眾所周知保險企業(yè)信息安全對于保險企業(yè)來說是非常重要的，大量的客戶信息如果一旦被泄露，對于保險公司就是一種致命的打擊。不僅企業(yè)會因此造成經濟上的損失，而且客戶信譽的下降對于企業(yè)業(yè)來說損失是不可估量的。

保險企業(yè)信息安全需要企業(yè)管理層的參與

信息安全工作的職責在企業(yè)基本都落到了信息技術部門。在這種情況下,信息安全問題很可能沒有被充分研究和支持。公司管理團隊中的高級主管人員在深入理解企業(yè)的業(yè)務流程和目標的基礎下,積極參與分析企業(yè)所面臨的風險,及時了解可能給企業(yè)造成潛在影響的最新威脅和漏洞,提供權威的信息風險評估。信息技術部通過對風險評估的正確理解,制定安全策略、過程、標準和準則,為公司核心資產提供完整性、機密性和可用性。

保險企業(yè)信息安全信息內外網分離

為了有效地降低企業(yè)核心應用系統遭受攻擊的風險,信息網絡應分為物理隔離的信息內網和信息外網。

黑客可以通過Internet公共信息網采用木馬、蠕蟲和病毒等攻擊手段,破壞企業(yè)辦公系統、竊取企業(yè)核心系統機密數據、篡改公司網站信息、截獲公司郵件等等。所有這些攻擊行為都會對企業(yè)運行造成巨額的損失。

為了保障機密數據的安全,企業(yè)應分別建立兩套獨立的信息網絡。信息內網承載企業(yè)核心業(yè)務系統、財務系統、OA辦公系統、人力資源管理系統、投資管理系統、呼叫中心系統、公司內部視頻會議系統以及保險企業(yè)與上級機構、保監(jiān)會、行業(yè)協會、銀行等國家金融機構的專線互聯系統。信息外網承載電子商務系統、企業(yè)郵箱系統、企業(yè)門戶系統、人力資源招聘系統以及員工對Internet公共信息網的訪問等等。信息內外網分離的方式有效地降低了來自Internet公共信息網對企業(yè)機密數據的攻擊風險。

保險企業(yè)信息安全分區(qū)分域和縱深防護策略

根據信息網絡的構成,信息網絡可以分為系統邊界、桌面終端域和應用系統域。根據國家等級保護工作的規(guī)范,應用系統域又可以細分為二級系統域和三級系統域等等。企業(yè)應該在分區(qū)分域的基礎上,采用縱深的安全防護策略。

1.信息系統邊界

信息系統邊界是企業(yè)信息系統和外界數據交互的邊界區(qū)域,是保障數據安全的第一道屏障。為了保障信息系統邊界的數據安全,需要部署如下安全設備和措施:一要設置高效、安全的防火墻設備,通過訪問策略和阻斷策略對通過邊界的雙向流量進行網絡側過濾,阻止不明身份黑客對信息系統的訪問。二要部署先進的IPS主動防攻擊設備,通過配置網絡常見攻擊匹配包對雙向流量進行應用層的檢測,可以有效地降低病毒、蠕蟲和木馬等攻擊風險。三要配備主流的流量控制設備,通過檢查異常流量,保護邊界出口帶寬的正常使用。四要部署邊界設備審計系統和日志分析系統,定期采集網絡設備和安全設備的操作日志和運行日志,出具日志報告。通過對日志報告的分析,信息安全管理人員可以對信息系統遭受的攻擊、網絡邊界的規(guī)則效用以及設備運行狀況進行評估,從而制定下一步相應的安全規(guī)劃。

2.桌面終端域

桌面終端域由員工桌面工作終端構成,是涉密信息安全事件的溫床。桌面終端域安全防護是安全防御的第二道屏障,主要包括以下三方面:

一是桌面終端操作系統安全。公司大部分PC所使用的操作系統是微軟公司的Windows XP或者Windows Vista,針對黑客攻擊行為,微軟公司會定期發(fā)布系統安全補丁包。信息內外網應各部署一套微軟WSUS補丁服務器,定期統一下載操作系統安全補丁。

二是系統防病毒策略。計算機病毒是電腦系統癱瘓的元兇。防病毒策略由部署在信息內外網的防病毒服務器來實現。在信息內外網各部署一套防病毒服務器,信息內外網PC設備安裝防病毒客戶端,定期自動從防病毒服務器更新防病毒庫。

三是移動存儲介質安全。缺乏有效保護的移動介質是傳播病毒的有效載體,是泄露公司機密和國家機密的罪魁禍首。公司應部署安全移動存儲系統,對U盤進行加密處理。所有員工均使用安全U盤,規(guī)避移動介質風險。

3.應用系統域

應用系統域由運行企業(yè)應用系統的服務器和存儲企業(yè)應用數據的數據庫組成。應用系統域安全防護是安全防御的第三道屏障。應用系統域和系統邊界以及桌面終端之間需要部署防火墻設備,不同安全防護等級的應用系統域之間也需要部署防火墻設備。應用系統維護人員需要認真統計系統的應用情況,提供詳實的端口應用情況,制定實用的訪問和阻斷策略。

保險企業(yè)信息安全工作是保險企業(yè)業(yè)務系統、管理系統的正常、可靠、安全運轉的關鍵,是一項長期復雜的工作,應引起高度重視。保險企業(yè)應加大對信息安全建設的投入力度,培養(yǎng)自身的優(yōu)秀信息安全管理人員,制定完善的信息安全管理制度,發(fā)揮保險企業(yè)促進國家宏觀經濟健康發(fā)展的功能,服務于國家經濟建設的大局。
 

【編輯推薦】

1. 密碼破解原因竟是密碼過簡
2. 網絡安全的四大誤區(qū)
3. 數據泄漏 避免“點炮”
4. 企業(yè)數據安全 MP3成為威脅
5. 面對社交網站 走鋼絲一般的數據保護