然而這并非易事，由于安全架構正變得更加復雜，如果只是單個系統受到感染，那么管理員跟蹤追查其根本原因將是一種“奢侈“的舉措，幾乎沒有哪個企業能夠承擔或者愿意承擔這樣的”奢侈“舉措。然而，受到感染或遭到破壞的系統可能只是冰山一角，它意味著您的網絡基礎設施即將觸礁。

外患不止，內憂再起。在面臨更多來自企業外部的攻擊的同時，來自企業內部的威脅也日益增加，企業內外網邊界更模糊。一方面是內部人員的操作失誤帶來的信息安全威脅。另一方面是內部人員操作權限控制不當造成的訪問控制邊界違規、賬號濫用等，這些都是潛在的威脅。

因此，如何全面、及時地發現、識別、分析、處理信息安全事件,通過大量 采集和分析不同的網絡數據,并進行聯動性比較分析，并且準確的發現內部人員的不合規操作，分析潛在的信息安全風險，是企業信息安全管理的一大挑戰。可以說，企業需要一雙可觀全局的“鷹眼”。

“鷹眼”系統，及時發現潛在問題

在第二屆中國信息安全用戶大會上，代表 太平洋保險選送的“鷹眼”大數據信息安全管控平臺——“保險行業風險及威脅的閉環管理 系統”榮獲了“第二屆智慧城市信息安全保障優秀案例”獎，這引起了記者的關注。在后續的采訪中，太平洋保險（集團）股份有限公司信息安全與內控管理安全專家張軍介紹道, 借助 Intel Security 提供的 SIEM 解決方案，太平洋保險的“鷹眼系統”主要包括日志收集平臺、安全事件集中監控平臺、安全事件關聯分析平臺、 權限管理平臺等多個平臺的搭建來聯合實施。

該平臺的實施，主要通過對外部攻擊、內部合規等事件的集中監控，利用關聯、基線等分析技術，形成安全威脅的主動發現、安全風險的及時感知與精準定位，實現信息安全事件的可知可防可控。另外，該平臺以安全事件的集中監控與關聯分析，解決了碎片化監管被動、低效等問題，提升安全事件發現與防范的主動性與智能性。

如今,太平洋保險公司 IT 人員可以很輕松借助安全威脅模型,例如訪問控制邊界違規、 賬號濫用、僵尸網絡、暴力破解入侵及漏洞攻擊檢測等等,把孤立、海量、多樣的事件信息進行關聯自動化分析,可及時有效地發現潛在的問題。

源自Intel Security的力量

“公司之前曾采用過別的安全產品, 希望通過對于不同管理信息的分析,進行安全風險的預判和重構，但該安全產品的實際表現卻差強人意,而且無法有效支持國產設備,這讓太平洋保險 IT 人員們有些失望,而且增加了公司面臨的安全風險。” 信息安全與內控管理部總經理李麗紅這樣談到時，記者并沒有感到意外，因為，該系統僅是日志源就已經達到了近 6000 個,收集范圍覆蓋太平洋保險集團某數據中心 6 大類 32 種設備類型,每天收集的日志數量均在 15 億條左右。這樣龐大的數據量，傳統的SIEM產品是很難完成的。

因為傳統SIEM產品構建于數據庫和架構基礎之上，并且這些數據庫和架構在處理大量事件、歷史記錄數據和關系數據擴展的能力方面存在固有的局限性。另外，傳統SIEM產品的分析能力也有所欠缺。許多企業不得不關閉重要但非主要的分析功能，然后再耗費數小時的等待才能生成一份報告，這讓企業很難接受。

而從太平洋保險“鷹眼系統”上線后的表現來看，不得不承認Intel Security SIEM解決方案的能力所在。張軍介紹道，“目前,我們利用該平臺完成 58 條定制規則開發、18 張合規報表的開發調優,將孤立、海量、多樣的事件信息進行關聯自動化分析,從每天 10 多 億的安全日志中分析產生 5000 次左右威脅告”。 

值得一提的是,SIEM還 預先內置了 190 種左右的關聯規則在硬件里面,使太平洋保險的 IT 人員可以輕松操作和使用,這是業內產品中獨一無二的。另外,和Intel Security的其他產品一樣,SIEM 同樣可與ePO 集成,實現專業而統一的管理。當然，Intel Security SIEM也可以把純IT的語言，翻譯成業務的語言，這也是SIEM的另一個強勢所在。

正是借助 Intel Security 的 SIEM 強大的安全風險分析能力,太平洋保險擁有了“一雙鷹眼”，輕松地把各種看似沒有關聯的各種事件源數據,進行海量數據的集中監控、智能 分析,并能敏銳地感知到可能會發生的安全風險,讓攻擊者無處可逃，讓安全隱患化為烏有。