當(dāng)一家企業(yè),已經(jīng)完成網(wǎng)絡(luò)安全、桌面安全、主機(jī)安全、身份認(rèn)證,甚至數(shù)據(jù)安全的部署,就可高枕無憂?五年前也許是,但現(xiàn)在不行。尤其對于太平洋保險這樣的企業(yè),不安全的保險公司,就是不保險,連數(shù)據(jù)安全都不能保障的公司,用戶怎么可能放心在此投保。
十年布局
其實,早在2006年,太平洋保險就開始謀劃,突破現(xiàn)有安全體系的瓶頸,是否更便捷,而不必僅依靠人工的方式追溯原始工作日志?能否洞察安全攻擊行為,背后隱藏的不合規(guī)內(nèi)控問題,能否變被動安全體系為主動安全體系?
應(yīng)該說,此思想在現(xiàn)有看來,也屬先進(jìn),但在10年前,太平洋保險確實遇到現(xiàn)實問題,雖與多家專業(yè)安全企業(yè)進(jìn)行技術(shù)交流,但沒有尋求到足夠優(yōu)秀的技術(shù)手段,將規(guī)劃落地為現(xiàn)實的解決方案。
2012年,太平洋保險(集團(tuán))股份有限公司信息安全與內(nèi)控管理總經(jīng)理李麗紅再次“舊事重提”,進(jìn)行全新的安全系統(tǒng)規(guī)劃,而且此時提出,太保的需求比以往更迫切。主要表現(xiàn)在以下幾方面:
其一,保險營銷渠道和保險產(chǎn)品互聯(lián)網(wǎng)化,應(yīng)用網(wǎng)絡(luò)接入多樣(3G/4G、無線網(wǎng)絡(luò))化導(dǎo)致安全風(fēng)險驟升。眾多新興的金融支付類病毒利用系統(tǒng)漏洞,配合頁面劫持、進(jìn)程注入、短信劫持等攻擊手段,對移動用戶的金融賬戶、口令、驗證碼等信息進(jìn)行盜取。
其二,大數(shù)據(jù)得到日益深入的重視和應(yīng)用,客戶信息等數(shù)據(jù)因其本身蘊(yùn)涵的巨大商業(yè)價值也成為各行各業(yè)追逐的對象。一旦客戶信息泄露,可能對公司聲譽(yù)造成不良的影響。
其三,商業(yè)競爭的全球化導(dǎo)致黑客攻擊更頻密。例如拒絕服務(wù)攻擊、系統(tǒng)漏洞攻擊、APT攻擊等,這也給安全防御帶來了很大的壓力。
其四,企業(yè)內(nèi)外網(wǎng)邊界逐漸模糊導(dǎo)致內(nèi)部安全風(fēng)險增大,來自企業(yè)內(nèi)部的威脅也日益增加。一方面是內(nèi)部人員的操作失誤帶來的信息安全威脅;另一方面是內(nèi)部人員操作權(quán)限控制不當(dāng)造成的訪問控制邊界違規(guī)、賬號濫用等,這些都是潛在的威脅。
鷹眼系統(tǒng)的誕生
針對保險行業(yè)信息安全保障面臨的上述挑戰(zhàn),為全面、及時的發(fā)現(xiàn)、識別、分析、處理信息安全事件,太平洋保險下決心上馬“鷹眼大數(shù)據(jù)信息安全管控平臺”項目(簡稱“鷹眼系統(tǒng)”)。
太平洋保險信息安全與內(nèi)控管理安全專家張軍闡述了該系統(tǒng)必須要實現(xiàn)的目標(biāo):首先,通過集中收集、過濾、關(guān)聯(lián)分析來自信息系統(tǒng)基礎(chǔ)設(shè)施日常運行中產(chǎn)生的海量日志等數(shù)據(jù)。目前,太平洋保險每天收集的數(shù)據(jù)非常驚人,系統(tǒng)的日志源達(dá)到近6000個,收集范圍覆蓋包括14個高保障應(yīng)用系統(tǒng),6大類32種設(shè)備類型,日志數(shù)量均在15億條左右。這對任何一家IT的大數(shù)據(jù)平臺都是一種考驗,只此一點需求,大部分設(shè)備已無法滿足。
同時,太平洋保險還要求利用規(guī)則匹配、模型分析、可視化展現(xiàn)等處理手段,構(gòu)建信息安全大數(shù)據(jù)分析管控系統(tǒng)。也就是說,提供解決方案的企業(yè),不僅要具備一流的大數(shù)據(jù)處理能力,還必須是專業(yè)的安全企業(yè),在安全攻擊、安全合規(guī)等方面具有大量的案例積累。此外,太平洋保險還提出,鷹眼系統(tǒng)中的安全分析平臺、安全監(jiān)測平臺,必須與外部安全情報有接口,以及對終端個人用戶和資產(chǎn)進(jìn)行定位識別。應(yīng)該說,此方面需求也明顯高于以往,其還是在安全企業(yè)在關(guān)聯(lián)性等方面的積累。
此外,李麗紅還表示,此外的基本要求是,系統(tǒng)要結(jié)合事件及配置策略管理流程,提供安全攻擊、安全滲透、病毒傳播、違規(guī)操作等各類信息安全事件的預(yù)警、發(fā)現(xiàn)和快速處置能力,最終實現(xiàn)對風(fēng)險及威脅的閉環(huán)管理。“系統(tǒng)要自動生成事件工單,方便我們進(jìn)行跟蹤處置,而不是再如以往一樣依靠大量人工進(jìn)行判斷。”
選擇Intel Security
針對以上需求,從2014年中,太平洋保險開始與多家IT廠商進(jìn)行密集的技術(shù)交流,其中一些長于大數(shù)據(jù),一部分長于安全。而最終在2014年底,太平洋保險選擇Intel Security為“鷹眼系統(tǒng)”提供解決方案和實施服務(wù)。
目前,“鷹眼系統(tǒng)”主要包括日志收集平臺、安全事件集中監(jiān)控平臺、安全事件關(guān)聯(lián)分析平臺、權(quán)限管理平臺等多個平臺的搭建來聯(lián)合實施,通過平臺之間的關(guān)聯(lián)交互,實現(xiàn)安全信息采集、監(jiān)控、分析與處置,達(dá)到信息安全“風(fēng)險可知、事件可控、態(tài)勢可見、效率提升”。
安全日志收集平臺,接入包括指定范圍內(nèi)安全設(shè)備、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、中間件及輔助系統(tǒng)等日志源;安全事件集中監(jiān)控平臺,實現(xiàn)安全事件的集中監(jiān)控與分級處置,構(gòu)建信息安全立體化管控體系,提升安全事件監(jiān)管的可靠性與高效性。安全事件關(guān)聯(lián)分析平臺處理安全事件的集中監(jiān)控與關(guān)聯(lián)分析,解決了碎片化監(jiān)管被動、低效等問題,提升安全事件發(fā)現(xiàn)與防范的主動性與智能性。權(quán)限管理平臺則根據(jù)風(fēng)險審計與內(nèi)控人員角色、職責(zé)進(jìn)行有權(quán)限的查詢,設(shè)置基于組授權(quán)方式的資源內(nèi)容訪問控制。該平臺的實施,實現(xiàn)了職責(zé)明確、分工負(fù)責(zé)、安全高效的內(nèi)部監(jiān)管。
實施周期6個月
太平洋保險“鷹眼系統(tǒng)”從2014年底開始實施,到2015年中期才初步投入使用,實施周期長達(dá)6個月。對此,張軍表示,難點來自與日志收集和關(guān)聯(lián)規(guī)則預(yù)設(shè)置兩方面。系統(tǒng)數(shù)據(jù)源達(dá)到6000多,而且涉及各類設(shè)備接口、日志識別。相關(guān)關(guān)聯(lián)規(guī)則也需要在實施和運營過程中不斷調(diào)優(yōu)。“只有做到以上亮點,才能實現(xiàn)‘鷹眼系統(tǒng)’的自動化,才能自動生成工單,減少人工判斷,才能實現(xiàn)對安全威脅的閉環(huán)管理。”
而從2015年中期運行至今,“鷹眼系統(tǒng)”也確實達(dá)到了初期的預(yù)想效果。通過對安全事件的集中監(jiān)控與關(guān)聯(lián)分析,解決碎片化事件監(jiān)控的被動、低效等問題,提升安全事件發(fā)現(xiàn)與防范的主動性。通過對外部攻擊、內(nèi)部合規(guī)等類型安全事件的集中監(jiān)控,實現(xiàn)信息安全事件的可知可防可控。通過與IPS平臺雙向聯(lián)動,自動生成并部署特定攻擊行為的阻斷策略,大幅提升對攻擊事件的響應(yīng)速度。
同時,鷹眼系統(tǒng)根據(jù)安全事件的大小與影響范圍,定義安全事件等級,依據(jù)等級進(jìn)行不同優(yōu)先級響應(yīng)。運維團(tuán)隊分一、二、三線協(xié)同作戰(zhàn),大大提升了安全事件的處置效率;同時,風(fēng)險、審計與內(nèi)控人員按角色、職責(zé)進(jìn)行查詢,設(shè)置基于組授權(quán)方式的資源訪問控制,實現(xiàn)職責(zé)明確、安全可靠、高效的安全事件內(nèi)部監(jiān)督和管理。
經(jīng)了解,本項目案例屬國內(nèi)保險行業(yè)首創(chuàng),不僅在保險行業(yè),在整個金融行業(yè)也屬先進(jìn)。近期在“第二屆中國信息安全用戶大會”上,“鷹眼系統(tǒng)”獲得了“第二屆智慧城市信息安全保障優(yōu)秀案例”獎。而對此,張軍表示,太平洋保險,不可能貿(mào)然上一套安全體系,現(xiàn)代化的安全體系也遠(yuǎn)非一個工具所能解決的。在實施此類系統(tǒng)過程中,必須具備完整的人員組織保障體系,完備安全預(yù)案響應(yīng)機(jī)制,對于“鷹眼系統(tǒng)”而言,解決方案、人員組織、規(guī)則機(jī)制缺一不可。
