信息安全现状与分析天灾,也叫“不可抗力”的灾难,通常指水火无情的自然灾害,而在科技越来越发达的今天,企业可能要面临另一种“天灾”,那就是——信息安全威胁。二十世纪九十年代末出现的Internet标志着人类社会进入了信息化时代,但由于Internet的共享性和对外开放性,如何保证信息安全就成为发展Internet的重要课题。目前,我国整体的Internet安全防护能力还很不够,许多应用系统还处于不设防的状态。随着企业上网的迅猛发展,网络安全问题变得尤为重要。因为网络安全直接关系到企业的生存与发展,确保企业信息安全、以便企业不受损失应该成为各级企业的共识。但是现在许多企业没有意识到互联网的易受攻击性,盲目相信国外的加密软件,对于系统的访问权限和密钥缺乏有力度的管理。这样的系统一旦受到攻击将十分脆弱,其中的机密数据得不到应有的保护。当企业的业务、管理越来越多地依赖网络的时候,决策者们应该意识到企业的命运已经跟信息安全紧紧联系在一起。但令人遗憾的是,虽然信息安全将企业推上死路的例子数不胜数,安全问题造成的损失纪录也不断刷新,可是信息安全还没有被企业决策者们真正重视起来。很多企业认为只要安装一个杀毒软件,设立一个IT部门,购买一个防火墙,就认为万事大吉,企业信息安全问题就彻底解决了,其实这样的想法是完全错误的,甚至会给企业带来致命性的损失。保险信息安全的重要意义和形势保险信息系统是国家重要信息系统,是保险业持续稳定发展的重要保障。随着保险信息化的深入发展,保险业经营管理对信息技术高度依赖,信息安全面临新的考验,特别是保险业全面进入业务系统整合、数据大集中和信息资源开发利用的新阶段,以及保险电子商务等依托信息技术的创新产品迅速发展,信息安全对保险业稳定发展、被保险人利益乃至国家经济金融安全、社会稳定具有越来越重要的意义。保险行业虽然急速发展,但是现今的保险信息安全离保险业又好又快发展的要求仍有较大差距,集中体现为:一是全行业特别是各公司的高层人员对新时期保险信息安全的认识不充分,重视程度不高,没有认识到一旦发生信息安全事件,会对被保险人利益、公司发展和保险业形象造成严重伤害,进而可能影响到行业的稳定发展,以为信息安全就是“锦上添花”,可有可无,从而缺乏信息安全规划,安全保障工作的整体性较差。二是信息安全的投入严重不足,导致安全防护措施滞后于信息系统的开发建设。三是信息安全管理制度仍然不健全,管理相对粗放,安全责任没有层层落实,人员投入严重不足,技术储备和信息安全事件研判能力十分有限。四是应急设施不完备,灾难备份与恢复工作较为滞后,应急管理机制不完善,演练不充分,应急处置能力有待加强。可以说,保险业信息安全的抗攻击、防渗透能力一般,很难抵御一些有组织、有预谋的技术攻击,形势不容乐观。保险信息安全保障体系建设应该加强保险信息安全保障工作,把握好三个原则:一是坚持一手抓信息化建设,一手抓信息安全。二是坚持管理与技术并重。三是坚持统筹兼顾,突出重点,适度安全。信息安全保障工作需要一定的财力、物力,需要配备素质高、业务能力强的专门人才。要加大资金、人员、技术、管理等资源投入,加大对信息安全基础设施建设和基础性工作的支持力度,完善资源共享机制,优化资源组合。一是不断加强数据中心、骨干网络和电力设施等基础建设,对核心设备采取必要的冗余措施并重点保护,增强基础设施的可靠性和稳定性。二是加强信息安全的体系化建设。信息安全往往遵循“木桶”原理,最短的那块木板决定了信息安全保障能力的高低,所以,加强信息安全保障工作的体系化十分重要。各公司必须要加强信息安全的整体规划,不断丰富并完善信息安全保障手段,全面提高信息安全保障能力。三是要进一步健全日常管理,做好管理的制度化、规范化和标准化,加强对内部人员的管理和核查,加强对外包服务和核心业务系统建设的监督与审查,实施对重要系统、核心设施和关键操作等的重点监控,建立健全信息安全监控体系,加强应急演练,提高信息安全的预警、防范和处置能力。四是逐步形成有效的风险防范机制,继续做好等级保护工作,全面开展信息安全风险评估,适当的时候可以引进国家有关信息安全测评机构进行风险评估,加快信息安全风险点的排查和整改工作,提高保障能力。加强行业交流与合作及制度建设面对不断出现的各种各样的网络安全威胁,单靠一家或几家保险机构的力量是远远不够的,保险业必须加强行业内的交流与合作,共同应对来自信息安全方面的威胁,推动信息安全的发展。同时,应该加强保险业与IT行业跨行业合作的机制,研究主动防御和安全保障策略,把先进的信息安全技术和保险业的发展紧密结合起来,真正发挥信息技术价值,充分保障保险业安全、稳健发展。加强制度建设。一是应加快行业信息安全口径标准统一的进程,制定信息安全标准,保证保险行业信息安全发展有章可循。二是应将信息安全问题作为保险机构新产品销售渠道市场准入的重要参考,从根源上杜绝信息安全漏洞的产生。三是应尽快加强保险业在信息安全、容灾备份和电子商务方面的法规,使保险业信息安全的发展真正做到有法可依。保险业信息安全建设,只有从简单基本开始,循序渐进,不断完善保险业信息系统与网络重大事件应急预案和应急协调预案,加强应对突发事件的能力。认真做好保险信息安全通报工作,完善并创新信息安全通报工作体系,加强保险信息安全的预警,提高信息安全事件的研判和处置能力,确保保险信息安全保障工作的有序开展。要加强信息安全的交流与研究,形成行业的整体合力,提高整体水平。不断加强“防患未然”的安全意识,并把它落到实处,真正地促进保险企业科学高效的管理。
温馨提醒:随时光飞逝,岁月变迁,文章观点,准确性、可靠性、难免有所变动,因此文章观点仅供参考!