一、背景
随着全球信息技术的快速发展与金融行业IT信息化的不断深入,信息科技在金融系统中的应用越来越广,金融机构对信息系统的依赖程度也越来越大。保险行业也不例外,对于信息技术的依赖越来越高。特别是在业务创新、业务运营效率精益化等方面,更是离不开信息系统的支持和保障。
与此同时,金融机构遭受内部攻击、违规操作以及信息泄露等安全威胁也在不断增加。根据美国FBI的相关调查,75%以上的信息安全案件,都是与内部人员有关。在国内的各种信息安全案件中,内部员工作案或者内外勾结作案也占了绝大多数。面对金融体系改革与WTO国际结轨的双重压力,金融机构抵御来自内部的攻击与违规操作风险的能力还有待提高。
为此国家相关主管部门也在积极促进信息科技审计工作的推进,意在促进国内金融体系建立起信息安全技术保障机制,以防止金融系统风险的发生。2006年国务院国有资产监督管理委员会向各中央企业发布了《中央企业全面风险管理指引》,要求中央企业加强内控,降低企业风险,并在指引中对内控审计和IT技术建设风险管理信息系统均提出了明确的要求。进而,银监会对国内商业银行也提出了强化内部控制与审计的要求(银监会63号文和313号文),要求不仅仅要加强安全建设,同时也要对IT系统的相关操作进行全面采集和审计。保监会对于国内保险公司有关信息安全的合规性要求也纷纷出台。这些政策、法规和要求的相继出台为国内保险公司和其他金融机构实施信息安全IT综合审计工作提供了指导与要求。
二、趋势和需求
在当前整个信息安全领域中,占有市场份额比较大的,被企业级客户采购和采用比较多的还都是边界安全产品。比如:防火墙、部署在边界的入侵检测系统、防病毒网关、多功能安全网关UTM、入侵防御系统、防垃圾邮件网关、防拒绝服务攻击网关等等;即使不是部署在边界的安全设备,也是和边界有密切关系的域安全设备和链路安全设备,比如:内网安全产品、客户端安全产品、加密机、VPN等等。或者说,边界安全实际上是网络系统层面安全的一个代名词。
在安全问题日益复杂化、综合化的今天,在信息安全工作日益和业务安全密切结合的今天,仅仅在系统和网络层面讨论安全问题已经不足够了。就像针对现在的合规性和审计的安全要求,仅仅从网络和系统安全上面来提出安全解决方案已经不能满足要求了。
从边界安全的角度来看,整个安全工作都是基于IP这个层面上考虑的。面向业务安全和行为安全,我们必须上升到ID的层面,也就是“人的身份”这个层面。如下图,也就是从一个人在一台设备上登录“进入”系统开始,这个ID就和某个IP产生了对应,其所在终端的日志信息、所发出的网络数据包、在访问对象服务器中所记载的访问日志等等,都可以成为和这个确定的人的ID(身份)相对应的安全控制信息、安全稽核信息。从这个角度进行安全管理就可以较好地把握一个人的行为和业务活动。
从技术实现上看,以行为的角度看,其实主要的安全措施就是帐号管理、认证管理、授权管理和审计等四个方面。前三个就是传统的3A系统,最后一个就是综合审计。这里主要阐述后者综合审计的体系和方案。
三、IT综合审计解决方案
保险公司的信息系统是技术密集、资金密集、大型复杂、网络化的人机系统。整个金融行业进行信息化建设起步较早,但传统的IT审计方式主要是利用系统的日志功能,将分散在各地、不同种类的系统设备日志分别进行管理,各系统单独存储,形成信息孤岛,导致日志信息分散,互不相通,安全策略难以保持一致。此外,目前常见的安全控制措施,如防火墙、入侵检测等,都是在网络或主机安全层面来进行防护,对于业务层的安全,很少涉及。随着攻击手段的不断发展,攻击行为及违规行为日益向纵深化、混合化方向发展,利用现有系统日志的方式已经不能满足对网络的操作行为、数据库访问与操作行为、客户端操作行为等进行很好的审计监控并进行事后回放取证。随着攻击与违规操作行为不断朝复杂化、隐蔽化、多样化方向发展,也需要对操作行为之间进行关联分析,因此需要一种能够进行综合数据采集、分析、审计与监控的技术手段,来实现对网络用户的日常行为进行监管。
启明星辰从金融行业的实际安全需求出发,在全面体现等级保护的等级化标准思想的基础上,充分吸收近年来安全领域出现的信息系统安全保障理论模型和技术框架(如IATF等)、信息安全管理标准ISO27000系列标准,全面参考《银行业金融机构信息系统风险管理指引》、《商业银行内部控制指引 》、《商业银行合规风险管理指引》、《中国银行业监督委员会办公厅文件银监办通313号》、《保险公司内部审计指引(试行)》、《保险公司风险管理指引(试行)》、《 2002 Sarbanes-Oxley Act (bilingual) 》、《 Auditing Standard No. 2》等相关指引、法规要求,结合启明星辰多年的攻击防护经验与实践,为保险系统提供IT综合审计与监控解决方案。
四、综合审计解决方案的价值和特点
启明星辰保险行业IT综合审计与监控解决方案的用户价值主要体现如下图所示:
IT综合审计与监控解决方案通过事前、事中、事后的合规业务过程,对网络行为进行审计与监控,以促进内网的和谐,最终达到内网的安全与业务高效。
整个方案的特点可以总结为:
采用的技术具有前瞻性,能够满足同类信息系统跨平台的移植和推广要求。同时,遵循国家有关计算机信息系统安全标准和规定。
从具体的应用角度出发,满足业务和管理的需要,符合金融行业业务模式。一方面,安全系统本身易于集中管理、可维护的,另一方面,安全系统对其管理对象的管理是方便的、简单的,同时,安全措施的采用不会影响原有系统的正常运行。
平台的设计已考虑到网络系统及各种安全技术的发展状况和趋势,确保平台在设计、实施、运行、管理、维护等各个阶段既能够满足现在已部署的安全产品的集中管理,也能够满足未来将要部署的各类安全产品的集中管理并进行扩展。此外,系统平台设计采取成熟的技术和模块化设计,可根据实际需要对应用模块进行裁减。
设计平台既要实现平台自身各个子系统互联、互通、互操作性,又要通过监控平台和采集引擎的方式与所管理的各个系统(网络安全设备、主机、网络设备)有机地通过该平台实现互联、互通、互操作。
五、总结
总之,在从边界安全到行为安全的这个指导思想下;在信息安全与业务安全充分融合的大趋势下,很好地在加强和保证边界安全体系的建设和有效运行的前提下,适时地推进在行为安全上,特别是以综合审计系统为主要代表的业务层面安全措施中,我国的保险信息系统安全工作,一定能够迈上一个新的台阶。