目前,保险业的信息安全面临新的挑战。一方面由于数据的集中处理和集中存放,使得一旦发生故障产生的损失会比以前数据分散的情况下产生的损失大得多;另一方面保险业务从专用网络扩展到互联网和无线网,使得保险业的网络面对外部黑客的威胁和病毒的侵害。这些安全威胁一旦给保险业造成损失,将不仅影响到保险公司本身,而且可能会涉及到国家金融系统的安全。
信息安全风险日益严重
据中国国家计算机网络应急技术处理协调中心(简称CNCERT/CC)的统计报告显示,2005年CNCERT/CC共收到国内外通过应急热线、网站、电子邮件等报告的网络安全事件12万多件,与2003年相比数量增长了十倍。全球范围内的信息安全形势也同样不容乐观。2003年2月,日本最大的宽带网接入服务提供商软银公司互联网服务数据库中的452万名用户资料被泄漏,据估花费了40亿日元赔偿损失。2005年6月,万事达公司宣布4000万信用卡用户的信息可能被窃,共涉及1390万名万事达卡客户、2200万名维萨卡用户以及数量不详的美国运通和Discover卡用户。以上种种事例都表明保险业面临的信息安全风险日益严重。
对此国家非常重视,“十五”期间,国家陆续颁布了《计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《商用密码管理条例》和《电子签名法》等一系列信息安全法律法规,全国信息安全标准化技术委员会也陆续推出了《GB/T 19716-2005 信息技术 信息安全管理实用规则》等一系列信息安全标准。2005年党的十六届五中全会就明确指出要“健全信息安全保障体系,实现信息化与信息安全协调发展”,并在2006年-2020年的国家信息发展战略中将信息安全建设作为重要的组成部分。
随着国家信息安全法制建设和标准化建设等基础环境建设的不断加强,对保险业信息安全保障的要求也日趋严格。为了进一步加强保险业信息安全保障工作,保监会专门下发了《关于进一步加强保险系统信息安全保障工作的通知》,并采取了一系列措施来落实此项工作。同时,在保监会发布的《中国保险业发展“十一五”规划信息化重点专项规划》中将信息安全保障工作提到了相当的高度,将“信息安全保障工作切实加强,信息安全保障体系逐步完善”列为发展目标,把“构建信息安全保障体系”作为下一步工作的主要任务。太平洋保险集团作为保险业的重要一员,已经注意到信息安全的重要性,并已经采取了应对措施。
保障信息安全的最佳之策
面对复杂的内外部形势,太平洋保险集团经过多年信息化建设和安全管理实践,认为只有建立健全信息安全体系,依托机制保障,融合技术与管理,形成合力,才能有效应对信息安全风险。
信息安全体系是安全组织、安全管理和安全技术的紧密结合,缺少了其中任何一个要素,都无法实现公司既定的信息安全管理目标。
安全组织是指企业内部的信息安全管理组织,它负责信息安全体系的管理、实施和监督。安全组织不是一个孤立的组织,它的工作目标需要通过企业各部门的密切配合才能实现。举例来说,对数据的授权需要由业务流程负责人审批后才由信息安全人员具体执行,少了业务部门的配合,授权管理便无法真正实现。此外,在我们的实际工作中,由于个别员工安全意识薄弱,未采取一些基本的安全措施,导致个人电脑被恶意代码攻击的事例也时有发生。因此,除了安全组织外,公司的每个员工都应切实履行信息安全职责。
安全管理是指制定和执行公司信息安全策略、标准与指导方针、流程和指南。安全策略是根据公司信息安全原则制定出公司信息安全管理的目标和方向,以满足公司不断发展的业务需求。安全标准与指导方针是在安全策略指引下,针对信息安全具体工作内容制定的标准和规范。安全流程和指南是根据实际工作开展的需要,将安全策略分解到明细的规定和执行流程的步骤。在策略、标准和流程制定后,安全管理的另一项工作就是负责落实。
安全技术是指通过一系列技术手段来保证安全管理目标的实现,是整体信息安全体系中技术层面的内容。安全技术非常多且在不断的发展中,目前大家熟知的有:IDS入侵检测技术、Firewall防火墙技术、防病毒技术、加密技术和认证技术等等。安全技术运用的关键是根据公司实际需要选择合适的技术在成本合理的前提下达到公司信息安全管理目标。
那么,信息安全体系如何协同工作、发挥作用呢?我们就拿企业防病毒管理举例来说:尽管很多企业都部署了企业级防病毒软件,但病毒感染事件仍时有发生,甚至部分企业遭受重大影响。为什么呢?仔细研究后不难发现,这些企业只是简单的部署了防病毒产品并没有建立起完整的防病毒管理体系。真正的信息安全体系应该是这样协同运转的:首先,企业应该有专门的安全组织负责病毒预警和病毒感染事件处理,并且建立起行之有效的病毒事件响应机制。其次,在管理上制定公司防病毒管理规范和标准,并通过信息安全教育使员工提高防病毒的意识和能力。最后,在技术上统一部署防病毒系统并定期升级病毒特征码,在病毒出现时由专人处理,以有效地控制病毒的破坏程度。只有这种人、管理、技术三位一体的信息安全体系才能有效保障公司的信息安全。
如何与实际需要相结合
信息安全体系建设如此重要,那如何才能构建一套符合实际需要的安全体系呢?从太保集团的实践来看,在公司2002年信息技术战略规划中就明确提出要“建立企业的IT安全体系,为信息化建设中的IT安全提供原则和指导,满足CPIC当前和长期的IT安全性需求,保护公司的信息资产”,目标就是建立全公司的信息安全体系,在内容上涵盖IT安全组织、IT安全管理制度以及IT安全技术三部分内容。
在建设过程中,太保集团以国标《GB/T 19716-2005 信息技术 信息安全管理实用规则》为指导,根据信息安全建设的通用方法,有步骤、有系统地推进信息安全体系的建设。从工作步骤上看,可划分为:评估、规划、设计、实施和运维五个部分内容。
评估工作的目的是明确信息安全现状和安全需求,通过对现有信息安全管理制度和基础设施及应用系统的评估,了解信息资产存在的威胁和漏洞,从而确定预防风险的应对措施。
规划工作的目的是完成信息安全体系及其核心组件的高端解决方案设计。
设计工作的目的是完成信息安全体系的详细设计,包括:开发IT安全管理制度,建立安全组织,设计IT基础设施安全架构、应用安全架构等,获取并定制安全产品,并制定现存技术基础设施和应用系统的改造方案,以便达到安全控制的要求。
实施工作的目的是在全司范围内进行信息安全体系的试点实施和推广工作,包括:新的策略、标准、流程的宣导,改造现有的技术基础设施和应用系统等。
运维工作的目的是对信息安全体系进行持续管理、执行、监控、改进,并且根据业务发展及定期风险评估的结果,更新信息安全体系。
建立信息安全体系的意义
建立健全信息安全体系对太平洋保险集团的发展意义重大。首先,此体系的建立将提升信息技术平台的可靠性。信息安全体系建设是公司信息化建设中的重要环节,必将大大提高信息基础平台的安全性和可靠性,使其更好地服务于公司的业务发展。其次,通过信息安全体系的建设,可有效提高对信息安全风险的管控能力,增强信息安全事件处理的有效性, 降低数据被非法修改和使用的风险,持续保护公司信息资产;同时提高客户和业务合作伙伴对公司的信任度。最后,信息安全体系的建立将使太平洋保险集团在信息安全保障方面与国际先进水平接轨,从而为太平洋保险集团参与国际竞争、成长为国际化金融控股集团提供有力的技术支撑。