保險(xiǎn)企業(yè)是以保險(xiǎn)業(yè)務(wù)為核心的,融證券、信托、銀行、資產(chǎn)管理、企業(yè)年金等多元金融業(yè)務(wù)為一體的緊密、高效、多元的綜合金融保險(xiǎn)服務(wù)集團(tuán)。信息安全工作應(yīng)該得到保險(xiǎn)企業(yè)管理層的高度重視和參與,以信息內(nèi)外網(wǎng)分離為基礎(chǔ),采取分區(qū)分域、縱深防護(hù)的方法,根據(jù)不同應(yīng)用系統(tǒng)的安全等級(jí)制定實(shí)用的安全防護(hù)策略,以保證保險(xiǎn)企業(yè)業(yè)務(wù)流程的高效暢通和高度安全。

信息安全工作

需要企業(yè)管理層的參與

信息安全工作的職責(zé)在企業(yè)基本都落到了信息技術(shù)部門。在這種情況下,信息安全問(wèn)題很可能沒(méi)有被充分研究和支持。公司管理團(tuán)隊(duì)中的高級(jí)主管人員在深入理解企業(yè)的業(yè)務(wù)流程和目標(biāo)的基礎(chǔ)下,積極參與分析企業(yè)所面臨的風(fēng)險(xiǎn),及時(shí)了解可能給企業(yè)造成潛在影響的最新威脅和漏洞,提供權(quán)威的信息風(fēng)險(xiǎn)評(píng)估。信息技術(shù)部通過(guò)對(duì)風(fēng)險(xiǎn)評(píng)估的正確理解,制定安全策略、過(guò)程、標(biāo)準(zhǔn)和準(zhǔn)則,為公司核心資產(chǎn)提供完整性、機(jī)密性和可用性。

信息內(nèi)外網(wǎng)分離

為了有效地降低企業(yè)核心應(yīng)用系統(tǒng)遭受攻擊的風(fēng)險(xiǎn),信息網(wǎng)絡(luò)應(yīng)分為物理隔離的信息內(nèi)網(wǎng)和信息外網(wǎng)。

黑客可以通過(guò)Internet公共信息網(wǎng)采用木馬、蠕蟲(chóng)和病毒等攻擊手段,破壞企業(yè)辦公系統(tǒng)、竊取企業(yè)核心系統(tǒng)機(jī)密數(shù)據(jù)、篡改公司網(wǎng)站信息、截獲公司郵件等等。所有這些攻擊行為都會(huì)對(duì)企業(yè)運(yùn)行造成巨額的損失。

為了保障機(jī)密數(shù)據(jù)的安全,企業(yè)應(yīng)分別建立兩套獨(dú)立的信息網(wǎng)絡(luò)。信息內(nèi)網(wǎng)承載企業(yè)核心業(yè)務(wù)系統(tǒng)、財(cái)務(wù)系統(tǒng)、OA辦公系統(tǒng)、人力資源管理系統(tǒng)、投資管理系統(tǒng)、呼叫中心系統(tǒng)、公司內(nèi)部視頻會(huì)議系統(tǒng)以及保險(xiǎn)企業(yè)與上級(jí)機(jī)構(gòu)、保監(jiān)會(huì)、行業(yè)協(xié)會(huì)、銀行等國(guó)家金融機(jī)構(gòu)的專線互聯(lián)系統(tǒng)。信息外網(wǎng)承載電子商務(wù)系統(tǒng)、企業(yè)郵箱系統(tǒng)、企業(yè)門戶系統(tǒng)、人力資源招聘系統(tǒng)以及員工對(duì)Internet公共信息網(wǎng)的訪問(wèn)等等。信息內(nèi)外網(wǎng)分離的方式有效地降低了來(lái)自Internet公共信息網(wǎng)對(duì)企業(yè)機(jī)密數(shù)據(jù)的攻擊風(fēng)險(xiǎn)。

分區(qū)分域和縱深防護(hù)策略

根據(jù)信息網(wǎng)絡(luò)的構(gòu)成,信息網(wǎng)絡(luò)可以分為系統(tǒng)邊界、桌面終端域和應(yīng)用系統(tǒng)域。根據(jù)國(guó)家等級(jí)保護(hù)工作的規(guī)范,應(yīng)用系統(tǒng)域又可以細(xì)分為二級(jí)系統(tǒng)域和三級(jí)系統(tǒng)域等等。企業(yè)應(yīng)該在分區(qū)分域的基礎(chǔ)上,采用縱深的安全防護(hù)策略。

1.信息系統(tǒng)邊界

信息系統(tǒng)邊界是企業(yè)信息系統(tǒng)和外界數(shù)據(jù)交互的邊界區(qū)域,是保障數(shù)據(jù)安全的第一道屏障。為了保障信息系統(tǒng)邊界的數(shù)據(jù)安全,需要部署如下安全設(shè)備和措施:一要設(shè)置高效、安全的防火墻設(shè)備,通過(guò)訪問(wèn)策略和阻斷策略對(duì)通過(guò)邊界的雙向流量進(jìn)行網(wǎng)絡(luò)側(cè)過(guò)濾,阻止不明身份黑客對(duì)信息系統(tǒng)的訪問(wèn)。二要部署先進(jìn)的IPS主動(dòng)防攻擊設(shè)備,通過(guò)配置網(wǎng)絡(luò)常見(jiàn)攻擊匹配包對(duì)雙向流量進(jìn)行應(yīng)用層的檢測(cè),可以有效地降低病毒、蠕蟲(chóng)和木馬等攻擊風(fēng)險(xiǎn)。三要配備主流的流量控制設(shè)備,通過(guò)檢查異常流量,保護(hù)邊界出口帶寬的正常使用。四要部署邊界設(shè)備審計(jì)系統(tǒng)和日志分析系統(tǒng),定期采集網(wǎng)絡(luò)設(shè)備和安全設(shè)備的操作日志和運(yùn)行日志,出具日志報(bào)告。通過(guò)對(duì)日志報(bào)告的分析,信息安全管理人員可以對(duì)信息系統(tǒng)遭受的攻擊、網(wǎng)絡(luò)邊界的規(guī)則效用以及設(shè)備運(yùn)行狀況進(jìn)行評(píng)估,從而制定下一步相應(yīng)的安全規(guī)劃。

2.桌面終端域

桌面終端域由員工桌面工作終端構(gòu)成,是涉密信息安全事件的溫床。桌面終端域安全防護(hù)是安全防御的第二道屏障,主要包括以下三方面:

一是桌面終端操作系統(tǒng)安全。公司大部分PC所使用的操作系統(tǒng)是微軟公司的Windows XP或者Windows Vista,針對(duì)黑客攻擊行為,微軟公司會(huì)定期發(fā)布系統(tǒng)安全補(bǔ)丁包。信息內(nèi)外網(wǎng)應(yīng)各部署一套微軟WSUS補(bǔ)丁服務(wù)器,定期統(tǒng)一下載操作系統(tǒng)安全補(bǔ)丁。

二是系統(tǒng)防病毒策略。計(jì)算機(jī)病毒是電腦系統(tǒng)癱瘓的元兇。防病毒策略由部署在信息內(nèi)外網(wǎng)的防病毒服務(wù)器來(lái)實(shí)現(xiàn)。在信息內(nèi)外網(wǎng)各部署一套防病毒服務(wù)器,信息內(nèi)外網(wǎng)PC設(shè)備安裝防病毒客戶端,定期自動(dòng)從防病毒服務(wù)器更新防病毒庫(kù)。

三是移動(dòng)存儲(chǔ)介質(zhì)安全。缺乏有效保護(hù)的移動(dòng)介質(zhì)是傳播病毒的有效載體,是泄露公司機(jī)密和國(guó)家機(jī)密的罪魁禍?zhǔn)?。公司?yīng)部署安全移動(dòng)存儲(chǔ)系統(tǒng),對(duì)U盤進(jìn)行加密處理。所有員工均使用安全U盤,規(guī)避移動(dòng)介質(zhì)風(fēng)險(xiǎn)。

3.應(yīng)用系統(tǒng)域

應(yīng)用系統(tǒng)域由運(yùn)行企業(yè)應(yīng)用系統(tǒng)的服務(wù)器和存儲(chǔ)企業(yè)應(yīng)用數(shù)據(jù)的數(shù)據(jù)庫(kù)組成。應(yīng)用系統(tǒng)域安全防護(hù)是安全防御的第三道屏障。應(yīng)用系統(tǒng)域和系統(tǒng)邊界以及桌面終端之間需要部署防火墻設(shè)備,不同安全防護(hù)等級(jí)的應(yīng)用系統(tǒng)域之間也需要部署防火墻設(shè)備。應(yīng)用系統(tǒng)維護(hù)人員需要認(rèn)真統(tǒng)計(jì)系統(tǒng)的應(yīng)用情況,提供詳實(shí)的端口應(yīng)用情況,制定實(shí)用的訪問(wèn)和阻斷策略。

信息安全工作是保險(xiǎn)企業(yè)業(yè)務(wù)系統(tǒng)、管理系統(tǒng)的正常、可靠、安全運(yùn)轉(zhuǎn)的關(guān)鍵,是一項(xiàng)長(zhǎng)期復(fù)雜的工作,應(yīng)引起高度重視。保險(xiǎn)企業(yè)應(yīng)加大對(duì)信息安全建設(shè)的投入力度,培養(yǎng)自身的優(yōu)秀信息安全管理人員,制定完善的信息安全管理制度,發(fā)揮保險(xiǎn)企業(yè)促進(jìn)國(guó)家宏觀經(jīng)濟(jì)健康發(fā)展的功能,服務(wù)于國(guó)家經(jīng)濟(jì)建設(shè)的大局。
 

【編輯推薦】

1. 2009信息安全重大事故及解決方案盤點(diǎn)
2. 中小企業(yè)2010年信息安全規(guī)劃支五招
3. 3G增值業(yè)務(wù)考驗(yàn)信息安全管理