隨著《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》2.0版本(簡(jiǎn)稱等保2.0)的發(fā)布，意味著保險(xiǎn)企業(yè)在信息安全領(lǐng)域需要滿足更加嚴(yán)苛的數(shù)據(jù)保護(hù)、合規(guī)和威脅管理的要求。然而保險(xiǎn)行業(yè)長(zhǎng)久以來(lái)一直都存在著數(shù)據(jù)量巨大、數(shù)據(jù)業(yè)務(wù)價(jià)值含量高、管理相對(duì)分散、用戶隱私保護(hù)及監(jiān)管要求高等現(xiàn)狀，這無(wú)疑對(duì)保險(xiǎn)企業(yè)的信息安全建設(shè)是一個(gè)巨大的挑戰(zhàn)。

　　而另一方面，對(duì)于傳統(tǒng)保險(xiǎn)企業(yè)來(lái)說(shuō)，上云已經(jīng)成為勢(shì)不可擋的趨勢(shì)，很多大型險(xiǎn)企早在數(shù)年前就已經(jīng)開(kāi)始實(shí)施企業(yè)上云的戰(zhàn)略部署，如何保證云上安全也成為保險(xiǎn)企業(yè)必須思考的問(wèn)題。

　　等保2.0時(shí)代，保險(xiǎn)企業(yè)信息安全面臨更高門檻

　　在保險(xiǎn)行業(yè)面臨的主要安全風(fēng)險(xiǎn)中，信息泄露和業(yè)務(wù)欺詐是不可忽略的。這是很多保險(xiǎn)公司存在的問(wèn)題，究其原因，第一是投入不足，多年以來(lái)保險(xiǎn)公司的主要投入依然放在信息系統(tǒng)建設(shè)以及系統(tǒng)建設(shè)上，在安全方面的投入相對(duì)來(lái)說(shuō)比較缺乏。第二是人員缺乏，很多的保險(xiǎn)公司并沒(méi)有獨(dú)立的安全團(tuán)隊(duì)來(lái)負(fù)責(zé)整體信息化的安全管理，往往是一些技術(shù)部門的，比如網(wǎng)管或者系統(tǒng)工程師來(lái)兼任企業(yè)的安全管理員。第三是安全意識(shí)薄弱，第四是制度流程不明朗。而很多保險(xiǎn)公司本身對(duì)信息安全的需求也并沒(méi)有特別明確，這就造成了安全運(yùn)維的很多實(shí)際困難。

　　然而隨著信息安全國(guó)家法規(guī)的逐漸完善，銀保監(jiān)會(huì)對(duì)保險(xiǎn)公司的信息安全也提出了更高的要求，同時(shí)伴隨著保險(xiǎn)公司自身的信息化管理的建設(shè)和完善，保險(xiǎn)公司對(duì)信息安全的建設(shè)投入正在呈現(xiàn)逐漸增加的趨勢(shì)。

　　相對(duì)于等保1.0, 等保2.0對(duì)于保險(xiǎn)公司的信息安全要求更加嚴(yán)苛和有效，對(duì)保險(xiǎn)風(fēng)險(xiǎn)的應(yīng)對(duì)也更加全面，保險(xiǎn)公司不再只出于合規(guī)的目的開(kāi)展等保建設(shè)，而缺乏對(duì)信息安全的體系性思考和真正有效的風(fēng)險(xiǎn)處置能力，另外，等保2.0要求保險(xiǎn)企業(yè)建立主動(dòng)的信息安全系統(tǒng)，從而具有主動(dòng)響應(yīng)和快速反應(yīng)的能力。最后，在云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)日益發(fā)展、在像APT、釣魚、虛擬機(jī)逃逸、物聯(lián)網(wǎng)感知設(shè)備挾持等新攻擊方式日益增多的今天，等保2.0中專門強(qiáng)調(diào)了對(duì)新技術(shù)、新風(fēng)險(xiǎn)的應(yīng)對(duì)和有效防護(hù)。這無(wú)疑對(duì)保險(xiǎn)企業(yè)來(lái)說(shuō)，確實(shí)是非常有必要的。

　　不同于等保1.0時(shí)代的“60分萬(wàn)歲”， 在等保2.0時(shí)代，保險(xiǎn)企業(yè)在審核中必須達(dá)到70以上的分?jǐn)?shù)，才能處于“中”(即最低合格線的水準(zhǔn))，而三年以上的系統(tǒng)需要每年參加年審。這一切都意味著，保險(xiǎn)公司都不得不加快信息安全建設(shè)的步伐!

　　如何成為等保2.0時(shí)代的贏家，保險(xiǎn)企業(yè)準(zhǔn)備好了嗎?

　　等保項(xiàng)目實(shí)施流程主要分為定級(jí)備案、整改建設(shè)和評(píng)測(cè)三個(gè)大的階段。而總結(jié)保險(xiǎn)企業(yè)的主要差距點(diǎn)，主要包括數(shù)據(jù)庫(kù)安全審計(jì)、存儲(chǔ)保密性、傳輸保密性、異地備份以及日志審計(jì)這五個(gè)方面。構(gòu)建集中統(tǒng)一的安全管理平臺(tái)，幾乎已經(jīng)成為保險(xiǎn)公司滿足等保2.0要求的硬性條件。

　　面對(duì)保險(xiǎn)公司如何應(yīng)對(duì)等保2.0基本要求的問(wèn)題，IBM安全事業(yè)部技術(shù)總監(jiān)高爽認(rèn)為，保險(xiǎn)企業(yè)的信息系統(tǒng)以及數(shù)據(jù)本身都承載著重要的業(yè)務(wù)價(jià)值，這導(dǎo)致它的信息系統(tǒng)很容易成為黑客攻擊的重點(diǎn)目標(biāo)，威脅層出不窮，新的攻擊的方式和方法，對(duì)于企業(yè)安全的防御能力提出了非常大的挑戰(zhàn)。保險(xiǎn)公司需要具備對(duì)高級(jí)和未知威脅的檢測(cè)能力。

　　而另一方面，保險(xiǎn)公司還需要建立包括安全追溯和調(diào)查、快速響應(yīng)和阻斷的機(jī)制，一旦在保險(xiǎn)企業(yè)企業(yè)內(nèi)部檢測(cè)到高級(jí)威脅后，就需要采取行動(dòng)在第一時(shí)間有效的利用當(dāng)前的安全資源，進(jìn)行完整調(diào)查，尋找事件的源頭，并且做出快速響應(yīng)。

　　另外，保險(xiǎn)企業(yè)所面臨的內(nèi)部安全風(fēng)險(xiǎn)尤其需要予以高度重視。由于保險(xiǎn)業(yè)務(wù)的復(fù)雜性，會(huì)有大量的外部服務(wù)人員，在保險(xiǎn)企業(yè)內(nèi)部承擔(dān)不同的職責(zé)，比如第三方公司承擔(dān)著險(xiǎn)企的系統(tǒng)開(kāi)發(fā)、運(yùn)維等工作等，所以這其中也會(huì)存在著很多的安全風(fēng)險(xiǎn)，需要提前去識(shí)別和控制。

　　“構(gòu)建統(tǒng)一的安全威脅管理平臺(tái)，是實(shí)現(xiàn)保險(xiǎn)企業(yè)威脅管理的核心部分。”高爽說(shuō)，我們可以把威脅管理分為三個(gè)階段：

　　第一階段：威脅檢測(cè)，威脅檢測(cè)的基礎(chǔ)是可視化，即如何能夠針對(duì)保險(xiǎn)企業(yè)傳統(tǒng)的數(shù)據(jù)中心的環(huán)境、私有云或公有云的環(huán)境，對(duì)各類安全事件提供完整的采集處理跟分析的能力，這其中，需要內(nèi)建大量的安全智能，主動(dòng)的幫我們組織發(fā)現(xiàn)這種潛在的高級(jí)的威脅”。

　　第二階段，調(diào)查分析，安全分析人員需要分析包括企業(yè)傳統(tǒng)數(shù)據(jù)中心，以及在云環(huán)境里面的各類數(shù)據(jù)，并且在調(diào)查過(guò)程中構(gòu)建上下文環(huán)境，把這些數(shù)據(jù)進(jìn)行有效關(guān)聯(lián)，從而站在攻擊者的角度，盡可能去還原整個(gè)攻擊鏈條，發(fā)現(xiàn)攻擊的根本原因。

　　第三個(gè)階段，快速響應(yīng)，在響應(yīng)階段需要進(jìn)行完整的預(yù)案設(shè)計(jì)，透過(guò)標(biāo)準(zhǔn)化的方式進(jìn)行處理。在處理的過(guò)程中，需要連接到各類的數(shù)據(jù)源，去連接各種類型的安全的工具和IT運(yùn)維工具，并根據(jù)預(yù)先編排的腳本實(shí)現(xiàn)自動(dòng)化的響應(yīng)。然而現(xiàn)階段很多保險(xiǎn)企業(yè)還是比較傳統(tǒng)，并沒(méi)有實(shí)現(xiàn)這種自動(dòng)化的響應(yīng)流程。

　　本文為的節(jié)選部分，轉(zhuǎn)載自新金融世界企鵝號(hào)，版權(quán)歸原作者所有。文章內(nèi)容僅代表作者獨(dú)立觀點(diǎn)，不代表本站立場(chǎng)，轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)，請(qǐng)聯(lián)系刪除。