保险业数据安全解决方案 | 全知科技（杭州）有限责任公司

市场背景

行业背景

2022年，在金融标准化“十四五”发展规划背景下，中国银保监会对外发布了多部有关银行保险业数字化转型的指导意见与管理办法，对银行保险业的数据安全管理做出了更加明确的要求和规定。保险行业作为三大金融产业的支柱性产业，在数据的采集、存储、使用等方面的建设已较为成熟，但随着数字化转型的深入与疫情的到来，保险机构由线下交易转变为“零接触”的线上服务，大量的数据需要在平台与客户、企业内部、合作伙伴、第三方服务商之间通过API进行流通交互，而保险行业在流动数据的安全防护建设上却相对薄弱。

客户痛点

数据安全体系建设

保险客户不仅仅是自己采集使用数据，更需要将营销管理、保险服务、各类代理业务系统等对外开放给各家代理机构，容易造成对数据过度或不当暴露等风险，而且及时进行识别和管理非常困难。

数据安全传输风险

保险业务数据的跨域传输由高等级环境到低等级环境存在合规风险，安全措施不配套也会造成数据泄漏等问题。

数据异地落盘风险

在数据多方融合的过程中，保险行业自己的数据有可能被合作方存储从而导致数据泄漏事件的发生。

方案特色

数据流动风险监测

阶段一：建设数据流动风险监测单点能力，例如应用数据风险监控记录数据暴露面风险，数据库审计系统记录的是SQL访问行为，API风险监测系统核心实现API资产的自动化梳理、分类分级、API动态风险监测、API生命周期监测等。

建设全栈式数据安全监测体系

阶段二：建设全栈式数据安全监测体系，以全链路数据流动安全管理平台为总控平台，与其它安全设备进行联动打通，各安全设备数据汇聚至平台做数据关联分析，绘测出“终端-应用-数据库”的数据全链路关系图，实现数据三层关联审计；同时利用平台实现安全策略一键下发、设备一键管理，解决了传统数据安全设备单点部署管理难，设备数据不同步、不共享的数据孤岛问题，建立真正意义上的数据安全生态体系。

方案价值

减少数据安全治理的成本: 全面掌握企业数据安全建设现状和监管合规要求之间的差距，为企业相应国家监管要求提供最高效建设路径。

提升数据安全建设的ROI: 清晰企业数据安全的薄弱环节和最大风险点，为下一步数据安全保护建设提供抓手，最大化后续数据安全建设的ROI。

成功案例

某保险公司数据安全服务项目

项目背景：某保险公司近期客服部门收到客户投诉：上午在贵机构办理了保险业务，下午就收到营销电话。同时，该公司又收到了“做好金融数据安全分级工作”的通知和“保护个人金融信息保护技术管理工作”的通知，面临者两重压力。

项目实施：全知科技第一时间进行调研排查，部署了“知形-应用数据风险监测系统”和“知影-API风险监测系统”，进行“摸家底-理脉络-查隐患-控风险”等一系列流程操作，3周时间内在数据资产梳理方面得到核心业务的8288张表，86196个字段的梳理，识别3376个高敏感数据字段，覆盖个人信息、鉴别信息、金融信息、企业关键经营信息等，数据风险评估发现199个数据安全弱点，包括可遍历数据接口86个，数据未鉴权接口62，身份认证风险10条，违规数据共享2条等，持续风险监测发现并联动线上处置手段进行及时止血，发现某地市IP通过篡改参数短时间内大量拉取“优质客户”详情数据，共获数据1500+条。

客户发声

客户一: 我们非常关注用户投诉事件，若出现客户信息泄露情况，我们必须尽快进行溯源查证，但传统的日志产品，很多时候记的不够全面，不够准确，这会导致追溯过程消耗很多资源。全知科技风险监测产品不仅帮助我们构建全景式的数据流动态势感知，更在溯源场景下给了我们很多关键性的帮助。

客户二: 全知科技具有多年的数据安全治理经验，从数据安全管理制度建设到数据安全能力检测评估都非常专业，积极配合我司实现数据合规检测的智能化和自动化，既能保证测评结果的全面性和准确度，也能大大降低了检查周期和成本。