劉蒼牧:構建縱深網絡安全防護體系
中國人保財險直面網絡安全新形勢、新挑戰,圍繞滿足監管合規外在要求和公司高質量發展轉型的內在需要,踐行“一個中心、三重防護”的理念,致力于持續完善公司網絡安全體系。從基礎環境安全、終端安全、應用安全等層面落實邊界防護、通信安全和計算環境安全的縱深防御措施,不斷優化豐富安全風險監測和管控的手段,加強動態風險管理,構建以風險為驅動的網絡安全運營體系,搭建網絡安全態勢感知平臺,提高網絡安全運營的自動化和智能化水平,逐步形成網絡安全運營中心。人保財險兩次參加攻防演習均取得了不錯的戰績,有力地防范發生網絡安全重大事件。
中國人民財產保險股份有限公司
科技運營部 / 軟件開發中心總經理 劉蒼牧
人保財險網絡安全防護體系構建
長期以來,人保財險持續構建縱深網絡安全防護體系。按照“以點及線,以線帶面,以典型應用引領全面推廣”的思路,通過典型實踐效果推動全面落地,實現層層設防的防護體系建設,有效形成了基于縱深防御理念的基礎環境安全防護、終端安全防護、應用安全防護三方面的安全防護體系。
1.基礎環境安全防護體系。公司的基礎環境安全防護能力在發現和阻斷網絡攻擊的過程中起到至關重要的作用。通過合理部署安全設備、科學制定安全規則可及時發現并處置安全風險。
一是嚴防邊界,難于突破。基于御敵于“國門”之外、避免本土作戰的策略,在網絡邊界部署了異構安全監控和防護設備,包括網絡攻擊阻斷系統、Web應用防火墻(WAF)、入侵檢測系統(IDS)、防病毒網關、新一代威脅感知系統等。二是嚴守節點,阻斷異常。對于DMZ區、骨干網、核心網、辦公網等重要網絡節點,根據實際業務需求嚴格收斂系統跨安全區域訪問關系,控制路由可達路徑,及時清理過期訪問策略,實現網絡通信可信可控。在骨干網部署IDS、新一代威脅感知系統、全流量分析等檢測設備,及時發現潛在的安全風險。三是嚴控核心,守住底線。業務核心區計算環境啟用全面的安全管控機制,部署日志審計、堡壘主機、主機防護系統、主機防火墻、防病毒系統等,及時發現、主動防御內網核心主機安全問題隱患;在核心區接入交換機部署IDS、新一代威脅感知系統進行監控審計。
2.終端安全防護體系。近年來,網絡釣魚、社工攻擊,成為突破網絡邊界的熱門手段,特別是在今年的攻防演習中被頻繁利用。終端作為內外網之間的接入通道,由于分布較廣、數量龐大、環境復雜、用戶流動等特點,極易成為外部攻擊者進入內網進行橫向滲透的跳板。為防范外部攻擊者通過終端進入公司內部網絡,人保財險基于縱深防御的原則構建終端安全管控與辦公環境安全體系,發揮了重要作用。
一是防范被入侵。在總、分公司范圍內全面推廣桌面管理系統和防病毒系統,全轄終端安裝全覆蓋;通過下發準入控制、賬號登錄權限、強制安全軟件安裝、系統補丁推送、軟件黑白名單、禁止非法外聯等策略對終端實行了較強的安全管控措施。二是防止被控制。部署上網行為管理系統,當終端感染木馬、蠕蟲、病毒時,可以阻止惡意程序非法外聯,終端無法被控制。三是防止被利用。嚴格控制辦公終端訪問業務應用,啟用生產環境終端準入控制、賬號4A授權,嚴格控制終端可達訪問范圍。
3.應用安全防護體系。相對來說,基礎環境安全防護在產品技術與防護實踐方面已經較為成熟,當前應用系統實質上成為了網絡空間安全的主戰場。數字化轉型下的應用開放互聯生態和API經濟模式使得應用安全更是成為網絡安全威脅的主要目標。
人保財險結合應用系統全生命周期特點,強調安全工作前置,在需求分析、系統設計、研發、測試、上線等各個環節落實安全管控措施,構建縱深防御的應用安全體系。一是應用系統架構需遵從統一的基礎環境架構部署要求。互聯網或者第三方專線API接口應用在網絡DMZ區域或外聯區域內部署前端系統,各前臺應用的前端之間從網絡層進行邏輯隔離,分離應用后臺管理功能界面與前端用戶訪問界面,從架構層面有效屏蔽非法請求。二是應用系統部署需符合基礎環境安全配置要求。互聯網應用系統需要添加Web應用防火墻防護,主機需安裝網頁防篡改防護軟件、主機安全防護軟件、防病毒軟件等,形成實時阻斷、監控告警、流量分析等多層面多維度的應用安全防護機制。三是強化應用安全訪問控制。通過建設統一身份認證平臺實現統一的認證和鑒權。增強移動APP的安全加固和防護。嚴格管控應用系統之間的互訪互聯,避免非業務需求地不同系統之間的訪問。四是加強應用組件安全管理。建設內部應用組件庫,建立開源組件評估及準入機制,自研通用安全組件,降低組件引入風險。五是加強應用日志安全分析。通過建設日志集中收集平臺,對應用系統的日志進行集中分析和審計,及時甄別和處置系統存在的異常行為。
構建以風險為驅動,覆蓋IT資產全生命周期的網絡安全運營體系
安全風險是動態變化的,特別是在數字化轉型背景下,新系統快速迭代上線、業務應用間訪問隨市場需求頻繁調整,這對動態安全保障機制的要求更加迫切。人保財險持續構建和完善以風險為驅動,覆蓋IT資產全生命周期的網絡安全運營體系,將安全運營工作常態化、體系化、實戰化。通過安全監控、安全評估、安全處置和安全管控四個環節對風險實行閉環管理,做好資產管理、漏洞管理、威脅管理工作,為安全運營工作打下堅實基礎。
安全運營體系的建設是一個不斷演進的過程,和安全防護體系建設協同促進、相輔相成。構建以風險為驅動的網絡安全運營體系,一是加強對資產、漏洞、威脅的管理,建立全面的資產庫、漏洞庫和風險庫,通過對安全基礎數據的分析來改進和完善安全運營工作的具體舉措。二是制定了7×24小時的網絡安全監控規則,落實常態化的網絡安全監控。利用各類網絡安全監控和防護設備,實時對告警日志進行監控分析,發現和處置各類疑似攻擊的事件。三是根據資產重要性和漏洞的危害程度,定期開展包括漏洞掃描、基線檢查、滲透測試在內的安全評估工作。四是制定安全事件處置流程,實現安全、運維和研發崗位人員的緊密協同和聯動,并通過安全考核機制來促進安全風險的整改工作。五是以總公司安全運營團隊為核心,各分公司本地力量為支撐,構建總分一體化運營體系,形成上下一盤棋協同防守的網絡安全運營能力。
搭建網絡安全態勢感知平臺,提高安全運營智能化水平
為充分利用安全資源,整合現有的安全風險發現手段,實現全天候全方位地感知網絡安全態勢,人保財險已啟動網絡安全態勢感知平臺建設,該平臺將作為公司的安全管理中心,實現集中的安全管理、安全監控、安全審計和安全運營。態勢感知平臺可對各安全設備的告警數據和審計日志進行收集匯總和集中分析,并對安全策略、安全基線、補丁升級等安全事項集中進行管理,滿足等保2.0中關于等保三級系統的合規要求。同時,依托于其自動化和智能化的安全風險發現和處置功能,可提高安全運營工作的效率,形成智能化的安全運營中心。
網絡安全態勢感知平臺可充分利用人保財險在網絡安全防護體系和網絡安全運營體系兩方面的建設成果,實現兩者的有機結合。一是對各類安全設備產生的海量告警日志進行分析和研判,呈現多維化的網絡安全態勢,提高安全監控的效率,降低安全運營的人力成本。二是通過層層部署的流量探針,利用流量分析技術,可對安全事件進行追蹤溯源和調查取證,還原從互聯網邊界、關鍵網絡節點到核心業務主機的攻擊鏈路,展現真實的攻擊場景。三是通過安全自動化響應編排,自動將安全事件進行關聯分析和聯動處置,強化公司安全風險的閉環管理。四是實現與外部監管機構和威脅情報平臺的對接,及時獲取最新網絡安全情報信息,增強網絡安全風險預警和應急處置能力,提高網絡安全協同保障能力。
當前,人保財險正處在數字化轉型的關鍵時期。人保財險將持續強化構建縱深防御的網絡安全防護體系,推進網絡安全態勢感知平臺建設,大力提升網絡安全運營的自動化和智能化水平,保障公司和業務系統安全穩定運行,賦能公司業務高質量發展與降本增效,為推進建設世界一流財險公司助力護航。
