保险信息安全管理理论与实践

        引入27001信息安全管理体系，通过ISO27001国际认证，向客户及利益相关方展示公司对信息安全的承诺，向政府及行业主管部门证明公司信息安全对相关法律法规的符合，增强合作伙伴、投资方的信心。目前，ISO27001已被公认为信息安全管理的最佳实践，已有个别保险公司的信息中心通过了ISO27001认证，效果良好。

        4、完善信息安全保障技术体系
        信息安全保障技术手段比较多，为便于技术保障体系的系统化，笔者将这些技术手段归为网络信任体系、安全防护体系、安全监控体系、应急恢复体系和安全审计体系五大体系。五个体系相辅相成，共同构筑一道完整的“技术防火墙”。

        1）建立网络信任体系
        信任体系的核心就是对信息系统用户的权限进行定义和管理，使用户在信息网络中的各种行为处于必要的受控状态。网络信任体系主要包括身份认证、授权管理和追踪审计三方面，其中核心的是用户网络身份的统一认证管理。

        目前，大部分保险公司都未完成网络信任体系的建设，信息系统用户身份管理存在诸多风险。一是身份管理流程不统一，信息系统用户注册、认证与变更不统一,直接影响各系统用户认证与访问控制的一致性。二是用户管理流程较为复杂，员工入职、角色变更时，需要面对多个系统分别进行表更。三是安全风险难以控制，权限的管理分散在多个系统中，难以采取集中、统一的安全策略进行控制，使得信息安全风险控制的难度非常大。

        建立完善的身份管理体系，实现统一身份认证管理和授权，可简化用户管理流程，降低用户管理模块分散开发和维护的成本，为信息安全管理提供坚实基础。

        2）建立安全防护体系
防护体系是构筑攻击与入侵的边防线，其主要工作是根据安全策略，部署相应的安全措施。 防护的关键点在各网络区域的“边界”，即进出各网络区域的关口。根据保险信息系统架构特点，主要的防护点有：

        网络出入口：包括内部的局域网与广域网的接口、外连合作伙伴的网络接口、互联网出口等。

        网络安全子域的边界：不同安全区域对应不同的安全防护需求，在网络安全子域边界上安装设置安全防护，可以避免因一个区域的发生安全问题而殃及其他区域。

        服务器：由于维护人员不规范操作，服务器都可能成为“灾难”扩散点；服务器也是黑客常见的攻击目标。

        终端：终端是内部威胁的源头，是病毒、木马传播的汇集地。

        对于网络边界的防护，一是要合理划分安全区域，定义清晰的边界，这是网络安全防护的前提；二是要及时部署FW/IPS/AV/UTM/VPN/防垃圾/网闸等防护设备。对于终端与服务器的防护，一是要安装防病毒、防木马等基本安全软件,并及时更新病毒库和攻击库；二是要及时打补丁，避免操作系统和应用系统漏洞,以提高自身免疫能力的保证。

        3）建立安全监控体系
有了安全防护体系并不是就外事大吉，入侵高手也可能轻易就突破安全防线。对于突破安全防线的入侵者，就需要通过安全监控体系来发现从设备工作状态、应用服务异常、网络流量异常和用户行为异常的各种“可疑”点，并进行报警，以便及时发现和应对可能存在的入侵或问题。

        完善的安全监控体系，应要包括以下主要方面：

        入侵监控：重点监控黑客、木马、蠕虫和病毒。可通过在网络的核心、汇聚点要部署网络层部署网络IDS，在服务器、终端主机上部署主机IDS来实现进行。

        异常监控：一是对设备和应用状态的异常进行监控；二是对网络流量异常进行监控。异常监控一般通过网管进行。

        行为监控：主要是对内部人员的信息系统操作行为进行监控，防止内部人员的非授权行为或滥用。一般采取安装非法外联、实施桌面管理、移动介质使用监控等措施。

        4）建立应急恢复体系
完善的应急恢复体系，能有效应对信息系统的各种紧急情况，维持和快速恢复关键的IT服务，保护客户合法权益，维护各保险机构信息系统服务客户的良好社会形象。

首页 上一页 3 4 5 6 下一页 尾页

扫码即可手机
阅读转发此文