近日,中国保监会统计信息部向保险机构下发《网络与信息安全通报》,称根据有关单位通报,近期发现新型网络攻击威胁和某些保险机构存在重大信息安全风险隐患,同时要求各机构对此类问题与事件予以足够重视,确保系统安全平稳运行。
该《通报》首先提示保险公司、保险资管公司在内的保险机构防范新型网络攻击威胁。APT(高级持续性威胁)是近年来兴起的一种新型网络攻击方式。它对大型企业,特别是银行等金融机构的针对性日益增强,造成的威胁越来越大。目前全球已披露了数起APT攻击案例,韩国等国金融机构均曾遭受攻击,出现了不同程度的金融信息泄露。
另外,《通报》称,在保险业2013年信息安全检查中,经有关单位检测发现部分保险公司信息系统存在安全隐患。一是某公司应用系统管理员账户存在弱口令,攻击者可轻易获取该公司管理员权限;二是某公司互联网应用系统存在SQL注入和文件上传漏洞;三是部分公司网站采用A-pache Struts Xwork应用软件版本较低,存在远程代码执行高危漏洞。上述管理或技术漏洞导致系统存在信息泄露、公司网络被攻击等重大信息安全风险隐患。
今年年中,保监会曾下发《关于开展2013年保险业信息系统安全检查工作的通知》,以进一步加强信息安全管理工作,防范科技风险,保障公司信息系统安全平稳运行,确保商业信息和客户信息安全。