跟随信息潮流,启动精彩时刻

Follow the information trend and launch the highlight moment

首页    运营商数据安全之道
5

运营商数据安全之道

上一个:
下一个:

`

2017年6月1日,《中华人民共和国网络安全法》正式实施,对个人信息安全保护提出明确要求,并对数据泄露有明确追责。运营商数据安全路在何方?本环节将以知名运营商数据安全体系建设为背景,一起探讨数据安全之道。

信息安全背景

 

img1

 

img2

 

信息安全法背景

 

2017年6月1日,《中华人民共和国网络安全法》正式实施,对个人信息安全保护提出了明确的要求,并对数据的泄露有明确的追责。

《网络安全法》从草案到通过,仅用时一年半,而生效时间也只有半年,整个过程的速度如此之快。要知道,正常一个国家的法律,从制定到实施要经历很长一段时间进行敲定,有人可能会担心这门法律制定是否健全、完善。其实,网络安全法的制定经过了三次审议,充分说明了制定的缜密性。之所以快,是因为我们国家当前的网络形势已经到了非常紧迫的阶段,国内外的网络安全隐患也已经到了必须通过法律来进行解决的关键时刻。

img3

 

工信部规范要求

 

 

img4img5

 

 

2017数据泄露报告》你需要知道的

 

据悉,Verizon发布了2017数据泄露调查报告,2017年的数据泄露报告是一份“10周年报”,统计结果主要基于威瑞森公司在过去十年里从65家不同的组织获得的泄露数据。这份最新报告总共分析了42068个安全事件以及来自84个国家的1935个漏洞

 毫无意外,威瑞森及其合作伙伴在2017年调查的大量数据泄露事件中表示,人的因素是其中最弱的一环。

 在数据泄露原因方面,81%的数据泄露涉及到撞库或弱口令。

 73%的数据泄露事件的动机是出于经济目的;21%的数据泄露涉及到内鬼或者网络间谍。

http://www.verizonenterprise.com/resources/reports/rp_DBIR_2017_Report_en_xg.pdf

Gartner对特权管理的建议的

 

建立特权账户管理依旧是全球企业关注的焦点。Gartner称,到2018年,25%的企业都将审核特权活动并将数据泄露事件减少33%。特权账户管理(PAM)是最受企业欢迎的一个安全解决方案。

Gartner在报告中写道:“2015年仅有少于5%的企业跟踪、审查特权活动。其余的企业最多在特权活动发生时控制并记录了时间,地点及人物,但它们并未关心真正发生了什么。除非企业跟踪并审核特权活动,企业都将遭遇内部威胁,恶意用户或会导致重要中断的错误的风险。

企业应该将IT环境中所有权限级别超越标准用户的特权账号列入清单中。经常扫描IT基础设施以发现拥有过量权限的新账户是企业安全的最佳做法。Gaehtgens说:“对于那些快速变化的动态环境(如大规模使用虚拟化技术或包含云基础设施的混合IT环境),这点更加重要。企业应该通过使用一些PAM供应商提供的免费自动搜索工具来自动发现IT设施内未受管理的系统及账号,但即使是这样的自动搜索工具也无法发现所有的异常。”

(1) 列下所有特权访问账户的清单并分配所有权

(2) 不要共享共享帐户密码

(3) 尽量减少个人及共享特权帐户的数量

(4) 建立共享帐户使用管理的流程及控制方法

(5) 为常规(非特权)访问的用户提供权限提升

 

CSA云安全威胁

http://sc.jb51.net/uploads/allimg/121106/2-121106214R1245.jpg

 

Threat #1 数据泄漏

Threat #2 凭证被盗和身份验证如同虚设

Threat #3 界面和API被黑

Threat #4 系统漏洞利用

Threat #5 账户劫持

Threat #6 恶意的内部人员

Threat #7 APT(高级持续性威胁)寄生虫

Threat #8 永久的数据丢失

Threat #9 调查不足

Threat #10云服务滥用

Threat #11 拒绝服务(DoS)攻击

Threat #12 共享技术,共享危险

运营商数据安全探讨

 

img7

 

img8

 

运营商数据安全需求分析

 

随着云计算、大数据、虚拟化等新型技术飞速发展,运营商信息化建设已迈入“云时代”。为满足现在及未来数据安全“新挑战”的需求,未雨绸缪,不断完善信息安全防护体系,确保数据安全:

 云平台、虚拟化及传统数据中心混合环境,需建立整体的数据安全解决方案。

 建立所有特权账号的全生命周期管控机制,对操作系统、数据库、网络设备、安全设备、中间件、服务、脚本、文本、内嵌、云管理员、虚拟化管理员、web console等等特权账号实现自动管控机制;实现特权账号自动发现及托管机制,实时、真实掌握数据中心特权账号变化趋势;建立特权账号行为监控机制,实时检测、预警特权账号异常行为;提升数据中心主动防御能力。

 严格管控数据中心敏感数据,数据库用户权限角色分类、数据库权限细分、敏感数据脱敏,实现动态数据脱敏和测试数据脱敏,防止敏感数据泄露;

 提升了安全运营能力,节约开发成本,简化运维工作量

 

img9

 

img10

 

img11

 

数据安全之道在于

 

 数据是新中心(一切安全活动都应该是围绕业务数据)

 身份是新边界(防火墙已经不是安全边界,而是特权凭证)

 行为是新控制(补丁、基线、策略已经不能控制人的行为,深度学习才是安全控制的趋势)

 情报是新服务(安全日志就是安全情报,基于大数据的安全分析,安全态势感知及可视化才可落地,信息安全已经互联网化)