• 快捷搜索
  • 全站搜索

保险企业信息安全管理框架体系的构建

2012-11-05 12:35:12作者:中国人寿保险股份有限公司信息技术部编辑:
信息安全保障体系应从信息安全组织、信息安全管理、信息安全运行、信息安全技术和信息安全监督五个方面建立闭环控制的信息安全管理框架。

当前,国内主要保险公司都在开展数据中心建设、实施数据集中、进行网络扁平化改造,较之以往省级公司分散管理的模式,信息技术资源的大集中提升了设备资源的利用率,提高了系统运行维护的质量,但数据集中也使得保险企业的系统运营风险更为集中。面对日益复杂的外部环境和日益严峻的信息安全威胁,以往单兵作战的方式已经无法满足企业防范风险的需要,结合企业自身特点,采用大兵团、积极主动、预先防御的作战方式,构建综合防范的信息安全保障体系已成为保险企业信息安全工作的必由之路。本文基于confidentiality,Integrity and Accountability(CIA)框架模型,针对保险企业面临的风险威胁,结合企业信息安全实践,提出了五个层面的信息安全管理框架体系。

一、信息安全内容演进与CIA框架模型
        ISO/IEC 17799将信息安全定义为,为了实现组织既定的安全目标,通过实施一组合适的控制(包括策略、措施、过程、组织结构和软件功能)而达到的对信息保密性、完整性和可用性的保护。保密性确保信息只能被已授权用户访问,完整性保护信息处理手段的正确与完整,可用性确保授权用户在需要时能够访问信息及相关资源。CIA框架模型包括保密性、完整性和可用性三个核心属性。基于CIA属性的风险评估标准如表l所示。

保险企业信息安全管理框架体系的构建表1.jpg

二、保险业面临的信息安全威胁
        保险企业近年来信息化建设取得了突飞猛进的发展,大型甚至超大型数据中心陆续建成,基于互联网的销售支持和客户服务应用日益普及,与外部合作企业间的网络互联互通日渐广泛,随之而来的安全威胁也越来越大,总体而言,国内大中型保险企业面临的风险主要来自以下四个方面。

        1.边界安全风险
        企业网络中,内部网络和外部网络是直接连接的,网络边界的互通性和网络访问的无限制性使得网络边界很容易成为黑客或者恶意分子攻击的入口。如果网络边界安全机制不足,黑客或者恶意分子可以通过外部连接攻入内部网络,进而窃听、监视甚至窃取、篡改内部信息资料,也可以直接对内部网络设备发起攻击,造成网络阻塞,甚至瘫痪。

        2.人员安全风险
        人是信息的最终用户,人员的流动性和分散性增加了安全防范的难度。国内大型保险企业,在职员工数量几万到十几万人不等,分支机构数以千计,保险产品销售仍以营销员和保险中介为主要渠道,截至今年3月底,全国共有保险专业中介机构2547家,保险代理机构19万余家,保险营销员333万余人。机构和人员数量众多,安全意识参差不齐.给防范信息外泄工作提出了重大挑战。据权威机构统计,当前83%的信息安全事故为内部人员和内外勾结所为,而且呈上升的趋势。因此,在构建企业信息安全保障体系时,应加强对内部人员的管理,采取“防内为主、内外兼防”的模式,从提高使用节点自身的安全着手,构筑积极综合的安全防护系统。

        3.数据安全风险
        数据安全风险包括竞争性业务的经营和管理数据的泄漏、客户资料的泄漏以及数据被恶意篡改或破坏等。企业敏感数据存在的形式不仅是文档,在业务系统中流转的数据、在服务器中共享的数据、在个人设备中保存的数据、在设计软件中展现的数据、在邮件中的正文信息及附件中的数据、交付第三方的信息等都可能是敏感数据。保密数据以不同的应用方式,呈现出不同的应用形态。因此需要对数据进行分级分类管理,采用不同的策略进行防护。一是内部核心数据部门,需要制定完善严格的防护策略;二是内部的办公区域,需要加以适当防范;三是服务器区域,需明确数据的存在方式以及访问权限设置;四是移动办公的人员,需兼顾安全与便捷;五是接受交换数据的外部机构,数据传输需要加密处理,数据访问需要严格可控。敏感数据在产生、存储、应用、交换等环节中均存在泄密风险,因此数据风险的评估、系统整合、应用系统架构设计与信息系统的合理使用都是数据风险防护考虑的因素。

        4.环境安全风险
        物理环境安全是指在物理介质上对存储和传输的网络信息的安全保护,也就是保护数据中心网络设备、设施免遭地震、水灾、火灾等危害以及人为破坏的防护过程一企业面临的物理环境安全风险主要来自于数据中心,保障数据中心的机房、所有设备及其场地的安全是整个数据中心信息系统安全的前提。如果机房的安全得不到有力的保障,存在这样那样的不安全因素,则整个数据中心的安全也就不可能实现。影响数据中心设备和工作人员的物理环境安全分为机房安全和设备安全。机房安全指数据中心所在环境的安全保护,如区域防护和灾难保护,包括场地安全、温度、湿度、静电、灰尘、防火、用电安全等。设备安全指设备的防盗、防电磁泄漏、防电磁干扰、存储介质管理等,设备安全的主要目标是防止数据中心资产流失、损坏及对业务活动造成的破坏。当前各金融保险企业建设数据中心的主要目的就是为企业的经营发展打造一个高可靠的物理安全环境,是一项重要的基础设施建设。

 1 2 3 下一页 尾页

扫码即可手机
阅读转发此文

本文评论

相关文章