資料庫稽核軌跡解決方案download.microsoft.com/download/c/6/0/c60e2bd0-8a7c-479f... ·...
TRANSCRIPT
資料庫稽核軌跡解決方案
企業服務事業群
River ChaoNovember 7, 2013
Agenda
資料庫稽核建置需求
資料庫稽核方案比較
微軟資料庫稽核服務介紹
資料庫稽核服務案例說明
33
資料庫稽核建置需求
資料庫管理
資料庫稽核
發生
資安事件
符合個資法
規範
企業整體
資安規畫
44
個資法11項適當安全維護措施
個人資料之風險評估及管理機制
個人資料蒐集、處理及利用之內部管理程序
資料安全管理及人員管理
設備安全管理
成立管理組織,配置相當資源
界定個人資料之範圍
個人資料之風險評估及管理機制
事故之預防、通報及應變機制
個人資料蒐集、處理及利用之內部管理程序
資料安全管理及人員管理
認知宣導及教育訓練
設備安全管理
資料安全稽核機制
必要之使用記錄、軌跡資料及證據之保存
個人資料安全維護之整體持續改善
11項適當安全維護措施
資料安全稽核機制
必要之使用記錄、軌跡資料及證據之保存
與資料稽核管理相關
55
資料庫管理 – SQL Sever 原則管理
66
資料庫管理 – SQL Sever 原則管理
資料庫稽核方案比較
資料庫內建稽核功能
導入第三方稽核工具
客製化稽核服務
88
資料庫內建稽核功能
使用SQL Server 內建稽核功能,直接啟用
可詳細區分資料庫事件
可儲存到非資料庫目標,有效區分管理權限
沒有內建報表
DB 效能會受到影響
各台伺服器須各別設定
需要透過DBA維護
前端AP的稽核資訊不易區分
SQL Server 2008 企業版以上支援
Corporate Boundary
防火牆
使用者
AP Server
管理人員
DB Server
99
導入第三方稽核工具
除資料庫外,包含網站與檔案伺服器等完整
稽核方案
網路層側錄,效能影響較少
套裝硬體方式,可快速導入
可由資安單位獨立導入
導入費用較高
監控伺服器需安裝Agents
網路層監控,稽核資料繁雜
後續自行開發與維護不易
Corporate Boundary
防火牆
使用者
AP Server
管理人員
DB Server
1010
導入第三方稽核工具
使用資料庫內建功能,不須購買與受版本
限制
集中化的稽核機制,不用各別設定
客製化服務,可依需求調整
提供技術移轉,後續可自行維護
DB效能會受到影響
初期需由DBA導入與維護
前端AP的稽核資訊不易區分
Corporate Boundary
防火牆
使用者
AP Server
管理人員
DB Server
微軟資料庫稽核服務介紹
資料庫稽核系統架構
工作項目
稽核報表範例
系統設定範例
Audit CollectionDB Server
AuditReporting
Server
稽核員
系統管理員
各業務系統資料庫
一般稽核紀錄
告警稽核紀錄
建置系統稽核收集與報表管理伺服器
提供應用系統稽核收集設計與訂閱管理介面
系統稽核服務報表
帳號登入登出
登入失敗
物件存取
權限異動
物件結構變更
調整稽核管理群組與安全性規劃
資料庫稽核服務案例分享
前端應用系統稽核需求
跨平台資料庫稽核需求
稽核目標擴展需求
配合個資法需求
應用程式資安稽核建置服務資料庫+網路+程式完整稽核軌跡分析
AP Server DB Server
switch (mirror port )
(NBAMS稽核系統)
(使用者)
User ID
經HSM簽章
稽核報表(簽章)具不可否認性
封包擷取
1.完整稽核軌跡分析:
(1).User ID
(2).來源IP
(3).IIS log 資訊比對
2.校時系統 (加強正確舉證時間 )
3.稽核報表簽章 (具不可否認性)
4.Web UI 操作 (中央監控)
5.DB異常行為通知(Email、簡訊)
6.敏感個資讀取/設定/通知
7.角色分離(DB管理者、稽核員)
Trace Log NAS Storage
\\Storage\AuditLog
Criteria/Event Filter
SSIS Server
SSIS Server
SSIS Server
SSIS Server
SQL Server 2008( Audit Center A )
Audit Record DB Storage A
SQL Server 2008( Audit Center B )
Audit Record DB Storage B
SQL Server 2008( Audit Center D )
Audit Record DB Storage D
Report Server2 (C&D)
Report Server1 (A&B)
Report Viewer
SQL Server 2008( Audit Center C )
Audit Record DB Storage C
個資偵測APP
姓名, 生日, 電話, 地址, Email, 身分證號, 卡號…
個人資料安全維護之整體持續改善
聯絡資訊
Chester Yang, 楊適光email: [email protected] Office: 02-37253658
Perry Lu, 盧榮川email: [email protected] Office: 02-37253703
問題與討論