中国人保财险直面网络安全新形势、新挑战,围绕满足监管合规外在要求和公司高质量发展转型的内在需要,践行“一个中心、三重防护”的理念,致力于持续完善公司网络安全体系。从基础环境安全、终端安全、应用安全等层面落实边界防护、通信安全和计算环境安全的纵深防御措施,不断优化丰富安全风险监测和管控的手段,加强动态风险管理,构建以风险为驱动的网络安全运营体系,搭建网络安全态势感知平台,提高网络安全运营的自动化和智能化水平,逐步形成网络安全运营中心。人保财险两次参加攻防演习均取得了不错的战绩,有力地防范发生网络安全重大事件。

中国人民财产保险股份有限公司

科技运营部 / 软件开发中心总经理 刘苍牧

人保财险网络安全防护体系构建

长期以来,人保财险持续构建纵深网络安全防护体系。按照“以点及线,以线带面,以典型应用引领全面推广”的思路,通过典型实践效果推动全面落地,实现层层设防的防护体系建设,有效形成了基于纵深防御理念的基础环境安全防护、终端安全防护、应用安全防护三方面的安全防护体系。

1.基础环境安全防护体系。公司的基础环境安全防护能力在发现和阻断网络攻击的过程中起到至关重要的作用。通过合理部署安全设备、科学制定安全规则可及时发现并处置安全风险。

一是严防边界,难于突破。基于御敌于“国门”之外、避免本土作战的策略,在网络边界部署了异构安全监控和防护设备,包括网络攻击阻断系统、Web应用防火墙(WAF)、入侵检测系统(IDS)、防病毒网关、新一代威胁感知系统等。二是严守节点,阻断异常。对于DMZ区、骨干网、核心网、办公网等重要网络节点,根据实际业务需求严格收敛系统跨安全区域访问关系,控制路由可达路径,及时清理过期访问策略,实现网络通信可信可控。在骨干网部署IDS、新一代威胁感知系统、全流量分析等检测设备,及时发现潜在的安全风险。三是严控核心,守住底线。业务核心区计算环境启用全面的安全管控机制,部署日志审计、堡垒主机、主机防护系统、主机防火墙、防病毒系统等,及时发现、主动防御内网核心主机安全问题隐患;在核心区接入交换机部署IDS、新一代威胁感知系统进行监控审计。

2.终端安全防护体系。近年来,网络钓鱼、社工攻击,成为突破网络边界的热门手段,特别是在今年的攻防演习中被频繁利用。终端作为内外网之间的接入通道,由于分布较广、数量庞大、环境复杂、用户流动等特点,极易成为外部攻击者进入内网进行横向渗透的跳板。为防范外部攻击者通过终端进入公司内部网络,人保财险基于纵深防御的原则构建终端安全管控与办公环境安全体系,发挥了重要作用。

一是防范被入侵。在总、分公司范围内全面推广桌面管理系统和防病毒系统,全辖终端安装全覆盖;通过下发准入控制、账号登录权限、强制安全软件安装、系统补丁推送、软件黑白名单、禁止非法外联等策略对终端实行了较强的安全管控措施。二是防止被控制。部署上网行为管理系统,当终端感染木马、蠕虫、病毒时,可以阻止恶意程序非法外联,终端无法被控制。三是防止被利用。严格控制办公终端访问业务应用,启用生产环境终端准入控制、账号4A授权,严格控制终端可达访问范围。

3.应用安全防护体系。相对来说,基础环境安全防护在产品技术与防护实践方面已经较为成熟,当前应用系统实质上成为了网络空间安全的主战场。数字化转型下的应用开放互联生态和API经济模式使得应用安全更是成为网络安全威胁的主要目标。

人保财险结合应用系统全生命周期特点,强调安全工作前置,在需求分析、系统设计、研发、测试、上线等各个环节落实安全管控措施,构建纵深防御的应用安全体系。一是应用系统架构需遵从统一的基础环境架构部署要求。互联网或者第三方专线API接口应用在网络DMZ区域或外联区域内部署前端系统,各前台应用的前端之间从网络层进行逻辑隔离,分离应用后台管理功能界面与前端用户访问界面,从架构层面有效屏蔽非法请求。二是应用系统部署需符合基础环境安全配置要求。互联网应用系统需要添加Web应用防火墙防护,主机需安装网页防篡改防护软件、主机安全防护软件、防病毒软件等,形成实时阻断、监控告警、流量分析等多层面多维度的应用安全防护机制。三是强化应用安全访问控制。通过建设统一身份认证平台实现统一的认证和鉴权。增强移动APP的安全加固和防护。严格管控应用系统之间的互访互联,避免非业务需求地不同系统之间的访问。四是加强应用组件安全管理。建设内部应用组件库,建立开源组件评估及准入机制,自研通用安全组件,降低组件引入风险。五是加强应用日志安全分析。通过建设日志集中收集平台,对应用系统的日志进行集中分析和审计,及时甄别和处置系统存在的异常行为。

构建以风险为驱动,覆盖IT资产全生命周期的网络安全运营体系

安全风险是动态变化的,特别是在数字化转型背景下,新系统快速迭代上线、业务应用间访问随市场需求频繁调整,这对动态安全保障机制的要求更加迫切。人保财险持续构建和完善以风险为驱动,覆盖IT资产全生命周期的网络安全运营体系,将安全运营工作常态化、体系化、实战化。通过安全监控、安全评估、安全处置和安全管控四个环节对风险实行闭环管理,做好资产管理、漏洞管理、威胁管理工作,为安全运营工作打下坚实基础。

安全运营体系的建设是一个不断演进的过程,和安全防护体系建设协同促进、相辅相成。构建以风险为驱动的网络安全运营体系,一是加强对资产、漏洞、威胁的管理,建立全面的资产库、漏洞库和风险库,通过对安全基础数据的分析来改进和完善安全运营工作的具体举措。二是制定了7×24小时的网络安全监控规则,落实常态化的网络安全监控。利用各类网络安全监控和防护设备,实时对告警日志进行监控分析,发现和处置各类疑似攻击的事件。三是根据资产重要性和漏洞的危害程度,定期开展包括漏洞扫描、基线检查、渗透测试在内的安全评估工作。四是制定安全事件处置流程,实现安全、运维和研发岗位人员的紧密协同和联动,并通过安全考核机制来促进安全风险的整改工作。五是以总公司安全运营团队为核心,各分公司本地力量为支撑,构建总分一体化运营体系,形成上下一盘棋协同防守的网络安全运营能力。

搭建网络安全态势感知平台,提高安全运营智能化水平

为充分利用安全资源,整合现有的安全风险发现手段,实现全天候全方位地感知网络安全态势,人保财险已启动网络安全态势感知平台建设,该平台将作为公司的安全管理中心,实现集中的安全管理、安全监控、安全审计和安全运营。态势感知平台可对各安全设备的告警数据和审计日志进行收集汇总和集中分析,并对安全策略、安全基线、补丁升级等安全事项集中进行管理,满足等保2.0中关于等保三级系统的合规要求。同时,依托于其自动化和智能化的安全风险发现和处置功能,可提高安全运营工作的效率,形成智能化的安全运营中心。

网络安全态势感知平台可充分利用人保财险在网络安全防护体系和网络安全运营体系两方面的建设成果,实现两者的有机结合。一是对各类安全设备产生的海量告警日志进行分析和研判,呈现多维化的网络安全态势,提高安全监控的效率,降低安全运营的人力成本。二是通过层层部署的流量探针,利用流量分析技术,可对安全事件进行追踪溯源和调查取证,还原从互联网边界、关键网络节点到核心业务主机的攻击链路,展现真实的攻击场景。三是通过安全自动化响应编排,自动将安全事件进行关联分析和联动处置,强化公司安全风险的闭环管理。四是实现与外部监管机构和威胁情报平台的对接,及时获取最新网络安全情报信息,增强网络安全风险预警和应急处置能力,提高网络安全协同保障能力。

当前,人保财险正处在数字化转型的关键时期。人保财险将持续强化构建纵深防御的网络安全防护体系,推进网络安全态势感知平台建设,大力提升网络安全运营的自动化和智能化水平,保障公司和业务系统安全稳定运行,赋能公司业务高质量发展与降本增效,为推进建设世界一流财险公司助力护航。

声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。