保险企业数据中心信息安全防护体系建设初探

在大数据、云计算等新技术风起云涌、蓬勃发展的今天,随着国内信息安全形势日益严峻和保险行业监管要求的不断加强,对保险企业数据中心信息安全防护提出了更高的要求。
一、保险企业数据中心信息安全防护体系概述
(一)信息安全防护体系定义
信息安全防护体系是由信息系统、信息安全技术、人、管理、操作等元素有机结合,能够对信息系统进行综合防护, 保障信息系统安全可靠运行,保障信息的“保密性、完整性、可用性、可控性、抗抵赖性”。主要包括物理安全、人员安全、安全技术、管理制度四个部分(以下简称“四防”)。
(二)保险企业数据中心“四防”相关内容简介
1.物理安全
数据中心物理安全主要包括基础设施、环境及安全防护设备等方面,重点做好主机房等场所设施的安全防范工作,例如采用室内监控技术、用户访问登记以及自动报警系统等记录用户登录及其访问情况,方便随时查看。此外,对于主机房以及重要信息存储设备来说,要通过采用多路电源同时接入的方式,保障电源的可持续供给,以防因断电造成安全威胁。
2.人员安全
人员安全主要是指在数据中心建立适合自身各级系统的领导组织机构与责任部门,明确岗位设置与职责,完善培训制度,加强从业人员的信息安全教育,增强从业人员的信息安全等级保护意识。通过定期组织培训、业务交流、技术考核等多种方式,不断强化各类人员信息安全和风险防范的观念,树立信息安全等级保护的意识,确保在日常运行维护和应急处置过程中,能够将各类资源优先集中在等级保护级别更高的系统。
3.安全技术
信息安全等级保护工作的核心是对信息系统分等级实行安全保护,对信息安全产品实行按等级管理,对发生的事情按等级分类并进行相应处置。根据信息系统级别的差异,有效规划安全产品布局,在信息系统中正确地配置其安全功能,通过身份鉴别、自主访问控制、强制访问控制、安全审计、完整性和保密性保护、边界防护、恶意代码防范、密码技术应用等主要技术保护措施确保网络、主机、应用和数据的安全性。同时,制定相应的应急处置预案、应急协调机制,建立安全监测和灾难恢复机制,落实信息系统安全监测、灾难备份措施,并不断梳理完善系统的运维监控体系和应急处置方案,确保各类信息安全资源能够按照信息系统等保的级别合理分配,优先监控和保障级别高的信息系统安全稳定运行。
4.管理制度
数据中心管理制度主要包括安全策略、安全技术规范、安全操作指南、系统建设、安全管理、运维、安全检查与评估、应急响应等方面,同时将信息系统的定级、备案、测评、整改等工作纳入流程管理机制,确保等级保护工作常态化和制度化。

仪征供电稳步推进企业文化示范点建设

(三)信息安全保障体系框架(IATF)
IATF 是由美国国家安全局组织专家编写的一个全面描述信息安全保障体系的框架,它提出了信息保障时代信息基础设施的全套安全需求。IATF创造性的地方在于,它首次提出了信息保障依赖于人、技术和操作来共同实现组织职能/业务运作的思想,对技术/信息基础设施的管理也离不开这三个要素。IATF认为,稳健的信息保障状态意味着信息保障的策略、过程、技术和机制在整个组织的信息基础设施的所有层面上都能得以实施。
IATF规划的信息保障体系包含三个要素:
人(People):人是信息体系的主体,是信息系统的拥有者、管理者和使用者,是信息保障体系的核心,是第一位的要素,同时也是最脆弱的。正是基于这样的认识,安全管理在安全保障体系中就愈显重要,可以这么说,信息安全保障体系,实质上就是一个安全管理的体系,其中包括意识培训、组织管理、技术管理和操作管理等多个方面。
技术(Technology):技术是实现信息保障的重要手段,信息保障体系所应具备的各项安全服务就是通过技术机制来实现的。当然,这里所说的技术,已经不单是以防护为主的静态技术体系,而是防护、检测、响应、恢复并重的动态的技术体系。
操作(Operation):或者叫运行,它构成了安全保障的主动防御体系,如果说技术的构成是被动的,那操作和流程就是将各方面技术紧密结合在一起的主动的过程,其中包括风险评估、安全监控、安全审计、跟踪告警、入侵检测、响应恢复等内容。
人,借助技术的支持,实施一系列的操作过程,最终实现信息安全保障的目标,这就是IATF最核心的理念。
(四)保险企业数据中心安全防护面临的风险和挑战
数据中心面临的信息安全形势日益严峻,从外部来看,特别是云计算、大数据和移动互联等新技术的发展给信息安全风险防范带来新的挑战。同时,国内信息安全形势日益严峻也促使保险企业需进一步加强数据中心整体信息安全防护水平。从内部来看,数据中心运营风险高度集中,常成为攻击的首选目标,安全责任重大,安全防护要求更高。同时保险行业信息系统与金融同业相比存在安全防护水平不高和安全投入不足等薄弱环节。
在内外部环境发生了较大变化情况下,传统数据中心信息安全防护体系已无法满足实际需要,急需构建涵盖机房物理安全、网络安全、数据安全等方面全方位、多角度的保险企业数据中心一体化信息安全防护体系。
二、新技术新形势带来的信息安全防护体系新变化
(一)新技术应用带来的信息安全防护新挑战
从外部来看,特别是云计算、大数据等新技术的发展给信息安全风险防范带来新的挑战。

《道路交通安全法实施条例》:12岁以下骑单车上路违法

1.大数据应用带来的安全挑战
(1)技术框架变化带来的影响
保险企业目前均加快开展大数据应用项目建设,大数据集成数据库是更容易被黑客们“ 盯梢” 的大目标。一方面,大量汇集的数据,从而使成功攻击的黑客就能获得更多的数据,减少了黑客的攻击成本。另一方面,大数据也意味着更复杂、更敏感的数据,对黑客更具吸引力。
当前大数据的数据库集群所应用的数据库不使用封闭化的控制用户对特定范围内的网页内容和服务进行访问的模式, 其采取的是不限制用户访问网页内容的开放模式。大数据数据库没有内部数据库,不对用户隐藏私有数据,控制特定用户才能进行访问。这是因为大数据数据库的体系架构是分布式并发平行的,应用程序在客户端操作过程中,分别有许多不同的节点进行通信,所以要确认数据节点和认证客户对数据的访问权限是很困难的。
随着大数据的技术革新,大量分布式、多线程和存储技术不仅创造了商业价值,同时也给黑客提供了更多高效的攻击手段,利用大数据技术,黑客可以扩大攻击影响效果。
(2)数据信息泄露威胁
大数据在一方面给人们带来了很多便利,给企业提供了更多的商机;而另一方面,大数据的普遍应用又增加泄露用户重要个人信息的风险,例如收货时提供的家庭住址、手机号码等。网上交易还容易泄露密码和信用卡号等交易信息,这些私人信息的泄露可能会影响公众生活,并造成较大的财产损失。此外,大数据时代下的信息泄露也会给整个行业,甚至国家安全造成威胁。
2.云计算规模部署带来的安全挑战
云计算已经在数据中心大规模的进行了部署,云数据中心已经不是概念而是在不断的实践中。由于云计算自身的虚拟化、无边界、流动性等特性,使其面临较多新的安全威胁,面临的主要威胁包括:云计算的滥用、恶用、拒绝服务攻击、不安全的接口和API、恶意的内部员工、数据泄漏、账号和服务劫持、未知的风险场景等,这些威胁给传统的防护体系带来了极大的冲击。云计算以动态计算服务为主要技术特征,以灵活的“服务合约”为核心商业模式,对信息安全与隐私保护带来前所未有的风险,甚至会威胁到个人、企业,甚至国家的信息安全。亚马逊的“简单存储服务”两次中断事件,谷歌的大批用户文件外泄事件等云计算信息安全事故的出现更加剧了人们对云计算技术安全性的担忧。

大数据时代谁来守护信息安全?

新技术具有开放性、多源性、随机性、数据海量化、场景移动化等特点,新技术应用对信息安全工作提出更高要求,保险机构要积极构建涵盖保险业务全流程的综合信息安全防范体系。事实证明,大数据、云计算等新技术应用产生的安全问题已成为制约其发展的重要因素。只有全面分析大数据和云计算面临的各种安全问题,构建完备的新技术环境下的信息安全防护体系,才能确保大数据、云计算等新技术的健康持续的发展。
(二)国内信息安全新形势带来的法规符合性要求
1.国家安全战略要求
十二届全国人大常委会第十五次会议于2015年7月1日表决通过了新的国家安全法。法律对政治安全、国土安全、军事安全、文化安全、科技安全等11个领域的国家安全任务进行了明确。不难看出,信息安全已经成为国家安全战略的重点,受重视程度也愈来愈高。
2.金融机构法规要求
金融业信息安全等级保护监管工作正在加快推进。2012年7月以来人民银行陆续发布了《金融行业信息系统信息安全等级保护实施指引》、《金融行业信息系统信息安全等级保护测评指南》、《金融行业信息安全等级保护测评服务安全指引》3项标准,对金融行业信息系统信息安全等级保护建设、测评、整改工作的顺利开展提供了有力的保障,并加强了对区域金融机构信息系统安全等级保护工作的执行力度。
3.保险行业监管要求
随着保险业信息化进程加快,信息安全的基础性、全局性作用日益凸显,对于保险业持续、健康、快速发展起着举足轻重的作用。信息系统安全问题已成为保险行业防范风险的重要工作。保险行业信息系统定级工作在2007年底基本完成。从2008年至今,等级保护工作在保险行业持续展开。保监会陆续颁布《保险业信息系统灾难恢复管理指引》、《保险公司信息化工作管理指引(试行)》、《保险公司信息系统安全管理指引(试行)》等办法落实等保要求,加强行业信息安全管理。近期保监会相继出台《保险机构IT 审计规范(征求意见稿)》和《保险机构信息化监管规定(征求意见稿)》进一步加强全行业信息安全监管。
综上,从国家战略层面、金融机构监管到保险行业监管各层级都对信息安全防护体系建设提出了更高的要求。
(三)保险企业数据中心安全防护面临的风险防范需求
从内部来看,加强保险企业信息安全防护体系建设是保险企业的内在信息安全需要。
1.数据中心信息安全风险高度集中
伴随着保险企业数据大集中的实现,风险也相对集中,部分保险企业两地三中心的灾备体系仍未建成。一旦数据中心发生灾难,将导致保险企业的所有分支机构、营业网点和全部业务处理停顿,导致客户重要数据丢失,其后果不堪设想。另外,保险机构的信息网络和重要信息系统正成为敌对势力、不法分子进行攻击、破坏和恐怖活动的重要目标。
2.数据中心安全防护水平有待提升
尽管保险企业信息化发展迅速,然而由于在数据中心建设初期缺乏统一顶层设计和总体策划,诸如不同建设时期、不同需求导向、不同开发工具、不同系统架构技术路线等建设而成的网络与信息系统形成了异构、复杂的系统状态,因此保险企业数据中心信息系统较金融同业相比,存在基础设施较为落后、网络建设各自为政,缺乏有效数据交换手段,造成的利用率不高、缺乏终端安全防护措施和完善的计算机入网监管手段以及防病毒和防木马的意识薄弱等诸多问题。
3.保险企业信息安全投入亟待加强
由于安全防护措施滞后于信息系统的开发建设,保险企业信息安全管理制度仍然不健全,管理相对粗放,安全责任没有层层落实,人员投入不足,技术储备和信息安全事件研判能力有限。
差旅或在外工作时需注意的信息资产安全
综上所述,如何在现有复杂异构的信息系统中,建立一个涵盖信息化各层面的一体化安全防护体系,特别是在新技术蓬勃发展、国家监管要求日趋加强的大背景下,及时有效地保障保险企业数据中心信息安全是亟待解决的难题。
三、构建保险企业数据中心一体化信息安全防护体系
根据保险企业数据中心内外部信息安全防护形势变化情况,本文拟基于国家信息系统等级保护制度和国际标准ISO27001,参考IATF模型和风险管理闭环管理理论,构建“四防护一支撑”的保险企业数据中心一体化信息安全防护体系框架。具体内容为:
以保险企业数据中心整体安全科学管理为目标,以基于国家等保测评管理制度和ISO27001的安全防护体系规划为牵引,以安全技术优化为手段,以应急技术队伍建设为关键,以安全制度建设为保障,以大数据和云平台等技术平台为支撑,构建一套强调闭环管理,突出“人防、物防、技防、制防”四防并重,主动防御、动态评估、综合防范的保险企业数据中心一体化信息安全防护体系(详见下图)。
(一)安全体系规划是牵引
落实国家信息安全等保要求,参考国际ISO 27001相关内容,根据保险行业信息化监管要求和集团相关管理规定,编制保险企业数据中心统一信息安全规划和基线,建立信息安全方针与策略,统筹考虑管理数据中心物理安全、人员安全、网络安全、主机安全、应用安全、数据安全等方方面面,主要包括安全策略保障体系、安全组织保障体系、安全运行保障体系、安全技术保障体系和应急恢复保障体系等五大部分内容。
(二)安全技术方法是手段

安全防护技术手段和产品以及安全防护监督方法是实现保险企业数据中心一体化信息安全防护体系的重要手段。
一是应用先进成熟的技术产品,降低安全风险, 包括安全产品的购置与配置加固、防病毒、加强安全域和网络访问控制, 统一监控管理平台、统一身份认证与授权管理平台等。
二是加强风险评估,风险评估是一种获知组织当前风险水平的一种手段, 在等级保护和信息安全管理体系建设过程都要用到。信息安全防护体系的建立也基于风险评估的结果之上。
三是持续开展安全检查, 有利于落实信息安全方针与策略, 及时发现信息安全在技术、人员及流程方面存在的隐患, 也有利于提高员工安全意识, 保证业务的持续运行。
四是定期进行IT审计,利用审核机制进行独立的体系审核是一种强有力的监督机制。可以由保险企业内部审计部门阶段性地组建立审核组,有效地管理在企业中开展的信息安全审核工作, 也可外聘第三方审计机构对保险企业数据中心进行外部审核。
(三)安全技术队伍是关键
数据中心运营过程中最重要的要素就是人,需要全力打造一支素质过硬、技术精良的数据中心信息安全技术队伍。
一是定期开展安全培训和信息安全宣贯工作,通过“走出去,引进来”的方式进行培训,提升全员安全意识;
二是鼓励技术人员通过参加各类专业技术考试并获得相关资质认证提升专业能力(尤其是CISP、 CISSP等国内外信息安全专业证书),督促各运维服务商严格要求相关驻场人员持证上岗,整体提升安全运维队伍专业水平。
三是扩大应急演练范围和增加演练内容,锻炼安全技术队伍实战能力,建立涵盖基础环境的电力系统、暖通系统、消防系统、网络系统、云平台及各类重要应用系统在内的数据中心综合性应急演练。
(四)安全制度建设是保障
“三分技术,七分管理”,通过建立一整套体系化的管理制度, 包括方针、策略、程序文件, 操作手册,记录等,把风险控制到数据中心可接受的水平。
一是对标先进数据中心最佳实践,不断细化和完善信息安全制度和细则,形成一套涵盖一级至四级结构文件在内较为全面的保险企业数据中心信息安全管理制度体系。
二是以问题为导向,结合定期和不定期安全检查结果和第三方安全评估过程发现的问题,不断查漏补缺,整改完善,形成长效机制。
三是定期评估数据中心运营的各类风险,并有针对性的不断更新细化完善数据中心整体应急预案。
(五)基础设施构建是支撑
大数据平台、云平台及信息安全管理平台(SOC)和风险基础数据库是实现一体化信息安全防护体系的重要支撑和基础环境。
一是充分利用云计算、大数据技术为信息安全防护提供了技术创新可能,对大量安全设备日志和海量广域网流量的实时分析,有力提升数据中心的主动监控和防御能力。
二是通过建立数据中心信息安全管理平台,实现安全管理的信息化、流程化与规范化。
三是参照IT服务管理(ITSM)体系建设中事件管理和问题管理标准化流程,逐步积累各类运行中事件问题的知识库,建立风险基础数据库,形成组织过程资产。
(六)闭环动态优化是方向
保险企业数据中心一体化信息安全防护体系框架要求持续动态地识别风险, 不断地采取管控制措施, 以降低风险到组织可接受的程度。该框架强调通过定期的内外部安全评测和检查、不断优化的各系统应急演练过程、持续的制度梳理完善形成一个将被动的技术和管理体系联系起来,动态更新、闭环管理的保险企业数据中心一体化安全防护体系。
四、总结及建议
保险企业数据中心信息安全防护体系建设是一项较为复杂的系统工程,需要从顶层设计和整体规划,充分协调保险企业上下的资源,从组织保障、能力建设、技术储备、资源投入等方面全方位开展相关工作,就实现该体系框架提出如下几点建议:
(一)夯实信息安全防护技术基础
大数据、云计算、移动互联等新技术的广泛应用带来了新的安全风险,同样也会丰富安全防范手段。保险机构应提高安全防范意识,加强安全生产管理,强化生命周期管理,落实安全等级保护制度,夯实基础,有效防范新技术带来的信息安全风险的同时,充分利用新技术创新数据中心安全防护工具和手段。
(二)及时动态调整安全防护体系
保险企业信息化建设是随着需求的改变不断发展变化的,信息安全防护也是一个动态的体系,这就决定了任何技术或手段都不可能一次性地解决信息安全防护中的所有问题,需要定期动态的重新统一规划数据中心信息化基础设施和安全体系建设。
(三)建立数据中心的三道安全防线
推进保险企业数据中心安全防护体系的横向整合连通和纵向互联互通,在纵向自上而下和自下而上的建立数据中心安全防护体系框架基础的同时,在横向上加强 “三道防线”的职责分工与协作机制建设。
第一道防线:由安全策略保障体系、安全组织保障体系、安全技术保障体系构成完备的安全管理体制与基础安全设施, 形成对安全苗头进行事前防范的第一道防线, 为业务运行安全打下良好的基础。
第二道防线:由安全运行保障体系构成事中控制的第二道防线。通过周密的生产调度、安全运维管理、安全监测预警,及时排除安全隐患, 确保数据中心持续、可靠地运行。
第三道防线:由应用恢复保障体系构成事后控制的第三道防线。针对各种突发灾难事件, 建立灾难恢复与业务持续性计划, 进行应急演练, 形成快速响应、快速恢复的机制, 将灾难造成的损失降到组织可以接受的程度。
(来源:中国保险信息化)
微信扫一扫关注该公众号

市场竞争激烈,商业间谍是业务安全的一大威胁,如何让员工重视和有效防范商业竞争对手和间谍呢?
公司应该对信息系统的运行维护负责,保持运行维护控制力。加强安全入侵检测监控,进行风险评估与安全扫描,及时发现并处置安全事件。

猜您喜欢

涟源市供电公司多举措筑牢网络信息安全防火墙
网络钓鱼攻击的演变历史及趋势
面向企业员工的HSE基础知识扫盲式在线学习教程
关晓彤北影艺考成绩曝光
ALMODARRESI WINDYCITYGRIDIRON
为保国家网络信息安全“叛徒”“国妖”请勿杀之