首頁 專案管理
台北富邦商業銀行股份有限公司獨創特權治理智能防駭警示系統
2022/2/1 作家:專案經理雜誌
1836
首重資訊安全之免疫力提升由圍堵翻覆為預警
隨著數位技術日新月異,全球資安風險也逐年升高,北富銀精進資安預警機制、堅實資安監理環境,全面強化資安韌性及防禦偵測能力,為客戶提供最安心的金融環境。本案「特權治理智能防駭警示系統」,可進行資訊系統特權帳號管理數位化,結合企業內部自動化流程,取代人工作業,並導入智能防駭警示系統,強化資訊安全防護,提升資訊安全之免疫力,著重事先「預警」機制,與過往側重「圍堵」的資安系統相較,對金融業資安發展極具創新價值。同時本案於2021年7月已取得中華民國新型專利。

公司名稱:
台北富邦商業銀行股份有限公司

公司簡介:
台北富邦銀行為富邦金控百分之百持有之子公司,2021年第一季底合併總資產達新台幣3兆2,837億元,擁有135家國內分行、5家海外分行及辦事處2家;在台北市之分行市佔率為台灣民營銀行第一名。本行持續建構包括台灣、香港、大陸、越南與新加坡「兩岸五地」的金融平台,期能以精進的營運效能,穩步朝「亞洲一流區域銀行」目標邁進!

專案介紹

專案名稱:
特權治理智能防駭系統

專案團隊介紹:
由擁有豐富資訊治理及資安防禦經驗的林世哲資深協理擔任本專案PS,帶領團隊顛覆傳統並開創資安防禦的新型營運模式。合作廠商包含國際大廠微軟及嚴選本土優質資安研發廠商—捷而思,運用諸多專利技術,本專案範圍為全行資訊系統營運環境主機的特權帳號,包含2,000餘台Server,逾6,000多個特殊權限帳號、資訊利害關係人達500餘人。動員資訊單位指派各部門菁英擔任專案成員。
專案目標:
本項目基於本行效率工程的目標,將特殊權限帳號治理達到下述目標:
1. 透過數位化轉型,由人工作業改為自動化流程管理。
2. 透過帳號監管及加解密技術進行風險預防。
3. 透過儀表板監管特殊權限帳號異常使用。

專案人數:
17人

專案起訖時間:
2016.07~2019.10

專案經費:
1,500萬

點擊看得獎心得影片

專案核心理念、策略與願景:
承襲本公司「效率工程」數位創新的精神,基於特權帳號使用管理的痛點,自建《智能防駭特權治理系統》,以創新的思維顛覆舊有框架。核心理念為將特殊權限帳號治理透過數位化轉型,由人工作業改為自動化流程管理,並使用本行的新型專利,透過帳號監管及加解密技術進行風險預防及透過儀表板監管特殊權限帳號異常使用。

專案創新價值:
以往防駭策略,都是在網路端點進行防護,並定時透過掃描找出病毒,但是駭客的技術日新月異,常會透過系統弱點或社交工程,竊取帳號之最高權限而發動攻擊,組織卻無法事前有效防範。因此,需要透過加強免疫系統,可以在事前或潛伏過程中提早警示。在發展特權帳號智能警示管理系統,即是針對可能被駭客入侵的觸點,進行痛點式創新。透過專利的智能防駭警示儀表板,防範於未然。特權帳號管理系統PRIVILEGED ACCOUNT MANAGEMENT SYSTEM 於2020/07/21獲得本國新型專利。獨特關鍵技術說明如下:

1. 獨創智能防駭警示儀表板:為了預防駭客的病毒攻擊,本公司採自行研發疫苗,強化資安體質,獨創視覺化《智能防駭警示儀表板》(如下圖),主要關鍵技術:

● 未列管特權帳號警示:偵測營運區有未經授權異常帳號(如幽靈帳號、駭客虛增特權帳號)。
● 狀態儀表板:即時顯示全行特權帳號控管數量(total account)、當日申用帳號(approved today)、當日自動變更帳號(expire today)。
● 智能防駭警示:整合既有主機資訊集中平台之管理資訊,針對最高權限之帳號群組,運用參數化設定邏輯,透過系統自動化檢核流程,進行智能差異比對、申用軌跡追蹤,避免幽靈帳號造成資訊安全潛在風險事件發生。

2. 特權帳號管理數位化:為預防駭客在竊取目標主機帳密,偽裝特權帳號入侵目標主機,本案強化下列安全功能 :

● 系統在資料傳輸連線的過程中均要求加密傳輸,降低帳密被竊取的機率。
● 密碼的簽出簽入均透過國際標準演算法AES及RSA對資料進行二次加解密,所以即使是資料庫管理員若無解鎖密碼權限,亦無法知道密碼真正內容;而另一方面負責加解密的master key則存放在HSM中,密碼不易被盜取或破解,提升資訊安全。
● 密碼於每次申借後簽回儲存媒體都會變更新密碼,並加密儲存於資料庫,降低密碼遭竊的風險。
● 新增主機帳號管理,避免多人共用帳號,帳號濫用,降低密碼外流機率。
● 對使用者行為稽核控管,一旦有異常行為就發簡訊通知管理人員。
● 智能預警監控儀表板,避免幽靈帳戶。

專案整合成效:
導入「痛點式創新」概念,針對各金融場景換位思考找出客戶痛點,以金融新科技進行服務創新,積極投入提升數位創新商品服務,確保業務成長動能與市場領導品牌地位。為數位平台打造安全、穩固的使用環境,避免駭客侵入影響系統的運轉及侵害客戶權益。

針對本公司打造的數位平台,包含2000多台伺服器,提供本行六百多萬個客戶金融服務,因此如何確保特權帳號的妥善管理,及考慮上線階段系統的平順運轉,本專案面臨眾多關係人及為數眾多的系統整合挑戰:

1. 影響關係人多:
本專案範圍橫跨所有資訊單位,包含8個資訊部門,高達6000餘個特權帳號,影響資訊利害關係人達500餘人。專案規劃納入管理的伺服器眾多,相對影響人數眾多,因此跨單位的溝通協調相對複雜及耗時。

為能有效率的進行溝通協調,於專案初期即先行針對2000餘台伺服器的使用單位,負責人員及使用人員進行調查及部門分類,並由此統計資料辨別出各部門的主要利害關係人,各部門主要利害關係人亦為各部門溝通協調窗口,針對專案會議的決議或需溝通項目,藉由各部門的主要利害關係人協助,有效降低專案執行的時間。

2. 影響範圍廣:
範圍包含全行正式維運環境伺服器,包含Windows伺服器系統等共9大平台,28個系統版本2000餘台伺服器。本案實施敏捷專案開發與導入,設定Product goal以數位化進行特殊權限管理、以智能警示違規使用與駭客入侵。Scrum team依據Product goal發展Product Backlog,說明如下:

● Release 1的Release goal:特殊權限管理,以數位化取代人工作業。
● Release 2的Release goal:特殊權限帳號密碼自動變更功能。
● Release 3的Release goal:智能防駭,智慧防駭警示功能。

專案效益成果
實施《智能防駭特權治理系統》後,本行效益提升主要量測關鍵指標說明如下:

1. 提升效率:
系統佈署、問題查找與維運等作業皆提升20倍效率,更加快速回應本行整體資訊系統需求、問題處理與提高維運效益,業務端亦可高效因應市場變化、客戶需要,無形中挹注業績增長。

2. 降低成本:
以往需求單處理平均20分鐘,每年8千張需求單,共計節省1,800萬元之人力成本。

3. 風險控管:
根據行政院、國家資通安全會報、技術服務中心,針對進階性滲透攻擊(APT)報告中指出,前三大APT受害產業中,以金融業(15%)為首,駭客最常潛伏期為2,287天,受駭組織平均需要229天才會發現被滲透,本案針對違規使用之異常監控,採儀表板視覺化呈現,使管理者可即時發現問題與快速處理異常情況,並導入智慧違規使用與防駭警示系統,發現未授權帳號的時間可縮短在24小時以內。

4. 綠能省碳:
取代人工紙本作業,全程採系統化作業,藉由流程簡化、無紙化作業,減少紙張、能源之使用量,大量減少原來可能產生之碳足跡,承擔友善環境、環保綠化的企業責任。

結語
金融業最重要的是追求高穩定性、零容忍錯誤,近年惡意程式威脅日益嚴重,皆是駭客運用特權帳號進行提權而發動之攻擊。所以企業對特權帳號管理是一項非常重要的資安議題,本案著重事先「預警」機制,與過往側重「圍堵」的資安系統相較,對金融業資安發展極具創新價值。

本案透過專案管理的過程,實踐規劃藍圖,經歷無數次的溝通及整合,最終在如期、如質、如預算的終極目標下完成使命,獲得國內、外多項獎項的肯定,為持續精進注入相當能量的動力,未來將秉持專案管理精隨,發展更優質的專案。

獎出2022專案新趨勢

本次雜誌以2021年度專案管理大獎實務文章為主軸,為讀者報導2021年最具代表性的得獎成果,除了彰顯與鼓勵得獎企業、專案經理和團隊成...
獎出2022專案新趨勢
專案經理雜誌
《專案經理》雜誌是華人最有影響力專案管理雜誌,宗旨為擴大專案管理應用傳播。
邀您一同為深耕專案管理努力,您的參與,相信能為您的產品/服務,擴展商機, 無形中,也為專案經理雜誌的永續經營注入契機。
您可能也喜歡這些文章