Guardium

  • IBM InfoSphere Guardium協助雙和醫院 建立完美合規與免責雙重防線

    概觀

    個資法通過後,儲存大量病歷資料的醫院更不敢輕忽個資外洩或濫用的風險。因此,資料庫安全管理與稽核是刻不容緩的防護措施。

    業務需求:
    雙和醫院資訊室主任陸偉輝表示,「我們必須把個資安全看得與客戶健康一樣重要,用最嚴謹的防護措施來加以保護。

    解決方案:
    IBM InfoSphere Guardium

    效益:
    1.
    採用獨步全球的 Agent技術,不須改變資料庫或應用程式配置,亦不影響系統日常運作即可部署完成,也能隨系統架構改變而靈活擴充。

    2. Guardium平均在 UNIX平台僅需3%效能、Windows平台則低於5%,系統負擔低且穩定,適合經常吞吐大量資料的資料庫。

    3.「不可否認性」與「資料完整性」兩項設計使其證據能力具有十足公信力。

    成功案例

    個資法通過三讀後,不僅企業界備感壓力,儲存大量病歷資料的各級醫院也不敢掉以輕心。這些病歷紀錄不僅事關病患隱私,一旦有個資外洩或濫用的風險,醫院所要負擔的賠償恐怕遠超過自身所能負荷!

    根據報載,國內知名保險業者因評估難以滿足個資法要求,決定終止電話行銷業務,可見企業寧可損失部分營業額,也不願承受無法控管的個資風險。然而醫院肩負照護病人健康的社會責任,不可能採取同樣的作法。

    「合規與免責,是醫院保護客戶、保護自己的雙重防線!」臺北醫學大學、署立雙和醫院資訊室主任陸偉輝表示,「我們必須把個資安全看得與客戶健康一樣重要,用最嚴謹的防護措施來加以保護。」

    守護個資,從資料庫做起
    根據統計,資料外洩事件有75%來自資料庫伺服器,而且當個資爭議發生時,資料庫系統稽核報告也將成為責任判別的依據。資料庫安全管理與稽核,是刻不容緩的防護措施。

    陸偉輝主任指出,在評估資料庫安全解決方案時,雙和醫院資訊團隊訂立五項重要指標:品牌與口碑、即時防護能力、免責舉證力、導入與擴充的便利性、運作效能。

    經過多方比較,IBM InfoSphere Guardium在五大指標均有優異表現,再加上過去導入IBM Power System伺服器作為醫院核心資訊管理系統,IBM的專業度與支援能力都令IT團隊感到滿意。因此,雙和醫院經過嚴謹評估後,決定採用InfoSphere Guardium作為資料庫安全防護與稽核的守護者。

    Guardium
    Forrester Wave最高評價
    全球權威市調機構Forrester針對市面上所有資料庫安全監控管理解決方案進行評比,在「The Forrester Wave™:資料庫稽核與即時防護」(The Forrester Wave™: Database Auditing And Real-Time Protection, Q2 2011)報告中指出,IBM是該領域中的領導者,在產品面、策略面、市場面共17項指標中,每一項都高居榜首,最高評價實至名歸。

    此外,全球前五大跨國銀行、20家電信業領導者、兩大最受歡迎飲料品牌與知名防毒軟體公司McAfee.com等都選擇InfoSphere Guardium,「資安解決方案講求實績;」陸偉輝主任表示,「最重視資安的銀行與電信業者的選擇,等於幫我們做了最好的篩選。」

    全生命週期,完整即時防護
    IBM產品協理胡育銘說明,InfoSphere Guardium的設計是從全生命週期的進行資料庫安全管理:
    一,尋找及分類:組織長期累積的龐大數位資料,InfoSphere Guardium可自動探索與分類,找出機密資料儲存位置並強制套用安全規則。
    二,評量及鞏固:安全評量功能會根據CVECISSTIG等業界最新標準,掃描資料庫基礎架構,找出系統配置與使用者行為中的潛在漏洞,並提出強化建議,建立資安基準線。
    三,監視及實施:InfoSphere Guardium具備強大的監控能力與完整安全原則管理,可即時監測並主動控管未獲授權的可疑動作、外來攻擊與詐欺行為、基準線異常變更、特許使用者異常行為等。儀錶板可呈現完整「who, what, when, where, how」監控記錄,以及自動化安全事件工作流程,以符合法規遵循。
    四,審核及報告:以連續而精細的方式追蹤所有資料庫活動,跨DBMS儲存審核資料以確立職權分立的監管制度,並讓法規遵循報告與監管程序全面自動化。

     

    image006
    圖說:IBM InfoSphere Guardium:一個解決方案,滿足全生命週期的資料庫安全與法規遵循

    獨步全球Agent技術,安全與效能兼具
    InfoSphere Guardium
    與其他解決方案最大的不同之處,在於採用了獨步全球的Agent技術,與他廠以封包為基礎的技術有著本質上的差異。Agent技術採取非侵入性的即時監控,不須改變資料庫或應用程式配置,亦不影響系統日常運作即可快速部署完成,未來也能隨系統架構的改變而靈活擴充。

    相較於他廠解決方案動輒占用10%-15%系統效能,InfoSphere Guardium平均在UNIX平台僅需3%效能、Windows平台則低於5%,系統負擔低,運作更為穩定順暢。對於經常吞吐大量資料的資料庫系統,效能差異將會嚴重影響業務運作與使用者體驗,這項輕量化優勢使得InfoSphere Guardium受到全球企業青睞。

    「舉例來說,Guardium就像是高速公路上的攝影機,拍下經過的每一台車子,立即傳送到獨立監控系統去比對與應變;且不會因為攝影機壞掉而造成交通阻塞」IBM產品協理胡育銘說明,「他廠解決方案就必須占用車道、把每一個台車攔下來檢查拍照,效能差異顯而易見。」

    完整證據力,確保企業免責
    個資法規定,當有個資爭議發生時企業必須負舉證責任以證實沒有疏失。因此,資料庫安全管理系統所提供的稽核報表,成為企業自保的最後一道防線。為確保稽核報表證據力,InfoSphere Guardium提供層層防護機制:

    具「不可否認性」的稽核資料:職權分立機制,將稽核資料儲存於多個不同的實體與虛擬裝置中,任何人均無權限竄改。
    三層式架構的使用者追蹤:完全對應應用伺服器使用者資料與database sessionSQL資訊,為全球唯一100%完全正確追蹤使用者的解決方案。
    資料完整性設計:Buffer機制在網路忙碌或中斷時可先暫存交易資料,網路恢復後立即續傳到稽核資料庫,不漏失封包,確保稽核資料完整。
    高可用性與附載平衡設計:無論發生天災人禍、或資料庫交易附載過大,都能夠透過備援或分散式收錄來確保稽核資料完整無缺。

    陸偉輝主任認為,「不可否認性」與「資料完整性」這兩項設計使其證據能力具有十足公信力,「若企業被質疑洩漏個資、或特許使用者與管理者被質疑有異常行為時,Guardium的稽核資料將是保護雙和醫院與IT管理者、證明行為合規的重要證據。」

    面對日新月異的資安風險,以及個資法嚴格的合規與舉證要求,雙和醫院已經做好完全準備,在IBM InfoSphere Guardium的把關下,不僅能即時守護客戶資料安全,並能在必要時刻提出完美無缺的稽核證據,保護企業權益!

    (採訪於2013年)

  • 全美健康保險機構,透過IBM Guardium 執行資料庫稽核、監督與防護措施

    個案研討:在全美健康保險機構,執行資料庫稽核、監督與防護措施

    概觀

    這個頂尖 Blue Cross and Blue Shield機構會員超過 500,000 名,為遵循SOX 與 HIPAA 法規需求,需要執行資料庫稽核。

    該機構需求如下:

    監視所有重要資料庫存取,包括特許使用者存取。

    為所有資料庫系統建立集中審核追蹤。

    為審核者產生詳細的法規遵循報告(SOX 與 HIPAA)。

    透過重大事件即時警示,執行主動安全防護。

    獲得可與現有環境(LDAP、SIEM、Cisco 交換器、MOM 等)輕鬆整合,而且可從遠端管理的解決方案。

    選取不依賴資料庫常駐功能(例如觸發、追蹤或交易日誌等)的解決方案,這類功能可能影響資料庫效能與穩定性。

    BC BS機構向 Gartner and Forrester Research 詢問過後,評估數家供應商,最後選擇 InfoSphere Guardium解決方案。InfoSphere Guardium 的技術以裝置為基礎,企業不會影響效能,也無需調整資料庫或應用程式便能保護企業資料,並且迅速因應審核者的需求。

    環境

    BC BS基礎架構在生產、暫置、測試與開發環境中包含近 50 個資料庫實例,需要監視是否有未獲授權或可疑的存取。這些資料庫支援廣泛的財務、客戶與病患應用程式。

    InfoSphere Guardium解決方案可搭配現有安全投資,例如周邊防火牆、SSL VPN、身分管理、SIM/SEM、IDS 與配置原則管理。下表簡述 InfoSphere Guardium 如何因應 BC BS 機構一般定義的嚴格需求。

    功能需求

    客戶需求

    InfoSphere Guardium提供的內容

    產生 SOX、HIPAA、FISMA、CMS、DISA S-TIG、資料隱私權法與 PCI 所需的資訊

    InfoSphere Guardium解決方案以連續且精細的方式審核追蹤所有資料庫活動,包括每筆交易的「執行人、執行內容、執行時間、執行地點與執行方式」,會即時連續分析與過濾精細資料,以產生審核者所需的特定資訊。

    可自訂的報告

    本系統隨附 100 多種 SOX 與資料隱私權法規適用的預先配置範本。您可透過拖放介面輕鬆自訂報告。

    自動化法規遵循報告與工作流程

    自動產生法規遵循報告並送交監督團隊進行電子簽核與呈報,不僅降低法規遵循成本,也更省事。

    支援環境中已安裝的所有 DB 平臺

    支援所有主要資料庫平臺,包括 Oracle、Microsoft SQL Server、IBM DB2、Informix、Sybase ASE 與 Sybase IQ。

    輕鬆整合加入現有環境

    InfoSphere Guardium的非侵入性方式幾乎不影響效能 (<5%),也完全不需要調整資料庫或應用程式。

    不依賴影響效能或穩定性的資料庫常駐功能,例如觸發、追蹤、交易日誌或原生審核功能

    企業的 Data Security At-the-Switch架構屬於網路式,而且不受個別資料庫限制,只要連線至網路交換器或網路分流器的標準 SPAN 連接埠,就可連續監視鏡映網路串流,並且分析所有資料庫流量是否有可疑或未獲授權的活動,完全無需啟用資料庫常駐功能。

    監視所有資料定義修改 (DDL)

    InfoSphere Guardium會監視所有資料庫綱目變更,例如插入或移除表格或直欄,這樣一來才能實施變更控制原則。

    監視所有資料操作 (DML) 動作(SELECT、INSERT、UPDATE、DELETE等)。

    InfoSphere Guardium會監視所有 SQL 陳述式,包括 DML,這樣一來才能監視機密資料存取,以及實施重要資料值的變更控制原則。

    監視安全異常

    InfoSphere Guardium會監視安全異常,例如登入失敗、選取時許可權遭拒與 SQL 錯誤。

    自動核對 DB 變更與核准的變更控制要求

    自動產生比較所有偵測變更與核准變更要求(來自 Peregrine、Remedy 等)的報告,減少人員為因應審核者需求所耗費的時間。在偵測到未獲授權變更(包括變更外部資料庫配置檔與環境變數)時發出即時警示。

    提供主動安全防護

    InfoSphere Guardium屬於原則式系統,提供多種自動化動作,供客戶針對違反原則做出回應,包括即時警示、封鎖與自訂的動作。這樣一來,安全機構便能以主動的方式立即偵測可能的入侵者,不需要在查看傳統日誌後再採取被動的「事後」動作。

    提供資料庫交易執行者的完整資訊

    InfoSphere Guardium會透過使用者名稱、OS 使用者名稱(網域登入)、MAC 位址,以及用戶端系統的主機名稱與 IP 位址這類數值,辨識使用者身分,也會辨識用來存取資料庫的應用程式,因此可以實施使用 Microsoft Excel 或 SQL 開發人員工具這類未獲授權應用程式方面的原則。

    在連接池(應用程式伺服器)環境辨識應用程式使用者 ID;不只是顯示通用資料庫登入 ID

    InfoSphere Guardium會確認與資料庫查詢和活動相關聯的應用程式使用者 ID。InfoSphere Guardium 的方式有別於其他方式,同時支援純 HTML 應用程式,以及使用 ActiveX控制項與小應用程式(例如 Oracle)這類其他呈現層技術的應用程式。InfoSphere Guardium 也支援單一登入 (SSO) 環境。

    提供無「後門」(例如本端存取)的完整審核

    除監督網路層次的所有資料庫資料流量,InfoSphere Guardium 還提供輕量型軟體探測器,可監視作業系統 IPC 層(例如主控台存取、終端機服務、共用記憶體與具名管道)的特許本端資料流量。探測器僅仰賴 InfoSphere Guardium 裝置處理與分析的相關資料流量,減少對伺服器效能的任何影響。

    安全防竄改的審核儲存庫

    所有審核資料都儲存於單一的集中儲存庫,特許使用者無法修改。這樣一來便為審核者

    與鑑識調查提供了「可驗證的審核追蹤」。

    需求管理

    支援集中管理

    InfoSphere Guardium解決方案採用可擴展式多層次架構,不僅原則管理集中,而且可彙整審核資料。所有裝置都是從圖形 Web 主控台介面管理。

    整合現有管理系統 (Microsoft MOM、Cisco MARS、IBM Tivoli、QRadar 等)。

    支援 Syslog、SNMP 與 SMTP 在內的標準介面,以及透過CSV 檔匯出資料。

    整合身分管理系統

    支援 LDAP 與其他鑑別系統。

    角色型管理

    可由資訊安全或法規遵循專業人士這類非 DBA 管理,也可量身打造,根據角色支援不同權限和檢視內容。