网络信息安全要“攻防结合”

□记者 苏洁

随着云计算、大数据以及人工智能和5G等数字技术具备的开放性、多元性、数据海量化、场景移动化、处理智能化等特点，导致网络安全风险多样化、复杂化，极易扩散、蔓延。保险企业当前面临哪些网络安全挑战？如何构建敏捷高效的网络安全管理体系？6月28日，第十二届保险业信息化高峰论坛“数字化时代的网络信息安全”分论坛上，与会嘉宾针对保险业数字化转型时代网络安全体系建设和运营管理展开了探讨和交流。

数字化转型对网络安全提出新要求

随着互联网技术的不断发展，国家、社会企业，特别是金融业和网络的联系越来越紧密了。与此同时，随着云计算、大数据、人工智能等技术的快速发展，网络为我们带来方便的同时，也带来了诸多风险和挑战。

人保财险总裁助理兼首席信息技术官邵利铎表示，在数字化转型过程中对网络安全提出了新的要求：一是落实安全可控的国家战略。新的监管形势下，数据共享对安全要求很高，新技术、新架构对安全的创新要求适应性也很强。二是新要求新安全。他用“合”字来概括，即契合、融合、整合、结合。所谓契合就是数字化时代将网络安全上升到公司的治理层面，要和业务相契合；融合要融合技术、融合流程，要将安全能力加载到核心当中去，将安全能力内化于心；整合是整合数据，对网络安全的风险进行展示，将网络安全的风险外化于形；结合就是网络防护方面既要注重防守，也要注重攻击，要攻防结合。

亚信安全副总裁、亚信网络安全产业技术研究院院长刘东红指出，网络安全的定位、对象、需求都在发生着变化，顺应变化就要遵循从实战出发的原则。随着云大物移和区块链、人工智能等新技术的出现，网络安全建设也要对应改变，网络安全新技术层出不穷，不仅仅是说以前大家熟悉的安全技术，而且更多要不断采纳新的技术。

腾讯安全云鼎实验室总经理李滨表示，保险行业的风险环境有几个基本特点：第一是人员多，第二是设施多，第三是网点多分布区域广。这三个特点造成保险行业的网络空间安全风险层次丰富，问题种类多样，管理存在一定困难。但是在目前面临数字化转型时，有非常好的机遇去重构和改进整个企业的网络空间安全管理，有非常多的新技术可以利用，包括云计算和可信基础设施，新的数据安全技术等等。

李滨指出，在企业进行数字化转型变革时，可以从四个关键点上着手建设新的安全体系：第一，通过云和新一代基础设施的建设，重构安全、可信的基础设施，实现安全基础控制的开放性和标准化；同时通过业务应用的云化改造去适配新的安全开发流程和技术，改善产品和开发的安全；第二，在新时代环境下，数据安全是一个核心，在建设数据平台的同时，纳入安全和隐私保护的原生设计，有效利用数据加密、脱敏等数据安全治理技术实现数据的有效保护；第三，安全管理和运营体系的重构。在传统的IT时代，一个安全体系里包含流程、工具、方法、人和组织，但是传统体系里这些不同的组件往往是脱节的，在云时代基础设施标准化的基础上，各类安全数据可以进一步互通和融合，分工无缝衔接在一起，简化企业安全管理的难度，提高安全运营效率。第四，在新的网络空间安全形势下，变被动响应为主动发现，建立高效和主动的网络空间探测和风险发现工具，尽早发现问题，快速实现闭环风险。

互联网在保险定价、风险管控等环节发挥积极作用

“在数字经济时代，数字经济为保险业重塑提供了难得的机遇。从目前来看，互联网为今后保险业转型发展的核心环节，如保险定价、风险管控等环节中发挥积极作用。未来，人工智能等新技术还将为保险业提供更多标准化服务，促进保险消费者幸福感、安全感和获得感不断提高。”中关村互联网金融研究院院长刘勇说道，“互联网保险给保险行业注入了新的增长活力，也降低了保险公司的成本，简化了业务开展流程，更调整了市场结构。同时，新技术的引入带来了不可避免的新风险，尤其是安全风险：首先是设备运行风险，其次是病毒传播风险，再次是系统操作风险，最后是在线支付风险。”

中国出口信用保险软件开发部副总经理张建强把网络安全工作归纳为“四防一处置”。“四防”分别是人防、物防、技防、机制防。从组织、制度方面加强安全管理问题。他表示，做系统设计的时候要有同步的方案设计，系统上线的时候不光有系统功能和业务方面的测试，还有安全测试的问题。

奇安信集团合伙人、助理总裁白健认为，数字化转型已经成了保险行业提升企业核心竞争力，保险客户对数字化及信息安全的重要性有更加深刻的认识。伴随着保险行业数字化转型的加快，相应的网络安全也需要创新和变革，以适应新形势下的保险行业信息化发展的需要。对于网络安全的变革，白健根据这几年来的实践与理念，总结出了“44333”的创新安全思维。即四个假设、四新战略、三位一体、三同步和三方制衡，实现了从理念到方法论、从安全产品技术到精细化服务的全面创新，彻底推翻了传统网络安全通过隔离、修边界的技术方法。

信息安全是整个社会的事，对于保险企业来说，未来网络安全大数据平台可以共建共享，实现协同联防。