保险资讯

网络信息存在安全隐患 各大保险机构需格外关注

更新时间:2013-11-03 12:24
  【摘要】信息科学技术的进步,给人们的日常生活提供了极大的便利,但网络信息安全问题却十分严峻。日前根据有关保险单位通报,发现新型网络攻击威胁和某些保险机构存在重大信息安全风险隐患。为此,中国保监会统计信息部向保险机构下发《网络与信息安全通报》。

  该《通报》首先提示保险公司、保险资管公司在内的保险机构防范新型网络攻击威胁。APT(高级持续性威胁,Advanced Persistent Threat)是近年来兴起的一种新型网络攻击方式。它对大型企业,特别是银行等金融机构的针对性日益增强,造成的威胁越来越大。目前全球已披露了数起 APT 攻击案例,韩国等国金融机构均曾遭受攻击,出现了不同程度的金融信息泄露。

  另外,《通报》称,在保险业2013年信息安全检查中,经有关单位检测发现部分保险公司信息系统存在安全隐患。一是某公司应用系统管理员账户存在弱口令,攻击者可轻易获取该公司管理员权限;二是某公司互联网应用系统存在SQL 注入和文件上传漏洞;三是部分公司网站采用Apache Struts Xwork 应用软件版本较低,存在远程代码执行高危漏洞。上述管理或技术漏洞导致系统存在信息泄露、公司网络被攻击等重大信息安全风险隐患。

  今年年中,保监会曾下发《关于开展2013年保险业信息系统安全检查工作的通知》,以进一步加强信息安全管理工作,防范科技风险,保障公司信息系统安全平稳运行,确保商业信息和客户信息安全。某地方保监局据此设定对省级分公司的检查内容包括:信息安全责任制建立和落实情况、日常管理制度及落实情况、信息系统安全管控情况、数据管理和灾备建设、应急响应体系建设情况等内容。相关检查分为公司自查和现场检查两个阶段,第一阶段为公司开展自查整改(2013年6月-7月中旬),第二阶段为保监局对部分公司现场进行抽查(2013年8月-9月)。

  《通报》要求各保险公司对上述信息安全问题和事件引以为戒,对APT引发的安全问题足够重视,防止弱口令、SQL注入、文件上传等漏洞带来的安全问题,及时进行组件升级,定期排查和评估潜在风险,不断增加主动发现风险和排查故障的技术能力,有条件的公司应聘请专业安全机构定期进行监测,提高风险防范水平。

  慧择提示:保监会此次下发的文件,要求各机构对网络信息安全问题与事件予以足够重视,确保系统安全平稳运行。网络信息的安全对保险行业有着重要的影响,否则客户信息将被全面暴露,甚至影响整个保险行业的正常运转。