眾所周知保險企業(yè)信息安全對于保險企業(yè)來說是非常重要的，大量的客戶信息如果一旦被泄露，對于保險公司就是一種致命的打擊。不僅企業(yè)會因此造成經(jīng)濟上的損失，而且客戶信譽的下降對于企業(yè)業(yè)來說損失是不可估量的。

保險企業(yè)信息安全需要企業(yè)管理層的參與

信息安全工作的職責在企業(yè)基本都落到了信息技術(shù)部門。在這種情況下,信息安全問題很可能沒有被充分研究和支持。公司管理團隊中的高級主管人員在深入理解企業(yè)的業(yè)務(wù)流程和目標的基礎(chǔ)下,積極參與分析企業(yè)所面臨的風險,及時了解可能給企業(yè)造成潛在影響的最新威脅和漏洞,提供權(quán)威的信息風險評估。信息技術(shù)部通過對風險評估的正確理解,制定安全策略、過程、標準和準則,為公司核心資產(chǎn)提供完整性、機密性和可用性。

保險企業(yè)信息安全信息內(nèi)外網(wǎng)分離

為了有效地降低企業(yè)核心應(yīng)用系統(tǒng)遭受攻擊的風險,信息網(wǎng)絡(luò)應(yīng)分為物理隔離的信息內(nèi)網(wǎng)和信息外網(wǎng)。

黑客可以通過Internet公共信息網(wǎng)采用木馬、蠕蟲和病毒等攻擊手段,破壞企業(yè)辦公系統(tǒng)、竊取企業(yè)核心系統(tǒng)機密數(shù)據(jù)、篡改公司網(wǎng)站信息、截獲公司郵件等等。所有這些攻擊行為都會對企業(yè)運行造成巨額的損失。

為了保障機密數(shù)據(jù)的安全,企業(yè)應(yīng)分別建立兩套獨立的信息網(wǎng)絡(luò)。信息內(nèi)網(wǎng)承載企業(yè)核心業(yè)務(wù)系統(tǒng)、財務(wù)系統(tǒng)、OA辦公系統(tǒng)、人力資源管理系統(tǒng)、投資管理系統(tǒng)、呼叫中心系統(tǒng)、公司內(nèi)部視頻會議系統(tǒng)以及保險企業(yè)與上級機構(gòu)、保監(jiān)會、行業(yè)協(xié)會、銀行等國家金融機構(gòu)的專線互聯(lián)系統(tǒng)。信息外網(wǎng)承載電子商務(wù)系統(tǒng)、企業(yè)郵箱系統(tǒng)、企業(yè)門戶系統(tǒng)、人力資源招聘系統(tǒng)以及員工對Internet公共信息網(wǎng)的訪問等等。信息內(nèi)外網(wǎng)分離的方式有效地降低了來自Internet公共信息網(wǎng)對企業(yè)機密數(shù)據(jù)的攻擊風險。

保險企業(yè)信息安全分區(qū)分域和縱深防護策略

根據(jù)信息網(wǎng)絡(luò)的構(gòu)成,信息網(wǎng)絡(luò)可以分為系統(tǒng)邊界、桌面終端域和應(yīng)用系統(tǒng)域。根據(jù)國家等級保護工作的規(guī)范,應(yīng)用系統(tǒng)域又可以細分為二級系統(tǒng)域和三級系統(tǒng)域等等。企業(yè)應(yīng)該在分區(qū)分域的基礎(chǔ)上,采用縱深的安全防護策略。

1.信息系統(tǒng)邊界

信息系統(tǒng)邊界是企業(yè)信息系統(tǒng)和外界數(shù)據(jù)交互的邊界區(qū)域,是保障數(shù)據(jù)安全的第一道屏障。為了保障信息系統(tǒng)邊界的數(shù)據(jù)安全,需要部署如下安全設(shè)備和措施:一要設(shè)置高效、安全的防火墻設(shè)備,通過訪問策略和阻斷策略對通過邊界的雙向流量進行網(wǎng)絡(luò)側(cè)過濾,阻止不明身份黑客對信息系統(tǒng)的訪問。二要部署先進的IPS主動防攻擊設(shè)備,通過配置網(wǎng)絡(luò)常見攻擊匹配包對雙向流量進行應(yīng)用層的檢測,可以有效地降低病毒、蠕蟲和木馬等攻擊風險。三要配備主流的流量控制設(shè)備,通過檢查異常流量,保護邊界出口帶寬的正常使用。四要部署邊界設(shè)備審計系統(tǒng)和日志分析系統(tǒng),定期采集網(wǎng)絡(luò)設(shè)備和安全設(shè)備的操作日志和運行日志,出具日志報告。通過對日志報告的分析,信息安全管理人員可以對信息系統(tǒng)遭受的攻擊、網(wǎng)絡(luò)邊界的規(guī)則效用以及設(shè)備運行狀況進行評估,從而制定下一步相應(yīng)的安全規(guī)劃。

2.桌面終端域

桌面終端域由員工桌面工作終端構(gòu)成,是涉密信息安全事件的溫床。桌面終端域安全防護是安全防御的第二道屏障,主要包括以下三方面:

一是桌面終端操作系統(tǒng)安全。公司大部分PC所使用的操作系統(tǒng)是微軟公司的Windows XP或者Windows Vista,針對黑客攻擊行為,微軟公司會定期發(fā)布系統(tǒng)安全補丁包。信息內(nèi)外網(wǎng)應(yīng)各部署一套微軟WSUS補丁服務(wù)器,定期統(tǒng)一下載操作系統(tǒng)安全補丁。

二是系統(tǒng)防病毒策略。計算機病毒是電腦系統(tǒng)癱瘓的元兇。防病毒策略由部署在信息內(nèi)外網(wǎng)的防病毒服務(wù)器來實現(xiàn)。在信息內(nèi)外網(wǎng)各部署一套防病毒服務(wù)器,信息內(nèi)外網(wǎng)PC設(shè)備安裝防病毒客戶端,定期自動從防病毒服務(wù)器更新防病毒庫。

三是移動存儲介質(zhì)安全。缺乏有效保護的移動介質(zhì)是傳播病毒的有效載體,是泄露公司機密和國家機密的罪魁禍首。公司應(yīng)部署安全移動存儲系統(tǒng),對U盤進行加密處理。所有員工均使用安全U盤,規(guī)避移動介質(zhì)風險。

3.應(yīng)用系統(tǒng)域

應(yīng)用系統(tǒng)域由運行企業(yè)應(yīng)用系統(tǒng)的服務(wù)器和存儲企業(yè)應(yīng)用數(shù)據(jù)的數(shù)據(jù)庫組成。應(yīng)用系統(tǒng)域安全防護是安全防御的第三道屏障。應(yīng)用系統(tǒng)域和系統(tǒng)邊界以及桌面終端之間需要部署防火墻設(shè)備,不同安全防護等級的應(yīng)用系統(tǒng)域之間也需要部署防火墻設(shè)備。應(yīng)用系統(tǒng)維護人員需要認真統(tǒng)計系統(tǒng)的應(yīng)用情況,提供詳實的端口應(yīng)用情況,制定實用的訪問和阻斷策略。

保險企業(yè)信息安全工作是保險企業(yè)業(yè)務(wù)系統(tǒng)、管理系統(tǒng)的正常、可靠、安全運轉(zhuǎn)的關(guān)鍵,是一項長期復(fù)雜的工作,應(yīng)引起高度重視。保險企業(yè)應(yīng)加大對信息安全建設(shè)的投入力度,培養(yǎng)自身的優(yōu)秀信息安全管理人員,制定完善的信息安全管理制度,發(fā)揮保險企業(yè)促進國家宏觀經(jīng)濟健康發(fā)展的功能,服務(wù)于國家經(jīng)濟建設(shè)的大局。
 

【編輯推薦】

1. 密碼破解原因竟是密碼過簡
2. 網(wǎng)絡(luò)安全的四大誤區(qū)
3. 數(shù)據(jù)泄漏 避免“點炮”
4. 企業(yè)數(shù)據(jù)安全 MP3成為威脅
5. 面對社交網(wǎng)站 走鋼絲一般的數(shù)據(jù)保護