淘宝智能热水袋联盟

硬菜 | 保险行业老司机带大家防黑客

阿里金融云2018-05-15 12:57:35

写在前面的话


最近,阿里云保险行业负责人戴飞飞写了一篇文章《论云上保险的安全和稳定》。


金融、保险行业因汇聚巨大的资金流量和私密数据成为黑客的重点关注对象。


如何将云计算的安全能力和传统保险公司的安全系统相融合,形成完善的风险防控机制?


在这篇文章中,戴飞飞谈了谈自己多年实践的经验。


该文已被中国保险行业垂直领域的杂志《中国保险信息化》全文刊登。




全文



随着云计算技术的不断发展和成熟,保险企业对于云计算服务的使用已经从2014、2015年的观望和尝试,变成大范围的行动和实践。


很多创新型互联网保险公司对云计算和大数据技术的全面应用驱动了业务的不断发展和创新,也带来了企业估值的爆炸性增长,引发了整个保险行业的投资热潮和飞速发展。


2016年起,不少重量级的保险公司已经开始使用外部云计算服务商提供的公有云或金融云服务,并将越来越多的比较关键的业务运行在云计算平台上。


随着互联网渠道的飞速发展,除了互联网保险公司外,也已经有一些传统财产险和寿险公司开始在云计算平台上运行相对比较核心的业务系统,同时也对云计算平台提出了比较高的安全和管理的要求。

 

保险公司在多年前就开展了电商业务,对来自互联网的风险已经有了一定的防护经验。


但是随着这几年移动互联网的飞速发展,金融渠道的转型,互联网事实上已经成为非常核心的业务平台,巨大的资金流量和私密数据也自然会吸引更多的黑客的关注。金融行业由于其特殊的属性,也成为黑色产业关注的主要目标之一。


所以当前保险公司的相关系统也就需要比以往更为完善的安全保护和动态的安全运营管理。云计算平台在提供了海量和弹性额计算能力外,也同时为用户提供了强大的安全能力。


如何用好这些安全能力,和传统保险公司的安全系统相融合,形成完善的风险防控机制是保险公司CIO和技术管理人员应该认真考虑的问题。

 

一、互联网安全三大威胁:DDoS攻击、资料窃取、系统入侵

 

现代保险业的运转对互联网的依赖程度与日俱增,互联网不再只是一种辅助的手段,而是已成为保险机构的大动脉。


所以当前保险公司的相关系统也就需要比以往更为完善的安全保护和动态的安全运营管理。


一旦发生安全问题,不但使保险机构遭受巨额经济损失,降低企业自身的声誉,而且将不可避免地对整个保险业的发展带来信任危机。

 

首先,全球针对保险行业的攻击主要集中在暴力DDoS,恶意窃取用户资料,入侵保险行业核心系统等手法。


今年3月份,美国第二大医疗保险公司Anthem遭到黑客入侵,近8000万用户的姓名、生日、医保ID号、社会保险号,住宅地址、电子邮箱、输入数据等被泄露。


而国内的DDoS攻击现象也日益猖獗,在“安全牛”近日发布的《2016年第一季度保险业网络安全报告》中,调查范围中,105家保险公司中有31家机构(30%)遭受到DDOS攻击,构成网络安全威胁的主要问题。

 

其次,除了黑客从外部入侵,企业或服务商自身的漏洞也会让攻击者有可趁之机。


就在上个月Apache Struts2官方发布了一个最新高危漏洞——Apache Struts2 S2-032 远程命令执行漏洞,Struts2在开启动态方法调用的情况下,会被攻击者实现远程代码执行攻击。


同时,目前保险业中仍然多数使用传统的被动安全防御技术,而黑客的攻击却更为主动。


在攻防战争中,企业的防御机制正在逐渐落后。而互联网保险业务风险更是“互联网行业风险”与“金融业务风险”的集合。

 

二、风险如何防范?云安全解决方案

 

DDoS攻击既分布式拒绝服务(DDoS:DistributedDenial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,从而成倍地提高拒绝服务攻击的威力。


2016年5月21日下午,某在线支付服务平台遭遇了全球互联网史上最大的DDoS攻击之一——攻击峰值流量达到每秒318Gb。


在这种攻击强度下,一般的硬件防火墙在带宽不够的情况下很难对其进行防护,基于云的清洗,企业只需要将DNS解析到云上,完成清洗后将安全流量回源到服务器,就能保证系统服务稳定可靠。

 

Web类的攻击,会造成网站的数据泄露,用户的信息泄露,如果发生因Web漏洞导致的网站入侵,这个时候可以采用云WAF这类的产品进行防护;另外主机安全也是常见问题,病毒木马入侵都会造成服务器不安全,甚至导致被劫持,这个时候可以选择相应的服务器安全产品。

 

风险的防范还需要整体的考量,例如在安全合规层面是否遵从等保、ISO等标准,系统安全层面的渗透测试,代码层面的白盒扫描等。


伴随着互联网安全攻防的历练,越来越多的云计算厂商都提供了安全专家服务,作为其中之一的“安全评估”也逐渐被大家所接受。

 

如下是某保险公司在云上的部署架构。



在移动端使用APP安全,确保端的安全性。


在接入层(如负载均衡),打开安全大数据分析,掌控整个安全生命周期:事前预防,事中防御,以及事后溯源。


通过在业务前端部署DDoS高防、WAF,解决了网络层的攻击;采用反欺诈服务,避免应用或业务规则漏洞带来的损失;在主机服务端部署服务器安全产品,解决服务器病毒、木马、恶意脚本的威胁;在数据库端采用业务加密。同时,为了确保全系统的整体安全,采用了安全评估服务。


这样的安全架构,让保险公司将安全问题“防患于未然”,同时面对攻击时又可有多个维度的防护,做到“临危不乱”。

 

值得注意的是,云安全解决方案并非只能应用在云上,同时可以为用户的数据中心提供防护。


而且,云安全的算法、规则、漏洞、黑名单等数据,都随着海量的安全攻防而实时地更新、升级,变被动为主动,并把这种安全能力输出给最终用户。


三、基于云的数据安全管理、容灾备份

 

保险公司的关键业务系统,尤其是和互联网连接的业务系统,除了需要完善的网络安全防御体系外,建设完整的数据安全管理、容灾备份能够帮助保险公司在发生安全风险或者黑客攻击的情况下,保护住系统的关键信息不会泄露,保障数据不会被删除,出现重大事故时仍旧能在极短的时间内恢复业务的正常运行。

 

首先,在网络通讯安全方面,由于近几年地址欺骗、钓鱼网站的大量增加,国内的顶级互联网站点如淘宝、天猫已经全站采用https协议,防止信息的泄露和网站被劫持。


但是由于https在卸载过程中需要消耗大量的计算资源,传统的SSL硬件产品难以支撑或成本太高,大多数企业还无法做到,也导致了很多IT能力不强的用户被欺骗和钓鱼,造成资产的损失。


领先的云计算平台都会结合负载均衡服务提供SSL卸载功能,让用户有能力支撑全站https应用,从而大幅提升系统的安全性。

 

其次,在数据安全方面,云计算平台会提供密钥管理服务,让用户使用自己管理的密钥对数据进行加密,并且结合数据库的相关特性对数据库的存储进行加密,从而全面的保障数据的安全。

 

然后,是备份和容灾。在大型金融云计算平台上,用户可以非常方便灵活的建立自己的数据备份、容灾方案,形成两地三中心的容灾架构,实现同城的双活应用。


并且保险公司为了和原有系统对接与整合,可以使用混合云方案,对云上云下的进行相互备份,对系统提供更完善的保护。

 

在数据备份方面,云计算平台通常会提供对于关系型数据库的一键式备份功能,并在平台上自动保存一定时间的数据库日志,已便用户随时恢复数据。


同时,对于数据库和存储类产品,会提供相关的数据复制功能,帮助用户进行数据的备份和恢复。


有些提供金融云服务的提供商,可以直接提供在同城有主备两个数据库实例的关系数据库产品,并自动实现数据同步和故障后的自动切换。


如果用户需要,还可以生成多个数据副本,从而满足更高的可靠性要求。


对于希望实现云上云下互备的系统,云计算平台通常会提供数据的DTS(Data Transmission Service)服务,来完成相关的功能。用户也可以采用传统的数据传输和复制软件来实现自己的数据备份方案。

 

在容灾方面,金融行业云计算提供商通常可以非常丰富的基础设施资源,来帮助用户组建灵活的容灾架构。


这种容灾架构由于系统的弹性和快速扩容能力,可以比传统容灾节省一定的资源投入,并在产生容灾切换时可以快速扩容成为和主中心具备相同能力的生产系统。




如上图所示,构建一个两地三中心,并包含已有数据中心和应用系统的方案,主要会使用到云计算平台的以下能力:


·        在每个城市提供两个同城的数据中心以满足金融用户的同城容灾要求。

·        在多个城市提供云计算服务,可以实现跨城市的异地容灾需求。

·        在云数据中心外,还同时提供临近的托管机房,为用户无法上云的系统提供托管服务。

·        提供多城市的本地接入点,方便用户自己数据中心或办公网络接入云计算平台。

·        提供多个城市的云计算数据中心间的高速内部网络连接,帮助用户实现数据传输、备份和容灾。

·        通过VPC(Virtual Private Cloud)技术,用户可以方便的在云上组建自己的网络,并和云下的托管或自有数据中心联通。


借助以上能力,用户不但可以搭建一个完全满足监管要求的容灾系统,还可以充分利用云计算的弹性以及混合云的能力,形成云上容灾和云上云下互备的方案,并保证资源的利用效率,减少闲置资源的浪费。

 

随着保险行业越来越多的核心业务上云实践,保险公司对于云计算技术的应用已经越来越成熟。


更多的保险公司将会享受到云计算平台对降低IT成本和效率带来的巨大提升,以及对业务发展和创新能力的释放,也将会为整个行业带来更为广阔的发展空间。


Copyright © 淘宝智能热水袋联盟@2017