2017年8月18日,CISO发展中心对泰康集团数据信息中心助理总经理兼基础设施部总经理杜宇进行了一次微信群访谈。泰康集团是一家涵盖保险、资管、医养三大核心业务的大型保险金融服务团,近几年,泰康人寿经受了保险市场和资本市场的冲击和洗礼,紧紧抓住发展机遇,实现业务高速发展;同时在网络安全防护方面取得了显著的成果。以下系CISO发展中心对群访内容的整理:
Q1:目前,泰康集团在网络安全、信息安全方面有哪些部署和最新实践呢?
杜宇:泰康作为一家以人为本、稳健经营的保险服务集团,对网络与信息安全工作有着高度的重视。信息安全体系主要贯穿于信息安全的管理、技术和运维三个方面。安全组织覆盖全集团各层级机构和业务部门,董事长亲自挂帅,由集团信息化工作委员会统筹信息安全工作,负责安全策略的制定,并由专职信息安全部门宣贯执行,且各机构一把手作为第一责任人,各司其职,实现了良好的运转。目前信息安全领域重点有三项:移动互联网应用安全防护、云安全体系建设、全集团安全管理体系推广和完善。
Q2:泰康集团现有业务使用的是自建云还是公有云?在选择云厂商方面都有哪些考虑的重点要素呢?
杜宇:简单说一下泰康的业务,保险、资管和医养是泰康集团的核心业务领域,我们正在践行四位一体大健康战略。泰康云作为集团战略发展的核心基础平台是自建的私有云,现在向集团内部用户提供IaaS和PaaS服务。基于泰康云,我们现在也在发展SaaS对外提供服务,例如泰医云、长护云,但是体量相对较小,尚处于初期阶段。同时泰康也使用了少量的公有云IaaS服务,作为私有云的补充,以满足互联网化的营销节奏需求。
在公有云服务商方面的选择层面,我们优先考虑的是服务的稳定性和安全性、战略契合度以及服务满意度,其次才是成本。
Q3:关于云的话题,泰康在云安全方面的一些考虑,对于传统企业有哪些建议,有什么是值得其他企业借鉴的地方呢?
杜宇:云计算安全目前能够借鉴的标准不多,这一领域中CSA-云安全联盟有较为成熟的云安全控制体系,还有美国、欧盟的部分标准可以参考。值得欣喜的一点是,中国自主的云等保2.0马上就要发布,我们也与咨询公司、测评机构进行了探讨,会将这方面的要求都纳入到泰康云的建设标准中。对于传统企业,我公司内部也有一些研究和讨论,例如泰康云数据中心公众号上面,有一篇题为《保险行业在云计算方面应该进行的考虑》的文章,当然这是一家之言,仅供大家参考。
Q4:针对金融行业,国家也有明确的等级保护要求,泰康在等保方面目前定级几级呢?在实施等保方面,泰康是否遇到过阻力或困难?对其他即将实施等保的企业有什么好的建议吗?
杜宇:泰康现在核心系统定级为等级保护三级。泰康在实施等保方面,得益于管理层的重视,实施上并没有太大的阻力。困难主要在于现有信息系统在与等级保护三级系统对标时,不能100%满足要求。这个差距在改造上面,由于是核心系统,牵一发动全身,因此会比较谨慎。对于其他即将实施等保的企业,我们的建议是从需求阶段就开始考虑等级保护的划分和需求,将等保要求落实到开发过程中,这样比上线后再进行改造,时间和成本要低的多。当然实施等保,特别是每年要进行测评的三级系统,投入产出比也是需要考虑的。
Q5:目前,泰康在数据防泄漏(DLP)这方面是如何防范的呢?都有哪些措施能用来防止信息泄露的呢?
杜宇:数据防泄漏这部分是泰康作为战略级的工作,一直在持续的进行过程中。除了管理层面的数据分类分级、明确责任人、做好数据安全管理体系,泰康还从网络安全隔离、堡垒机的引入、终端安全管控、应用系统改造、文档加密、互联网安全控制、数据防泄漏系统实施,目前这方面的工作仍在进行中。
Q6:您觉得作为企业安全的负责人,日常工作中在开展安全工作时面临的最大挑战或阻力是什么?
杜宇:挑战的第一个方面是泰康快速的业务发展,业态也从保险、资管拓展到医养领域,各个行业有不同的监管要求,面临不同安全威胁,安全团队需要快速转变适应这种挑战。另一方面的挑战是目前复杂的网络安全形势,特别是国外军火库级别的攻击工具泄露,给企业的安全带来了极大的挑战。其中,WannaCry病毒和它的变种Petya给企业带来了空前之大的威胁。行业安全专业人才难得,泰康求贤若渴,希望更多的专业人才选择泰康,共创未来。
以下是互动环节的问题:
Q7:等保可以分领域拿级别吗?等保是针对信息系统的吗?
杜宇:按照我们的理解,等保遵循的是自我定级,专家评审和机构测评,公安机关备案的工作,保险业是强监管单位,监管机构对等保工作有明确的要求的。
Q8:泰康有推行ISO27001信息安全管理吗?
杜宇:泰康在2011年开始系统的推进ISO27001建设,并于12年通过的评审。
Q9:在设备选型方面,泰康以国内的为主还是国际的为主?如果采用国产设备,是直接使用的多还是二开的多?保监会,银监会,有没有相关的规定,比如多少比例的国产设备,或者指定品牌什么的?
杜宇:泰康在设备选型方面,主要以国产为主。关于外购系统,集团有统一的要求,直接使用的设备较多。保监会和银监会的配比和品牌这方面,目前没有硬性的要求。
Q10:对于网络和应用安全的健康状况,有什么样的便捷检测或评级方法可以使用? 能够快速发现应用或网络的安全漏洞,并且能将目前的网络和应用安全状况做一个分级?
杜宇:网络层面部署了WAF、IDS、漏洞扫描、防渗透等安全设备,正在做综合安全监控审计平台。除了安全设备的检测,现在有定期和不定期的安全健康检查,上线前的安全测试等措施,根据应用的实际情况,将网络安全风险做了初步的分级。
Q11:泰康的云平台的建设,是通过现有市场上的云供应商提供的,还是自己搭机房搭网络?
杜宇:关于云平台的建设,是泰康自建的数据中心,与提供商共同商议成熟的解决方案。
Q12:泰康的安全团队在与公司IT风险管理团队、IT审计团队之间的配合与衔接上有没有您认为比较关键或需要注意的点,才能更好的满足监管或公司的风险管理要求?
杜宇:安全审计由公司的专门团队负责外审,内部安全团队负责内审。
Q13:在业务连续性管理方面,泰康是怎么做的?N地N中心还是N地N活?还是单点+灾备?如果是N地N活,是在哪个层级进行的LB?
杜宇:泰康现在是两地三中心,核心系统异地应用级容灾的架构。