保险行业的风险特点及应对方案

记者 苏洁/整理报道

保险行业的风险环境有几个基本特点：第一是人员多；第二是设施多；第三是网点多分布区域广。这三个特点造成保险行业的网络空间安全风险层次丰富，问题种类多样，管理存在一定困难。但是在目前面临数字化转型时，我们有一个非常好的机遇去重构和改进整个企业的网络空间安全管理，有非常多的新技术可以利用，包括云计算和可信基础设施，新的数据安全技术等等。

在企业进行数字化转型变革时，我们可以从四个关键点上着手建设新的安全体系：第一，通过云和新一代基础设施的建设，重构安全、可信的基础设施，实现安全基础控制的开放性和标准化；同时通过业务应用的云化改造去适配新的安全开发流程和技术，改善产品和开发的安全；第二，在新时代环境下，数据安全是一个核心，在建设数据平台的同时，纳入安全和隐私保护的原生设计，有效利用数据加密、脱敏等数据安全治理技术实现数据的有效保护；第三，安全管理和运营体系的重构。在传统的IT时代，一个安全体系里包含流程、工具、方法、人和组织，但是传统体系里这些不同的组件往往是脱节的，流程和工具之间的无缝衔接是有难度的，很难实现有效治理和高效的自动化。在云时代基础设施标准化的基础上，各类安全数据可以进一步互通和融合，实现更安全、更有效的安全管理平台，将安全策略、流程、工具、平台、人员角色和分工无缝衔接在一起，简化企业安全管理的难度，提高安全运营效率。第四点，在新的网络空间安全形势下，变被动响应为主动发现，建立高效和主动的网络空间探测和风险发现工具，尽早发现问题，快速闭环风险。同时通过持续的红蓝对抗活动发现深度的关键风险，防患于未然。

腾讯安全云鼎实验室总经理 李滨

以下是文字实录（部分）：

李滨：介绍一下我的工作经历，我现在在腾讯，我做安全到今年就是二十年了，最开始像黑客的攻防渗透开始，之前也做过企业安全建设和咨询，最近才到腾讯，就是做云计算和安全基础的研究，过往更长的历程做企业的安全建设和咨询，绝大多数的企业和保险行业都有接触过，涉及保险特点和环境我有一定的认知。我首先会讲一下保险行业风险环境几个基本的特点，保险行业有几个特点，第一个是人员多，我们企业员工数量可能是相对其他行业员工来说，我们的数量非常庞大。第二个特点是我们的网点多，分布广。第三个就是区域分布广泛。

这三个特点是我们比较大的问题，我们人员多、设备广、网点涉及管理范围，这么多人、这么多设备分布广，所以我们管理上非常麻烦、复杂，今天面临数字化转型的机遇，我们有非常多的新技术，包括像云计算、像新的通信技术和大数据以及新的技术等等。在这样的机会点上其实我们有几点可以非常好的去改善过往不大好的安全局面。

我总结了一下可以从四个点上着手建设，第一个是云和基础设施的建设，包括新一代的云、数据集中的机制、新一代网络。大家现在要做数字化转型，基础设施的建设基本上是一个基础，通过这样的基础我们相当于有一个机会点，可以重新规划、考虑、思考我们的安全建设以及把我们整个安全思想纳入到基础建设中，在基础建设中有一些非常关键的点，比如说保护基础安全和供应链安全的基础都可以同步建设中。基础建设过程中和做云化改造过程中也会改变企业流程和文化，开发过程中引入的安全风险非常多，也是非常大，是重头的一块儿。由于云的开发模式、管理模式和分散的IT建设有很大的差别，所以做新一代改造云化可以做一些改善，开发流程也可以纳入到新的体系中去，这是第一点基础设施改善和开发流程改善。

第二点在这个基础之上，在新时代环境下，数据安全是一个重点和核心，比如说最近几天正在热炒的新闻国家最近会发布密码法针对数据安全重要的保护条例，最近应该过二审，今年之内应该会发布。针对重要的数据如何利用新的技术是我们之后考虑非常重要的方向。

第三点就是在安全管理层面，我们前面说了保险行业我们面临最大的难题由于人员、地域、网点的问题，我们管理会非常麻烦，而在传统的IT时代，大家讲安全管理会有希望一个非常明显的问题，一般我们会讲一个安全体系里包含安全的制度，包含安全流程、工具、方法、人和组织。但是传统体系里这些不同的组件往往是脱节的。保证它无缝衔接是有难度的，新时代数据进一步融合可以利用这样的方法实现更安全、更有效的安全管理平台，从工程、工具、流程、人员以及安全的信息和数据完全融合在一起简化企业安全管理的难度。

其次就是机制上要从被动转为主动，主动发现和对抗、防御机制动态推进安全体系向前进步，基本上我总结就是在未来新的数字化转型时代，云的时代要做安全建设，这几个是比较重要的点，谢谢大家。