漫谈保险业信息安全管理

insurance-services
信息安全行业和保险业在理念上很类似,并且有强烈的关联性。

说到理念相似,昆明亭长朗然科技有限公司金融行业信息安全观察员James Dong说:从信息安全风险评估及风险管理的角度看,信息安全事故的发生并没有精确的确定性,但是不要等出了事儿才想起来花钱去补救,那样代价太大。人们不希望出现严重的信息安全事故,只能在信息安全相关控管措施的进行适当的投入,以便能够“防范于未然”。从业务持续性计划和灾难恢复计划管理的角度来看,人们经常投资一些正常情况下根本用不上的备份站点、设施设备和业务流程,这笔不小的开支只为应对紧急情况下快速恢复业务的正常运作。

说到关联性强烈,则又要回到风险管理领域,在制定风险应对战略时,即使在信息安全控管措施上花费巨额投资,部分业务及信息风险仍然无法完全消除,甚至降低到可接受的水平,这时,便有了新的选择,即风险转移或风险转嫁。发达的国家和地区早已经有保险公司提供了针对数据中心和信息服务的保险,在云计算时代,人们更是需要类似的保障,因为对于服务商和用户来讲,云计算不可控的风险越来越高。

说了些题外话,我们回到正题,来谈一谈保障行业的信息安全管理,说到这儿,我们不得不搬出《保险公司信息系统安全管理指引(试行)》,也称保监会信息安全管理六十一条,这份于二〇一一年十一月十六日发布的指引无疑是保险行业进行信息安全管理的高层指导文件及行业标准。

相对于银行业以及证券业的信息安全管理指引文件,指导保险业的这份文件显得精练易懂并且可操作性强,所以“试行”了两年多仍然未改成“正式”版,猜测是没有太多可改进的内容。

我们来看一看特色的部分,在总则中“实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信息系统安全工作统筹规划执行。”这个实际上很符合“大集中”中央集权管理的精神,保险业信息系统集中度高,核心信息资产在中央,自然信息安全管理工作应该由中央统筹进行。但是保险业的大量敏感客户数据多来自分布的终端网点和用户,显然,在强化中央核心信息系统的安全之时,也应该强化终端人员的信息安全保密意识。

保险行业终端销售人员的管理往往比较分散,保险产品兼职代销、电话营销等等情况严重,底层业务人员及合作伙伴们的信息安全意识参差不齐,不仅容易让潜在客户信息丢失,造成客户不满,更会造成恶性竞争等有损公司信誉的事情发生。加强控管,一方面需要强化保险从业人员的职业道德和素养培训,另一方面则是特别强化信息安全和保密意识培训。

关于信息系统安全的培训方面,指南的第九条和第十三条特别强调了安全意识教育,保密教育培训和技能考核。

在基础设施、网络环境和应用系统的安全管理方面,也没有太多的特色,不过这些在精神层面指导着IT人员的日常工作,太粗略尚缺乏一些标准性的要求。IT部门的领导们要好好学习和认真领会这些指引内容,一条指引可能引来一堆事情,也需要一批文档来做应对审核的证明材料。

保险业在交易方面也是高度信息化,关于交易的安全,在第四十九条有“电子商务、交易系统等应用系统建设应具备相应管理规范,明确各交易环节或过程安全要求,采取必要安全技术和管理措施,保护个人信息和客户敏感商业信息,保留交易相关日志,确保交易行为安全可靠。”这些要求基本上还是停留在信息系统层面,比如对敏感数据进行加密存储和传输等等,保证交易过程的安全以及保留审计日志等。显然这一条重点在信息系统和交易安全层面,不够完整。

综合来讲,保险行业由中国保险监督管理委员会下发的这个《保险公司信息系统安全管理指引(试行)》文件主要还是给保险公司的IT部门看的,并非广义上的信息安全管理部门,所以不全面是可以理解的。然而,保险业要考虑的信息安全问题远不是信息系统如基础架构、网络设备、应用系统和数据安全,也远不是防范外包这些信息系统或服务所带来的风险。

这样看起来,保险业应该向银行业学习信息安全管理,将IT安全服务的触角伸至全体员工层面。其实,金融集团多元化经营,银行保险证券业务往往是融合及关联的。对于一家多元经营的金融机构来讲,可能面临多个监管机关在信息安全管理方面的要求,等级保护、软件正版化、ISO等等,折腾的时候记得将它们关联一下,查漏补缺,从容应对各种审核活动。

安全漏洞及默认密码助力物联网僵尸网络

网络安全研究人员发现多个物联网设备被恶意扫描和感染,而且在数量上呈现激增的趋势。被成功感染的设备成为新型或变种僵尸网络的一部分,网络不法分子通过控制这些设备来对目标网站发起分布式拒绝服务攻击,或窃取敏感私密信息及数字货币。

专家指出,黑客利用的往往是联网设备中的严重安全漏洞,通常是未及时获得安全更新的嵌入式漏洞,以及设备出厂时的默认用户名和密码。昆明亭长朗然科技有限公司物联网安全分析师董志军说:网络摄像头和路由器是最为经典和广泛使用的物联网设备,它们仍然占据着物联网僵尸网络“肉鸡”的冠亚军位置,尽管新型的联网设备越来越多。而这些设备的默认密码几乎都是公开的,用户只要设备看起来在运行着,就不管那么多,网络犯罪分子要远比消费者更熟悉这些设备,让种攻防安全技能的不对等,安全知识的失衡,造成消费者处于弱势和被“宰割”的地位。

传统上,“人为刀俎”,网络犯罪分子通过搭建命令与控制中心或P2P架构组件,自动化端口扫描、漏洞发掘、远程溢出(利用)、暴力破解、模拟登录等方式来发展僵尸网络“肉鸡”。而新型的技术,则是借助物联网蠕虫,让其自行爬取和感染,无需固定的僵尸网络命令与控制中心或P2P架构组件即可自行传播。

在这严重的态势下,“我为鱼肉”,只要物联网设备接入大型网络,几乎难以避免被黑客程序和网络蠕虫光临。董志军说:多家互联网大型厂商的网络安全侦测系统都有不断发现新的针对物联网设备的攻击手段,分析入侵代码发现所利用的安全漏洞和覆盖的物联网设备都在不断急速增加。这也难怪,靠这个吃饭的不法程序员只有不断改进着入侵代码,才能吃得更好吃得更饱。

有什么好的应对方式来个“扭转乾坤”漂亮大翻身么?最基本的,用户在购买智能产品后,应该立即升级系统,这是因为设备从出厂到用户手中的这段时间,可能已经出现了安全漏洞,厂商也已经发布了针对性的安全补丁。同时,立即修改初始密码或默认密码,使用强健的密码以防自动化的弱口令扫描和登录。其次则是定期检查设备并保持设备的更新,防止被不法分子或网络蠕虫进行远程溢出攻击或控制。最后,则是加固设备的安全性,可以按物联网设备照制造商的说明禁用某些服务,比如禁用远程管理来采取先发制人的步骤,这样做也可以减少漏洞被利用的机率。

如果您使用的物联网设备是老旧的,厂商不再提供安全更新,那应该及时更换。董志军表示:由于电子新科技更新换代很快,不断有价格更低功能更新的物联网设备出来,旧的设备可能很快会到达生命期末,厂商也不愿投入运维力量。因此,及时淘汰旧货,换上新货是保障安全的必由之路。

对于厂商来讲,应该设计也更安全的设备,也应该在安全功能方面多为消费者考虑,比如强制用户修改设备默认的初始出厂密码、强制用户密码符合复杂度要求、默认关闭远程连接功能、自动更新安全补丁等。

越来越多的家用、商用、工业、医疗、教育、公安甚至军事设备都开始联网,用户天生多数都是没有相关的技能,也缺乏足够的安全意识。同时,物联网设备花样繁多,特别对不断出现的新玩艺儿来讲,针对性的安全标准、规定和要求总是会缺乏、会滞后。这就需要消费者加强安全知识的学习,以提升安全防范意识。当消费者拥有了通用的物联网安全防范意识和安全敏感度,懂得了保护网络信息安全的基本原理和方法,就可以不变应万变,不管什么新的设备出来,都能轻松从容应对。

关于物联网安全的未来,董志军表示非常积极和乐观:“闻道有先后,术业有专攻。普通消费者以及物联网厂商人员并不需要在安全防范方面变得多么强大,更不需要胜过那些图谋不轨的程序员或黑客犯罪团伙。我们只要掌握保护安全的常识,行动起来,并提高警惕,就足以让绝大多数网络犯罪分子拿我们及我们的设备没办法,只能无可奈何地望洋兴叹。”

昆明亭长朗然科技有限公司专注于帮助客户提升受众的信息安全意识,我们提供标准化的信息安全意识宣教内容,以及定制化的安全意识课程内容创作服务,欢迎有需要的客户联系我们,洽谈业务合作。

昆明亭长朗然科技有限公司

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:info@securemymind.com

QQ:1767022898