當一家企業(yè),已經(jīng)完成網(wǎng)絡(luò )安全、桌面安全、主機安全、身份認證,甚至數據安全的部署,就可高枕無(wú)憂(yōu)?五年前也許是,但現在不行。尤其對于太平洋保險這樣的企業(yè),不安全的保險公司,就是不保險,連數據安全都不能保障的公司,用戶(hù)怎么可能放心在此投保。
十年布局
其實(shí),早在2006年,太平洋保險就開(kāi)始謀劃,突破現有安全體系的瓶頸,是否更便捷,而不必僅依靠人工的方式追溯原始工作日志?能否洞察安全攻擊行為,背后隱藏的不合規內控問(wèn)題,能否變被動(dòng)安全體系為主動(dòng)安全體系?
應該說(shuō),此思想在現有看來(lái),也屬先進(jìn),但在10年前,太平洋保險確實(shí)遇到現實(shí)問(wèn)題,雖與多家專(zhuān)業(yè)安全企業(yè)進(jìn)行技術(shù)交流,但沒(méi)有尋求到足夠優(yōu)秀的技術(shù)手段,將規劃落地為現實(shí)的解決方案。
2012年,太平洋保險(集團)股份有限公司信息安全與內控管理總經(jīng)理李麗紅再次“舊事重提”,進(jìn)行全新的安全系統規劃,而且此時(shí)提出,太保的需求比以往更迫切。主要表現在以下幾方面:
其一,保險營(yíng)銷(xiāo)渠道和保險產(chǎn)品互聯(lián)網(wǎng)化,應用網(wǎng)絡(luò )接入多樣(3G/4G、無(wú)線(xiàn)網(wǎng)絡(luò ))化導致安全風(fēng)險驟升。眾多新興的金融支付類(lèi)病毒利用系統漏洞,配合頁(yè)面劫持、進(jìn)程注入、短信劫持等攻擊手段,對移動(dòng)用戶(hù)的金融賬戶(hù)、口令、驗證碼等信息進(jìn)行盜取。
其二,大數據得到日益深入的重視和應用,客戶(hù)信息等數據因其本身蘊涵的巨大商業(yè)價(jià)值也成為各行各業(yè)追逐的對象。一旦客戶(hù)信息泄露,可能對公司聲譽(yù)造成不良的影響。
其三,商業(yè)競爭的全球化導致黑客攻擊更頻密。例如拒絕服務(wù)攻擊、系統漏洞攻擊、APT攻擊等,這也給安全防御帶來(lái)了很大的壓力。
其四,企業(yè)內外網(wǎng)邊界逐漸模糊導致內部安全風(fēng)險增大,來(lái)自企業(yè)內部的威脅也日益增加。一方面是內部人員的操作失誤帶來(lái)的信息安全威脅;另一方面是內部人員操作權限控制不當造成的訪(fǎng)問(wèn)控制邊界違規、賬號濫用等,這些都是潛在的威脅。
鷹眼系統的誕生
針對保險行業(yè)信息安全保障面臨的上述挑戰,為全面、及時(shí)的發(fā)現、識別、分析、處理信息安全事件,太平洋保險下決心上馬“鷹眼大數據信息安全管控平臺”項目(簡(jiǎn)稱(chēng)“鷹眼系統”)。
太平洋保險信息安全與內控管理安全專(zhuān)家張軍闡述了該系統必須要實(shí)現的目標:首先,通過(guò)集中收集、過(guò)濾、關(guān)聯(lián)分析來(lái)自信息系統基礎設施日常運行中產(chǎn)生的海量日志等數據。目前,太平洋保險每天收集的數據非常驚人,系統的日志源達到近6000個(gè),收集范圍覆蓋包括14個(gè)高保障應用系統,6大類(lèi)32種設備類(lèi)型,日志數量均在15億條左右。這對任何一家IT的大數據平臺都是一種考驗,只此一點(diǎn)需求,大部分設備已無(wú)法滿(mǎn)足。
同時(shí),太平洋保險還要求利用規則匹配、模型分析、可視化展現等處理手段,構建信息安全大數據分析管控系統。也就是說(shuō),提供解決方案的企業(yè),不僅要具備一流的大數據處理能力,還必須是專(zhuān)業(yè)的安全企業(yè),在安全攻擊、安全合規等方面具有大量的案例積累。此外,太平洋保險還提出,鷹眼系統中的安全分析平臺、安全監測平臺,必須與外部安全情報有接口,以及對終端個(gè)人用戶(hù)和資產(chǎn)進(jìn)行定位識別。應該說(shuō),此方面需求也明顯高于以往,其還是在安全企業(yè)在關(guān)聯(lián)性等方面的積累。
此外,李麗紅還表示,此外的基本要求是,系統要結合事件及配置策略管理流程,提供安全攻擊、安全滲透、病毒傳播、違規操作等各類(lèi)信息安全事件的預警、發(fā)現和快速處置能力,最終實(shí)現對風(fēng)險及威脅的閉環(huán)管理。“系統要自動(dòng)生成事件工單,方便我們進(jìn)行跟蹤處置,而不是再如以往一樣依靠大量人工進(jìn)行判斷。”
選擇Intel Security
針對以上需求,從2014年中,太平洋保險開(kāi)始與多家IT廠(chǎng)商進(jìn)行密集的技術(shù)交流,其中一些長(cháng)于大數據,一部分長(cháng)于安全。而最終在2014年底,太平洋保險選擇Intel Security為“鷹眼系統”提供解決方案和實(shí)施服務(wù)。
目前,“鷹眼系統”主要包括日志收集平臺、安全事件集中監控平臺、安全事件關(guān)聯(lián)分析平臺、權限管理平臺等多個(gè)平臺的搭建來(lái)聯(lián)合實(shí)施,通過(guò)平臺之間的關(guān)聯(lián)交互,實(shí)現安全信息采集、監控、分析與處置,達到信息安全“風(fēng)險可知、事件可控、態(tài)勢可見(jiàn)、效率提升”。
安全日志收集平臺,接入包括指定范圍內安全設備、網(wǎng)絡(luò )設備、操作系統、數據庫、中間件及輔助系統等日志源;安全事件集中監控平臺,實(shí)現安全事件的集中監控與分級處置,構建信息安全立體化管控體系,提升安全事件監管的可靠性與高效性。安全事件關(guān)聯(lián)分析平臺處理安全事件的集中監控與關(guān)聯(lián)分析,解決了碎片化監管被動(dòng)、低效等問(wèn)題,提升安全事件發(fā)現與防范的主動(dòng)性與智能性。權限管理平臺則根據風(fēng)險審計與內控人員角色、職責進(jìn)行有權限的查詢(xún),設置基于組授權方式的資源內容訪(fǎng)問(wèn)控制。該平臺的實(shí)施,實(shí)現了職責明確、分工負責、安全高效的內部監管。
實(shí)施周期6個(gè)月
太平洋保險“鷹眼系統”從2014年底開(kāi)始實(shí)施,到2015年中期才初步投入使用,實(shí)施周期長(cháng)達6個(gè)月。對此,張軍表示,難點(diǎn)來(lái)自與日志收集和關(guān)聯(lián)規則預設置兩方面。系統數據源達到6000多,而且涉及各類(lèi)設備接口、日志識別。相關(guān)關(guān)聯(lián)規則也需要在實(shí)施和運營(yíng)過(guò)程中不斷調優(yōu)。“只有做到以上亮點(diǎn),才能實(shí)現‘鷹眼系統’的自動(dòng)化,才能自動(dòng)生成工單,減少人工判斷,才能實(shí)現對安全威脅的閉環(huán)管理。”
而從2015年中期運行至今,“鷹眼系統”也確實(shí)達到了初期的預想效果。通過(guò)對安全事件的集中監控與關(guān)聯(lián)分析,解決碎片化事件監控的被動(dòng)、低效等問(wèn)題,提升安全事件發(fā)現與防范的主動(dòng)性。通過(guò)對外部攻擊、內部合規等類(lèi)型安全事件的集中監控,實(shí)現信息安全事件的可知可防可控。通過(guò)與IPS平臺雙向聯(lián)動(dòng),自動(dòng)生成并部署特定攻擊行為的阻斷策略,大幅提升對攻擊事件的響應速度。
同時(shí),鷹眼系統根據安全事件的大小與影響范圍,定義安全事件等級,依據等級進(jìn)行不同優(yōu)先級響應。運維團隊分一、二、三線(xiàn)協(xié)同作戰,大大提升了安全事件的處置效率;同時(shí),風(fēng)險、審計與內控人員按角色、職責進(jìn)行查詢(xún),設置基于組授權方式的資源訪(fǎng)問(wèn)控制,實(shí)現職責明確、安全可靠、高效的安全事件內部監督和管理。
經(jīng)了解,本項目案例屬?lài)鴥缺kU行業(yè)首創(chuàng ),不僅在保險行業(yè),在整個(gè)金融行業(yè)也屬先進(jìn)。近期在“第二屆中國信息安全用戶(hù)大會(huì )”上,“鷹眼系統”獲得了“第二屆智慧城市信息安全保障優(yōu)秀案例”獎。而對此,張軍表示,太平洋保險,不可能貿然上一套安全體系,現代化的安全體系也遠非一個(gè)工具所能解決的。在實(shí)施此類(lèi)系統過(guò)程中,必須具備完整的人員組織保障體系,完備安全預案響應機制,對于“鷹眼系統”而言,解決方案、人員組織、規則機制缺一不可。
