当前，国内主要保险公司都在开展数据中心建设、实施数据集中、进行网络扁平化改造，较之以往省级公司分散管理的模式，信息技术资源的大集中提升了设备资源的利用率，提高了系统运行维护的质量，但数据集中也使得保险企业的系统运营风险更为集中。面对日益复杂的外部环境和日益严峻的信息安全威胁，以往单兵作战的方式已经无法满足企业防范风险的需要，结合企业自身特点，采用大兵团、积极主动、预先防御的作战方式，构建综合防范的信息安全保障体系已成为保险企业信息安全工作的必由之路。本文基于Confidentiality,Integrity and Accountability(CIA)框架模型，针对保险企业面临的风险威胁，结合企业信息安全实践，提出了五个层面的信息安全管理框架体系。

　　一、信息安全内容演进与CIA框架模型

　　ISO/IEC 17799将信息安全定义为，为了实现组织既定的安全目标，通过实施一组合适的控制(包括策略、措施、过程、组织结构和软件功能)而达到的对信息保密性、完整性和可用性的保护。保密性确保信息只能被已授权用户访问，完整性保护信息处理手段的正确与完整，可用性确保授权用户在需要时能够访问信息及相关资源。CIA框架模型包括保密性、完整性和可用性三个核心属性。基于CIA属性的风险评估标准如表1所示。

　　二、保险企业面临的信息安全威胁

　　保险企业近年来信息化建设取得了突飞猛进的发展，大型甚至超大型数据中心陆续建成，基于互联网的销售支持和客户服务应用日益普及，与外部合作企业间的网络互联互通日渐广泛，随之而来的安全威胁也越来越大，总体而言，国内大中型保险企业面临的风险主要来自以下四个方面。

　　1.边界安全风险

　　企业网络中，内部网络和外部网络是直接连接的，网络边界的互通性和网络访问的无限制性使得网络边界很容易成为黑客或者恶意分子攻击的入口。如果网络边界安全机制不足，黑客或者恶意分子可以通过外部连接攻入内部网络，进而窃听、监视甚至窃取、篡改内部信息资料，也可以直接对内部网络设备发起攻击，造成网络阻塞，甚至瘫痪。

　　2.人员安全风险

　　人是信息的最终用户，人员的流动性和分散性增加了安全防范的难度。国内大型保险企业，在职员工数量几万到十几万人不等，分支机构数以千计，保险产品销售仍以营销员和保险中介为主要渠道，截至今年3月底，全国共有保险专业中介机构2547家，保险代理机构19万余家，保险营销员333万余人。机构和人员数量众多，安全意识参差不齐，给防范信息外泄工作提出了重大挑战。据权威机构统计，当前83%的信息安全事故为内部人员和内外勾结所为，而且呈上升的趋势。因此，在构建企业信息安全保障体系时，应加强对内部人员的管理，采取“防内为主、内外兼防”的模式，从提高使用节点自身的安全着手，构筑积极综合的安全防护系统。

　　3.数据安全风险

　　数据安全风险包括竞争性业务的经营和管理数据的泄漏、客户资料的泄漏以及数据被恶意篡改或破坏等。企业敏感数据存在的形式不仅是文档，在业务系统中流转的数据、在服务器中共享的数据、在个人设备中保存的数据、在设计软件中展现的数据、在邮件中的正文信息及附件中的数据、交付第三方的信息等都可能是敏感数据。保密数据以不同的应用方式，呈现出不同的应用形态。因此需要对数据进行分级分类管理，采用不同的策略进行防护。一是内部核心数据部门，需要制定完善严格的防护策略;二是内部的办公区域，需要加以适当防范;三是服务器区域，需明确数据的存在方式以及访问权限设置;四是移动办公的人员，需兼顾安全与便捷;五是接受交换数据的外部机构，数据传输需要加密处理，数据访问需要严格可控。敏感数据在产生、存储、应用、交换等环节中均存在泄密风险，因此数据风险的评估、系统整合、应用系统架构设计与信息系统的合理使用都是数据风险防护考虑的因素。

　　4.环境安全风险

　　物理环境安全是指在物理介质上对存储和传输的网络信息的安全保护，也就是保护数据中心网络设备、设施免遭地震、水灾、火灾等危害以及人为破坏的防护过程。企业面临的物理环境安全风险主要来自于数据中心，保障数据中心的机房、所有设备及其场地的安全是整个数据中心信息系统安全的前提。如果机房的安全得不到有力的保障，存在这样那样的不安全因素，则整个数据中心的安全也就不可能实现。影响数据中心设备和工作人员的物理环境安全分为机房安全和设备安全。机房安全指数据中心所在环境的安全保护，如区域防护和灾难保护，包括场地安全、温度、湿度、静电、灰尘、防火、用电安全等。设备安全指设备的防盗、防电磁泄漏、防电磁干扰、存储介质管理等，设备安全的主要目标是防止数据中心资产流失、损坏及对业务活动造成的破坏。当前各金融保险企业建设数据中心的主要目的就是为企业的经营发展打造一个高可靠的物理安全环境，是一项重要的基础设施建设。

　　三、综合防范的信息安全管理框架

　　结合Cobit、ISO27001等国际标准及国家信息系统安全等级保护要求，信息安全保障体系应从信息安全组织、信息安全管理、信息安全运行、信息安全技术和信息安全监督五个方面建立闭环控制的信息安全管理框架(如图1所示)。

　　1.建立总分联动的信息安全条线

　　建立有层次、清晰的信息安全组织条线，明确信息安全的决策、管理与技术服务组织，合理配置岗位并明确组织和岗位职责，是构建综合防范信息技术保障体系的首要任务。信息安全组织应采用自上而下的建立方式，统一制定各级安全组织的权利和工作职责。安全组织可设立实体行政单位，也可设立虚拟安全组织，在管理关系和运作机制上宜采用矩阵式的管理模式。为保障日常工作的顺利开展，需要明确各组织、各岗位的安全工作职责和工作内容，需要建立事件报送和协同工作流程，以便对紧急事件做出应急响应。在人员培养方面，可参考CISA、CISSP、ISO27001等认证培训课程，着力培养信息安全专业技术人才和高级管理人才， 为顺利执行信息安全保障工作提供所需的人才支撑。

　　2.建立强化执行的管理模式

　　信息安全工作是“三分技术、七分管理”，在管理领域中，应重点加强制度建设，从信息安全保障领域的各个方面，例如组织与策略、研发管理、运行管理、基础环境管理等方面制定统一标准、统一要求、统一规格的信息安全制度。在具体操作层面，考虑到信息安全工作已渗透到IT价值链各环节，因此制度建设应不仅限于安全领域，应建立一套完整的信息技术制度框架，并根据企业实际情况逐一贯彻落实各项制度建设。

　　3.建立标准化的安全运作流程

　　制度流程需要固化到信息系统中加以执行，既可以减少执行的成本，也可以降低检查监督的成本。在流程建设方面，应充分参考ITIL标准和行业的最佳实践。研究表明，IT项目生命周期中大约80%的时间与IT项目运行维护有关，因此生产运行安全应作为信息安全保障体系建设的重点。Gartner调查发现，在经常出现的问题中，源自技术或产品(包括硬件、软件、网络、电力失常及天灾等)方面的问题占20%，管理流程失误问题占40%，人员疏失问题占40%。管理流程失误包括没做好变更管理、无预防、超载、无测试等错误，人员疏失包括操作不规范、训练不足、备份错误或安全疏忽等，而且人员疏失的源头仍然是管理缺失。由此可见，IT运维服务管理在IT项目中的作用是非常重要的。IT运维服务主要包括基础设施维护服务、系统运行维护服务和系统运营支持服务。基础设施维护服务是指对基础环境、硬件、基础软件的故障诊断和修复等服务。系统运行维护服务是指通过使用监控、服务管理工具等方式，保障系统正常运行的服务。系统运营支持服务是指为提升业务有效性所提供的评估、数据管理、数据分析、业务流程管理等服务。IT运维服务体系是标准化安全流程的重要载体，也是日常工作中实现安全控制要求的重要保障。

　　4.建立立体化的技术保障体系

　　完善技术体系是构建综合防范信息安全保障体系的关键性工作，是信息技术人员需要履行的专业职责。基础网络安全技术主要包括以下几方面的内容。

　　①身份认证技术。确定用户或设备身份的合法性，验证手段包括用户名、口令、身份识别、PKI证书和生物认证等。为提升安全验证级别，通常采用双因子认证技术。

　　②加/解密技术。在传输过程或存储过程中进行信息数据的加/解密，通常包括对称加密和非对称加密。

　　③边界防护技术。防止外部网络用户以非法手段进入内部网络，主要技术为防火墙和入侵检测。

　　④访问控制技术。确保网络资源不被非法使用和访问。访问控制是网络安全防范和保护的核心策略，规定了主体对客体访问的限制，并在身份识别的基础上，根据身份对提出资源访问的请求加以权限控制。

　　⑤主机加固技术。操作系统或者数据库的实现会不可避免地出现某些漏洞，从而使信息网络系统遭受严重的威胁。主机加固技术对操作系统、数据库等进行漏洞加固和保护，提高系统的抗攻击能力。

　　⑥安全审计技术。包含日志审计和行为审计，通过日志审计协助管理员在受到攻击后查看网络日志，从而评估网络配置的合理性、安全策略的有效性，追溯分析安全攻击轨迹，并能为实时防御提供手段。通过对员工或用户的网络行为审计，确认行为的合规性，确保管理的安全。

　　⑦检测监控技术。对信息网络中的流量或应用内容进行2~7层的检测并适度监管和控制，避免网络流量的滥用、垃圾信息和危害信息的传播。

　　5.建立跟踪式的监督检查机制

　　IT内控评估是有效评估信息技术工作质量、制度遵循合规的重要手段，是降低公司运营风险的有效途径。IT内控评估工作除了可满足公司合规经营以及外部审计要求，也是保险企业IT工作自身发展的要求。评估前应充分梳理制度的变化情况和关键控制点，制定详细的评估工作模板;评估中应严肃认真，公正客观，对发现的问题不回避，实事求是地陈述问题;评估后应及时制定问题整改方案，明确责任人，在规定时间内完成整改工作。

　　四、信息安全实施的关键是达成安全与可用性、成本之间的平衡

　　在信息科技实际工作中，绝对的零风险是不存在的，要想实现零风险，也是不现实的。信息系统的安全性越高，其可用性越低，需要付出的安全防护成本也越大，一般来说，需要在安全性和可用性，以及安全性和成本投入之间达成平衡。如图2所示，当综合考虑信息安全性、系统可用性以及安全控制成本等因素后，我们通常寻求将信息系统调整在最优安全控制水平上，这既可以避免因过分追求安全而造成的过高成本支出，也可以避免因过分强调安全而造成对系统正常使用的负面影响，在实际工作中，这也是最经济、最合理的。这个最优安全控制水平没有统一的标准，因为不同的企业具有不同的经营管理和信息系统应用管理水平，因此在安全控制成本上具有较大差异。

　　保险企业对风险控制的要求较高，业务连续性和系统可用性要求也高，通常在安全控制成本上舍得投入较高的成本，因此保险企业的最优安全控制水平通常位于象限的右上方，如图3所示。本文所阐述的构建综合防范的信息安全保障体系的过程，也是基于上述的安全性、成本、可用性分析， 寻求最优安全控制水平的过程。

　　信息安全是一个涉及多学科、技术融合管理的工作，还涉及病毒防治、安全培训、漏洞扫描、渗透测试等很多具体内容。信息安全保障体系建设应始终贯穿管理和技术并重的思想，这项工作不是一劳永逸的，随着科技的发展、环境的变化，新的安全问题会不断涌现。因此信息安全人员需要始终关注技术的发展，综合考虑安全因素，不断完善各项制度和标准，保障已构建防护体系的良性发展，循环往复地充实、优化、发展综合防范的信息安全保障体系，为金融保险企业发展保驾护航。