新闻频道 > 热点专题 > 2019中国保险信息技术年会 > 正文
圆桌对话二:防范网络风险 智在自主可控
发布时间:2019-12-17 10:35:01 作者: 来源:中国银行保险报网
□记者 房文彬
网络安全叠加自主可控已成为当前市场的主旋律。
12月12日,由《中国银行保险报》主办的2019中国保险信息技术年会在海南海口举行。与会嘉宾普遍认为,长久以来,自主可控是保障网络安全、信息安全的前提,也是保险业信息化建设的关键之一。
与会嘉宾围绕“自主可控与网络安全风险防范”为主题进行探讨和交流。
风险加剧 保险业面临网络安全严峻形势
普华永道近期发布的《2019保险业香蕉皮报告》显示,网络风险居2019年风险排名第二位。由于保险业拥有大量有价值的数据,因此常常成为攻击目标。《报告》显示,保险公司被攻破后的影响包括:服务中断的损失、记录丢失及知识产权被盗。更可怕的是巨额罚款、声誉可能严重受损及失去客户的信任。
“2018年银行业信息安全标准规范有18个,而相应的安全标准在保险业只有3个,从数量级上可以看出,保险业较银行业的差距是非常大的。中国银保监会成立后,保险业向银行业看齐成为大趋势,信息安全建设则是其中之一。”泰康保险集团安全部总经理李瑞荣说。
人保财险信息科技部运维中心主任莫秀刚认为,保险业与银行业相比,首先,银行业基本实现了网络安全边界的高度可控,在终端、应用的接入方面比保险业边界防护做得好。第二,银行业数据资产的等级保护高于保险业。第三,银行业的IT投入建设力度比保险业要高很多。
“银行的从业人员普遍比较专业,数据较集中;而保险业的数据下沉比较多,暴露面更大。”太保集团信息安全部总经理李丽红认为这是银行业与保险业在防范网络安全风险方面最大的不同,也是值得保险业思考的地方。
网络要安全 自主可控是关键
自主可控是保障网络安全、信息安全的前提。能自主可控意味着信息安全容易治理、产品和服务一般不存在恶意后门并可以不断改进或修补漏洞;反之,不能自主可控就意味着具“他控性”,就会受制于人,其后果是:信息安全难以治理,产品和服务一般存在恶意后门并难以不断改进或修补漏洞。
由于长期被国外产品垄断,我国金融信息系统面临着网络被控、数据被窃的危险,这已严重威胁到我国金融行业的健康发展。华为云安全产品总监刘洪善认为,首先应尽量做到国产化,第二应尽量用混合架构,第三就是做好各种安全防护。“无论你采购的产品是国内还是国外的,在自己能力的范围内做好安全运营和保障,这就已经达到了基本上的自主可控了。底层的自主可控需要靠整个产业、整个国家一起进步,才有可能完全实现。”
复旦大学中国保险与社会安全研究中心主任许闲认为,安全是相对的,并需要在博弈的过程中逐渐做到自主可控,同时安全也是需要投入和政府、政策支持的。
至于保险业如何做到网络安全的可控,李丽红认为,第一,治理层次上一定要建立一把手的责任制,要有基于安全整体的决策层;第二要有考核机制,这是治理层次上的保障;第三是建立全生命周期的管理机制,要持续地做培训和测试;第四是建立多层次的防御体系,包括各个节点信息综合的探视感知能力以及安全运营能力。感知能力的建立可以帮助使用者发现很多潜在威胁,安全运营能力则可以让使用者在面对不断变化的风险时做到应对自如。
“持续完善安全管理体系,能够面对来自外部的威胁,并与整体内部的管理协调,只有这样我们才有可能创造出更高效、更安全的网络环境。”亚信安全技术服务与售前部总经理蔡升钦表示。
本次圆桌对话的主持人由复旦大学中国保险与社会安全研究中心主任许闲担任。
□记者 房文彬
网络安全叠加自主可控已成为当前市场的主旋律。
12月12日,由《中国银行保险报》主办的2019中国保险信息技术年会在海南海口举行。与会嘉宾普遍认为,长久以来,自主可控是保障网络安全、信息安全的前提,也是保险业信息化建设的关键之一。
与会嘉宾围绕“自主可控与网络安全风险防范”为主题进行探讨和交流。
风险加剧 保险业面临网络安全严峻形势
普华永道近期发布的《2019保险业香蕉皮报告》显示,网络风险居2019年风险排名第二位。由于保险业拥有大量有价值的数据,因此常常成为攻击目标。《报告》显示,保险公司被攻破后的影响包括:服务中断的损失、记录丢失及知识产权被盗。更可怕的是巨额罚款、声誉可能严重受损及失去客户的信任。
“2018年银行业信息安全标准规范有18个,而相应的安全标准在保险业只有3个,从数量级上可以看出,保险业较银行业的差距是非常大的。中国银保监会成立后,保险业向银行业看齐成为大趋势,信息安全建设则是其中之一。”泰康保险集团安全部总经理李瑞荣说。
人保财险信息科技部运维中心主任莫秀刚认为,保险业与银行业相比,首先,银行业基本实现了网络安全边界的高度可控,在终端、应用的接入方面比保险业边界防护做得好。第二,银行业数据资产的等级保护高于保险业。第三,银行业的IT投入建设力度比保险业要高很多。
“银行的从业人员普遍比较专业,数据较集中;而保险业的数据下沉比较多,暴露面更大。”太保集团信息安全部总经理李丽红认为这是银行业与保险业在防范网络安全风险方面最大的不同,也是值得保险业思考的地方。
网络要安全 自主可控是关键
自主可控是保障网络安全、信息安全的前提。能自主可控意味着信息安全容易治理、产品和服务一般不存在恶意后门并可以不断改进或修补漏洞;反之,不能自主可控就意味着具“他控性”,就会受制于人,其后果是:信息安全难以治理,产品和服务一般存在恶意后门并难以不断改进或修补漏洞。
由于长期被国外产品垄断,我国金融信息系统面临着网络被控、数据被窃的危险,这已严重威胁到我国金融行业的健康发展。华为云安全产品总监刘洪善认为,首先应尽量做到国产化,第二应尽量用混合架构,第三就是做好各种安全防护。“无论你采购的产品是国内还是国外的,在自己能力的范围内做好安全运营和保障,这就已经达到了基本上的自主可控了。底层的自主可控需要靠整个产业、整个国家一起进步,才有可能完全实现。”
复旦大学中国保险与社会安全研究中心主任许闲认为,安全是相对的,并需要在博弈的过程中逐渐做到自主可控,同时安全也是需要投入和政府、政策支持的。
至于保险业如何做到网络安全的可控,李丽红认为,第一,治理层次上一定要建立一把手的责任制,要有基于安全整体的决策层;第二要有考核机制,这是治理层次上的保障;第三是建立全生命周期的管理机制,要持续地做培训和测试;第四是建立多层次的防御体系,包括各个节点信息综合的探视感知能力以及安全运营能力。感知能力的建立可以帮助使用者发现很多潜在威胁,安全运营能力则可以让使用者在面对不断变化的风险时做到应对自如。
“持续完善安全管理体系,能够面对来自外部的威胁,并与整体内部的管理协调,只有这样我们才有可能创造出更高效、更安全的网络环境。”亚信安全技术服务与售前部总经理蔡升钦表示。
本次圆桌对话的主持人由复旦大学中国保险与社会安全研究中心主任许闲担任。
