客户简介

   中国人民财产保险股份有限公司（PICC）是经国务院同意、中国保监会批准，于2003年7月由中国人民保险集团公司发起设立的、目前中国内地最大的非寿险公司，注册资本111.418亿元。其前身是1949年10月20日经中国人民银行报政务院财经委员会批准成立的中国人民保险公司。

   中国人保财险是中国人民保险集团公司（PICC）旗下标志性主业。2003年11月6日，公司在香港联交所成功挂牌上市，成为中国内地大型国有金融企业海外上市“第一股”。凭借综合实力，公司相继成为北京2008年奥运会、2010年上海世博会保险合作伙伴，为北京奥运会和上海世博会提供全面的保险保障服务。2008年6月26日，国际权威评级机构穆迪公司授予公司中国内地企业最高信用评级A1级。2008年，公司保费突破一千亿元，实现历史性跨越，在全球上市保险公司非寿险业务排名第10位。

合规需求

·国家保监会发布的《保险公司信息系统安全管理指引》明确作出以下要求：

   建立覆盖信息系统全生命周期的信息安全问题管理流程。建立系统身份鉴别机制，严格帐号权限控制管理，规范权限分配和回收流程，保存审计记录，及时进行分析处理。确保全面的追踪、分析和解决信息系统问题并对问题记录、分类和索引。

   根据内部控制与审计的要求，保存信息系统相关日志，并采取适当措施确保日志内容不被删除、修改或覆盖

   对主机系统进行审计，妥善管理并及时分析处理审计记录。对重要用户行为、异常操作和重要系统命令的使用等应进行重点审计

·技术与管理需求：

   PICC的业务目前已经全部信息化，而数据库是PICC整个信息系统的核心，所有的关键业务系统都依赖数据库平台的安全稳定运行，随之而来产生了数据的安全问题。如何保证业务数据库的安全性，是PICC信息安全建设的重中之重。

   PICC总部缺乏对分支数据库安全性的统一管理能力，无法从技术上落实集团公司的管理制度。

   需要从技术上实现对数据库异常访问、违规访问的控制能力；

产品及部署

   按照PICC对核心数据库系统实行分布采集、集中控制的管理需求。在本方案中我们在PICC全国37个节点分别部署了一套SVbase数据库审计系统，具体部署方式如下所示：

部署说明

   在本方案中，我们在PICC全国37个分支单位各部署了一套独立的数据库审计系统,每台数据库审计系统通过端口镜像方式捕获对核心业务数据库的访问操作，数据记录在本地内部存储中，各分支机构的审计人员可以查看本地的数据库访问记录。

   为了达到全国PICC统一数据库审计规范要求，各分支机构的数据库审计系统受总部审计系统集中管控。总部的数据库审计系统可以通过网络向各分支机构发送安全规则，符合安全规则的异常操作将会送到总部进行汇总，由此形成一个分支机构保留完整数据，总部获取重要数据的分布式审计系统，既达到全面审计要求，也减少了网络带宽消耗。

应用效果

·无干扰部署方式，部署和应用过程对数据库运行无干扰；

·在全公司范围内实现数据库访问综合审计，从技术上落实保监会和集团公司对数据库安全的管理要求；

·规范数据库管理员、第三方维护人员、开发人员的数据库操作行为，减少安全事件发生的可能性；

·提高审计的效率和质量，缩短了审计工作消耗的时间，同时能把精力更多的集中到审计需关注的重点上来，节约公司费用；

·促进总部对子公司的安全审计管理控制能力；