保险行业解决方案

业务在线化、移动化、无纸化是互联网发展大势所趋，为与时俱进，保险行业也完全进入互联网时代，随着保险公司电商平台、微信平台、移动展业平台的上线，越来越多的保险业务交易放到了互联上。伴随着互联网业务的增加，安全隐患也逐渐增加。目前，保险公司在互联网安全上的投入主要是基本的软硬件设施，这些软硬件设施被动的检测互联网流量，根据策略配置对流量进行阻断和放行。当这些软硬件配置完成后，安全防护水平就到了一个相对的瓶颈，加大硬件投入并不能明显提高安全水平。渗透测试和安全评估是一种全新的安全防护思路，通过对系统全面的检测及模拟互联网攻击的方式发现可能存在且被利用的潜在威胁点，以求更好的安全防护效果。为了提升保险公司互联网系统的安全性及满足监管部分的要求，需要对保险核心业务系统进行深度的安全评估，发现系统潜在的安全隐患并及时消除隐患，最大限度地减小业务风险。 此外，保监会、公安部、第三方审计公司发出的信息安全检查及审核需求日益增多，安全检查方式除采取现场检查外，也开始采用技术手段从互联网直接进行风险评估、渗透测试等安全服务。同时，外部监管机构还要求提供针对保险公司网络安全审计、源代码审计、针对各主体安全风险评估及针对各主体核心业务系统审计等。

针对保险行业的监管要求以及保险行业业务的特性，国舜提供丰富的安全服务来保证业务过程的安全，具体服务内容如下：

渗透测试： 渗透测试由安全专家，在用户授权的前提下，采用完全模拟入侵者可能使用的攻击技术和漏洞发现技术，利用专家经验对网络中常用的应用系统等进行非破坏性质的模拟攻击，发现系统脆弱的环节，并将测试的过程和细节形成书面报告提交给用户。 安全众测： 利用经验丰富的“白帽子”安全技术专家对互联网应用系统进行深度安全分析；解决传统安全评估中所存在的漏洞发现思路单一的缺点，可以及时发现隐藏的各类互联网安全问题。 代码审计： 通过审计工具和人工审查的方式对应用系统代码编写错误、漏洞等进行检测，反馈代码漏洞修复方法。 应急响应： 当发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，在第一时间赶到事件现场，使网络信息系统在最短时间内恢复正常工作，并查找入侵来源，给出入侵事件过程报告，同时给出解决方案与防范报告，挽回或减少经济损失。 0Day服务： 通过大数据爬虫实时监测国内外各大安全网站以及安全论坛，抓取安全动态消息及0day漏洞。在互联网0day漏洞爆发后，1天内通告客户，并按照客户要求对网站、主机进行0day漏洞扫描，并提供加固建议。 安全培训： 针对安全热议问题、重大安全漏洞为保险客户提供有针对性的定制培训服务。 等保测评： 参照公安部等级保护要求，对信息系统进行测评。 网络审计： 完成对保险客户整个网络进行安全审计并反馈审计报告，满足监管对网络审计相关要求。 风险评估： 依据安全业内标准和规范对保险客户及各主体的资产存在威胁的可能性，弱点被利用的容易度，现有控制措施的有效性等进行风险分析。 业务审计： 针对财险、寿险、健康险、养老险等主体核心业务系统进行安全审计，并提供安全审计报告，满足监管对于核心业务系统审计相关要求。

规范性： 针对保险客户所提供的安全服务，均遵守相关规范和政策要求，做到有据可依。 多元化： 结合保险业务特性，提供全面的安全服务，安全问题无死解。 专业化： 采用众测方式对关键信息系统进行渗透测试，发现更深层次安全问题，让威胁无所遁形。 适用性： 针对不同的核心业务系统，采用不同的服务内容和方法，使安全投入与安全能力平衡。

全面了解安全问题和成因，规避安全问题有方法、有目标 安全投入性价比高 持续的安全培训和安全保障整体提升了安全意识和威胁抵抗能力 安全保障伴随业务发展和运行，降低威胁损失，专注业务