近日，網絡(luo)安全(quan)公司Zimperium研究人員警(jing)告，全(quan)球應(ying)用最廣泛(fan)的移動設備操作系(xi)統(tong)之一安卓(zhuo)(Android)存在“致命(ming)”安全(quan)漏洞，“黑(hei)客”只需(xu)簡(jian)單(dan)發送一條(tiao)彩信(xin)便能在用戶毫不知情(qing)的情(qing)況下完全(quan)控(kong)制手(shou)機，全(quan)球9.5億部手(shou)機受到威脅。

而《證券日(ri)報(bao)》在(zai)上周刊發的(de)(de)關(guan)于保險(xian)(xian)公司網(wang)銷平臺存(cun)(cun)在(zai)高(gao)危漏(lou)(lou)洞相(xiang)關(guan)報(bao)道(dao)(詳見(jian)7月23日(ri)《白(bai)帽黑客：部分銀行險(xian)(xian)企網(wang)絡平臺存(cun)(cun)在(zai)漏(lou)(lou)洞》)見(jian)報(bao)后(hou)，發現此(ci)前存(cun)(cun)在(zai)漏(lou)(lou)洞的(de)(de)網(wang)銷平臺，依然“漏(lou)(lou)洞百出”。記(ji)者發現，不僅(jin)此(ci)前報(bao)道(dao)的(de)(de)保險(xian)(xian)公司網(wang)銷平臺存(cun)(cun)在(zai)漏(lou)(lou)洞，一些大型(xing)保險(xian)(xian)中介機構的(de)(de)網(wang)銷平臺也存(cun)(cun)在(zai)漏(lou)(lou)洞，甚至是(shi)一些地方的(de)(de)社保系(xi)統也存(cun)(cun)在(zai)漏(lou)(lou)洞。

保(bao)監(jian)會相關(guan)(guan)負責(ze)人近期明確(que)表示，針對互聯網(wang)信(xin)(xin)息安全(quan)風險(xian)(xian)高的特點，保(bao)監(jian)會加(jia)大了對保(bao)險(xian)(xian)機(ji)構不嚴格履行信(xin)(xin)息披露和安全(quan)管(guan)理(li)職責(ze)的懲戒力度。對因內部管(guan)理(li)不力造成(cheng)銷售誤(wu)導、信(xin)(xin)息丟失或(huo)泄露等嚴重(zhong)事故的保(bao)險(xian)(xian)機(ji)構，保(bao)險(xian)(xian)監(jian)管(guan)機(ji)構可以及(ji)時(shi)責(ze)令(ling)其停(ting)止相關(guan)(guan)產品的銷售。

哪些機構未發現漏洞

根(gen)據(ju)中(zhong)國保(bao)監(jian)會統計，2015年(nian)1-5月，共有(you)91家保(bao)險公司涉(she)足(zu)互聯網(wang)保(bao)險業務(wu)，累計實現(xian)保(bao)費收入659.93億元，互聯網(wang)保(bao)險業務(wu)規模占比已達(da)5.7%，比2014年(nian)同期提升(sheng)1.5個百分點。

中國(guo)保監會(hui)財(cai)險部主任劉峰指出，目前(qian)互聯(lian)網保險市(shi)場有四類經營(ying)(ying)主體并存：保險公(gong)司(si)自營(ying)(ying)、專(zhuan)業(ye)(ye)中介機構經營(ying)(ying)、保險機構與第三方(fang)網絡(luo)平臺合(he)作，以及專(zhuan)業(ye)(ye)互聯(lian)網保險公(gong)司(si)。

在這四類主體中，保(bao)險(xian)公司近期(qi)被曝出網(wang)銷平(ping)(ping)臺(tai)存(cun)在高危漏(lou)洞(dong)，那么其他三(san)類安(an)全嗎？記者(zhe)查閱國內的漏(lou)洞(dong)盒子、補天漏(lou)洞(dong)等(deng)漏(lou)洞(dong)檢測(ce)平(ping)(ping)臺(tai)發(fa)(fa)現(xian)，目前已經投(tou)入運營的專業互(hu)聯網(wang)保(bao)險(xian)公司僅眾安(an)保(bao)險(xian)一家(jia)，暫未(wei)發(fa)(fa)現(xian)漏(lou)洞(dong)；與保(bao)險(xian)機構合作的第三(san)方網(wang)絡平(ping)(ping)臺(tai)(目前國內保(bao)費份額最大的第三(san)方網(wang)絡平(ping)(ping)臺(tai)是淘寶保(bao)險(xian))也未(wei)發(fa)(fa)現(xian)漏(lou)洞(dong)。

而專(zhuan)業中介機構經(jing)營的網銷(xiao)平臺(tai)卻(que)被檢測(ce)出各類(lei)漏(lou)洞。

7月19日(ri)(ri)，補天漏(lou)洞(dong)(dong)響應(ying)平臺檢(jian)(jian)測(ce)出(chu)某(mou)保(bao)(bao)險(xian)經(jing)紀有(you)限公司(si)多處SQL注入漏(lou)洞(dong)(dong)；7月15日(ri)(ri)，該平臺檢(jian)(jian)測(ce)出(chu)另一家大型(xing)保(bao)(bao)險(xian)中介機構(gou)網站存在可泄露保(bao)(bao)單、身(shen)份證信息的(de)(de)漏(lou)洞(dong)(dong)；5月9日(ri)(ri)，該平臺檢(jian)(jian)測(ce)出(chu)另一家保(bao)(bao)險(xian)經(jing)紀有(you)限公司(si)某(mou)保(bao)(bao)險(xian)系統可任(ren)意上傳文件導致服(fu)務器淪陷的(de)(de)漏(lou)洞(dong)(dong)。

如果說消(xiao)費(fei)者在買保(bao)險(xian)后發(fa)現自己(ji)的(de)信息被泄(xie)(xie)露了倒可以理(li)解(jie)的(de)話(hua)，那么有(you)一天自己(ji)出去旅游了一趟之后，發(fa)現自己(ji)的(de)家庭地址、身份證(zheng)號(hao)碼、電話(hua)等信息被“盜取”了，而且是(shi)通(tong)過保(bao)險(xian)渠道(dao)泄(xie)(xie)露的(de)，是(shi)不是(shi)有(you)些匪夷(yi)所思？

事實上，這樣的(de)事情已經發生。3月(yue)份，補天(tian)漏洞(dong)平臺發布了(le)一條高危漏洞(dong)，該(gai)漏洞(dong)可(ke)造成某旅游(you)(you)網站一百七十萬件(jian)保單以及保單系(xi)統信息(xi)泄漏。公開資料顯(xian)示(shi)，該(gai)旅游(you)(you)網站是(shi)是(shi)國內最大的(de)出(chu)境(jing)游(you)(you)社區,為用戶(hu)提(ti)供原創實用的(de)出(chu)境(jing)游(you)(you)旅行(xing)(xing)指南和(he)旅游(you)(you)攻略(lve)、旅行(xing)(xing)社區和(he)問(wen)答交(jiao)流平臺，核心(xin)產品行(xing)(xing)程助手和(he)窮游(you)(you)折扣幫助用戶(hu)在旅行(xing)(xing)的(de)行(xing)(xing)前制定(ding)行(xing)(xing)程，完成機票、酒店預(yu)訂(ding)、簽訂(ding)、租車等服(fu)務。

值得贅言(yan)的是(shi)，記(ji)者(zhe)在漏(lou)(lou)洞(dong)平臺發(fa)現部分(fen)地方的人(ren)(ren)社(she)局社(she)保系(xi)統(tong)也(ye)存在漏(lou)(lou)洞(dong)。5月27日，補天漏(lou)(lou)洞(dong)平臺發(fa)布了一則漏(lou)(lou)洞(dong)，該漏(lou)(lou)洞(dong)可使得廣(guang)東省某市人(ren)(ren)社(she)局某系(xi)統(tong)漏(lou)(lou)洞(dong)4個庫共2500萬條敏感信(xin)息(xi)危險(xian)泄露，并(bing)(bing)可隨意發(fa)送短信(xin)。國家互聯網應(ying)急(ji)響應(ying)中(zhong)心確認漏(lou)(lou)洞(dong)，并(bing)(bing)將漏(lou)(lou)洞(dong)評級為“中(zhong)危”，并(bing)(bing)表示“CNVD確認并(bing)(bing)復現所述漏(lou)(lou)洞(dong)情(qing)況，已(yi)經轉由CNCERT下發(fa)給(gei)廣(guang)東分(fen)中(zhong)心，由廣(guang)東分(fen)中(zhong)心后續協調網站(zhan)管理(li)單位處置(zhi)。”

保監會加強信息安全監管

保(bao)監會近日發布(bu)的(de)《互(hu)聯網保(bao)險業務監管(guan)暫行辦法》(下稱《辦法》)答記者問(wen)中，對保(bao)險機構的(de)信(xin)息安(an)全(quan)問(wen)題也提出具體監管(guan)措施。

保(bao)監會相(xiang)關(guan)負(fu)責人表示，針對(dui)互聯(lian)網信(xin)息(xi)安(an)全(quan)(quan)(quan)風險(xian)(xian)高(gao)的(de)(de)特點(dian)，保(bao)監會要求保(bao)險(xian)(xian)機構加強(qiang)信(xin)息(xi)安(an)全(quan)(quan)(quan)管理(li)，確保(bao)網絡保(bao)險(xian)(xian)交易數據及信(xin)息(xi)安(an)全(quan)(quan)(quan)。同時，保(bao)監會還(huan)將加大(da)了對(dui)保(bao)險(xian)(xian)機構不(bu)嚴格履(lv)行信(xin)息(xi)披露和安(an)全(quan)(quan)(quan)管理(li)職責的(de)(de)懲戒力度。對(dui)因內部管理(li)不(bu)力造成銷售誤導、信(xin)息(xi)丟失(shi)或泄露等嚴重事故的(de)(de)保(bao)險(xian)(xian)機構，保(bao)險(xian)(xian)監管機構可(ke)以及時責令其(qi)停(ting)止相(xiang)關(guan)產品(pin)的(de)(de)銷售，以確保(bao)保(bao)險(xian)(xian)機構切(qie)實履(lv)行信(xin)息(xi)披露和安(an)全(quan)(quan)(quan)管理(li)義務，更好(hao)地保(bao)護(hu)消費者利(li)益(yi)。

雖然保(bao)險中介機構網(wang)銷平(ping)臺(tai)被曝(pu)出(chu)漏洞，但險企官網(wang)與第三(san)方網(wang)絡平(ping)臺(tai)才是網(wang)銷保(bao)費收入的(de)(de)主要來源，因此(ci)保(bao)監會新發布的(de)(de)《辦法》也加(jia)強了(le)對第三(san)方網(wang)絡平(ping)臺(tai)的(de)(de)管理。

保監會相(xiang)關(guan)負責人表示(shi)，在互(hu)聯網保險(xian)業務(wu)發展過程中，部分第三方網絡平臺對保險(xian)業務(wu)不(bu)熟悉(xi)，合(he)規(gui)風控意識薄弱，出現了違(wei)規(gui)承諾收益、產(chan)品信息披(pi)露不(bu)合(he)規(gui)等違(wei)法違(wei)規(gui)現象(xiang)，引發了社會廣泛爭議，甚至是對保險(xian)業的負面評(ping)價和(he)質疑。

因此，保(bao)監(jian)會明(ming)(ming)確(que)了(le)第(di)三方(fang)網(wang)(wang)(wang)(wang)絡(luo)平(ping)臺(tai)(tai)的(de)業務(wu)邊界，強(qiang)(qiang)化了(le)其(qi)參(can)與互(hu)(hu)聯網(wang)(wang)(wang)(wang)保(bao)險(xian)業務(wu)的(de)行為約束：一是明(ming)(ming)確(que)職責定位，第(di)三方(fang)網(wang)(wang)(wang)(wang)絡(luo)平(ping)臺(tai)(tai)可(ke)以為保(bao)險(xian)機(ji)構(gou)開展互(hu)(hu)聯網(wang)(wang)(wang)(wang)業務(wu)提供輔助支持(chi)，若(ruo)第(di)三方(fang)網(wang)(wang)(wang)(wang)絡(luo)平(ping)臺(tai)(tai)參(can)與了(le)互(hu)(hu)聯網(wang)(wang)(wang)(wang)業務(wu)的(de)銷售、承保(bao)、理賠(pei)等關鍵(jian)環節，則必須取得(de)相應的(de)保(bao)險(xian)業務(wu)經(jing)營(ying)資格。二是強(qiang)(qiang)化合(he)規管控(kong)。《辦法》明(ming)(ming)確(que)了(le)第(di)三方(fang)網(wang)(wang)(wang)(wang)絡(luo)平(ping)臺(tai)(tai)的(de)業務(wu)規則，并(bing)要(yao)求(qiu)保(bao)險(xian)機(ji)構(gou)加(jia)強(qiang)(qiang)對第(di)三方(fang)網(wang)(wang)(wang)(wang)絡(luo)平(ping)臺(tai)(tai)等合(he)作單位的(de)管控(kong)責任，切實(shi)履(lv)行將(jiang)保(bao)險(xian)監(jian)管要(yao)求(qiu)告知第(di)三方(fang)網(wang)(wang)(wang)(wang)絡(luo)平(ping)臺(tai)(tai)的(de)義務(wu)。三是實(shi)施監(jian)督管理。《辦法》明(ming)(ming)確(que)規定第(di)三方(fang)網(wang)(wang)(wang)(wang)絡(luo)平(ping)臺(tai)(tai)有配合(he)保(bao)險(xian)監(jian)管部門日常監(jian)管和現場檢查的(de)義務(wu)，若(ruo)有違反，保(bao)險(xian)監(jian)管部門可(ke)以責令保(bao)險(xian)機(ji)構(gou)終止與其(qi)合(he)作。