梆梆安全在保险行业的安全思考与方案
星期一, 十一月 4, 2019
2019年是值得保险行业在安全方面重点关注的一年。一方面,随着2018年银监会保监会的合并,保险行业的安全监管收紧成为必然,安全监管政策的走向成为让保险企业敏感的内容。另一方面,近年来诸如国家四部门App个人信息专项治理等国家级安全治理和安全攻防演练实战也在对保险企业的安全防护不断产生扰动。那么,今后的个人信息保护怎么做?攻防演练实战如何参与并取得良好的成绩?对于保险企业来说,这些问题都亟待给出答案。
监管层面和安全热点事件给保险企业带来重重压力
(1) 安全建设标准向银行看齐
众所周知,金融是强监管行业,在银监会保监会合并以前,保险行业并没有明确的关于移动安全方面的监管发文。而反观银行业,移动安全的监管发文几乎每年一个,比如2016年的银发170号文、192号文,2017年的银监2号文,2018年的银发146号文等,在监管的高压之下,各个银行早已开始不同程度地探索移动应用全生命周期的安全体系建设。尤其是今年9月27日,人民银行发布了《中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》(银发〔2019〕237号),对包括银行、保险、证券、基金等在内的各类金融机构提出了更为明确的移动安全要求,这就意味着保险行业的安全建设标准向银行看齐已经不再是一句口号,而成为了既成事实。237号文提出的提升安全防护能力、加强个人金融信息保护、提高风险监测能力等实施工作要求将会成为保险企业今后移动安全建设的重要工作方针。这一方面给保险企业带来了压力,而另一方面,银行的建设经验也对保险企业极具参考价值。
(2) 个人信息保护监管通报常态化
四部门牵头的App违法违规收集使用个人信息专项治理是贯穿2019年的大型监管,自二季度以来,专项治理小组、网信办以及部分省公安厅陆续点名通报过个人信息保护不合格的App,而且后续这种监管通报也会常态化。今年8月份,浙江银保监局发布338号文,面向浙江辖内的银行、非银行金融机构以及保险企业做出App专项风险排查要求;今年9月份,人民银行发布237号文,也明确要求了金融全行业需要加强个人金融信息保护。这也意味着,App个人信息安全合规治理工作已经真正下沉到金融领域。那么在这样一个趋势下,整改哪些内容?如何整改?整改到什么程度?这些将成为各个保险企业无法绕过的问题。
(3) 攻防演练实战带来的思考
从普遍调研情况来看,攻防演练实战普遍存在的问题主要有三条:第一条,IT资产梳理不清楚,每一项业务,包括边边角角的,用了多少服务器、每台服务器的IP是多少,有没有防护措施,心里没底;第二条,第三方代码的问题让人头疼,即便自己的安全建设做得非常不错了,但是安全防护存在木桶效应,供应链上游的第三方代码会不会成为最短的那个板,之前都是没有予以认真考虑;其实前面两条本质上都在反映一个事实,那就是攻击边界到底延伸到了哪里、攻击边界到底泛化到了什么程度,这些让防守方非常焦虑;第三条,移动端攻击溯源能力有待加强,当防守方发现被攻击的时候,如何精准地、自动化地识别出攻击的IP、设备以及相关的一系列IP、一系列设备。
针对行业监管,梆梆安全能够给保险客户带来什么
经过近十年的努力耕耘,梆梆安全在移动安全领域的银行客户已经覆盖了国有五大行、绝大多数股份制银行以及近200家城商行农商行,银行市场占有率稳居第一,而这些银行安全建设的经验对保险企业来说,同样具备指导效果。梆梆安全可以助力保险企业去实现移动应用从设计开发测试整改到上线发布再到运营维护全生命周期的安全。以人民银行最新发布的237号文提出的实施工作要求为例:第一,提升安全防护能力是人民银行包括银保监一直以来对银行等金融企业施行的高标准要求,梆梆安全的移动应用全生命周期安全解决方案可以从客户端的设计、开发、发布、维护等全生命周期环节解决移动应用在身份认证安全、逻辑安全、安全功能设计、数据安全等多个维度的问题;第二,加强个人信息保护是金融监管响应国家监管的号召,与国家四部门形成联动,真正要求个人信息保护在金融行业落地执行,梆梆安全可以提供基于个人隐私保护咨询的完整产品与服务方案,帮助保险企业实现收集、使用个人金融信息的合法性、正当性、必要性和安全性;第三,提高风险监测能力要求的提出,说明金融机构将监控范围覆盖到全部业务渠道、全部技术形态已经势在必行,梆梆安全的移动安全及隐私监测平台可以帮助保险企业填补移动端安全监测的空白,实现移动客户端潜在的安全漏洞、权限滥用、信息泄露等风险隐患的实时监测预警、溯源分析与事中响应。
针对App个人信息合规,梆梆安全能够给保险客户带来什么
针对App个人信息合规,一方面梆梆安全可以提供合规咨询,包括现状快速评估、合规咨询、合规整改,帮助客户解决要改哪些、改到什么程度、怎么改的合规难题,并且进一步提供合规认证服务。
另一方面,梆梆安全还可以给保险企业提供移动应用合规平台作为自检测工具,助力保险企业随时自主实现App个人信息合规的自评估。
针对攻防演练,梆梆安全能够给保险客户带来什么
网络攻防演练常态化、泛边界化和专业化的趋势,意味着当前已经不能心存侥幸,针对性的单点防护已经无法满足当前网络安全防护的新需求,亟待建立更为全面的安全防御体系。梆梆安全泛边界攻防演练实战解决方案贯穿攻防演练实战的建设阶段、备战阶段、迎战阶段、实战阶段以及战后阶段,为保险企业筑牢移动互联网、物联网网络安全防线。