### 保险企业信息安全思路之管窥与思考
#### 蔡嘉勇 分享
#### 平安产险信息安全负责人
平安产险作为中国领先的科技型财产保险公司,自成立以来便不断推动行业的科技进步。从1988年成立至今,平安产险不仅在保费规模上实现了快速增长,还不断创新科技应用,如推出“平安好车主”APP等服务,为客户提供更加便捷的服务体验。面对日益复杂的网络安全环境,平安产险高度重视信息安全,并积极探索有效的信息安全管理和技术防护措施。
#### 一、信息安全的概念与发展阶段
信息安全是指确保信息的机密性(Confidentiality)、完整性(Integrity)和可用性(Availability),简称CIA三要素。随着信息技术的发展,信息安全经历了三个主要阶段:
1. **探索期(1999-2008年)**:此阶段主要关注会计账务电子化、金融业务电子数据处理等方面的基础信息化建设。
2. **发展期(2008-2014年)**:随着互联网的普及,保险公司开始关注网络支付、保险互联网化等技术的应用。
3. **爆发期(2014年后)**:在此阶段,区块链、物联网、云计算、大数据等新技术的兴起,使得保险行业的业务模式发生了根本性的变革,同时也带来了新的安全挑战。
#### 二、当前面临的挑战
平安产险认为当前保险行业面临的主要挑战包括:
1. **黑客诈骗团伙**:利用各种手段进行攻击和欺诈活动。
2. **竞争对手**:可能通过非法手段获取竞争优势。
3. **合作伙伴**:合作伙伴的信息安全管理能力可能成为薄弱环节。
4. **法律法规监管**:需要遵循严格的合规要求,如GDPR等。
#### 三、核心资产与防线
为了有效应对这些挑战,平安产险明确了需要保护的核心资产,包括但不限于知识库、财务信息、商业秘密、报表数据、精算模型等,并建立了一套多层次的安全防线体系:
1. **业务属主**:负责业务层面的安全需求分析与实施。
2. **法律合规**:确保所有活动符合法律法规要求。
3. **信息安全**:负责整体的信息安全策略规划与执行。
4. **IT、网络、系统、应用、数据**:从技术层面构建安全防护体系。
#### 四、数据安全治理:共治促赢
针对数据安全,平安产险采取了“共治促赢”的策略,从数据的生命周期角度出发,实施了全面的数据安全治理措施:
1. **数据采集**:明确告知并获得用户的授权,确保数据的合法性采集。
2. **数据创建与存储**:按照不同的敏感级别对数据进行分类与加密存储。
3. **数据使用**:实施严格的访问控制与权限管理,确保数据使用的安全性。
4. **数据销毁**:制定合理的数据保留政策及销毁流程。
#### 五、互联网业务安全
1. **风险防控**:采用深度学习等先进技术,通过数据分析识别潜在风险。
2. **实时监控与拦截**:对异常行为进行实时监测,并及时拦截。
3. **预防措施**:加强用户认证机制,提高系统的抗攻击能力。
#### 六、未来展望
随着人工智能等新兴技术的不断发展,平安产险将继续探索更多的技术解决方案,以更好地应对未来的安全挑战。通过构建更加智能的安全防护体系,不断提高自身的安全保障能力,为客户提供更安全、更可靠的服务。
平安产险在信息安全方面进行了全方位的布局与实践,不仅关注当前的安全威胁,还着眼于未来的发展趋势,积极应对新的挑战。通过持续的技术创新与管理优化,平安产险致力于构建一个更加安全、高效的保险生态环境。
2024-08-15 17:32:47
2.89MB
1
针对信息安全管理的制度模板(可用于等保测评被测方使用)。
文件包含了:资产安全管理制度、运营类固定资产管理制度、运行维护和监控管理规定、应急预案管理制度、信息系统自行软件开发管理规定、信息系统外包软件开发管理规定、信息系统交付安全管理规定、信息系统工程实施安全管理制度、言息系统定级备案管理规定、言息系统等级测评管理规定、息系统产品采购和使用信息安全管理规定、息系统测试验收安全管理规定、言息系统安全服务商选择管理办法、言息安全组织及岗位职责管理规定、信息安全检查与审计管理制度、信息安全工作总体方针、信息安全方案设计管理规定、系统安全管理制度、网络安全管理制度、外部人员访问信息安全管理规定、设备安全管理制度、内部人员信息安全管理规定、密码使用管理制度、个质安全管理制度、环境安全管理规定、固定资产报废流程制度、恶意代码防范管理规定、变更管理制度、备份与恢复管理制度、安全事件报告和处置管理制度等众多制度的模板及表格。
2024-05-08 14:54:08
592KB
1
从API治理角度看API安全2022企业信息安全峰会(脱敏)共33页.pdf.zip
2022-12-15 13:01:45
857KB
1
2022企业信息安全峰会包含安全新技术、安全运营、数据安全及零信任等议题,欢迎大家共同学习。
Trellix-智能安全运营
下一代流量汇聚平台助力安全可视
大型攻防演练中的零信任
如何有效评估企业攻击面的安全态势
威胁狩猎架构探索
安全攻防中的知己与知彼
安全运营托管服务介绍
AIoT安全体系建设实践
快速、准确、敏捷安全测试
数字化纵深与API治理
数字化转型中的企业网络安全
数字化转型企业中的“蓝军”
数据安全事在人为
基于ATT&CK框架的入侵与攻击模拟
浅谈基础架构即代码及安全
海量数据下的安全事件运营
自如SDL建设实践
零信任SASE平台-数据安全解决方案
2022-07-04 19:00:13
198.16MB
结合中小型网络安全系统建设的实例,重点研究计算机网络的安全问题,对不同的网络安全方案进行优化、集中和协同,从而尽可能的使本网络安全系统保持可扩展性、健壮性,使网络安全系统真正获得较好的结果。主要研究工作有:
1. 查找和收集网络安全相关的资料,剖析网络攻击的手段,分析影响网络安全的因素。
2.详细阐述网络安全系统设计的目标和总体规划。
3.详细分析中小型公司物理层安全风险、网络层安全风险、系统层安全风险、病毒的安全风险、数据传输的安全风险、管理的安全风险,提出了具体的需求和设计依据。
4.根据中小型公司网络现状、中小型公司的需求、网络安全的风险分析及网络安全系统设计目标和总体规划,设计了中小型网络安全系统方案,运用先进的网络安全技术和网络安全产品对方案进行了实现,探讨了今后网络安全系统的发展方向。
2022-04-28 18:04:33
400KB
1
2022企业信息安全沙龙PPT汇总,共6份。
安全威胁的及时与全面防御.
从个保法看证券业监管发展
个保法下企业内部合规审计实践
个人信息保护思考与实践
零信任助力企业安全管理:场景与实践
漫谈数据安全能力建设
2022-02-11 14:00:16
17.08MB
从数据安全角度出发重新审视密码.pdf
从疫情防控看信息安全建设.pdf
企业安全落地痛点实践.pdf
信息安全管理助推企业信息化建设.pdf
合规视角下的信息安全审计.pdf
后疫情时代券商数据安全体系的实践与展望.pdf
安全事件管理自动化之路———坑与梯.pdf
浅谈大中型软件企业信息安全建设.pdf
现代数据库环境下的安全思考.pdf
零信任实践-从远程办公开始.pdf
2022-02-08 12:00:19
27.97MB