1 / 32

「校務行政系統資料庫個資防護計畫」教育訓練及說明會

「校務行政系統資料庫個資防護計畫」教育訓練及說明會. 李烜旭 Neo Li CEH 、 CHFI 、 ISO27001 LA 2014/8/31. 簡報大綱. 專案計畫說明 專案功能說明 IBM Guardium- 資料庫存取稽核 IBM TEM- 端點管理 問題討論. 專案計畫說明. 確認個資種類. 委託關係. 蒐集. 處理. 利用. 停止、刪除、銷毀. 蒐集要件. 告知或公告. 安全維護. 符合特定目的. 接受當事人行使權利. 查詢. 閱覽. 製給複製. 補充. 更正. 停止蒐集處理利用. 刪除.

rea
Download Presentation

「校務行政系統資料庫個資防護計畫」教育訓練及說明會

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 「校務行政系統資料庫個資防護計畫」教育訓練及說明會「校務行政系統資料庫個資防護計畫」教育訓練及說明會 李烜旭 Neo Li CEH、CHFI、ISO27001 LA 2014/8/31

  2. 簡報大綱 • 專案計畫說明 • 專案功能說明 • IBM Guardium-資料庫存取稽核 • IBMTEM-端點管理 • 問題討論

  3. 專案計畫說明

  4. 確認個資種類 委託關係 蒐集 處理 利用 停止、刪除、銷毀 蒐集要件 告知或公告 安全維護 符合特定目的 接受當事人行使權利 查詢 閱覽 製給複製 補充 更正 停止蒐集處理利用 刪除 建立具備智能、整合及專業的個資資安架構 建立管理作業流程

  5. 確認個資種類 委託關係 蒐集 處理 利用 停止、刪除、銷毀 蒐集要件 告知或公告 安全維護 符合特定目的 接受當事人行使權利 查詢 閱覽 製給複製 補充 更正 停止蒐集處理利用 刪除 個人資料檔案安全維護計畫 業務終止後個人資料處理方法 建立具備智能、整合及專業的個資資安架構 建立管理作業流程 事業主管機關得指定、非公務機關訂定

  6. 確認個資種類 委託關係 蒐集 處理 利用 停止、刪除、銷毀 蒐集要件 告知或公告 安全維護 符合特定目的 接受當事人行使權利 查詢 閱覽 製給複製 補充 更正 停止蒐集處理利用 刪除 個人資料檔案安全維護計畫 業務終止後個人資料處理方法 採行適當安全措施(防止被竊取、竄改、毀損、滅失、洩漏) 建立具備智能、整合及專業的個資資安架構 建立管理作業流程 事業主管機關得指定、非公務機關訂定 法規要求

  7. 新威脅 •駭客、變種木馬 •APT 攻擊威脅 –先進攻擊手法 –緩慢、低調、針對性 –有系統、有組織 –不達目的、絕不罷休 新弱點 •個資意識不夠 •資安自保不足 •修正檔未安裝 •觀念陌生 –安全需求、安全漏洞 –授權、記錄、適當揭露 新風險 •個資數量繁多 •特權使用 •不當揭露 •……

  8. 個資外洩的風險

  9. 新威脅 •駭客、變種木馬 •APT 攻擊威脅 –先進攻擊手法 –緩慢、低調、針對性 –有系統、有組織 –不達目的、絕不罷休 新弱點 •個資意識不夠 •資安自保不足 •修正檔未安裝 •觀念陌生 –安全需求、安全漏洞 –授權、記錄、適當揭露 新風險 •個資數量繁多 •特權使用 •不當揭露 •……

  10. 借題發揮!黑客借 Java 事件大規模散佈虛假修正檔

  11. 從外部入侵或在內部盜取都可能發生 *客戶負有識別及解釋並遵守和其業務相關的法律或規範之責任. IBM 並不保證透過其提供之服務或產品即代表其可以符合法律之要求. 12

  12. 資料外洩的內憂與外患 1. 外部的攻擊 2. 惡意的內部使用者 離職員工 高權限系統管理者 竊取資料的集團,派人應徵企業的資料管理員相關職務 3. 合作夥伴 92% Data Breach Investigations Reportby Verizon Business

  13. 機敏性個資防護- 從根本(資料庫DB)做起

  14. 個人電腦端防護- 防毒->修正檔管理

  15. 專案-功能說明IBM Guardium-資料庫存取稽核IBMTEM-端點管理

  16. Guardium本期建置主要範圍 以校務行政系統資料庫為主

  17. Guardium建置環境概述 Admin 透過瀏覽器操作 Guardium Collector Auditor Network Switch 資料庫主機 S-TAP 資料庫主機 本機端及網路存取全面活動監控 記錄本機及網路 存取行為傳送

  18. 記錄使用者存取資料庫的完整行為紀錄 Who、When、Where、hoW、What

  19. 合規-使用記錄稽核 合規的需求The Compliance Mandate DDL = Data Definition Language (改變表定義)-Create/Drop/Alter DML = Data Manipulation Language (資料操作變更 )-Insert/Update/Delete DCL = Data Control Language (授權變更)-GRANT,/REVOKE

  20. DDL 、DML指令使用記錄稽核

  21. 專案-功能說明IBM Guardium-資料庫存取稽核IBMTEM-端點管理

  22. TEM 本期之終端設置及推廣單位 • 計網中心、 • 教務處、 • 校友中心、 • 人事室、 • 燕巢行政部。

  23. 端點管理的目標 • 軟、硬體資產收集: • 內部資產處理器(CPU)、記憶體、磁碟機、光碟機、視訊介面卡,網路介面卡、顯示器及IDE/SATA/SCSI;裝置作業系統資訊、啟動時執行的程式、服務的執行狀態(Windows)即已安裝的程式 • Patch修正檔案管理: • 管理各種作業系統之修補程式,支援Windows、Linux、 UNIX及MAC等作業系統(支援軟體包含Windows, Adobe, Mozilla, Java, Winzip)

  24. Lifecycle Management –軟、硬體資產收集

  25. Lifecycle Management –軟、硬體資產收集

  26. Lifecycle Management –軟、硬體資產收集

  27. Patch Management修補程式管理 1.全面支援 Windows,Unix,Linux和Mac作業系統安全相關的軟體修正2.常用的應用程式如Adobe Acrobat,Apple iTunes,Mozilla Firefox和其他應用程式的軟體修正3.大幅減少軟體修正週期並提高成功率

  28. 自動識別軟體未修正的端點

  29. Web Report

  30. 問題討論

More Related