《浅论保险公司灾备中心安全性建设深思》由会员分享,可在线阅读,更多相关《浅论保险公司灾备中心安全性建设深思(4页珍藏版)》请在金锄头文库上搜索。
1、 浅论保险公司灾备中心安全性建设深思浅论保险公司灾备中心安全性建设深思浅论保险公司灾备中心安全性建设深思 导读:etFullDomain整理 提供,希望对您的论文写作有帮助.理场地安全、信息系统安全技术、 安全管理体系等几个方面。 2.2 组织结构与人员 有专门的安 全机构和人员以保障灾备中心的安全,这些机构和人员负责承担任 务有:国家政策和国际、国内标准的追踪和研究,负责制定适合公 司定位的安全策略、建立安全体系并有效贯彻执行。 【 摘 要 】 文章从政府对保险公司灾备系统建设的规范入手,介绍了保险公 司灾备中心的建设的三种模式特点和适合哪些公司选择,针对自建 模式下的安全性设计的总体要求和
2、安全规范、组织和人员、物理安 全、安全技术、安全管理等几个方面进行了总结,最后对灾备中心 自建模式和外包模式建设中碰到典型安全性理由进行了分析。 【 关键词 】 灾备中心;安全性;保险公司Considerations On Security of Building The Backup Center For Disaster Recovery In The Insurance panyHu Qiong(Xinjiang Branch of China Life Insurance pany XinjiangUlmuqi 830002)【 Abstract 】 This article intr
3、oduces the standard of government for insurance pany and describes three patterns of building backup center for disaster recovery in the insurance pany and ho. Subsequently summarizes the general requirements and security regulations、organization structure and staffs、physical security、security techn
4、ology and security management in security design. At last, analyzes the security problems for building backup center for disaster recovery in insurance pany.【 Key;insurance pany0 引言保险公司是以经营风险为主的金融企业,现阶段国内保险公司 对 IT 的依赖程度越来越大,数据也都趋向于高度集中,为保证数据 中心数据的可用性、完整性和安全性,各保险公司都在以各种方式 建设自己的灾备中心,灾备中心首要目标就是为保证数据安全、
5、高 可用性和业务连续性,那么灾备中心本身的安全性又如何来保证呢?1 保险公司灾备中心建设概述灾难发生理由有硬件故障、恐怖袭击、自然灾害、人为破坏等, 为使 IT 系统在这些灾难下能保证数据安全、业务的持续性,2005 年 4 月国务院信息化工作办公室(以下简称国信办)下发的重要 信息系统灾难恢复指南(以下简称指南)规定,必须建立灾 备基础设施的 8 个重点行业,包括金融、民航、税务、海关、铁路、 证券、保险、电力,并将灾难恢复的等级划分为由低到高的六个等 级。中国保险监督监委员会(以下简称保监会)也于 2008 年 3 月, 发布了保险业信息系统灾难恢复管理指引(以下简称指引) ,对保险机构信
6、息系统灾备建设进度和灾难恢复能力进行了明确要 求,保险机构应统筹规划信息系统灾难恢复工作,自指引生效 起五年内至少达到指引规定的最低灾难恢复能力等级要求, 指引要求保险机构重要的一级信息系统最低灾难恢复能力要达 到国信办指南中的第四级电子传输及完整设备支持的灾难恢复 能力要求。保险公司灾备中心建设模式分为以下三种,即共建模式、自建 模式和外包模式。共建模式:不同的企业联合建设灾备中心,其缺点表现在以下 几个方面,从公司整体经营角度来说战略同盟关系有可能不能长久 保持,从战术角度来说,IT 技术和管理差异而难以共享,同时出现 理由责任难以界定、数据安全性不能得到保障,基于以上缺点几乎 没有国内保
7、险公司采用这种方式进行建设。自建模式:缺点是投入大、建设周期长、实施难度大、运维成 本高,优点是安全性和制约能力较强,被国内资金雄厚的大型保险 公司所采用,例如中国人民保险公司的南北中心的模式、中国人寿 保险公司所采用两地三中心的实施模式、平安保险公司在深圳和上 海的两个互备的数据中心模式等。外包模式:将灾备中心外包给专业的灾备服务提供商,由专业 化公司来提供保险公司所需要的灾备服务,此种模式克服了共建模 式和自建模式的弊端,被大多数的中、小型保险公司所采用。按照容灾距离的远近,灾备中心可分为同城灾备、异地灾备、 同城/异地灾备,因为同城灾备和异地灾备各有所长,根据保监会 指引的要求,为达到较
8、理想的容灾效果、提高全面的数据保护 能力一般保险公司都采用同城/异地灾备方式。2 自建灾备中心的安全性设计因为共建模式几乎没有被保险公司所采用,外包模式的灾备中 心的建设主要依靠外包企业,所以重点就保险公司采用自建模式建 设灾备中心的安全性设计方面具有一些特点进行讨论。2.1 安全性的总体要求和安全规范统一安全策略,具备对灾备中心内的服务器、存储设备和用户 提供相应的安全防护和制约的能力,灾备中心的信息安全体系设计 包括机构与人员、物保险公司灾备中心安全性建设深思由提供海量 免费论文范文的.I 和 4A 等技术,提供帐号管理、认证、授权、审计 等功能。2.5 安全管理安全管理包括制定统一的安全
9、制度和安全策略、灾难恢复计划、 实施持续的监督和 IT 审计、灾备演练、灾备知识普及培训等。IT 系 统有效运转是靠安全制度来保证的,安全策略是与安全活动相关的 一套规则,由安全权力机构建立的,并由安全制约机构来描述、实 施或实现的;IT 系统是用于支撑业务的,有效的灾难恢复计划和定 期一年几次的灾备演练的是保证灾备系统可用性的重要手段;因为 灾备系统所涉及的范围是所有的分支机构和 IT 系统的使用人员,所 以灾备知识也需要在平时和演练的过程中灌输到全体员工的意识和 行动中;而对灾备系统进行监督和审计有助于发现灾备系统的理由 并予以及时纠正。 3 自建模式中存在的安全理由的深思采用自建模式建设
10、灾备中心存在的一些和安全有关的理由。灾备中心不可能原样复制数据中心,保险公司灾备中心安全性 建设深思由写论文的好帮手提供, .对存储能力、处理能力、数 据传输能力的持续性增长是灾备中心需要面对的难题,这些依靠数 据缩减技术、数据压缩等技术来解决,而加密技术是解决数据安全 传输和存储安 浅论保险公司灾备中心安全性建设深思 导读: 全性一种有效手段, 但是加密技术和压缩技术就存在矛盾,同样的,高效性和安全性也 是一对矛盾。新的灾备理念和技术出现 比如多点容灾和双活方式出现对灾备 中心的安全提出了新的挑战。没有自主的核心技术 由于国情的大环境和历史的理由,灾备系 统基础设施和技术中用到的核心技术受制
11、于人,国内企业不具备这 方面的能力这个事实也比较堪忧。灾备中心建设不是项目,而是一种运作没有终点,随着业务需 求的发展,对数据传输、处理、存储的各项能力的要求也是不断发 展的,灾备中心需要不断发展来适应这种变化,灾备中心的安全体 系也面对同样的理由。如何针对灾备系统的可用性、完整性、安全性开展科学的测评 以保证灾备系统能应对灾难、真正具备灾难恢复、保证业务连续性 能力,相信不是依靠一年几次的演练就能说明理由的,需要有相应的评估标准以发现实际中存在的理由。4 外包建设灾备中心存在的安全理由的深思采用外包模式建设灾备中心存在以下的一些和安全有关的理由:外包模式下的如何解决对灾备中心制约理由,外包模
12、式下最大 的理由是执行者已经不是本组织,如何能有效制约外包服务,无论 是灾备演练还是实际灾难发生,都存在分支机构、业务人员协同应 对的理由,灾备中心和本机构需要跨组织协调,对灾备中心的制约 能力越强,外包的灾备中心的可用性、完整性和安全性越强,所以 采用何种方式对外包服务增强制约,提高安全性也需要考虑的理由。数据加密和保密难以保证,灾备中心外包的服务商一般是专业 化的服务提供者,一般不会是为一家客户服务的,这种情况下后, 如何有效保证数据在传输和存储过程的安全,例如原来的应用系统 并没有在数据的传输和存储过程中进行加密,此种情况下是否需要 对原来的应用系统进行改造,诸如此类的理由也需要在灾备中
13、心的 建设中予以足够的重视。如何保证对外包业务的随时监控与 IT 风险评估,灾备系统建设 外包的初衷是企业为节约成本和投入,外包后一般保险公司不具备 自己做灾备的技术和人员实力,如何有效监控外包业务是难题,另 外,IT 风险的评估也另一个难题,灾备外包的 IT 风险是肯定不同于 自建系统的,如何连基本的监控手段都不具备就更无法谈到如何对 外包业务进行有效的评估了。呼唤外包标准的出台,以上的理由的最有效的解决办法无非一 句话,尽快出台灾备中心外包的有关标准和规范以转变现在这种各 自为政、摸着石头过河的局面,规范灾备中心外包服务的市场,在 行业或者更大的范围内进行统一的规划、避开重复建设、节约有限 的资源使之发挥最大的效果。5 结束语保险公司灾备中心在建设的同时需要高度关注自身的安全理由, 虽然无论采用何种建设方式在实践的过程中都还存在各种各样的理 由,但是灾备系统的建设本身刻不容缓,它是保险公司发展过程中 内、外部的统一需求,离保监会对各保险机构灾难恢复能力的限定 时间不过区区一年多的时间,可以说是时不我待,相信在同业的共 同努力下,在建设过程的所遇到这些理由只是暂时的,总会有相应 的解决方案横空出世,同时也期待灾备系统评估、外包模式等的具 有指导价值的标准化管理法规尽快出台。
