赣州虾枚电子商务有限公司

中國(guó)保險(xiǎn)監(jiān)督管理委員會(huì)|保監(jiān)廳函〔2005〕24號(hào)|2005-02-28發(fā)布|2005-02-28實(shí)施|現(xiàn)行有效
保監(jiān)廳函〔2005〕24號(hào)

保監(jiān)廳函〔2005〕24號(hào)
國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心：
根據(jù)《關(guān)于對(duì)2004年國(guó)家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)基本情況和安全狀況調(diào)查的通知》（信安通〔2005〕2號(hào)），我會(huì)對(duì)保險(xiǎn)信息系統(tǒng)的基本情況及安全狀況進(jìn)行了調(diào)查，現(xiàn)將有關(guān)情況報(bào)送你中心。
二○○五年二月二十八日
二ОО四年保險(xiǎn)信息系統(tǒng)基本情況及安全狀況
伴隨著保險(xiǎn)業(yè)的快速發(fā)展，近年來(lái)保險(xiǎn)信息化工作取得了顯著成績(jī)。2004年，保險(xiǎn)業(yè)各單位高度重視信息化工作，加強(qiáng)了組織領(lǐng)導(dǎo)和戰(zhàn)略規(guī)劃，加大了信息化建設(shè)的投入，加快了保險(xiǎn)信息化的前進(jìn)步伐，提高了保險(xiǎn)信息系統(tǒng)的安全保障水平。信息化應(yīng)用水平的進(jìn)步有力地促進(jìn)了保險(xiǎn)業(yè)務(wù)自動(dòng)化的處理水平和管理能力的提高，增強(qiáng)了創(chuàng)新能力，改進(jìn)了服務(wù)質(zhì)量，大大提高了保險(xiǎn)業(yè)的整體競(jìng)爭(zhēng)能力和現(xiàn)代化水平。
一、保險(xiǎn)信息系統(tǒng)基本情況
保險(xiǎn)信息系統(tǒng)包括保險(xiǎn)監(jiān)管信息系統(tǒng)及信息網(wǎng)絡(luò)，保險(xiǎn)機(jī)構(gòu)業(yè)務(wù)、財(cái)務(wù)信息系統(tǒng)及信息網(wǎng)絡(luò)。
保險(xiǎn)監(jiān)管信息系統(tǒng)及網(wǎng)絡(luò)：主要用于中國(guó)保監(jiān)會(huì)系統(tǒng)（包括保監(jiān)會(huì)機(jī)關(guān)和35家地方派出機(jī)構(gòu)）的各項(xiàng)監(jiān)管工作。目前，保監(jiān)會(huì)系統(tǒng)內(nèi)部網(wǎng)絡(luò)以機(jī)關(guān)為中心，遍及35家地方派出機(jī)構(gòu)，保險(xiǎn)監(jiān)管業(yè)務(wù)網(wǎng)絡(luò)以保監(jiān)會(huì)機(jī)關(guān)為中心，專線連接各家保險(xiǎn)公司總公司，都是典型的星型網(wǎng)絡(luò)，主要采用了VLAN技術(shù)、防火墻、防病毒等安全技術(shù)。系統(tǒng)涉及保監(jiān)會(huì)有關(guān)辦公公文數(shù)據(jù)，以及各保險(xiǎn)公司提供的用于監(jiān)管的業(yè)務(wù)、財(cái)務(wù)數(shù)據(jù)。
保險(xiǎn)機(jī)構(gòu)業(yè)務(wù)、財(cái)務(wù)信息系統(tǒng)及網(wǎng)絡(luò)：主要用于保險(xiǎn)機(jī)構(gòu)經(jīng)營(yíng)各項(xiàng)保險(xiǎn)業(yè)務(wù)以及財(cái)務(wù)工作，信息網(wǎng)絡(luò)遍及各保險(xiǎn)機(jī)構(gòu)經(jīng)營(yíng)區(qū)域，總體來(lái)說(shuō)，基本覆蓋了全國(guó)各地市縣。目前主要采用了VLAN技術(shù)、防火墻、入侵檢測(cè)、防病毒、雙機(jī)熱備、數(shù)據(jù)異地備份等安全與備份措施，部分公司還建立了災(zāi)備中心；建立了機(jī)房管理制度、信息系統(tǒng)運(yùn)行管理制度、網(wǎng)絡(luò)安全管理制度等制度；系統(tǒng)涉及各保險(xiǎn)機(jī)構(gòu)和廣大被保險(xiǎn)人的利益，關(guān)系到經(jīng)濟(jì)的發(fā)展和社會(huì)的穩(wěn)定。
保險(xiǎn)信息系統(tǒng)面臨的主要威脅就是病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)犯罪、系統(tǒng)設(shè)備的損壞和各種自然災(zāi)害等。根據(jù)“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的原則，中國(guó)保監(jiān)會(huì)是保險(xiǎn)信息系統(tǒng)的主管部門，是保險(xiǎn)監(jiān)管信息系統(tǒng)及信息網(wǎng)絡(luò)的運(yùn)行責(zé)任部門；各保險(xiǎn)機(jī)構(gòu)是各自業(yè)務(wù)、財(cái)務(wù)信息系統(tǒng)的運(yùn)行責(zé)任部門。
二、信息安全工作情況
2004年，在中國(guó)保監(jiān)會(huì)的領(lǐng)導(dǎo)下，保險(xiǎn)系統(tǒng)在加強(qiáng)保險(xiǎn)信息安全保障工作上做了大量的工作，取得了一定的成績(jī)。
（一）中國(guó)保監(jiān)會(huì)制定了保監(jiān)會(huì)系統(tǒng)信息安全的總體規(guī)劃，增加了一些安全設(shè)備的配備，并根據(jù)規(guī)劃進(jìn)行了新的部署；在保監(jiān)會(huì)系統(tǒng)內(nèi)下發(fā)了《關(guān)于加強(qiáng)計(jì)算機(jī)系統(tǒng)安全管理的通知》等一系列文件。
（二）為有效預(yù)防保險(xiǎn)行業(yè)的重大突發(fā)事件，中國(guó)保監(jiān)會(huì)制訂了《保險(xiǎn)機(jī)構(gòu)計(jì)算機(jī)系統(tǒng)重大系統(tǒng)性故障突發(fā)事件應(yīng)急預(yù)案》、《保險(xiǎn)信息系統(tǒng)應(yīng)急協(xié)調(diào)預(yù)案》，與國(guó)信辦、國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心建立了聯(lián)系、溝通、通報(bào)機(jī)制。
（三）中國(guó)保監(jiān)會(huì)在保險(xiǎn)行業(yè)內(nèi)下發(fā)了《關(guān)于進(jìn)一步加強(qiáng)保險(xiǎn)系統(tǒng)信息安全保障工作的通知》以及《關(guān)于做好保險(xiǎn)信息系統(tǒng)災(zāi)難備份工作的通知》，進(jìn)一步明確了保險(xiǎn)信息系統(tǒng)在信息安全保障工作、信息系統(tǒng)災(zāi)難備份建設(shè)等方面的有關(guān)要求，推進(jìn)和提升了保險(xiǎn)業(yè)信息安全保障體系建設(shè)的進(jìn)程和水平。
（四）各保險(xiǎn)機(jī)構(gòu)高度重視信息安全保障工作，強(qiáng)化了安全工作的組織領(lǐng)導(dǎo)，加強(qiáng)了信息安全相關(guān)的制度建設(shè)。一是明確了信息安全保障工作的主管領(lǐng)導(dǎo)，落實(shí)了責(zé)任部門，設(shè)立信息安全管理的專門崗位，有效的加強(qiáng)了信息安全保障工作的組織領(lǐng)導(dǎo)；二是加強(qiáng)了信息安全相關(guān)的制度建設(shè)，目前各保險(xiǎn)機(jī)構(gòu)參考國(guó)內(nèi)外相關(guān)技術(shù)標(biāo)準(zhǔn)，基本建立了信息系統(tǒng)安全、網(wǎng)絡(luò)安全、機(jī)房安全等制度，但某些安全措施還不完善，安全技術(shù)崗位的人員還需要加大培訓(xùn)力度，安全管理工作有待進(jìn)一步加強(qiáng)。
（五）2004年保險(xiǎn)業(yè)加大了信息安全的投入，積極采取各項(xiàng)措施，不斷提升保險(xiǎn)信息系統(tǒng)的信息安全防護(hù)水平。
在網(wǎng)絡(luò)建設(shè)方面，中國(guó)保監(jiān)會(huì)的監(jiān)管網(wǎng)絡(luò)、辦公自動(dòng)化網(wǎng)絡(luò)、互聯(lián)網(wǎng)網(wǎng)絡(luò)采用了物理隔離方案，保證了信息與網(wǎng)絡(luò)的安全。大多數(shù)保險(xiǎn)公司采用業(yè)務(wù)網(wǎng)絡(luò)與互聯(lián)網(wǎng)網(wǎng)絡(luò)邏輯隔離的方案，部份公司還使用了專門的審計(jì)和監(jiān)控設(shè)備，能夠監(jiān)控網(wǎng)絡(luò)運(yùn)行和用戶的使用情況。
在災(zāi)難備份和恢復(fù)設(shè)施的建設(shè)方面，各保險(xiǎn)機(jī)構(gòu)都非常重視，不同程度地建立了應(yīng)急機(jī)制與設(shè)施，制定了應(yīng)急預(yù)案，超過(guò)50%的公司開展了災(zāi)難演習(xí)或制訂了災(zāi)難演習(xí)工作計(jì)劃，部分公司正在建設(shè)異地災(zāi)備中心。另外，考慮到災(zāi)難備份中心的建設(shè)需要較大的投入，并且利用率很低，許多公司都在探索新的災(zāi)備中心建設(shè)模式。
在安全產(chǎn)品和技術(shù)的使用方面，防火墻產(chǎn)品和防病毒產(chǎn)品在保險(xiǎn)信息系統(tǒng)中得到廣泛的使用，各單位相關(guān)人員都能熟練的進(jìn)行配置等操作，絕大部分公司還與專業(yè)的信息安全服務(wù)公司簽訂了服務(wù)協(xié)議；部分公司配備了入侵檢測(cè)系統(tǒng)，并安排專人負(fù)責(zé)，根據(jù)系統(tǒng)產(chǎn)生的報(bào)警信息制訂了相關(guān)的處理步驟和措施；部分公司采用數(shù)字證書的身份認(rèn)證技術(shù)，主要應(yīng)用在電子商務(wù)方面。
在信息安全管理方面，各保險(xiǎn)機(jī)構(gòu)普遍加強(qiáng)了密碼管理、授權(quán)管理、補(bǔ)丁管理等工作，部分公司采用集中管理模式，并制定了密碼、帳戶、授權(quán)和補(bǔ)丁管理的相關(guān)制度和操作流程；保險(xiǎn)信息系統(tǒng)各相關(guān)單位根據(jù)實(shí)際需要，關(guān)閉了不必要的服務(wù)和端口；另外，各保險(xiǎn)機(jī)構(gòu)開展了定期對(duì)管理和技術(shù)方面的安全措施進(jìn)行檢查的工作，部分公司還聘請(qǐng)專業(yè)公司不定期的進(jìn)行安全評(píng)估。
（六）2004年，保險(xiǎn)信息系統(tǒng)總體運(yùn)行狀況良好，沒有發(fā)生重大信息安全事件，沒有造成較大經(jīng)濟(jì)損失和社會(huì)影響。
三、相關(guān)建議
一、保險(xiǎn)信息系統(tǒng)包含保監(jiān)會(huì)信息系統(tǒng)和保險(xiǎn)機(jī)構(gòu)信息系統(tǒng)兩大部分。隨著保險(xiǎn)業(yè)的全面對(duì)外開放，外資公司、中外合資公司數(shù)量不斷增加，已經(jīng)超過(guò)保險(xiǎn)公司數(shù)量的一半。通報(bào)中心的發(fā)文經(jīng)常以密級(jí)下發(fā)，不便于我們轉(zhuǎn)發(fā)執(zhí)行。希望你中心能考慮我會(huì)的實(shí)際情況，在下發(fā)文件時(shí)制定恰當(dāng)?shù)奈募芗?jí)，或在文件中說(shuō)明使用范圍。
二、目前金融業(yè)能獲取的國(guó)際上適用的信息技術(shù)標(biāo)準(zhǔn)基本上都屬于銀行業(yè)和證券業(yè)，而保險(xiǎn)業(yè)信息技術(shù)國(guó)際標(biāo)準(zhǔn)十分缺乏，希望能夠提供有關(guān)保險(xiǎn)業(yè)信息技術(shù)國(guó)際適用標(biāo)準(zhǔn)和規(guī)范。
三、各單位從事信息安全工作的人員較少，為了加強(qiáng)信息安全保障工作，建議國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組與有關(guān)部門協(xié)調(diào)，要求各單位按一定比例或數(shù)量配備信息安全技術(shù)和管理人員。