Transcript 投影片 1
「校務行政系統資料庫個資防護計畫」 教育訓練及說明會 李烜旭 Neo Li CEH、CHFI、ISO27001 LA 2015/7/17 簡報大綱 專案計畫說明 專案功能說明 IBM Guardium-資料庫存取稽核 IBM TEM-端點管理 問題討論 專案計畫說明 建立具備智能、整合及專業的個資資安架構 確 認 個 資 種 類 建立管理 作業流程 委託關係 蒐集 蒐集要件 告知或公告 處理 利用 安全維護 符合特定目的 停止、 刪除、 銷毀 接受當事人行使權利 查詢 閱覽 製給複製 補充 更正 停止蒐集處理利用 刪除 建立具備智能、整合及專業的個資資安架構 確 認 個 資 種 類 委託關係 蒐集 蒐集要件 告知或公告 處理 利用 安全維護 符合特定目的 停止、 刪除、 銷毀 接受當事人行使權利 建立管理 作業流程 查詢 事業主管機關 得指定、非公 務機關訂定 個人資料檔案安全維護計畫 閱覽 製給複製 補充 更正 停止蒐集處理利用 刪除 業務終止後個人資料處理方法 建立具備智能、整合及專業的個資資安架構 確 認 個 資 種 類 委託關係 蒐集 蒐集要件 告知或公告 處理 利用 安全維護 符合特定目的 接受當事人行使權利 建立管理 作業流程 查詢 事業主管機關 得指定、非公 務機關訂定 個人資料檔案安全維護計畫 法規要求 停止、 刪除、 銷毀 閱覽 製給複製 補充 更正 停止蒐集處理利用 刪除 業務終止後個人資料處理方法 採行適當安全措施(防止被竊取、竄改、毀損、滅失、洩漏) 新弱點 •個資意識不夠 •資安自保不足 •修正檔未安裝 •觀念陌生 –安全需求、安全漏洞 –授權、記錄、適當揭露 新威脅 •駭客、變種木馬 •APT 攻擊威脅 –先進攻擊手法 –緩慢、低調、針對性 –有系統、有組織 –不達目的、絕不罷休 新風險 •個資數量繁多 •特權使用 •不當揭露 •…… 個資外洩的風險 新弱點 •個資意識不夠 •資安自保不足 •修正檔未安裝 •觀念陌生 –安全需求、安全漏洞 –授權、記錄、適當揭露 新威脅 •駭客、變種木馬 •APT 攻擊威脅 –先進攻擊手法 –緩慢、低調、針對性 –有系統、有組織 –不達目的、絕不罷休 新風險 •個資數量繁多 •特權使用 •不當揭露 •…… 借題發揮! 黑客借 Java 事件大規模散佈虛假修正檔 從外部入侵或在內部盜取都可能發生 行業別 營運秘密 個人資料 科技及製造業 製程流程與參數、設計資訊、 雇員、客戶個人資訊 未公開產品規格、軟體原始碼、 營運及業務、財務、人事資訊 金融行業 交易資訊、未公開營運資訊、 業務、財務、人事資訊 雇員個人資訊、客戶個人資訊、 信用卡或帳戶資訊 醫療行業 實驗數據、業務、財務、人事 資訊 雇員個人資訊、病患個人資訊、 病歷資訊、健康檢查資訊 教育行業 研究報告、業務、財務、人事 資訊 教職員資訊、學生及家長個人 資訊、學生學習紀錄 政府及軍事 軍事機密資訊、內部調查資料、 國民、市民資訊、個人稅務及 未公開規劃、稅務資訊、情報 財務資訊、 資訊 零售行業 交易資訊、未公開營運資訊、 業務、財務、人事資訊 12 會員資訊、信用卡或帳戶資訊 *客戶負有識別及解釋並遵守和其業務相關的法律或規範之責任. IBM 並不保證透過其提供之服務或產品即代表其可以符合法律之要求. 資料外洩的內憂與外患 1. 外部的攻擊 2. 惡意的內部使用者 離職員工 高權限系統管理者 92% 竊取資料的集團,派人應 徵企業的資料管理員相關 職務 3. 合作夥伴 Data Breach Investigations Report by Verizon Business 機敏性個資防護從根本(資料庫DB)做起 個人電腦端防護防毒->修正檔管理 專案-功能說明 IBM Guardium-資料庫存取稽核 IBM TEM-端點管理 Guardium本期建置主要範圍 以校務行政系統資料庫為主 Guardium建置環境概述 Admin 透過瀏覽器操作 Guardium Collector Auditor Network Switch SW 資料庫主機 S-TAP 記錄本機及網路 存取行為傳送 18 資料庫主機 本機端及網路存取全面活動監控 記錄使用者存取資料庫的完整行為紀錄 Who、When、Where、hoW、What 合規-使用記錄稽核 規定要求 CobiT (SOX) 1.查詢敏感性資料 (Successful/Failed SELECTs) 2.改變表定義(DDL) (Create/Drop/Alter Tables, etc.) 3.資料操作變更 (DML) (Insert/ Update/ Delete) 4.例外操作 (Failed logins, SQL errors, etc.) 5.授權變更(DCL) (GRANT/REVOKE) PCI DSS HIPAA CMS ARS GLBA ISO 27001 NERC NIST 800-53 (FISMA) 合規的需求The Compliance Mandate DDL = Data Definition Language (改變表定義)- Create/Drop/Alter DML = Data Manipulation Language (資料操作變更 )- Insert/Update/Delete DCL = Data Control Language (授權變更)- GRANT,/REVOKE DDL 、DML指令使用記錄稽核 專案-功能說明 IBM Guardium-資料庫存取稽核 IBM TEM-端點管理 TEM 本期之終端設置及推廣單位 – 計網中心、 – 教務處、 – 校友中心、 – 人事室、 – 燕巢行政部。 端點管理的目標 • 軟、硬體資產收集: – 內部資產處理器(CPU)、記憶體、磁碟機、光碟機、視訊介面卡, 網路介面卡、顯示器及IDE/SATA/SCSI;裝置作業系統資訊、啟動 時執行的程式、服務的執行狀態(Windows)即已安裝的程式 • Patch修正檔案管理: – 管理各種作業系統之修補程式,支援Windows、Linux、 UNIX及 MAC等作業系統(支援軟體包含Windows, Adobe, Mozilla, Java, Winzip) Lifecycle Management –軟、硬體資產收集 Lifecycle Management –軟、硬體資產收集 Lifecycle Management –軟、硬體資產收集 Patch Management 修補程式管理 1.全面支援 Windows,Unix,Linux 和Mac作業系統安全相關的軟體修正 2.常用的應用程式如Adobe Acrobat,Apple iTunes,Mozilla Firefox和其他應用程式的軟體修正 3.大幅減少軟體修正週期並提高成功率 自動識別軟體未修正的端點 Web Report 問題討論