保险行业数字化转型之信息安全-优快云博客

行业概述

根据Indusface的应用安全状况报告，保险业是2023年第一季度最受攻击的行业，受到的攻击是其他行业的12倍。同年的另一份报告显示，保险业在114家网站上遭受了49,844,877次网络攻击。平均而言，该领域的每个应用程序都受到 430，000 次攻击。

保险公司由于经常处理敏感和有价值的数据，包括客户的个人和财务信息。这使得他们成为网络犯罪分子的一个有吸引力的目标，网络犯罪分子试图利用其系统中的漏洞来访问这些数据以获取经济利益或其他恶意目的。业务内容负责评估和管理风险，收集和分析大量客户数据，包括有关其资产、负债和潜在漏洞的信息。这些信息对于寻求获得竞争优势或针对特定个人或组织的网络犯罪分子尤其有价值。再加上逐步依赖技术来实现业务的自动化和流程化，这可能使他们更容易受到网络攻击。网络犯罪分子可以利用任何技术基础设施的缺陷来访问敏感数据或中断运营。

保险是经济社会风险保障的重要手段，在确保充分发挥经济助推器和社会稳定器方面，具有重要意义。保险科技作为保险业高质量发展的重要基础力量，能够有效推动保险机构数字化转型，赋能保险业务创新，提升保险服务质量和效率，优化保险发展方式，强化服务国家战略能力。如通过互联网、大数据、云计算、人工智能、区块链等技术手段实现更加精准的风险感知、监测和预防，提升保险业务品质、提高客户满意度等。

保险业IT系统与业务模式持续攻坚创新

保险机构信息科技投入热度持续

我国保险机构的数字化转型目标愈加明确，牵引保险信息科技投入持续加码。大型保险机构信息科技预算资金较为充沛，且对核心系统的自主可控能力要求较高，因此通常采用自研与外采并行的方式进行通盘数字化建设；中小型保险机构信息科技预算资金相对有限，且自身信息化程度较弱，往往更偏重解决方案带来的若干项能力快速增益。对比全球数据水平，我国保险信息科技投入深度仍待进一步加强。

前沿科技效能升级深化转型价值

关键技术实践日趋成熟，融合创新成果推动保险数字化转型进程

在可持续增长与业务创新等诉求的驱动下，多项技术的融合赋能与契合场景需求的创新开发已成为保险机构核心竞争力的构建共识，前沿科技的实践探索正重塑保险各环节价值链，推动保险保障类型、产品内涵、业务模式、行业生态发生根本性变革，大数据与人工智能技术的持续攻坚与相互赋能仍为保险机构决策者最关注的实践内容。此外，RPA/IPA技术拥有可明确量化的良好ROI，具备从简单任务延伸到复杂流程的巨大价值，成为保险机构关注度持续提升的投入方向。

行业政策驱动保险数字化转型步入深层次

监管长期引导推动信息科技应用深化，十三五末年行业基本完成线上化改造，为实现可持续发展，监管着力推动保险行业数字化转型

国策规划驱动保险数字化转型开启新纪元

十四五阶段，数字中国顶层战略自上而下引导各行各业数字化转型，保险业作为数字经济的重要组成部分，承担着关键的转型任务

业、技、数融合成为数字化转型主旋律

《金融科技2022-2025规划中》中，央行提出金融机构需要搭建业务、技术、数据融合联动的一体化运营中台，这意味着“在可预见的未来，业、技、数融合将成为金融领域数字化转型核心发力目标”。于保险领域，业、技、数融合并不是将各类前沿科技、数据在保险业务链条内堆砌，而是应当以推进保险产品革新、业务模式改善、市场焕发新生机为目标，选择契合的技术类型，融合赋能、创新开发。技术需要深入目标产品所对应的场景，完成针对性的应用模式改革，而保险产品及服务也应贴合技术特征调整创新。良好的业、技、数融合或许不是技术本身的创新突破、或者最前沿模式的率先应用，但仍可为所在赛道带来强劲的业绩增长新动能。如百万医疗险，基于互联网技术、大健康生态数据与健康险业务的啮合传动，创造了互联网保险业务巨大的保费增长成果。

网络威胁类型

机器人/自动威胁：保险网站易受到DDoS请求，远高于受此类攻击影响的网站30%的平均水平。除此之外，爬虫程序攻击的增长也是印度保险业的一个问题。攻击者利用最新技术来提高攻击的复杂性、速度和准确性。

勒索软件攻击：近年来，攻击者利用漏洞让保险公司支付巨额赎金。勒索软件攻击是攻击者在网络中安装和传播恶意软件，加密数据和系统。这将扰乱运营，甚至可能使公司完全停止运营。公司将不得不支付赎金才能解密系统并恢复运营。

网络钓鱼和社会工程诈骗：攻击者可能会向受害者发送一封看似合法的电子邮件，并提供恶意链接。毫无戒心的用户可能会执行攻击者的命令、下载恶意软件、提供机密信息或凭据、转账等。

行业需求

转型需求

基于数据、算法驱动的精细化风险洞见为承保理赔带来更大便利与更佳成本效益

目前，随着数字化的服务手段逐步渗透入居民生活的方方面面，愈加丰富的用户触点带来了更多元的数字化风险信息(如生物标记、行为活动数据、房屋建造情况、船舶/车辆使用数据)，创建了更完备的风险概貌。基于大数据及尖端模型的风险评估、核保系统能够从细分的层面进行精准、快速的风险定价，较大程度加速了核保、承保流程。这与定价模式相对标准、保单价值不高、订单需求海量受理的险种尤为契合。

数据沉淀及智能模型应用缩短理赔链路

长期以来，理赔业务作为保险价值链的末端关节，是保险服务输出的关键节点。良好的理赔体验是用户保险品牌认同感的关键源动力。满足用户“赔得到、赔得方便、赔得快”三方面诉求是理赔数字化长期努力的方向。受限于客户投保告知情况不同以及客户对于责任范围的认知通常不够全面客观，现阶段承诺“遇事必赔，赔的到”难度很大。“赔得方便、赔得快” 成为保险机构近期重点发力方向。这需要机构解决：如何通过数字化技术减轻用户申请工作量；如何缩短查勘作业周期；以及如何将基于深奥理赔规则计算出的结果以可理解的方式输出给用户等问题，实现机构端与用户端关于理赔的认知GAP缩小，进而实现用户关于“保险公司只想卖不愿赔”的印象扭转。

云计算赋予保险资源调用新范式

传统架构通过纵向增加单机资源的“烟囱式”部署模式使IT系统变得冗重复杂，造成硬件高配低用、新旧系统整合困难、新应用部署周期长等问题。云计算通过将计算、存储、网络虚拟化，并建立相应的资源池进行负载均衡管理，使计算资源可以像水、电一样弹性供给，极大提升了保险IT资源的利用效率。伴随我国保险机构云化建设进入深水区，头部保险机构正逐步从以资源为中心的云化阶段，迈向以应用为核心的云原生时代。从基础资源管理角度看，容器技术对虚拟化资源的进一步抽象，引入更加轻量、弹性、易用的资源调用模式；从应用部署角度看，微服务架构将业务逻辑与服务治理的深度解耦，进一步弥合了基础资源与应用部署间的鸿沟，为在线业务的精细化管理与敏捷开发创造条件，大幅提升金融敏态业务的响应速度与创新韧性。

保险核心系统部署上云成为行业共识

自主可控、因地制宜的多层次云服务为保险机构的长期诉求，77.42%的保险机构已采用云计算开启新一代核心系统建设，混合云为数据与应用程序部署提供了更高灵活性，是保险核心系统偏好的云部署模式；34.62%的保险机构已建立“IaaS+PaaS+SaaS”的多层次云能力，SaaS凭借按量订阅、简化部署、快速验证等诸多优势，成为保险机构云化建设的重要切入口。值得注意的是，云平台建设是一项贯穿基础资源、技术架构、开发治理的复杂工程，因地制宜的策略、循序渐进的规划、核心技术的掌控将成为保险机构降本增效、长期发展的关键助力。

中台驱动保险核心能力整合再造

伴随保险机构业务场景的不断拓展与业务渠道的不断丰富，内部系统相互独立、重复建设的遗留问题愈加凸显，使保险机构无法凝练、调集自身的优势资源，掣肘在线渠道的多端运营与在线需求的敏捷响应。而中台战略则为保险机构提供了内部能力共享、外部生态融合的双赢解法。中台作为保险机构前台业务与后台职能的隔离带和资源的缓冲带，将保险系统的通用能力与核心能力进行划分重构与整合沉淀，最终形成对内连接数据孤岛、对外敏捷响应需求的企业级能力复用平台，赋能保险机构从自身出发，由内及外实现治理演进、资源发掘与效能释放。

安全需求

在保险行业中，网络安全和信息保护是非常重要的方面。随着数字化和信息技术的发展，保险机构需处理的敏感数据较多，比如客户数据、业务数据、运营数据、应用系统源代码、网络拓扑图、配置文件等。但传统数据防泄漏解决方案存在PC端资源消耗大，IOS、MAC操作系统支持差，文件格式不支持，覆盖面不全，安全策略误报率高等问题，在保险机构敏感数据全生命周期内，存在数据外泄风险的场景，包括IT研发测试源代码数据外泄，呼叫中心座席客户数据外泄，远程办公客户数据外泄，总部、分支机构运营部客户数据外泄，IT运维、IT数据管理部门客户数据外泄等，既影响保险机构业务安全，也严重影响公司声誉。

数据加密：保险公司可以使用加密技术对存储在数据库中的敏感信息进行加密。这样，即使数据库被黑客入侵，也很难解密和获取这些信息。

访问控制：保险公司需要建立严格的访问控制机制，限制只有授权人员才能访问和处理敏感信息。这可以通过使用密码、身份验证和访问权限管理等方式来实现。

安全审计：保险公司需要定期进行安全审计，检查系统和网络的安全性，并及时发现和修复潜在的安全漏洞。这可以帮助保险公司及时采取措施，防止黑客入侵和数据泄露。

备份和恢复：保险公司需要定期备份重要的客户信息，并建立有效的数据恢复机制。这样，即使发生数据丢失或系统故障，保险公司也能够迅速恢复数据和系统。

行业痛点

支撑业务敏捷演进

随着保险行业竞争日益激烈，企业要想在竞争中赢得胜利，必须要求企业能够快速推出新的产品，快速满足市场需求，实现业务的敏捷演进；传统容灾在数据同步过程中，需要考虑主机层、数据库层、存储层的复制，由于数据格式复杂、量大，受限于带宽，无法满足RPO和RTO的要求。且业务和团队增长过快，传统应用交付产品只能分散管理，没有规模化管理能力，对业务的稳定性和团队的运维管理水平带来较大的挑战

业务创新困难

保险业必须进行深刻变革和持续创新来应对挑战，而传统IT架构在新技术的应用上发展迟缓，严重影响企业的业务发展创新

网络安全风险

面对各种网络安全攻击，SQL注入、XSS跨站攻击、DDoS攻击、木马植入等一系列安全风险，急需专业的安全团队和有效的安全产品为保险业务数据的安全做保驾护航，开源软件产品安全漏洞频发，业务安全极易受到不法分子的攻击威胁，且没有专业的厂商及时进行修复和管理，过度依赖开源业务的故障恢复，导致时效性无法保障

灾备中心建设投资巨大

确保保险业务的可靠稳定运行，是保险企业必须面对考虑的事情，而灾备中心也是成本中心，在满足业务系统要求的基础上，投入额外的预算来建设灾备中心，而往往只有在IT系统发生故障或灾难时，才能体现其价值，自建数据中心，在业务上满足两地三中心部署，投资建设成本巨大；同时，也衍生了灾备管理困难的问题，灾备系统的建设涉及网络切换、应用切换、数据复制、策略管理、容灾演练等多种技术知识，给IT运维团队带来非常大的压力