“一双鹰眼”让企业安全隐患化为乌有

然而这并非易事，由于安全架构正变得更加复杂，如果只是单个系统受到感染，那么管理员跟踪追查其根本原因将是一种“奢侈“的举措，几乎没有哪个企业能够承担或者愿意承担这样的”奢侈“举措。然而，受到感染或遭到破坏的系统可能只是冰山一角，它意味着您的网络基础设施即将触礁。

外患不止，内忧再起。在面临更多来自企业外部的攻击的同时，来自企业内部的威胁也日益增加，企业内外网边界更模糊。一方面是内部人员的操作失误带来的信息安全威胁。另一方面是内部人员操作权限控制不当造成的访问控制边界违规、账号滥用等，这些都是潜在的威胁。

因此，如何全面、及时地发现、识别、分析、处理信息安全事件,通过大量 采集和分析不同的网络数据,并进行联动性比较分析，并且准确的发现内部人员的不合规操作，分析潜在的信息安全风险，是企业信息安全管理的一大挑战。可以说，企业需要一双可观全局的“鹰眼”。

“鹰眼”系统，及时发现潜在问题

在第二届中国信息安全用户大会上，代表 太平洋保险选送的“鹰眼”大数据信息安全管控平台——“保险行业风险及威胁的闭环管理 系统”荣获了“第二届智慧城市信息安全保障优秀案例”奖，这引起了记者的关注。在后续的采访中，太平洋保险（集团）股份有限公司信息安全与内控管理安全专家张军介绍道, 借助 Intel Security 提供的 SIEM 解决方案，太平洋保险的“鹰眼系统”主要包括日志收集平台、安全事件集中监控平台、安全事件关联分析平台、 权限管理平台等多个平台的搭建来联合实施。

该平台的实施，主要通过对外部攻击、内部合规等事件的集中监控，利用关联、基线等分析技术，形成安全威胁的主动发现、安全风险的及时感知与精准定位，实现信息安全事件的可知可防可控。另外，该平台以安全事件的集中监控与关联分析，解决了碎片化监管被动、低效等问题，提升安全事件发现与防范的主动性与智能性。

如今,太平洋保险公司 IT 人员可以很轻松借助安全威胁模型,例如访问控制边界违规、 账号滥用、僵尸网络、暴力破解入侵及漏洞攻击检测等等,把孤立、海量、多样的事件信息进行关联自动化分析,可及时有效地发现潜在的问题。

源自Intel Security的力量

“公司之前曾采用过别的安全产品, 希望通过对于不同管理信息的分析,进行安全风险的预判和重构，但该安全产品的实际表现却差强人意,而且无法有效支持国产设备,这让太平洋保险 IT 人员们有些失望,而且增加了公司面临的安全风险。” 信息安全与内控管理部总经理李丽红这样谈到时，记者并没有感到意外，因为，该系统仅是日志源就已经达到了近 6000 个,收集范围覆盖太平洋保险集团某数据中心 6 大类 32 种设备类型,每天收集的日志数量均在 15 亿条左右。这样庞大的数据量，传统的SIEM产品是很难完成的。

因为传统SIEM产品构建于数据库和架构基础之上，并且这些数据库和架构在处理大量事件、历史记录数据和关系数据扩展的能力方面存在固有的局限性。另外，传统SIEM产品的分析能力也有所欠缺。许多企业不得不关闭重要但非主要的分析功能，然后再耗费数小时的等待才能生成一份报告，这让企业很难接受。

而从太平洋保险“鹰眼系统”上线后的表现来看，不得不承认Intel Security SIEM解决方案的能力所在。张军介绍道，“目前,我们利用该平台完成 58 条定制规则开发、18 张合规报表的开发调优,将孤立、海量、多样的事件信息进行关联自动化分析,从每天 10 多 亿的安全日志中分析产生 5000 次左右威胁告”。 

值得一提的是,SIEM还 预先内置了 190 种左右的关联规则在硬件里面,使太平洋保险的 IT 人员可以轻松操作和使用,这是业内产品中独一无二的。另外,和Intel Security的其他产品一样,SIEM 同样可与ePO 集成,实现专业而统一的管理。当然，Intel Security SIEM也可以把纯IT的语言，翻译成业务的语言，这也是SIEM的另一个强势所在。

正是借助 Intel Security 的 SIEM 强大的安全风险分析能力,太平洋保险拥有了“一双鹰眼”，轻松地把各种看似没有关联的各种事件源数据,进行海量数据的集中监控、智能 分析,并能敏锐地感知到可能会发生的安全风险,让攻击者无处可逃，让安全隐患化为乌有。