当一家企业,已经完成网络安全、桌面安全、主机安全、身份认证,甚至数据安全的部署,就可高枕无忧?五年前也许是,但现在不行。尤其对于太平洋保险这样的企业,不安全的保险公司,就是不保险,连数据安全都不能保障的公司,用户怎么可能放心在此投保。
十年布局
其实,早在2006年,太平洋保险就开始谋划,突破现有安全体系的瓶颈,是否更便捷,而不必仅依靠人工的方式追溯原始工作日志?能否洞察安全攻击行为,背后隐藏的不合规内控问题,能否变被动安全体系为主动安全体系?
应该说,此思想在现有看来,也属先进,但在10年前,太平洋保险确实遇到现实问题,虽与多家专业安全企业进行技术交流,但没有寻求到足够优秀的技术手段,将规划落地为现实的解决方案。
2012年,太平洋保险(集团)股份有限公司信息安全与内控管理总经理李丽红再次“旧事重提”,进行全新的安全系统规划,而且此时提出,太保的需求比以往更迫切。主要表现在以下几方面:
其一,保险营销渠道和保险产品互联网化,应用网络接入多样(3G/4G、无线网络)化导致安全风险骤升。众多新兴的金融支付类病毒利用系统漏洞,配合页面劫持、进程注入、短信劫持等攻击手段,对移动用户的金融账户、口令、验证码等信息进行盗取。
其二,大数据得到日益深入的重视和应用,客户信息等数据因其本身蕴涵的巨大商业价值也成为各行各业追逐的对象。一旦客户信息泄露,可能对公司声誉造成不良的影响。
其三,商业竞争的全球化导致黑客攻击更频密。例如拒绝服务攻击、系统漏洞攻击、APT攻击等,这也给安全防御带来了很大的压力。
其四,企业内外网边界逐渐模糊导致内部安全风险增大,来自企业内部的威胁也日益增加。一方面是内部人员的操作失误带来的信息安全威胁;另一方面是内部人员操作权限控制不当造成的访问控制边界违规、账号滥用等,这些都是潜在的威胁。
鹰眼系统的诞生
针对保险行业信息安全保障面临的上述挑战,为全面、及时的发现、识别、分析、处理信息安全事件,太平洋保险下决心上马“鹰眼大数据信息安全管控平台”项目(简称“鹰眼系统”)。
太平洋保险信息安全与内控管理安全专家张军阐述了该系统必须要实现的目标:首先,通过集中收集、过滤、关联分析来自信息系统基础设施日常运行中产生的海量日志等数据。目前,太平洋保险每天收集的数据非常惊人,系统的日志源达到近6000 个,收集范围覆盖包括14个高保障应用系统,6 大类32 种设备类型,日志数量均在15 亿条左右。这对任何一家IT的大数据平台都是一种考验,只此一点需求,大部分设备已无法满足。
同时,太平洋保险还要求利用规则匹配、模型分析、可视化展现等处理手段,构建信息安全大数据分析管控系统。也就是说,提供解决方案的企业,不仅要具备一流的大数据处理能力,还必须是专业的安全企业,在安全攻击、安全合规等方面具有大量的案例积累。此外,太平洋保险还提出,鹰眼系统中的安全分析平台、安全监测平台,必须与外部安全情报有接口,以及对终端个人用户和资产进行定位识别。应该说,此方面需求也明显高于以往,其还是在安全企业在关联性等方面的积累。
此外,李丽红还表示,此外的基本要求是,系统要结合事件及配置策略管理流程,提供安全攻击、安全渗透、病毒传播、违规操作等各类信息安全事件的预警、发现和快速处置能力,最终实现对风险及威胁的闭环管理。“系统要自动生成事件工单,方便我们进行跟踪处置,而不是再如以往一样依靠大量人工进行判断。”
选择Intel Security
针对以上需求,从2014年中,太平洋保险开始与多家IT厂商进行密集的技术交流,其中一些长于大数据,一部分长于安全。而最终在2014年底,太平洋保险选择Intel Security为“鹰眼系统”提供解决方案和实施服务。
目前,“鹰眼系统”主要包括日志收集平台、安全事件集中监控平台、安全事件关联分析平台、权限管理平台等多个平台的搭建来联合实施,通过平台之间的关联交互,实现安全信息采集、监控、分析与处置,达到信息安全“风险可知、事件可控、态势可见、效率提升”。
安全日志收集平台,接入包括指定范围内安全设备、网络设备、操作系统、数据库、中间件及辅助系统等日志源;安全事件集中监控平台,实现安全事件的集中监控与分级处置,构建信息安全立体化管控体系,提升安全事件监管的可靠性与高效性。安全事件关联分析平台处理安全事件的集中监控与关联分析,解决了碎片化监管被动、低效等问题,提升安全事件发现与防范的主动性与智能性。权限管理平台则根据风险审计与内控人员角色、职责进行有权限的查询,设置基于组授权方式的资源内容访问控制。该平台的实施,实现了职责明确、分工负责、安全高效的内部监管。
实施周期6个月
太平洋保险“鹰眼系统”从2014年底开始实施,到2015年中期才初步投入使用,实施周期长达6个月。对此,张军表示,难点来自与日志收集和关联规则预设置两方面。系统数据源达到6000多,而且涉及各类设备接口、日志识别。相关关联规则也需要在实施和运营过程中不断调优。“只有做到以上亮点,才能实现‘鹰眼系统’的自动化,才能自动生成工单,减少人工判断,才能实现对安全威胁的闭环管理。”
而从2015年中期运行至今,“鹰眼系统”也确实达到了初期的预想效果。通过对安全事件的集中监控与关联分析,解决碎片化事件监控的被动、低效等问题,提升安全事件发现与防范的主动性。通过对外部攻击、内部合规等类型安全事件的集中监控,实现信息安全事件的可知可防可控。通过与IPS平台双向联动,自动生成并部署特定攻击行为的阻断策略,大幅提升对攻击事件的响应速度。
同时,鹰眼系统根据安全事件的大小与影响范围,定义安全事件等级,依据等级进行不同优先级响应。运维团队分一、二、三线协同作战,大大提升了安全事件的处置效率;同时,风险、审计与内控人员按角色、职责进行查询,设置基于组授权方式的资源访问控制,实现职责明确、安全可靠、高效的安全事件内部监督和管理。
经了解,本项目案例属国内保险行业首创,不仅在保险行业,在整个金融行业也属先进。近期在“第二届中国信息安全用户大会”上,“鹰眼系统”获得了“第二届智慧城市信息安全保障优秀案例”奖。而对此,张军表示,太平洋保险,不可能贸然上一套安全体系,现代化的安全体系也远非一个工具所能解决的。在实施此类系统过程中,必须具备完整的人员组织保障体系,完备安全预案响应机制,对于“鹰眼系统”而言,解决方案、人员组织、规则机制缺一不可。