【IT168 信息化】

　　工业和信息化部信息安全协调司的一项重要职责是“指导监督政府部门、重点行业的重要信息系统与基础信息网络的安全保障工作”,保险业是我们关注的重点行业之一。

　　“保增长,调结构”是去年以来我国应对金融危机采取的重要措施。信息化既是解决传统产业发展瓶颈、优化传统产业结构的重要手段,也是帮助金融业、保险业等信息密集型产业渡过难关的重要手段。

　　信息化过程中的一个重要问题就是信息安全。近年来,我国经济领域的信息安全总体态势较为严峻。主要表现在以下几个方面。

　　一是国民经济对信息网络的依赖性增强。信息网络已经成为金融、能源、交通、通信、现代制造业等行业的神经中枢。一旦出现大的信息安全问题,将造成严重的经济损失,甚至可能引发社会危机。今年5月19日,负责解析媒体播放软件“暴风影音”的域名服务器因遭受网络攻击瘫痪,安装有“暴风影音”软件的终端不断自动发出域名解析请求,导致网络拥塞,使全国23个省的用户无法正常上网。这样一起偶然的、并非专门针对基础信息网络的攻击事件就造成如此大范围的影响,应引起我们的深入思考和高度重视。

　　二是计算机病毒、网络攻击等依然肆虐,黑色产业链已经出现。近几年来,重要信息系统安全事故、重大信息安全事件时有发生。就今年的情况来看,已经陆续发生6月8日福建泉州攻击车牌号牌自编系统并抢注车牌案件;7月18日上海私车牌照拍卖系统遭受“分布式拒绝服务攻击”案件以及近期陆续报告的多起针对政府门户网站的网页挂马事件等。这些事件与前些年个别黑客的攻击行为不同,都发现有黑色产业链在其中运作。

　　三是信息系统抵抗自然灾害、恐怖袭击等外部威胁的能力有待提高。外部威胁对信息系统的安全运行带来了挑战,虽然发生概率不大,但是一旦发生往往会造成严重后果。我们看看国内近几年发生的一些事件:2003年7月,上海地铁4号线发生渗水坍塌事故,险些造成上海社保中心大楼中的重要数据丢失;2008年,南方冰冻雨雪灾害、四川汶川大地震等自然灾害,造成金融、证券、保险业部分数据损毁。以上事件暴露出一些重要信息系统的抗击外部威胁的能力比较弱。

　　从国际上看,美国等信息化程度高的国家已将基础信息网络、社会网络等信息资源作为国家重要战略资产,设立了高层专门机构,加强信息安全工作协调。相比而言,我国相关体制机制还须进一步完善,安全意识还须进一步加强。

　　中央领导同志对信息安全工作高度重视,作出了一系列重要指示,提出了明确要求。我们根据相关要求开展了一系列工作,推动重要信息系统的信息安全保障工作。具体落实到保险行业,根据我们掌握的相关情况,需要加强三方面的工作:

　　一是加强灾难恢复系统建设。据了解,一些保险公司目前尚未建立异地灾备系统。

　　二是行业数据和信息管理的问题。保险行业涉及众多的敏感信息,比如客户的个人资料,这些数据具有很高的商业价值,一旦泄露,会对公民隐私造成严重影响,有些数据泄露之后还会影响社会稳定。要加强信息的分类管理,进行安全标记。加强外包业务的安全管理。

　　三是加强信息系统的安全。可以从三个层次来看。一是物理环境的安全;二是运行时的安全;三是数据的安全。在这几个层次,国家相关部门都开展了一些工作,出台了一些政策,监督规范重点行业的信息安全建设。

　　从物理安全和数据安全的角度出发,相关部门出台了《关于做好重要信息系统灾难备份工作的通知》、《重要信息系统灾难恢复指南》、《信息安全技术——信息系统灾难恢复规范》等重要文件,对灾难恢复建设提出了明确要求和指导意见。在指导意见中,我们特别强调要根据我国节能型、创新型国家建设要求,对重要信息系统灾难恢复体系建设进行统筹规划、合理布局,做到资源共享,同时积极培育和扶持第三方灾难恢复服务和信息系统外包服务。

　　从运行安全的角度出发,金融、证券、保险业的信息系统有一个共同特点,就是互通互联程度高,既存在同一个企业内部不同分支机构的纵向互联,又存在不同企业、不同行业之间的横向互联。这就决定了信息系统不能单纯地通过隔离来确保运行安全。