解決方案-敏感數(shù)據(jù)管控平臺建設(shè)方案

聯(lián)創(chuàng)平安內(nèi)控審計解決方案敏感數(shù)據(jù)管控平臺介紹央視315晚會爆料個別運營商用戶信息泄露用戶信息每個被賣五分錢案例2：程某31歲，是X公司資深軟件研發(fā)工程師，從2005年2月，他由A地運營商系統(tǒng)進(jìn)入B地運營商的業(yè)務(wù)系統(tǒng)——充值中心數(shù)據(jù)庫，獲得最高系統(tǒng)權(quán)限，根據(jù)“已充值〞的充值卡顯示的18位密碼破解出對應(yīng)的34位密鑰，然后把“已充值〞狀態(tài)改為“未充值〞，并修改其有效日期，激活了已經(jīng)使用過的充值卡。他把面值300元的充值密碼以281.5到285元面值不等價格在網(wǎng)上售出，非法獲利380萬。案例1信息平安面臨的挑戰(zhàn)業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫維護(hù)現(xiàn)狀多種方式分散接入缺乏有效的控制手段帳號管理混亂、帳號濫用授權(quán)混亂、越權(quán)訪問授權(quán)非常繁瑣，管理強度太大敏感資料泄密缺乏審計，無法進(jìn)行事后稽核BSS敏感數(shù)據(jù)包括：客戶資料〔包括普通客戶資料、個人大客戶資料、集團(tuán)大客戶資料、渠道合作伙伴資料等〕計費帳務(wù)數(shù)據(jù)〔包括詳單、賬單、帳務(wù)信息和記錄等〕統(tǒng)計數(shù)據(jù)〔包括統(tǒng)計報表、結(jié)算報表等〕敏感數(shù)據(jù)泄漏途徑分析業(yè)務(wù)及支撐系統(tǒng)開發(fā)環(huán)節(jié)：涉及集成商、第三方、運營商開發(fā)和測試人員、外圍系統(tǒng)人員〔例如：合作伙伴〕-----包括應(yīng)用開發(fā)環(huán)節(jié)、數(shù)據(jù)遷移、應(yīng)用接口、應(yīng)用測試等環(huán)節(jié)業(yè)務(wù)及支撐系統(tǒng)運維環(huán)節(jié)：涉及運營商維護(hù)人員、代維廠商-----包括主機管理、數(shù)據(jù)庫管理、應(yīng)用管理、平安管理、存儲管理、網(wǎng)絡(luò)管理等環(huán)節(jié)業(yè)務(wù)及支撐系統(tǒng)使用環(huán)節(jié)：涉及業(yè)務(wù)及支撐部門以外的業(yè)務(wù)部門和人員-----包括客戶效勞環(huán)節(jié)〔營業(yè)廳營業(yè)員、客服坐席、跨區(qū)效勞面向最終用戶效勞、渠道或代銷合作伙伴、合作營業(yè)廳的接入，自助效勞、網(wǎng)上效勞等〕、統(tǒng)計數(shù)據(jù)發(fā)布環(huán)節(jié)〔審閱、傳遞、修改、瀏覽統(tǒng)計數(shù)據(jù)〕運營商的迫切需求訪問控制功能要求具備較強訪問控制能力，能夠在核實人員真實身份的基礎(chǔ)上，控制其能夠訪問的BSS/BOSS系統(tǒng)中的具體數(shù)據(jù)庫，以及能夠精確到那些表，防范越權(quán)訪問。用戶資料管控需求涉及用戶資料的批量查詢、批量下載的操作行為，需實現(xiàn)可管理、可控制、可跟蹤的管控需求，批量下載等操作需要申請、審批等流程。審計能力需求平臺能夠紀(jì)錄維護(hù)人員的操作，為安全審計和事件調(diào)查提供原始資料。同時批量下載的文件需要進(jìn)行存檔。統(tǒng)一運維需求支持Plsql、Sqplus、Toad等常用的數(shù)據(jù)庫維護(hù)工具，單點登錄到數(shù)據(jù)庫實體，提升運維管理效率。聯(lián)創(chuàng)CDMP產(chǎn)品介紹集中管理訪問控制閉環(huán)控制管理與部署實現(xiàn)維護(hù)接入的集中化管理。UMAP管理員在一點上可對不同系統(tǒng)中的接入維護(hù)進(jìn)行統(tǒng)一管理。實現(xiàn)批量下載等操作行為的可控化，如果維護(hù)人員的確因業(yè)務(wù)需要下載用戶數(shù)據(jù)，則需要根據(jù)事先約定的申請、審批等環(huán)節(jié)，實現(xiàn)基于信息安全監(jiān)察機制的閉環(huán)控制體系。

聯(lián)創(chuàng)CDMP功能解析實現(xiàn)接入維護(hù)的行為審計。記錄接入操作的日志信息，包括被管理資源的高敏感度數(shù)據(jù)訪問和關(guān)鍵操作行為，以支持審計，提高對薩班斯法案的遵從性。實現(xiàn)接入維護(hù)的訪問控制?？梢栽赨MAP平臺上基于用戶的權(quán)限，進(jìn)行統(tǒng)一的資源層和應(yīng)用層訪問控制，提高系統(tǒng)安全性。實現(xiàn)維護(hù)終端應(yīng)用web發(fā)布。采用類似堡壘主機的技術(shù)，避免維護(hù)人員使用不安全的終端直接訪問通信網(wǎng)、業(yè)務(wù)網(wǎng)及各支撐系統(tǒng)設(shè)備。行為審計管理部署維護(hù)人員接入控制帳號管理認(rèn)證轉(zhuǎn)發(fā)日志記錄監(jiān)控人員技術(shù)支持人員通信網(wǎng)業(yè)務(wù)系統(tǒng)支撐系統(tǒng)VPN資源控制本地……單點登錄授權(quán)系統(tǒng)管理賬號管理應(yīng)用發(fā)布訪問策略管理日志記錄接口SYSLOG4A、ISMP、SOCCDMP平臺聯(lián)創(chuàng)CDMP系統(tǒng)架構(gòu)數(shù)據(jù)庫用戶1網(wǎng)關(guān)節(jié)點1網(wǎng)關(guān)節(jié)點2網(wǎng)關(guān)節(jié)點nCDMP管理中心用戶2用戶n網(wǎng)關(guān)節(jié)點群CDMP安全管控平臺聯(lián)創(chuàng)CDMP連接示意圖數(shù)據(jù)庫數(shù)據(jù)庫效勞器數(shù)據(jù)庫傳統(tǒng)模式集中模式

桌面/客戶端

桌面/客戶端

桌面/客戶端UMAP安全管控平臺服務(wù)器數(shù)據(jù)庫數(shù)據(jù)中心維護(hù)用戶

桌面/客戶端維護(hù)用戶維護(hù)用戶CDMP帶來維護(hù)集中化簡化部署，強化平安管理CDMP系統(tǒng)簡介虛擬桌面虛擬應(yīng)用用戶：虛擬桌面+虛擬應(yīng)用應(yīng)用安裝應(yīng)用管控應(yīng)用發(fā)布集中維護(hù)系統(tǒng)演示PLSQLSqlplus個人文件夾SelectUpdate清單/詳單表敏感數(shù)據(jù)1敏感數(shù)據(jù)2下載申請下載存檔審計工具授權(quán)數(shù)據(jù)庫實體授權(quán)數(shù)據(jù)庫細(xì)粒度授權(quán)敏感數(shù)據(jù)授權(quán)敏感數(shù)據(jù)申請審批流程UMAP授權(quán)模式15數(shù)據(jù)庫表selectUpdateDelete備注Boss1√√√Boss2√√Boss3√√集中維護(hù)系統(tǒng)演示堡壘機和文檔效勞器之間通過windows共享個人文件夾，通過域策略控制每個人只能看到自己的文件夾，通過HTTP協(xié)議上傳下載個人文件夾的文件個人文件下載后，自動通過PDF轉(zhuǎn)換保證文件的不可編輯個人文件下載后，自動打上數(shù)字：水印姓名+時間，標(biāo)識文件的下載者，便于以后跟蹤文件的傳播，防止泄密個人文件被設(shè)置為不可復(fù)制、不可打印，保證敏感數(shù)據(jù)的平安性敏感數(shù)據(jù)管控演示完善的日志審計〔數(shù)據(jù)庫審計〕完善的日志審計〔個人文件夾審計〕完善的日志審計〔圖形化審計〕部署建議優(yōu)勢特點:1.不影響任何網(wǎng)絡(luò)拓?fù)洹?.不影響任何業(yè)務(wù)數(shù)據(jù)流。4.通過加密實現(xiàn)密文封裝，保護(hù)用戶數(shù)據(jù)的平安；明文數(shù)據(jù)僅在效勞器區(qū)域傳輸。降低了用戶名/密碼泄露的風(fēng)險，增加系統(tǒng)平安性。5.使用部署方便、快捷、高效。3.實現(xiàn)集中登錄，統(tǒng)一操作管理。電信現(xiàn)網(wǎng)推薦部署一BSS域MSS域OSS域IT系統(tǒng)資源IT系統(tǒng)資源IT系統(tǒng)資源域控制效勞器策略效勞器節(jié)點網(wǎng)關(guān)敏感數(shù)據(jù)管控平臺電信現(xiàn)網(wǎng)推薦部署二最快的部署和實施方法就是與現(xiàn)有字符型堡壘機放在相同的位置和訪問控制策略軟硬件配置建議序號項目用途配置數(shù)量1硬件管理服務(wù)器（策略服務(wù)器）PC服務(wù)器（2顆IntelXeon2.04核CPU、4G內(nèi)存、146G×2硬盤，雙網(wǎng)卡、雙電源、Raid1）1臺2域管理服務(wù)器、個人文件夾PC服務(wù)器（2顆IntelXeon2.04核CPU、4G內(nèi)存、300G×2硬盤，雙網(wǎng)卡、雙電源、Raid1）1臺3CDMP圖形連接控制與審計（網(wǎng)關(guān)節(jié)點）PC服務(wù)器（2顆IntelXeon2.04核CPU、16G內(nèi)存、146G×2硬盤，雙網(wǎng)卡、雙電源、Raid1）1臺4軟件管理平臺軟件聯(lián)創(chuàng)CDMP管理平臺軟件1套5CDMP網(wǎng)關(guān)節(jié)點模塊CDMP圖形化連接控制與審計軟件模塊1套