由于市场的高度集中,因此头部险企是保险行业网络安全建设的重要参与者。
保险业的网络安全政策、法规和规范是保障行业稳健运营和客户信息安全不可或缺的基石。它们 围绕保险数据的全生命周期,包括采集、存储、处理、传输和使用等环节,设定了明确的管理要求和 标准。为确保业务的合规性和客户信息的安全性,保险业必须恪守国家法规,如《网络安全法》和《个 人信息保护法》。这些法律为行业提供了数据保护、隐私维护和网络安全事故应对的核心指导。此外, 行业内也细化落实了一批相关政策、法规和规范,为保险业提供了网络安全组织架构、人员培训、安 全审计和风险评估等具体的实践指导,以确保行业在应对网络安全挑战时能够迅速、有效地采取行动。
2023 年,工信部与国家金融监督管理总局在保险行业细分领域联合发布了具有里程碑意义的政 策文件《关于促进网络安全保险规范健康发展的意见》(如图 25 所示)。这一文件的出台,标志着我 国网络安全保险行业正式迈入规范化、健康化的发展轨道。通过实施相关措施,将有力推动网络安全 保险行业的有序发展,提升行业企业应对网络安全风险的能力,为中小企业数字化转型提供坚实保障, 并构建起完善的网络安全社会化服务体系。这不仅有助于提升我国制造业和网络安全领域的整体实 力,更将为建设制造强国和网络强国注入强大动力。
以上所提及的政策、法规和规划共同构筑了我国保险业网络安全的坚实基石。它们不仅凸显了技 术安全措施的关键性,还加强了对个人信息保护的法律约束。鉴于技术的飞速发展和网络安全挑战的 日益严峻,保险业必须与时俱进,持续更新和完善这些政策、法规和规范。特别是在云计算、大数据 和人工智能等前沿技术的运用中,以及网络安全保险服务的探索过程中,保险业更应确保技术的安全 性和合规性,从而为客户提供更加稳健可靠的服务,为市场注入更多信心与活力。
保险行业的市场集中度较高,大型保险集团(控股)公司通常拥有包括寿险、财险在内的多个子 公司。头部保险机构占据了市场上的较大份额,根据 2023 年原保费收入的统计数据,中国人保、中 国人寿、平安保险和中国太平洋保险的保费收入占据了我国总体原保险收入的将近 50%。 保险机构的组织架构通常包括集团总部、子公司、区域办事处、营销服务部等多层次机构,形成 了一个层级分明的管理架构。在网络安全方面,这种多层次的结构也同样适用。以中国人寿为例,该 公司已经建立了一个多层次的网络安全组织架构,有效地保障了人寿集团的网络安全建设。
由于市场的高度集中,因此头部险企是保险行业网络安全建设的重要参与者。通过分析这些头部 险企近年的网络安全采购情况,我们发现它们的安全体系已经较为完善,鉴于保险行业涉及大量个人 隐私信息,业务操作中对客户信息的真实性、数据分析的可靠性以及与第三方共享协作的保密性有着 较高的要求。因此,这些公司的网络安全建设重点集中在身份与访问管理,个人信息和数据的安全保 护、隐私计算以及安全运营等方面。
a) 基础终端及网络安全 近年来,随着等级保护合规、实网攻防演习以及数字化转型的推进,大中型保险公司已经逐步构 建起基本的网络安全防护体系。他们通常已经采购了网络终端准入 NAC、数据泄露防护 DLP、防病 毒、防火墙 FW、Web 应用防火墙 WAF 和网络检测与响应 NDR 产品。特别是在疫情期间,远程工作 成为保险行业的主流趋势,同时随着保险公司的数字化转型,定价核保、营销分销、理赔处理等在内 的环节越来越多地采用线上方式,线上业务比例逐年提高,客户也愈发依赖移动应用进行保险的相关 操作,因此自 2020 年起,大中型保险公司开始加强移动应用的安全防护。 观察发现,领先的保险公司已经开始部署终端检测与响应 EDR 系统以及网络流量分析 NTA 等设 备。
b) 云安全 国内的大型保险企业普遍采用云化分布式的 IT 架构,构建了以私有云为主、公有云为辅的混合云平台。在云技术应用方面,近两年头部保险企业的上云速度显著加快。比如,中国人民保险集团已 经完成了核心应用的全面改造并成功上云;太平洋保险则建立了基于全栈信创技术的保险云原生平 台。截至 2023 年,中国太平洋保险已经完成了四朵云的建设,涵盖了从验证、开发测试到生产灾备 云的各个阶段,并实现了超过 50 个应用的云上运行。中国人寿已经实现了重点产品的云原生化。 从安全角度来看,云安全的建设略显滞后于上云的速度。目前,虽然多数保险企业已经部署了云 主机防护系统,但在容器安全方面的使用率和覆盖范围仍然有限。2023 年头部保险企业明显加大了 对云安全的投入。例如,人保科技启动了云安全管理平台建设项目,旨在建立面向云环境的安全管理 体系和安全运营规范。
c) 身份与访问管理 保险机构机已经建立了基础的身份与访问管理系统,大部分险企已经购买了堡垒机、特权账号管 理、多因素认证、统一身份管理平台 IAM 等系统。在 2022 年,作为信创试点,大部分险企开始采购 国产化终端和堡垒机,进一步加强身份与访问管理。目前,部分险企已经开始探索零信任技术,并部 署了零信任系统,以满足公司员工安全远程工作和移动办公的需求。
d) 开发安全 随着保险业数字化转型的加速,构建敏态的业务逐渐成为保险机构建设的共识。大型头部险企普 遍已经建立了 DevSecOps 体系,该体系整合了敏捷开发和持续集成/部署工具 CI/CD、应用程序安全 测试 AST,并且定制化或自主研发了开发安全管理平台。 对于中小型险企来说,它们尚未建立起完整的开发安全体系,而是主要通过购买代码审计相关服 务以及基础工具如 AST 来保护代码安全。
