【摘要】保險機構(gòu)中往往存在著大量的客戶信息，然而很多保險機構(gòu)對如此重要的資料居然不夠關(guān)注。為此，中國保監(jiān)會下發(fā)通報，督促保險機構(gòu)完善安全手段。
　　
　　近日，中國保監(jiān)會統(tǒng)計信息部向保險機構(gòu)下發(fā)《網(wǎng)絡(luò)與信息安全通報》，稱根據(jù)有關(guān)單位通報，近期發(fā)現(xiàn)新型網(wǎng)絡(luò)攻擊威脅和某些保險機構(gòu)存在重大信息安全風(fēng)險隱患，故將相關(guān)情況進行通報，同時要求各機構(gòu)對此類問題與事件予以足夠重視，確保系統(tǒng)安全平穩(wěn)運行。
　　
　　該《通報》首先提示保險公司、保險資管公司在內(nèi)的保險機構(gòu)防范新型網(wǎng)絡(luò)攻擊威脅。APT（高級持續(xù)性威脅，Advanced Persistent Threat）是近年來興起的一種新型網(wǎng)絡(luò)攻擊方式。它對大型企業(yè)，特別是銀行等金融機構(gòu)的針對性日益增強，造成的威脅越來越大。目前全球已披露了數(shù)起 APT 攻擊案例，韓國等國金融機構(gòu)均曾遭受攻擊，出現(xiàn)了不同程度的金融信息泄露。
　　
　　另外，《通報》稱，在保險業(yè) 2013 年信息安全檢查中，經(jīng)有關(guān)單位檢測發(fā)現(xiàn)部分保險公司信息系統(tǒng)存在安全隱患。一是某公司應(yīng)用系統(tǒng)管理員賬戶存在弱口令，攻擊者可輕易獲取該公司管理員權(quán)限；二是某公司互聯(lián)網(wǎng)應(yīng)用系統(tǒng)存在 SQL 注入和文件上傳漏洞；三是部分公司網(wǎng)站采用 Apache Struts Xwork 應(yīng)用軟件版本較低，存在遠程代碼執(zhí)行高危漏洞。上述管理或技術(shù)漏洞導(dǎo)致系統(tǒng)存在信息泄露、公司網(wǎng)絡(luò)被攻擊等重大信息安全風(fēng)險隱患。
　　
　　今年年中，保監(jiān)會曾下發(fā)《關(guān)于開展2013年保險業(yè)信息系統(tǒng)安全檢查工作的通知》，以進一步加強信息安全管理工作，防范科技風(fēng)險，保障公司信息系統(tǒng)安全平穩(wěn)運行，確保商業(yè)信息和客戶信息安全。某地方保監(jiān)局據(jù)此設(shè)定對省級分公司的檢查內(nèi)容包括：信息安全責(zé)任制建立和落實情況、日常管理制度及落實情況、信息系統(tǒng)安全管控情況、數(shù)據(jù)管理和災(zāi)備建設(shè)、應(yīng)急響應(yīng)體系建設(shè)情況等內(nèi)容。相關(guān)檢查分為公司自查和現(xiàn)場檢查兩個階段，第一階段為公司開展自查整改（2013年6月-7月中旬），第二階段為保監(jiān)局對部分公司現(xiàn)場進行抽查（2013年8月-9月）。
　　
　　《通報》要求各保險公司對上述信息安全問題和事件引以為戒，對 APT 引發(fā)的安全問題足夠重視，防止弱口令、SQL 注入、文件上傳等漏洞帶來的安全問題，及時進行組件升級，定期排查和評估潛在風(fēng)險，不斷增加主動發(fā)現(xiàn)風(fēng)險和排查故障的技術(shù)能力，有條件的公司應(yīng)聘請專業(yè)安全機構(gòu)定期進行監(jiān)測，提高風(fēng)險防范水平。
　　
　　無憂保提示：網(wǎng)絡(luò)安全自互聯(lián)網(wǎng)誕生以來就一直受到人們的關(guān)注，現(xiàn)代科技的發(fā)展應(yīng)該帶來的是更好的生活環(huán)境，更安全的生活空間。安全風(fēng)險一定要得到妥善的解決。