新光

強力決心升級內網資安管理,落實內部資安政策,

利用e-SOFT自動化符規覆核平台(Security Intelligence Portal)克服傳統管理困難,達到100%端點設備符規率。

在2016年,新光金控揭示「行雲流海,數位新光」的策略主軸,身為集團成員的新光銀行,也秉持這般戰略方向,積極孕育更多數位化金融商品,提供更多虛實整合服務;使得擁有百年歷史的新光銀行,依然滿懷熱情活力,持續展現極具前瞻性的經營思維。

隨著假美鈔、假房貸、ATM 盜領等案件發生,近年來金融界可謂風波不斷,加上各行業資料外洩事故頻傳,使主管機關對於銀行的查核更為嚴謹,連帶驅使銀行必須加強內控與內稽。著眼於此,一向重視風險管理的臺灣新光商業銀行 (以下簡稱「新光銀」),決心全力強化內網資訊安全管理,期望將所有端點設備納入網域管理,並力求符合內部資安規範,100% 安裝與執行規定的防毒軟體、資產管理軟體與 DLP,另透過全面封鎖任何新 IP或新 MAC,嚴防未授權設備接入內網。

克服傳統資訊分散問題,SIP 統一管理平台,掌握內網資安全貌

新光銀營運資訊部資深專員呂榮斌指出,想實現目標,需要克服若干挑戰,依現行管理架構,IP /MAC、防毒軟體、資產管理軟體與 DLP 等屬不同管理任務,分別落在不同科組單位,彼此資訊並不透通;例如 IP 管理者,即使知道每間分行使用哪些 IP,卻無從得知這些 IP的對應裝置及是否確實按規定裝載資安軟體等,各管理人員也因只擁有片段資訊,無法執行有效的管理政策,要想破除盲點,則必需有一套全面性資安平台,替新光銀統整不同管理資訊,並能利用自動化檢查程序,確保所有端點設備符合各項資安規定。

呂榮斌說,儘管市場上不乏資安事件管理 (SIEM)、網路存取控制 (NAC)或 IP 資源管理等軟體產品,但各自專精不同片段功能,涵蓋面不完整,另還需要植入代理程式 (Agent),意謂即使費心佈建多套系統,揹負 Agent 管理負荷,還不一定能掌握內網資安全貌。故在多方比較及審慎評估下,決定採用曜祥網技 (e-SOFT) 的自動化符規覆核平台 Security Intelligence Portal (以下簡稱「SIP平台」),因只有SIP平台涵括 IP 管理、AD 管理、群組原則物件 (GPO) 檢查及整合資安報表等完整機能,並提供了無需代理程式 (Agentless) 也不必搭配高階網路設備的NAC 方案。


SIP平台成為新光銀資安重要基礎建設

e-SOFT SIP 平台包含四大關鍵元件模組:Dr. IP IP資源管理系統、AD 進階管理系統、資安報表系統,以及 NAC++ 網路存取控制系統;其中攸關 I P 發放、管理及稽核等功能的Dr. IP,及提供網域管理、AD 登入管理、GPO或政府組態基準 (GCB) 檢查及本機管理者帳號檢查等功能的 AD 進階管理系統,連同資安報表系統,都是必須優先加以佈局的重要基礎建設。

因此專案小組將 Dr. IP、AD 進階管理及資安報表系統三項列為先期部署標的,分四階段執行,首階段適用於資訊部門的 Server Farm 與工作站,作為全行示範場域;第二階段導入範圍為總行及區域中心、共計 10處;第三階段擴及旗下 105 間分行 (含香港分行) ;第四階段則佈建於 44 個收付處的工作站與 ATM,並在啟動第四階段進程的同時,亦同步展開 NAC++ 全行部署。


資安軟體部署率,完美達到 100%境界

呂榮斌表示,伴隨e-SOFT SIP平台上線,等於成功建立統一的內網資安管理平台,完整匯集來自不同科組的管理資訊,從 IP/ MAC、AD、防毒、資產管理、端點 DLP、WSUS 伺服器,至新光銀自行開發的組態管理資料庫 (CMDB) ,只要能支援標準,SIP平台皆可整合收納,使管理者輕易串聯比對不同資訊,迅速捕捉一些不符資安規範、過去難被察覺的漏網之魚,儘速修正問題。在此情況下,新光銀的資安軟體部署率攀升至100%,所有苦心付出的資安投資,從此不再出現任何虛耗浪費,順勢將端點安全強度推向至最高點。

透過 Dr. IP系統的輔助,使新光銀能嚴格落實IP 與 MAC 綁定管理,快速封鎖異常 IP 或MAC,就算有駭客意圖將不明裝置接入任何分行網路,都無法成功連線,同時告警給管理者;而以往偶爾因為 IP 發放錯誤或其他緣由,產生 IP 衝突,影響重要設備運作的狀況,目前依靠Dr. IP系統主動檢測並切斷 IP 衝突,確保重要設備正常運行,避免干擾營運活動。


超過80種資安相關報表,大幅減輕作業負擔

回顧從前,因應內外資安稽查流程中,必須從多套管理系統擷取資料準備受檢報表,前後至少需要一週的時間,如今僅需短短幾分鐘,便可由 SIP平台統一產出所有資安相關報表 (如:部署率報表、網域管理報表、開關機報表等等) ,大幅減輕人員工作量。呂榮斌補充說,藉由 SIP 平台彙集多項資訊產生整合報表,亦可直接作為派工單,便於外部維護廠商按表作業,迅速為各分行解決有關防毒軟體、資產管理軟體、DLP 等等工具軟體安裝或執行上的各種難題。

此外,當面臨資安事件,IT 人員更必須從多套系統產生的大量報表中,透過大批人力比對找尋異常資訊,很難快速獲得真相;如今透過 SIP平台使內網資安管理邁向系統化及自動化,IT 部門無需動員大量人力工時,就能借助整合式報表,快速精準定位問題點,有效排除疑難雜症。


台灣R&D 團隊支援,針對台灣法規及企業流程開發。

更重要的,曜祥的 SIP 平台背後有強大 R&D 團隊支援,彙集國內客戶的痛點,作為產品功能持續精進的方向,使全體 SIP 平台用戶同蒙其惠;而 SIP 平台研發團隊也與時俱進,積極朝向軟體定義網路 (SDN) 等新技術靠攏,並且內網資訊安全導向「企業流程」的嶄新格局。曜祥的SIP 平台已經具備軟體定義安全 (Software Defined Secure) 之架構並且已經是 SDN 的SDS 架構可整合 AD、防毒系統、WSUS、資產管理等;亦可整合企業流程系統 (ERP) 、SIEM、WorkFlow、MES、Business Application 等,借助功能相異、彼此獨立的不同系統,靈活打造使用者與資訊安全管理人員之間的安全工作流程,達到軟體定義安全 (SDS) 新境界,這些富含前瞻性與實用性的特質,將使新光銀與曜祥網技一起持續面對以克服未來種種資安考驗及挑戰。