当前各保险企业的IT结构中,大多分为总公司网络、分公司网络、支公司网络以及各营业部网络四个层次,在各级网络中都拥有各自的文件服务器以及工作站,通过远程线路形成公司内部网。在总公司网络内还会有相 应的邮件等办公应用服务器,数据通常也都会分布于各分公司服务器上。
随着保险业务的发展以及IT规模的扩大,数据集中已经成为各保险公司下一步发展所考虑的重要议题。在未来的管理架构中,保险公司会逐步在总公司或选择几个分公司作为数据集中管理中心,便于进行数据统计与分析,并实施有效的容灾、备份工作。
保险行业IT系统安全不仅仅需要典型安全产品的部署,也同样需要结合保险公司的实际应用环境,对不同的资源、层面,包括新的业务模式,进行有针对性的安全防护策略。
结合防病毒安全的考虑,在保险企业内部网络体系中,一方面,内部Intranet是基于广域网的多级架构,各子网通过多种远程线路进行连接;另一方面,银保系统则与银行网络进行相连。同时保险企业的内部网络又与开放度和安全威胁很大的Internet相连,所以,从通常的安全角度考虑,需要对企业内网与远程网络(银行网络)或互联网(Internet)的接口处即进行安全部署。在本企业网内部则针对不同类型的数据流量进行过滤及控制,如对HTTP访问数据进行必要的审计过滤等。同样,在主机服务器、工作站层次也需要提供完备的保护机制。通过多层次的安全防御,将直接入侵破坏风险降到最低。
在各保险公司内部网络中,会存在包括核心业务服务器、文件服务器、邮件服务器、应用程序服务器、数据库服务器、客户工作站等在内的基于不同平台的多种应用资源。在防病毒安全原理中,安全应该是一个整体概念,即针对不同的网络资源都应该进行必要的保护,才能真正实现整体防病毒的有效性,而任何一个被忽视的对象都可能导致网络内部安全体系的破坏。
在保险行业的IT架构建设中,逐步实现的数据集中机制提供了业务处理流程的方便与可靠,但同样也面临着更大的安全风险,一旦数据中心遭受攻击破坏,其影响范围是巨大的。因此需要针对数据中心的特点,制订相应的策略进行预防,在爆发安全事件时及时实施预定策略,完善地保护数据中心资源。
众所周知,没有一套软件可以在缺乏专人管理的情况下充分发挥作用,防毒软件系统也是如此。尽管随着技术的进步,很多操作已经可以自动执行,但"人"始终是一个至关重要的因素。在对全球1000个具有代表性的企业调查中,46%的企业没有制订正式的信息安全性条款,59%的企业没有制订支持信息系统的正式遵守规则,68%的企业没有定期分析安全性危险度以及跟踪安全状况。中国的情况更不容乐观。
病毒防御管理首先需要解决容量管理和柔性化管理的问题,也就是每一台控制台能够管理到的客户机的最大数目,另外就是对于一个企业内部的不同部门,我们有可能需要设置不同的防病毒策略,比如一些关键的业务部门服务器和计算机,我们需要每当有新的病毒特征码时就尽快做升级工作;但是对于一些非关键业务部门的计算机,我们可以考虑时间稍长再升级一次;对于白天比较繁忙的服务器,我们可以将病毒特征码升级安排在晚上自动进行。一个好的控制台应该允许管理员按照IP地址、计算机名称、子网甚至NT域进行安全策略的分别实施。
虽然计算机病毒今天已是无孔不入,但很多业务部门的工作人员普遍对病毒危害性程度认识不够,认为网络病毒与我们离之甚远,PC是不会感染病毒的等等,而没有考虑其它介质的传播途径。另外由于一些PC的配置较低,安装防病毒软件后PC运行速度会受到影响,一些员工对安装的防病毒软件私自卸载,造成整体防病毒工作的被动。因此,往往由于某一个人使用过程中的疏忽导致造成整个网络使用效率低下,甚至会造成无法挽回的损失。
针对以上情况,该保险公司管理层非常注重提高全体工作人员的防病毒意识,病毒管理技术人员寻求各种机会通过多种途径向员工介绍病毒的危害性、可能带来的后果,以及病毒防御常识,并在公共信息栏中及时地公布最新病毒信息和病毒清除方法。
目前,整个公司范围内已经形成了良好的计算机操作使用规范。他们还通过各种途径收集信息,建立完善技术支持手段,例如:在公司内部建立信息安全网站(E-Learning),提供各种杀毒软件下载,最新病毒警告、病毒特征以及手工处理方法、每天以计算机登入画面宣导计算机病毒防治之概念、清理垃圾病毒文件工具,定期颁布信息安全简报,介绍信息安全基本知识、安全规范等。