原创｜互联网+时代背景下的保险行业信息安 点击上方“中国信息安全”可以订阅中国太平洋保险（集团）股份有限公司信息安全与内控管理部/李丽红张军郭琳近年来，随着互联网、大数据、云计算、移动终端的兴起和广泛运用，互联网保险方兴未艾，互联网保险作为一种以互联网技术发展为基础的新型商业模式，彻底改变了传统保险业提供产品和服务的方式，催生了保险业销售渠道和商业模式的变革。但与此同时，由于互联网的虚拟性和开放性也给保险企业带来诸多安全问题和挑战。互联网+时代为行业带来机遇与挑战

1.应用网络接入多样化导致安全风险骤升。伴随着“互联网+”的浪潮，保险营销渠道和保险产品互联网化进程不断加速，面向互联网客户的应用数量骤升。为了提升客户体验，太平洋保险为用户提供了多种应用接入方式，如允许用户使用移动设备来访问在线保险应用等。但由此也增加了诸多安全风险：众多新兴的金融支付类病毒利用系统漏洞，配合页面劫持、进程注入、短信劫持等攻击手段，盗取移动用户的金融账户、口令、验证码等信息。终端安全性问题已经严重阻碍了移动金融市场的健康发展。如何更好的实现移动应用信息安全的管控，提升移动等无线应用系统交付服务的安全水平，是太平洋保险和整个保险行业面临的一大信息安全挑战。

2.大数据日益显著的商业价值导致信息泄漏更严重。“互联网+”时代的另外一个显著特点就是大数据得到日益深入的重视和应用，客户信息等数据因其本身蕴涵的巨大商业价值也成为各行各业追逐的对象。客户信息泄露因而也成为互联网+时代保险行业面临的一个最直接风险。如何有效保障客户信息的安全，成为互联网保险行业安全管控的重中之重。

3.商业竞争的全球化导致黑客攻击更频密。拒绝服务攻击、利用系统漏洞攻击、APT攻击等层出不穷，由于金融平台涉及较多客户信息和投资信息，所以更容易成为这些恶意攻击的目标。随着信息技术的发展，黑客技术变得更加多样化，这给保险行业安全防御带来了很大的压力。如何提高安全运维水平，形成更加坚固的安全防御体系，保障信息系统的安全稳定运行变得尤为重要。

4.企业内外网边界逐渐模糊导致内部安全风险增大。在面临更多来自企业外部的攻击的同时，来自企业内部的威胁也日益增加，企业内外网边界更模糊。内部人员的操作失误也会威胁公司的信息安全，可能会影响系统的可用性，甚至可能会导致客户信息的泄露；此外内部人员操作权限控制不当造成的访问控制边界违规、账号滥用等，这些都是潜在的威胁。因此如何及时、准确的发现内部人员的不合规操作，分析潜在的信息安全风险，实现及时反应、有效控制也是太平洋保险内部信息安全管理的一大挑战。

可见，正如双刃剑一样，互联网+在给保险的业务模式带来了前所未有的创新、客户服务的高效便捷之外，也从安全的角度给保险行业带来了更大的挑战。

实际上，太平洋保险公司所遭遇的这些问题，也正反应出在互联网+安全时代保险行业所面临的风险现状。随着云计算、移动应用、大数据等信息技术的快速发展，以及公司自身业务种类和规模的不断变化，信息安全事件将会不断增多，安全攻击手段纷繁复杂，保险行业以及整个金融领域信息安全会面临巨大挑战，信息安全运营风险不断升高。

这就需要保险企业通过对于不同管理信息的分析，进行安全风险的预判和重构。具体而言，需要通过集中收集、过滤、关联分析来自信息系统基础设施日常运行中产生的海量日志等数据，利用规则匹配、模型分析、可视化展现等处理手段，构建信息安全大数据分析管控系统，并结合事件及配置策略管理流程，提供安全攻击、安全渗透、病毒传播、违规操作等各类信息安全事件的预警、发现和快速处置能力，最终实现对风险及威胁的闭环管理。

太平洋保险构建的“鹰眼大数据信息安全管理管控平台”（以下简称“鹰眼系统”）即应运而生。主要包括：日志收集平台、安全事件集中监控平台、安全事件关联分析平台、权限管理平台等多个平台，通过平台之间的关联交互，实现安全信息采集、监控、分析与处置，达到信息安全“风险可知、事件可控、态势可见、效率提升。

在实践中我们发现，信息安全管理系统的兼容性、时效性、自动化以及员工安全意识等是安全数据信息管理的关键因素。

1.有效实现各种异构安全设备进行统一配置与管理。之前由于其他的安全产品无法有效支持国产设备，导致一些接入设备无法联动作业，信息防御和信息保护存在风险。现在通过SIEM解决方案搭建的鹰眼系统的安全日志收集平台，接入包括指定范围内安全设备、网络设备、操作系统、数据库、中间件及辅助系统等日志源；目前系统的日志源已经达到了近个，收集范围覆盖太平洋保险集团某数据中心6大类32种设备类型，解决以往国产化网络设备无法收集日志的技术难题。每天收集的日志数量均在15亿条左右。

2.对海量安全日志进行关联分析。面对海量的安全日志，集中监控与关联分析，可以将数据汇总，保证在一个设备和端口发现的威胁迅速在平台共享。在大数据火爆发展的今天，几秒的延迟都会给企业带来无法估量的损失。鹰眼系统的安全事件关联分析平台即主要通过对外部攻击、内部合规等事件的集中监控，利用关联、基线等分析技术，形成安全威胁的主动发现、安全风险的及时感知与精准定位，实现信息安全事件的可知可防可控。通过有效解决碎片化监管被动、低效等问题，真正提升了安全事件发现与防范的主动性与智能性。

3.定制规则，自动化为安全事件分级处置。之前的模式，很多时候，需要IT人员从海量的威胁情报中进行人工筛查和分级处理，工作量大且耗时长。鹰眼系统的安全事件集中监控平台的建立，主要完成了各类安全事件的集中监控，通过设计适合自动化管理的集中信息安全事件管理流程，明确角色和职责。SIEM预先内置了种左右的关联规则在硬件中，并可与ePO集成，我们在运营的过程中又通过应用《信息安全管理体系规范》等国家标准结合行业属性，在该平台完成了58条定制规则开发，18张合规报表的开发调优。这样做有效地将孤立、海量、多样的事件信息进行关联自动化分析，从每天10多亿的安全日志中分析产生次左右威胁告警，已实现“蠕虫传播”、“暴力破解”、“开发测试人员访问生产环境”、“跳过堡垒机访问”等几类以前无法获知的安全威胁的关联分析与感知预警，初步达到安全事件自动化告警的效果，并实现了定制安全威胁事件和风险趋势的可视化展现。根据安全事件的大小与影响范围，设置安全事件处置等级，依据等级进行不同优先级响应。我们发现，这一改变大大提升了安全监控的处置效率，可以有效提升安全事件监管的可靠性与高效性。

4.重视企业内部管理，提高员工安全意识。对于保险行业而言，用户的信息安全和平台的安全运维意义重大。然而网络威胁无孔不入，这就要求保险企业除了引进先进的安全保护技术，内部也要加强日常管理，避免因管理不善和员工疏忽引起的安全问题。太平洋保险非常重视员工信息安全意识的教育和培训，强化全体员工的防范意识及安全责任感。并成立专门成立了鹰眼系统项目组来负责这套信息安全管理体系的建立和运行，制定涵盖各个层面的安全管理制度、安全责任制度、安全事件处理机制及安全应急处理预案等，并积极采取措施将制度落实到位。（本文刊登于《中国信息安全》年第7期）

中国信息安全