1、保险企业信息安全治理方案技术创新,变革未来现状篇保险公司应关注的四个问题实践篇平安产险的安全实践未来篇保险业安全展望目 录智慧产险战略数字化数字化千人千面,数字驱动经营线上化线上化以客户为中心互联互通生态化生态化打造一站式车主生态圈创新科技应用3/15车险车险农农业险业险综合风险综合风险信息安全究竟是什么?CIA 第一阶段第一阶段 第三阶段第三阶段 第二阶段第二阶段时代在变,保险科技和安全也在变探索期探索期发展期发展期爆发期爆发期投保投保审核审核理赔理赔电子化和信息化电子化和信息化1999-2008网络化和移动化网络化和移动化2008-2014会计账务电子化会计账务电子化金融业务电子数据处理金
2、融业务电子数据处理网络支付网络支付保险互联网化保险互联网化区区 块块 链链大大 数数 据据智智 能能 保保 险险互联网互联网移动互联网移动互联网云云物物计计联联算算网网云计算、大数据云计算、大数据物联网物联网人工智能、区块链人工智能、区块链专用网络,内外网强隔离专用网络,内外网强隔离强一致性保证强一致性保证线上化、线上化、APP化客户接触密切化客户接触密切漏洞、黑客问题突出漏洞、黑客问题突出数据价值越来越重要数据价值越来越重要数据价值挖掘手段越来越高数据价值挖掘手段越来越高地下黑产形成规模地下黑产形成规模自动化和智能化自动化和智能化2014之后保费规模保费规模现状篇:需求在哪儿黑黑客客诈诈 骗
3、骗 团团 伙伙竞竞 争争 对对 手手合合 作作 伙伙 伴伴法法律律监监 管管合规合规对抗对抗/防御防御现状篇:资产在哪儿现状篇:资产在哪儿知识库知识库公司财务公司财务商业秘密商业秘密报表数据报表数据精算模型精算模型 理赔案件理赔案件保单信息保单信息客户资料客户资料现状篇:防线在哪儿$¥法律合规法律合规业务属主业务属主信息安全信息安全ITIT网络网络系统系统应用应用数据数据数据数据生命生命 周期周期用户用户应用应用产品产品现状篇:支援在哪儿 超人团队是不够的 需要安全界的支持现状篇保险公司应关注的四个问题实践篇平安产险的安全实践未来篇保险业安全展望目 录数据安全治理:共治促赢数据安全治理:共治促
4、赢数据安全生命周期:动静结合采集采集 告知、承诺、授权 合作协议、保密协议 数据分类:客户数据、产品数据、风 险数据、理赔数据、商业 机密文件.数据属主职责 数据清洗,数据仓库 数据分级:机密、秘密,公开敏感(1级、2级、3级)分级保护加密、脱敏、DLP 访问控制 数据备份 云安全 业务连续性 内部:客户接触、风险建模、管理报表可视化、精确营销数据挖掘权限控制、原数据暴露控制、数据范围最小化、页面脱敏 集团:综合金融、信用卡、一账通安全接口、数据范围、控制原数据暴 露、数据互补 外部:合作协议,保密要求、安 全接口、加密链路传输 归档 物理介质保存 录音、影像、流数 据归档技术与策略 软件、数
5、据销毁 物理设备销毁创建创建存储存储使用使用销毁销毁数据安全使用:人机共守BIG DATADATABASE非敏感非敏感 数据采数据采 集集流流敏感数敏感数 据据采集采集程程涉外涉外 数据数据 使用使用数字水印文档加密数字签名文档标记数据保护数据保护日志云HDLP数据网关取数台账行为监控行为监控数据脱敏 字段加密访问控制访问控制权限清理一键推送出口收敛出口收敛取数平台专接平台文档安全云桌面评评 价价 与与 考考 核核监监 督督 与与 审审 计计申请申请 机构机构数据数据采集采集业务属主业务属主 法律合规法律合规 信息安全信息安全互联网业务安全:防不胜防目标客户目标客户业务运营业务运营真实客户真实
6、客户机构代理机构代理推广机构推广机构抢单抢单撞库撞库集中套现集中套现虚假交易虚假交易刷榜刷榜虚假注册虚假注册大小号大小号不不 可可 用用支支 出出 浪浪 费费高高 额额 佣佣 金金客客 户户 流流 失失业业 务务 损损 失失公公 司司 信信 誉誉互联网业务安全风控:深度学习账号位置URL手机注册IP地址设备指纹数据数据 输入输入数数 据据 清清 洗洗特特 征征 提提 取取模模 型型 计计 算算算法调优埋点日志年龄密码保单上线账号标签云部门画像业务路径风控决策事件画像人物关系岗位画像离群模型有监督学习有监督学习 无监督学习无监督学习自动规则自动规则知识图谱知识图谱权限约束权限约束安全事件ARS平
7、台平台互联网业务安全策略:围追堵截业务业务稽核稽核-客户活跃度-资金流向-询价出单比-违规事件拦拦截截封堵封堵实时实时 监控监控-时间异常-位置异常-设备异常-信息、操作异常预防预防防自防自 动化动化-验证码-强身份验证-反爬蜜罐-终端指纹现状篇保险公司应关注的四个问题实践篇平安产险的安全实践未来篇保险业安全之展望目 录AI带来了新的解决方案,随着更多 智能设备的出现,在安全上可以应用更多、更便捷的解决方案。全新方案全新方案为满足AI,各类数据前所未有地扩 展,数据的安全标识与生命周期将很快将成为所有公司的无法逃避的 难题。数据标识数据标识AI的应用边界在不断延伸,AI与应 用系统一样也有漏洞
8、,新场景若得 不到保护,将成为不法分子的帮凶。全新场景全新场景AI控制越来越多的工具、设备,当 AI全面接管所有控制端时,能否按安全预期工作,或将成为安全领域的新使命。脱离控制脱离控制AI时代,数据的深度、广度、维度迅速提升,安全管理可充分利用AI技术,提升安全态势的感知程度。感知程度感知程度AI正集成各行各业最先进的专家智慧,大力应用AI将使安全不再是一种专用 服务,必将提升公司的风控能力。风控能力风控能力AI+金融战略对产险安全的影响GDPR对保险业的影响01用户知情权用户知情权数据采集源头众多 数据处理系统分散 设立数据保护管DPO显著提升企业的合规成本02跨境数据传输跨境数据传输欧盟人员跨境数据必须遵守 跨境业务需要得到欧盟认可 增加跨境保险金融业务成本03监管取数控制监管取数控制监管调查涉及客户信息采集 法律法规未明确监管取数边界 可能面临大量的诉讼风险04数据使用数据使用广泛利用大数据评估用户需求 和信用等级广泛开展数据共享为直接营销处理个人数据,客 户有权反对信息安全路在何方 斯巴达三百勇士对抗薛西斯百万大军的启斯巴达三百勇士对抗薛西斯百万大军的启发发斯巴达构想斯巴达构想优秀的战士优秀的战士精良的武器精良的武器限制的战场限制的战场谢 谢!24谢谢!
