!,http:/,前车之鉴,案例分析后台和内部人员非法操作不仅是中国移动的问题,其他运营商也头疼中国移动因为4A做得好,事后都追查到了,引发我们的思考:如何能事前控制?,业务支撑系统泄露客户隐私的个案北京联通:网维人员向“调查公司”出售客户详单
2、深圳电信:政企客户不员工向外部人员提供50余万条客户个人信息,引发公安介入调查北京移动:利用业务支撑系统漏洞,修改客户密码后泄露客户资料和详单,引发刑事案件吉林移动:业务支撑内部人员(经分人员)泄露客户详单重庆移动:业务支撑内部人员(BOSS人员)泄露客户详单,引发涉黑案件,经分安全形势依然严峻,面临诸多威胁和挑战,经分面临的安全威胁,随着经分的开放,面临着外部复杂信息网络环境带来的威胁,病毒、木马、黑客软件和黑客行为日益多样化,且越发的以经济利益为主导,安全的威胁已经从网络层、系统层、渗透到应用层,主机系统漏洞,以及WEB安全的威胁日益加剧,来自内部和合作伙伴的安全威胁和挑战,也不容忽视,目
3、录,业界做法和我们的方案,经分安全面临的挑战,我们对安全的理解,应用案例分析,总结及后续计划,构建端到端的信息安全管控安全控制应该包括的“三个层面”,权限控制、敏感度控制数字水印应用数据加密电子审批访问验证隐私数据保护,主机系统安全网络安全统一密码管理系统环境分离,省市县三级管控合作伙伴管理,“三个层面”的安全控制有力支撑经分系统安全防控,通过“三部曲”来实现安全的有效防护,安全是相对的安全管理的“三部曲”,目录,业界做法和我们的方案,经分安全面临的挑战,我们对安全的理解,应用案例分析,总结及后续计划,ORACLE数据库安全性解决方案,Database VaultLabel SecurityI
4、dentity Management,Advanced SecuritySecure BackupData Masking,Oracle 的数据库安全性解决方案如下:,Audit VaultTotal RecallConfiguration Management,Database Firewall,在威胁到达数据库之前监视和阻止它们跟踪更改并审计数据库活动控制对数据库中数据的访问阻止非数据库用户的访问从非生产环境中删除敏感数据,Oracle Database Firewall第一道防线,监视数据库活动以防止未授权的数据库访问、SQL 注入、权限或角色提升、对敏感数据的非法访问等等。通过高度精确
5、的 SQL 语法分析避免代价高昂的误报。基于白名单和黑名单的灵活的 SQL 级实施选项可伸缩的体系结构为企业提供各种灵活的部署模式适用于 SOX、PCI 和其他规则的内置和自定义合规性报告,Oracle 机密,Oracle Audit Vault自动化活动监视和审计报告,将审计数据整合到安全的信息库中检测并警告可疑活动现成的合规性报告集中的审计策略管理,审计数据,策略,审计员,DBA,HR 应用系统 DBA,SELECT*FROM HR.EMP,FIN 应用系统 DBA,数据库 DBA 查看 HR 数据,合规性和防止内部人员访问,HR DBA 查看财务数据,消除服务器整合的安全风险,可以将领域
6、轻松地应用到现有应用程序,并且具有透明性且性能影响最小,Oracle Database Vault使用保护域,Oracle 机密,15,Oracle 数据屏蔽不可逆的去除识别成分,从非生产数据库中删除敏感数据保留引用完整性,以便应用能够继续正常运行敏感数据永不离开数据库用于自动化的可扩展模板库和策略,生产数据库,非生产数据库,IBM的OPTIM测试数据与数据保护解决方案,IBM的OPTIM测试数据与数据保护解决方案,福建经分系统安全保障体系,三域模型:安全保障体系包括安全策略、安全技术、安全运维。技术服务于管理:安全策略是整个安全体系建设的指导思想和原则,其他的安全管控都是按照安全策略来实施。
7、,安全策略,从网络和主机安全上,防止恶意入侵和非授权使用,做到安全事故可跟踪;,2,加强合作伙伴管理,严格控制对数据的接触渠道,控制数据面和访问面,做到可监控,可跟踪;,3,强化应用安全建设,审计数据访问行为,预防内部有意无意的信息泄露;,4,控制信息传播,防止数据向外流传;,5,安全建设须在安全管理制度的指导下进行,明确安全组织结构和责任,强化安全运维;,1,安全保障制度集团规范要求,审计和考核省市县三级管控,规范权限管理过程,最小化权限分配,提升安全意识,规范数据访问过程,合作伙伴管理,管理要求:要求合作伙伴建立内部安全责任机制,接触到我方敏感数据的要审批和审计,并定期向信息系统部提供审计
8、报告。定期加强检查、监督。物理环境上进行管控马尾驻点要求合作伙伴设立单独操作间。能接触客户信息的人员统一管控、统一维护终端。维护终端不允许访问公网,并封闭U口。乌山驻点我方现场代维管理,必须指定终端操作,限制U盘拷贝、公网访问。必须人工登记操作的内容,操作时间、结束时间。按照事前审批、记录日志、事后审计的流程管理。,系统安全管理集团规范要求,主机和终端控制,部署代理访问主机的技术实现图如下:,部署代理访问主机用于实现个人用户对服务器的访问控制,隔离用户对主机服务器的直接访问,用户要访问主机服务器必须通过代理主机来实现,这样就可以统一的控制管理用户对服务器的访问行为,有效的进行用户访问的审计和跟
9、踪,降低数据泄漏风险,同时作为防火墙的一部分保护内部核心局域网的安全 代理主机上安装监控录像软件(SYSTEMCAM),记录用户的所有操作,起到事后追踪和威慑的效果,集中监控主机应用示例Telnet方式,界面截图中IP地址擦除,相关操作日志都有截屏和日志记录,密码统一管理系统概述,统一的密码管理系统(SAM:security authentication infomation manage system)用来针对不同主机上的程序需要访问密码时进行统一的管理,具有两个方面的优势:更高的密码安全性:在统一密码管理系统下,用户(这里一般指后台主机上运行的具体的应用程序)会被分配一个授权ID或授权名称
10、。当用户需要调用用户名和密码时,只需根据通过授权ID或授权名称,调用密码查询库就可以获得所需的用户名和密码,而不是通过配置文件或其他方式直接获取用户名和密码,从而加强了密码的安全性。更高的密码可维护性:当需要变更用户名和密码时,只需在管理器端修改,然后将密码文件重新发布到使用该用户名和密码的各个不同主机上,而无需手工登录不同的主机做大量的程序配置修改工作,因此加强了密码的维护简易性,省去了大量繁琐的修改工作。,统一密码管理系统功能地图,密码管理模块,系统管理模块,组管理,主机管理,数据库管理,口令管理,口令文件管理,密钥配置,操作日志查询,程序名MD5认证,用户认证模块,授权ID认证,密码文件
11、发布查询,认证管理,授权名称认证,统一密码管理系统密文下发流程,管理员配置口令、口令文件、程序授权访问文件、下发主机密码管理系统下发动态库、加密口令文件、程序授权访问文件主机代理接收下发的动态库、加密口令文件、程序授权访问文件加密算法:用户名密码本身通过3层DES加密算法进行加解密,可以有效的防止了256位计算的密码破解,从而增强了密码串本身的安全性采用特定算法对密码文件进行了二次加密,可以进一步有效的降低了密码文件在传播过程中被窃取后遭遇破解的风险,统一密码管理系统应用程序发布流程,server端保护机制:服务器端会对原有密码文件进行相应的保护,在重发布过程中不会破坏原有密码文件,而且有效的
12、对密码文件发布权限进行了有效的控制统一的密码管理:统一由系统管理员进行密码的发布,可能使密码的管理更加有效,而外部程序只需要知道相应的认证ID即可,而无需知道真实的用户名密码。这种统一化管理可以大幅度的防止密码传播过程中泄露密码等的安全性问题无缝升级和变更密码:在密码库需要升级的时候可以通过前台无缝升级;系统管理员定期改变密码,只需要统一在前台发布相应的密码文件,而后台程序无需知道密码是否有被更改过,无需繁琐的修改应用程序的配置文件,统一密码管理系统应用程序调用流程,MD5防伪技术:使用MD5校验技术对访问密码文件的程序进行了权限校验,可以有效的防止外部程序伪造假程序窃取密码文件的内容反向加密
13、认知:密码管理库在被调用过程中,能够反向探测出调用程序的名称,并且对调用程序进行调用日志记录,可以方便的得知有哪些程序进行的密码查询,通过这种日志记录可以有效的进行责任控制,统一密码管理系统应用场景,密码管理员,组管理,对系统密码的合理归类,便于管理,点击”添加组”,统一密码管理系统应用场景,密码管理员,组管理,主机管理、数据库管理,对主机和数据库的管理,一个主机编号只能归属一个管理组,统一密码管理系统应用场景,密码管理员,组管理,主机管理、数据库管理,口令管理,对主机和数据库设置访问口令,统一密码管理系统应用场景,密码管理员,组管理,主机管理、数据库管理,口令管理,口令文件管理,把多个主机口
14、令或者数据库口令打包生成口令文件,并且发布到相应的主机,统一密码管理系统应用场景,密码管理员,组管理,主机管理、数据库管理,口令管理,口令文件管理,认证管理,对应用程序生成md5校验码,控制信息传播数据防泄密系统DLP,建设中,应用安全管理体系架构,独立的平台:应用安全管理作为经分系统的一个独立子系统,供经分系统内部和外部系统使用。数据分发:提供给4A平台的权限管理数据。数据获取:从4A平台获取的权限管理数据,以及各来源系统的日志数据、数据追踪的结果数据等。,权限管理,权限管理结构:,应用权限控制控制原则:应用权限包括模块权限和对象权限,通过等级逐层控制,避免角色和功能被非法开放出去。特点:等
15、级分省公司和市、县三级用户、角色、功能都具有等级属性,如有些功能仅能省公司用户使用。,财务年报报表,仅能由省公司级别访问,地市用户无法分配到本应用功能。,案例,权限管理数据权限控制,数据粒度树:,数据权限控制控制原则:数据权限通过数据粒度级别控制,采取向上、向下递归方式,灵活控制用户数据访问范围。特点:数据粒度具有级别特点数据粒度级别存在分叉,用户分配县的范围,对于县、片区、乡镇、网点粒度的应用,查看县范围数据,对于市级粒度的应用,查看对应市的数据。用户分配乡镇范围,对于网点粒度的应用,查看其片区数据,即采用往上递归方式,查找最近交叉点。,示例,权限管理清单数据专项控制,经分的清单信息可能涉及
16、较多的敏感数据,对清单的访问控制尽量做到“最小化”原则。,敏感度控制,控制流程:,敏感度控制控制原则:敏感度控制通过敏感等级控制,避免角色和功能被非法访问。特点:可基于角色、用户进行控制敏感度不属于权限控制范畴,是基于权限管理模型基础上的再次控制。,财务年报报表属于省公司的一级敏感数据,省公司人员即使分配了访问权限,也因敏感度不够无法访问。,案例,对敏感数据实体和内容进行敏感配置,控制经分门户相关应用的敏感级别,用于定义用户、角色的敏感数据等级,数字水印水印类型,在网页页面上,打上用户标识、访问时间、应用功能号、访问IP、访问机器的MAC地址,在导出的TXT文件上,打上用户标识、访问时间、应用
17、功能号、访问IP、访问机器的MAC地址,在导出的Excel文件上,打上用户标识、访问时间、应用功能号、访问IP、访问机器的MAC地址,通过在经营分析系统中使用数字水印技术,在一定程度上成功的达到数据文件来源可跟踪,确认内容创建者、使用者、传送隐秘信息或者判断经营分析系统门户页面是否被篡改等目的。,数字水印水印实现,采用自主研发的基于算法的数字水印处理程序来实现,在用户访问的经分数据页面中嵌入数字水印图片,实现网页类型的数字水印功能。,网页数字水印,目前业界的数字水印技术主要应用于图像、音频和视频的领域,还没有什么数字水印技术的算法可以直接的用于excel格式的电子文档中来实现数字水印的嵌入,福
18、建采用了自主研发的excel数字水印处理程序,可以实现在excel电子文档中同时嵌入图片型的数字水印和加密的文本型数字水印,图片型数字水印可以直接起到威慑的作用,在图片型数字水印被破坏的情况下,隐藏加密的文本型数字水印,就可以很好的保证文件来源的追踪,双重的保护,使数字水印信息更加安全,完整,可靠。,EXCEL数字水印,采用自主研发的基于文本微调算法的数字水印处理程序来实现,在用户导出的txt文本文件中嵌入加密的数字水印信息串,实现txt文本型数字水印的功能。,TXT文本数字水印,在现有数字水印技术的基础上福建将继续研究其他领域数字水印的,如word和pdf等文件类型的数字水印,最终形成具有自
19、主知识产权的一套数字水印处理产品。,其他数字水印,数字水印Excel水印效果示例,统一日志管理,统一日记管理系统记录了所有应用的访问情况,记录了应用访问来源的详细信息,为经分使用情况的相关统计提供有效的保证依据,如:用户最常访问的功能点,各个指标访问次数等。,可以有效的统计经分使用情况,统一日记管理系统记录了所有用户的访问日记,包括用户工号、登录IP、访问时间、访问模块,访问数据和地域等关键信息,因此在发生数据安全事故时,可以根据相关数据信息进行责任的有效定位。,可以有效的达到责任追踪的效果,统一日记管理系统不仅可以记录用户的访问信息,还记录了系统各个层次间的互访信息,我们可以通过这些日记信息
20、统计出系统各层次的访问情况,以及异常情况,进而定位系统的各项性能指标,为系统性能的提升提供有效的数据依据。,为系统性能的跟踪和提升提供有效的数据,数据追踪,用户的查询和导出结果,保存到文件服务器上,基于全文搜索技术Lucene,对文件创建索引,基于全文搜索技术Lucene,输入关键字进行数据结果的查询,1.,2.,3.,用户投诉:谁把我的通话清单给泄露了?,数据 追踪应用示例,输入身份证号码,身份证号,为避免文档传递带来的安全风险,用户号码、姓名和其他证件号码以xxxx替换,访问验证,用户对敏感数据的获取必须进行手机短信校验,只有输入用户手机收到的正确验证码后,才能执行敏感数据的下载操作,保证
21、下载数据的用户身份,实现效果,用户小王已经通过自己的身份认证,进入经营分析系统,并在使用的过程中,突然上级领导有紧急事情召见,小王忙着去见领导忘了锁定自己的电脑或者退出经营分析系统,这时用户小张就可以在小王不知情的情况下直接使用小王的电脑,并企图获取敏感数据。由于对于敏感数据的获取,系统使用了访问验证机制,所以小张就没办法直接获取,必须通过验证码验证,而这个验证码就只有小王知道,所以访问验证能成功的拦截小张对敏感数据的非法获取。,实现案例,访问验证应用示例,数据加密,对敏感数据文件执行了压缩加密算法,使数据文件的查看人员只有在拥有密钥的情况下才能打开数据文件进行查看,密钥通过短信方式通知用户。
22、用户小张经过一些非法手段,并最终获取到了敏感数据文件,这时小张想打开查看敏感数据内容,而对于敏感数据文件,由于使用了加密算法,所以小张就没办法直接查看,必须通过加密验证,而这个解密密码就只有真正的敏感数据下载人员才知道,所以能达到成功拦截小张对敏感数据的非法查看操作。,实现效果和案例,文档安全管控系统DSM,DSM服务器,DSM客户端,DSM客户端,外部用户,DSM服务器的核心功能是处理客户端的业务,进行文档密钥和权限管理。在DSM系统中,所有文档的权限都保存在DSM服务器,客户端在线打开文档前都必须向服务器请求密钥和权限,服务器只有在客户端具有打开文档的权限的时候才会给客户端下发文档密钥。D
23、SM系统是福建业务支撑网统一部署的系统,经分的一些敏感文档通过与DSM建立接口,通过DSM进行再一次的安全认证,保障文档的访问安全。,访问提醒,用于对敏感应用的功能点可以进行访问提醒的配置,可逐级(省、市、县)分配审核人员(包括系统总负责人、专题负责人)。系统总负责人可分配审核权限给同级不同专题负责人,形成一个树形的审核环节。当用户访问敏感功能点时,系统自动发送短信提醒相关审计人员,该用户正在进行相关敏感操作。,实现效果,场景:我想临时访问某个我原本无权访问的数据怎么办?,临时访问审批,利用业务支撑网已有的工单系统,做好安全审计。临时申请工号仅在一段时间内有效。,SQL跟踪,SQL记录流程:,
24、SQL跟踪控制原则:前台操作和部分后台关键表的访问,记录其操作SQL语句。特点:所有前台操作都有记录SQL针对特定数据库用户、特定表,通过数据库审计方式记录其操作语句。,今天谁人工查了用户资料表?可通过关键字“ft_mid_user”查询谁在什么时间点,通过前台界面或者后台数据库客户端方式,查询了该数据。,案例,SQL跟踪应用示例,模糊化处理,应用案例 福建数据集市的话单管控存在安全隐患,地市除了通过前台界面访问数据外,也能直接访问数据库,同时地市的开发人员也有开发能力,可能把话单数据导出去。福建通过视图方式,一刀切断对话单敏感字段的访问隐患;另一方面,需要敏感字段的应用通过省公司特定安全审核
25、人员审批的方式,并由专门的安全维护人员部署地市自开发应用,二者同时肩负代码检查的职责。在保障地市自主应用的基础上,降低了信息泄露的安全隐患。,实现方式 在物理表的基础上,采用数据库视图的方式,提供给不需要模糊化处理的应用访问。需要真正取值的应用,通过审批后使用特定的数据库用户进行访问。,作用 针对某些表的敏感字段,如话单表的对方号码,用户资料表的家庭地址等字段,不显示、只展示部分值或者转换其字段值,达到用户无法获知其真正的取值,避免信息的泄露。,客户隐私数据保护,客户隐私数据保护平台主要由去隐私化管理模块、策略/版本管理模块、隐私数据识别模块、访问鉴权还原模块、平台安全管理模块、元数据接口这些
26、功能模块组成,如下图:,建设中,目录,业界做法和我们的方案,经分安全面临的挑战,我们对安全的理解,应用案例分析,总结及后续计划,应用案例省财务报表访问安全控制,需求分析团队通过前期需求分析,确定了省财务报表的数据敏感度和访问人群,确定了一级敏感和省级特定用户访问的特征,在系统上线时进行访问的控制。为降低“省财务报表”信息泄露的风险,安全管理人员基于省财务报表进行额外的访问控制,确定了采取访问验证、数据加密和访问提醒三种控制方式。当出现权限分配失误或敏感度配置错误等原因,导致有其他用户访问“省财务报表”时,安全管理人员能第一时间识别,并马上进行修正。,一级敏感,一级敏感度定义,人员权限分配,访问
27、安全控制:省财务报表,访问验证,数据加密,访问提醒,泄露追踪谁泄露了我的身份证信息?,用户投诉:谁把我的身份证信息给泄露了?,目录,业界做法和我们的方案,经分安全面临的挑战,我们对安全的理解,应用案例分析,总结及后续计划,问题和困难总结,安全一系列举措的实施,影响了业务部门对数据使用的便利性,可能也会经分系统的推广产生一定的负面影响。,加强安全宣传力度,并持续优化系统,提升操作简便性。,目前业界并没有统一且合适的安全产品,给水印的研发和实施带来较大的困难。且数字水印的抗破坏能力也比较弱,降低了水印的威慑效果。,加大研发力度,持续投入。,影响使用,问题,数字水印研发困难,困难,应对办法,应对办法,后续计划-加强安全管理制度,完善安全保障机制,管理制度,安全机制,系统安全:加大数据防泄密系统DLP的建设力度,争取系统早日投产,有效控制经分系统信息传播的安全;应用安全:继续客户隐私数据保护试点项目的建设,争取试题完满成功,并在试点结束后进行推广,全面保障客户隐私数据安全。,建立“三权分立”的管理体系”,从管理制度和安全机制两个方面“双管齐下”,持续提高经分系统安全管控能力,谢谢!,
