技术应用丨三位一体，纵深联防

平安产险多视角、多方面全盘规划，打造公司全方位的网络安全坚固防御屏障。

1.漏洞扫描：安全防线的第一道关卡

平安产险通过自研的安全开发辅助工具，将安全检查左移至编码阶段，自动进行安全检测、提示安全漏洞，并提供一键修复功能，有效降低后续静态代码扫描检出的漏洞数量；并在应用发版前采用静态扫描、动态扫描和IAST扫描的组合方式，全方位的进行安全测试与代码漏洞审核，提升系统上线的安全性；同时建立安全基线定期跟进机制，每月开展安全基线及弱口令风险扫描，每季度组织全量漏洞扫描，对于扫描发现的问题组织整改，形成一个全闭环的管理流程。

2.入侵检测：围绕四个方面构筑防护闭环

传统的网络安全设备如防火墙、入侵检测系统（IDS）和入侵防御系统（IPS）等在一些网络攻击嗅探中存在局限性。平安产险主动求新、求变，从预警、检测、防护及响应四个方面构筑入侵检测防护闭环。

在预警方面，平安产险全面覆盖主机入侵监测与响应系统（HIDS），从HIDS资产接口获取主机是否存在低版本的组件或其他可被利用的漏洞等。结合漏洞扫描发现漏洞隐患，检视漏洞分布。并不定期聘请第三方进行安全扫描和安全测试，扩大覆盖面。

在检测方面，首先借助威胁检测平台对网络流量和系统日志进行威胁情报分析，进行全面的实时性的威胁检测；其次通过威胁情报平台的多源情报聚合、可视化关联分析等关键威胁情报运营能力，建立自己的情报运营体系。最后建立周期任务，通过行为分析和机器学习技术，持续补充威胁情报平台的监控规则，实现监控规则的自动优化。

在防护方面，通过在NGFW上开启沉洞防护功能和在服务器端添加常见漏洞解析，实现网络安全防护；在办公终端、服务器上进行了严格的防火墙措施和网络隔离手段，限制网络行为，限制出网，以此进一步限制漏洞利用；最后在服务器实施严格的访问控制，进行最小化原则管理，仅允许授权用户和设备访问，避免被恶意利用，形成纵深防御。

在响应方面，将威胁情报平台与SOC平台进行对接，当威胁情报平台检测到攻击时，SOC平台立即进行告警推送。同时结合SOAR对告警信息进行富化，采取相应的响应手段，形成闭环。当研判已出现资产失陷时，通过SOAR工具联动防火墙策略等方式，实现服务器、终端办公电脑一键隔离。在第一时间隔离失陷设备，控制影响，抑制危害。

3.态势感知：全面掌控安全态势

态势感知平台是主动防御的重要组成部分，通过采集和分析多种安全设备的日志数据，实现对网络安全形势的全面监控。平安产险的态势感知平台底层依赖存储流量传感器和日志采集器提交的流量日志、设备日志和系统日志，汇聚各类终端安全、网络安全、主机安全、应用安全日志。分析平台底层的数据检索模块采用了分布式计算和搜索引擎技术，以复杂事件处理（CEP）引擎和复杂关联分析能力为辅，对所有统一格式的日志数据进行处理，实现TB级数据分析能力。建立起一套完善的威胁检测、处置与响应流程的体系，从而实现对资产、漏洞、攻击等基础属性和告警、风险等安全属性的全生命周期管理。

4.堡垒机：基于攻击者视角，进行多角度防护

堡垒机是企业内网最核心、最重要、最薄弱的环节，也是攻击者进入内网重点攻击对象。针对多样化的攻击方式和面临的防护痛点，平安产险采取多层次多角度的防护策略，根据攻击者视角下的攻击方式，综合采用对应的防护措施，形成堡垒机纵深防御体系，从而确保全方位安全防护堡垒机系统。一是通过统一登录认证体系，在开启动态令牌身份认证的同时，实施密码长度、组合、定期修改等强密码策略，避免出现弱密码问题，并进行加密保存，保证本人使用；设置限制登录尝试次数的账号锁定机制，杜绝暴力破解。二是对通信流量进行加密，防止会话信息被窃取或篡改；实行会话超时、强制重新认证等会话管理机制，防止会话长时间保持开启；同时，对会话活动实时监控，检测异常行为和会话劫持的迹象；三是全面部署主机入侵检测系统（HIDS），安装防病毒等软件。对安全漏洞坚持“第一时间发现，第一时间处理”原则。

5.蜜罐：主动防御、威胁诱捕

平安产险在服务器上部署主机入侵检测系统HIDS的同时部署并开启低交互蜜罐，监听攻击者对这些端口的攻击行为。同时联动APT设备触发的告警信息、HIDS的登录日志、进程外联日志等，通过安全编排与自动化平台（SOAR）自动化对蜜罐报警信息进行数据关联分析并输出结果同步SOC告警，使安全运营人员可快速研判并响应内网攻击告警。

平安产险通过建立统一安全运营中心，实现对分散于各个层面的安全能力的统一调度，确保各个安全控制在统一策略的指导下发挥作用，提升整体安全防护水平。通过一系列安全管理体系及安全技能培训认证体系建设，自上而下落实管理责任，强化安全防御技能。使得安全队伍整体具备丰富的网络安全知识和实战经验，能够及时响应安全事件，有效处置安全威胁，并且注重持续学习和技能提升，保持对最新安全技术和威胁趋势的敏锐感知。

1.统一建设网络安全和数据安全技术保障体系

平安产险制定涵盖网络、数据库、操作系统等技术保障体系，制定37份基线明确基础设施安全、物理安全、网络架构与分区管理、应用安全、主机安全、数据安全、终端及介质安全等要求。各分公司参照基线要求落实。所有系统均由总部科技中心统一建设、统一管理，禁止分公司自建系统，并实现办公电脑统一标准化安装。建立覆盖所有分支机构的一体化监控的安全运营机制，与分公司信息安全小组间保持7×24小时沟通，实现安全事件的监控、研判、抑制、根除的闭环处理。

2.落实各层级安全管理责任

平安产险设立管理委员会统筹公司信息科技相关工作，下设信息安全组负责公司总部及分公司的网络和数据安全工作，并定期向公司管理层汇报网络和数据安全工作。分公司下设信息安全小组负责牵头落实总部安全管理，统筹、协调开展分公司的网络安全、数据安全和个人信息保护工作，并落实整改。每年年底分公司向总部汇报网络和数据安全工作。

平安产险同时将分公司网络和数据安全工作情况纳入分公司考核体系中。考核内容包含安全培训、安全事件、安全演练、专项整治四大方面。每月根据分公司完成情况进行考核，并予以结果公示。

3.加强安全人员能力培训

平安产险根据不同人员岗位能力要求，开展安全管理、安全开发、终端安全、攻防演练等安全课程培训和认证。包括终端安全岗、安全审计岗、开发安全岗、渗透测试岗、应急响应岗等实施专业技术领域的安全课程与认证考试。同时每年结合监管重点工作、行业安全事件、公司管理要求等开展风险提示、安全沙龙。每年举办CTF网络安全夺旗赛，以赛促进安全队伍攻防能力提升。

在当今复杂多变的网络环境中，平安产险将主动防御技术化作利剑，提前识别、有效阻断潜在的威胁，降低安全事件发生的概率；将安全人员能力化作坚盾，通过专业知识和敏锐的洞察力，灵活应对各类安全事件，守护系统的每一寸阵地；将安全管理体系化作钢铠，为整个体系提供全面保护，确保每个细节无懈可击。三者相辅相成，共同构建了一个立体化、多层次、全方位的“三位一体”安全防护体系。不仅提升公司应对网络安全挑战的能力，更为公司的数字资产筑起了一道坚不可摧的安全屏障。

（此文刊发于《金融电子化》2024年12月上半月刊）