近日,中国保监会统计信息部向保险机构下发《网络与信息安全通报》,称根据有关单位通报,近期发现新型网络攻击威胁和某些保险机构存在重大信息安全风险隐患,故将相关情况进行通报,同时要求各机构对此类问题与事件予以足够重视,确保系统安全平稳运行。
该《通报》首先提示保险公司、保险资管公司在内的保险机构防范新型网络攻击威胁。APT(高级持续性威胁,Advanced Persistent Threat)是近年来兴起的一种新型网络攻击方式。它对大型企业,特别是银行等金融机构的针对性日益增强,造成的威胁越来越大。目前全球已披露了数起 APT 攻击案例,韩国等国金融机构均曾遭受攻击,出现了不同程度的金融信息泄露。
另外,《通报》称,在保险业 2013 年信息安全检查中,经有关单位检测发现部分保险公司信息系统存在安全隐患。一是某公司应用系统管理员账户存在弱口令,攻击者可轻易获取该公司管理员权限;二是某公司互联网应用系统存在 SQL 注入和文件上传漏洞;三是部分公司网站采用 Apache Struts Xwork 应用软件版本较低,存在远程代码执行高危漏洞。上述管理或技术漏洞导致系统存在信息泄露、公司网络被攻击等重大信息安全风险隐患。
今年年中,保监会曾下发《关于开展2013年保险业信息系统安全检查工作的通知》,以进一步加强信息安全管理工作,防范科技风险,保障公司信息系统安全平稳运行,确保商业信息和客户信息安全。某地方保监局据此设定对省级分公司的检查内容包括:信息安全责任制建立和落实情况、日常管理制度及落实情况、信息系统安全管控情况、数据管理和灾备建设、应急响应体系建设情况等内容。相关检查分为公司自查和现场检查两个阶段,第一阶段为公司开展自查整改(2013年6月-7月中旬),第二阶段为保监局对部分公司现场进行抽查(2013年8月-9月)。
《通报》要求各保险公司对上述信息安全问题和事件引以为戒,对 APT 引发的安全问题足够重视,防止弱口令、SQL 注入、文件上传等漏洞带来的安全问题,及时进行组件升级,定期排查和评估潜在风险,不断增加主动发现风险和排查故障的技术能力,有条件的公司应聘请专业安全机构定期进行监测,提高风险防范水平。(证券日报 黄晓琴 见习记者 刘敬元)