【摘要】信息科學(xué)技術(shù)的進(jìn)步，給人們的日常生活提供了極大的便利，但網(wǎng)絡(luò)信息安全問題卻十分嚴(yán)峻。日前根據(jù)有關(guān)保險(xiǎn)單位通報(bào)，發(fā)現(xiàn)新型網(wǎng)絡(luò)攻擊威脅和某些保險(xiǎn)機(jī)構(gòu)存在重大信息安全風(fēng)險(xiǎn)隱患。為此，中國保監(jiān)會(huì)統(tǒng)計(jì)信息部向保險(xiǎn)機(jī)構(gòu)下發(fā)《網(wǎng)絡(luò)與信息安全通報(bào)》。

　　該《通報(bào)》首先提示保險(xiǎn)公司、保險(xiǎn)資管公司在內(nèi)的保險(xiǎn)機(jī)構(gòu)防范新型網(wǎng)絡(luò)攻擊威脅。APT（高級(jí)持續(xù)性威脅，Advanced Persistent Threat）是近年來興起的一種新型網(wǎng)絡(luò)攻擊方式。它對(duì)大型企業(yè)，特別是銀行等金融機(jī)構(gòu)的針對(duì)性日益增強(qiáng)，造成的威脅越來越大。目前全球已披露了數(shù)起 APT 攻擊案例，韓國等國金融機(jī)構(gòu)均曾遭受攻擊，出現(xiàn)了不同程度的金融信息泄露。

　　另外，《通報(bào)》稱，在保險(xiǎn)業(yè)2013年信息安全檢查中，經(jīng)有關(guān)單位檢測(cè)發(fā)現(xiàn)部分保險(xiǎn)公司信息系統(tǒng)存在安全隱患。一是某公司應(yīng)用系統(tǒng)管理員賬戶存在弱口令，攻擊者可輕易獲取該公司管理員權(quán)限；二是某公司互聯(lián)網(wǎng)應(yīng)用系統(tǒng)存在SQL 注入和文件上傳漏洞；三是部分公司網(wǎng)站采用Apache Struts Xwork 應(yīng)用軟件版本較低，存在遠(yuǎn)程代碼執(zhí)行高危漏洞。上述管理或技術(shù)漏洞導(dǎo)致系統(tǒng)存在信息泄露、公司網(wǎng)絡(luò)被攻擊等重大信息安全風(fēng)險(xiǎn)隱患。

　　今年年中，保監(jiān)會(huì)曾下發(fā)《關(guān)于開展2013年保險(xiǎn)業(yè)信息系統(tǒng)安全檢查工作的通知》，以進(jìn)一步加強(qiáng)信息安全管理工作，防范科技風(fēng)險(xiǎn)，保障公司信息系統(tǒng)安全平穩(wěn)運(yùn)行，確保商業(yè)信息和客戶信息安全。某地方保監(jiān)局據(jù)此設(shè)定對(duì)省級(jí)分公司的檢查內(nèi)容包括：信息安全責(zé)任制建立和落實(shí)情況、日常管理制度及落實(shí)情況、信息系統(tǒng)安全管控情況、數(shù)據(jù)管理和災(zāi)備建設(shè)、應(yīng)急響應(yīng)體系建設(shè)情況等內(nèi)容。相關(guān)檢查分為公司自查和現(xiàn)場(chǎng)檢查兩個(gè)階段，第一階段為公司開展自查整改（2013年6月-7月中旬），第二階段為保監(jiān)局對(duì)部分公司現(xiàn)場(chǎng)進(jìn)行抽查（2013年8月-9月）。

　　《通報(bào)》要求各保險(xiǎn)公司對(duì)上述信息安全問題和事件引以為戒，對(duì)APT引發(fā)的安全問題足夠重視，防止弱口令、SQL注入、文件上傳等漏洞帶來的安全問題，及時(shí)進(jìn)行組件升級(jí)，定期排查和評(píng)估潛在風(fēng)險(xiǎn)，不斷增加主動(dòng)發(fā)現(xiàn)風(fēng)險(xiǎn)和排查故障的技術(shù)能力，有條件的公司應(yīng)聘請(qǐng)專業(yè)安全機(jī)構(gòu)定期進(jìn)行監(jiān)測(cè)，提高風(fēng)險(xiǎn)防范水平。

　　無憂保提示：保監(jiān)會(huì)此次下發(fā)的文件，要求各機(jī)構(gòu)對(duì)網(wǎng)絡(luò)信息安全問題與事件予以足夠重視，確保系統(tǒng)安全平穩(wěn)運(yùn)行。網(wǎng)絡(luò)信息的安全對(duì)保險(xiǎn)行業(yè)有著重要的影響，否則客戶信息將被全面暴露，甚至影響整個(gè)保險(xiǎn)行業(yè)的正常運(yùn)轉(zhuǎn)。