保险公司灾备中心安全性建设的思考.docVIP

保险公司灾备中心安全性建设的思考 　　【 摘 要 】 文章从政府对保险公司灾备系统建设的规范入手，介绍了保险公司灾备中心的建设的三种模式特点和适合哪些公司选择，针对自建模式下的安全性设计的总体要求和安全规范、组织和人员、物理安全、安全技术、安全管理等几个方面进行了总结，最后对灾备中心自建模式和外包模式建设中碰到典型安全性问题进行了分析。 　　【 关键词 】 灾备中心；安全性；保险公司 　　 　　Considerations On Security of Building The Backup Center 　　For Disaster Recovery In The Insurance Company 　　 　　Hu Qiong 　　(Xinjiang Branch of China Life Insurance Company XinjiangUlmuqi 830002) 　　 　　【 Abstract 】 This article introduces the standard of government for insurance company and describes three patterns of building backup center for disaster recovery in the insurance company and how to choose them. Subsequently summarizes the general requirements and security regulations、organization structure and staffs、physical security、security technology and security management in security design. At last, analyzes the security problems for building backup center for disaster recovery in insurance company. 　　【 Keywords 】 backup center for disaster recovery;security problem;insurance company 　　0 引言 　　保险公司是以经营风险为主的金融企业，现阶段国内保险公司对IT的依赖程度越来越大，数据也都趋向于高度集中，为保证数据中心数据的可用性、完整性和安全性，各保险公司都在以各种方式建设自己的灾备中心，灾备中心首要目标就是为保证数据安全、高可用性和业务连续性，那么灾备中心本身的安全性又如何来保证呢？ 　　1 保险公司灾备中心建设概述 　　灾难发生原因有硬件故障、恐怖袭击、自然灾害、人为破坏等，为使IT系统在这些灾难下能保证数据安全、业务的持续性，2005年4月国务院信息化工作办公室（以下简称国信办）下发的《重要信息系统灾难恢复指南》（以下简称《指南》）规定，必须建立灾备基础设施的8个重点行业，包括金融、民航、税务、海关、铁路、证券、保险、电力，并将灾难恢复的等级划分为由低到高的六个等级。中国保险监督监委员会（以下简称保监会）也于2008年3月，发布了《保险业信息系统灾难恢复管理指引》（以下简称《指引》），对保险机构信息系统灾备建设进度和灾难恢复能力进行了明确要求，保险机构应统筹规划信息系统灾难恢复工作，自《指引》生效起五年内至少达到《指引》规定的最低灾难恢复能力等级要求，《指引》要求保险机构重要的一级信息系统最低灾难恢复能力要达到国信办《指南》中的第四级电子传输及完整设备支持的灾难恢复能力要求。 　　保险公司灾备中心建设模式分为以下三种，即共建模式、自建模式和外包模式。 　　共建模式：不同的企业联合建设灾备中心，其缺点表现在以下几个方面，从公司整体经营角度来说战略同盟关系有可能不能长久保持，从战术角度来说，IT技术和管理差异而难以共享，同时出现问题责任难以界定、数据安全性不能得到保障，基于以上缺点几乎没有国内保险公司采用这种方式进行建设。 　　自建模式：缺点是投入大、建设周期长、实施难度大、运维成本高，优点是安全性和控制能力较强，被国内资金雄厚的大型保险公司所采用，例如中国人民保险公司的南北中心的模式、中国人寿保险公司所采用两地三中心的实施模式、平安保险公司在深圳和上海的两个互备的数据中心模式等。 　　外包模式：将灾备中心外包给专业的灾备服务提供商，由专业化公司来提供保险公司所需要的灾备服务，此种模式克服了共建模式和自建模式的弊端，被大多数的中、小型保险公司所采用。 　　按照容灾距离的远近，灾备中心可分为同城灾备、异地灾备