中国人寿如何建立匹配新时代科技生态的信息安全防护能力

执笔：本刊记者 郑岩

中国人寿财产保险股份有限公司副总裁 赵峰

导语

新时代驱动金融创新逻辑升级、亮点频现。相反相成，金融信息安全形势瞬息万变、危害攀升。面对新技术综合应用的全新挑战，信息安全风险已被提升至全局性、系统性重要风险的高度，安全手段的简单叠加已难以应对信息安全体系的连续动态调整压力。如何在前台快速创新的同时，在中后台更为主动、持续地推进信息安全监督、风控措施的配套转型？中国人寿财产保险股份有限公司副总裁赵峰做客本期专题对话，详解新时代信息安全防护能力的提升之策。

记者：金融科技的快速发展加速了金融业产品服务、经营理念的深刻变革，服务自动化、智能化的呼声越来越高。科技既是促进金融发展的催化剂，亦可能成为引发系统性风险的导火索。请您结合保险行业的特点，分析新时代科技建设和运维、开发和应用面临哪些核心风险？

赵峰

在保险行业，信息系统风险同样集中体现在网络、数据、新技术等方面，以上两位已经说明。我举一个新技术应用风险的例子，物联网是保险公司用来细化保险风险的有效工具，人工智能也被寄予厚望，但如何合理地与业务结合，确保算法的准确性、输出的可控性、物联网设备及数据的可靠性仍是挑战。

记者：新时代科技面临的核心风险集中体现在网络、数据、新技术应用三方面。我们一方面要“大门敞开”拥抱互联网，一方面要“严防死守”捍卫信息安全。您如何看待信息安全管理面临的两难挑战？

赵峰

互联网化、移动化带来的是公司更多信息化资产的对外暴露，这对信息化资产管理、应用开发安全、风险防控、应急响应等都带来了新的挑战。数据安全则涉及包含应用安全、文档控制、网络安全、数据库防泄漏、终端管理及员工意识等多方面的工作，任何环节做不好，都有可能功亏一篑。物联网和人工智能则突破了传统安全防护理念，需要根据使用场景，全面深入分析安全性，并根据技术发展情况及时更新防护手段。

记者：面对新时代金融IT核心风险特征及信息安全管理挑战的变化，您认为新时代的信息安全防护能力包括哪些核心要素？

赵峰

保护数据安全的需求愈发重要，与保护公司业务系统稳定一并成为信息安全防护工作的核心要求，这使安全防护工作从被动防御逐步转为主动侦测响应，也提升了安全工作的管理要求。互联网化、移动化以及物联网的普及，使得“无死角”防护理念的落实难度加大，单一的边界防护已经无法覆盖全部风险点，如何根据业务特点采取多种手段交叉防护，打造纵深防御机制，成为金融机构安全防护的新挑战。

记者：为打造上述核心能力，中国人寿财险公司主要做了哪些具体工作？

赵峰

中国人寿财险公司结合保险业务及公司架构特点，将信息安全工作横向分为“应用安全、网络安全、数据安全、终端安全”四个技术方向，纵向分为“制度体制建设、安全运营、分公司督导、检查评估”四个管理方面，“四纵四横”相互交叉。

具体来讲，在应用安全方面，我们制定了各类应用风险检测及修复管理责任制。在网络安全方面，在互联网接入区及内网关键边界处部署了各类安全防护设备。在数据安全方面，开展了文档权限控制、邮件防泄漏、终端防泄漏、网络防泄漏、应用数据安全及数据库防泄漏等六项工作，形成交叉防护。在终端安全方面，通过部署终端防病毒、终端安全管理、准入控制等方式予以安全保障，同时推进移动终端的安全防护。在管理方面，设立安全运营中心，建设大数据日志分析平台，实现安全事件的及时侦测和关联分析。在检查评估方面，每年对总分公司信息化建设开展各类检查，在查改问题的同时，强调信息安全的重要性。

记者：请您简单说明一下数据安全的交叉防护实操过程。

赵峰

中国人寿财险公司的组织机构、业务种类较为复杂，一线人员流动性高，业务开展方式灵活多变，数据安全一直是信息安全管控的重点和难点。对此，我们详细分析了公司各类数据的收集、展现、存储以及流转情况，调研了数据安全防护工作现有措施，制定了以控制数据（即文档、应用以及数据库）权限为主、加强泄露渠道（即终端、网络及邮件）管理为辅的建设方案，通过预防、阻断、监测相结合的方式，实现数据的安全防护。

记者：共享新技术综合应用红利，金融创新趋向于“内部变革”与“外部合作”相结合的“双轮驱动”模式。另一方面，这种趋势同时驱动各金融机构持续审视信息安全防护能力面临的全新挑战，在扩容业务服务范围的同时，亦不断扩大风险防范外延。您认为，在此动态变化的过程中，金融信息安全的发展态势是什么？

赵峰

安全的发展与风险的发展密不可分，风险的发展又与科技的发展密不可分。科技发展的“快”带来风险种类的快速迭代，也意味着我们将更加频繁地遇到新的风险点，需要更为频繁地调整升级防护策略，时刻保证“魔高一尺，道高一丈”。科技发展的“广”意味着我们将来的防护面会不断增加，当万物互联的时代来临时，各种传感器、家居设备、无人查勘机等智能联网设备无所不在，信息安全防护要求将上升到更高层面。

记者：信息安全体系如何动态同步于金融科技时代步伐，中国人寿财险公司未来重点工作有哪些？

赵峰

中国人寿财险公司将严守信息安全要求的红线，始终将公民个人信息安全以及公司业务系统安全放在首位，实现公司业务的健康发展、应用系统的稳定运行。其次，我们将科技及创新视为驱动公司发展的重要动力，不断尝试新技术与业务场景的结合。伴随着科技的发展，我们的信息安全工作也将不断学习、吸收先进的防护技术和理念，根据科技发展趋势以及公司实际情况及时调整信息安全建设方向。最后，我们将在通用性安全防护理念的基础上，进行信息安全工作的创新，确保防护能力始终与金融科技的发展同步，也为整个保险行业信息安全工作的发展做出应有贡献。

结语

中国人寿财险公司结合保险业务及公司架构特点，将信息安全工作横向分为“应用安全、网络安全、数据安全、终端安全”四个技术方向，纵向分为“制度体制建设、安全运营、分公司督导、检查评估”四个管理方面，“四纵四横”相互交叉。

声明：本文来自金融电子化，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。