7 月 11 日 由《计算机世界》报社和中科软科技股份有限公司共同举办的“中国保险 IT 应用高峰论坛 2008 ” 在北京举行，并在《计算机世界》第 27 期有专题报道《保险业三大梯队信息化各有所求》，详细分析了保险业三大梯队的信息化建设需求和规划等，总的来讲，涉及面比较广，对各保险公司的信息主管是一个挑战。

     笔者从信息安全专业眼光，浏览了 保监会网站 上列出的各个保险公司网站后发现：网上保险管理系统信息安全问题不容乐观，报道中的信息化建设比较完善的保险业第一梯队 6 家保险公司只有 4 家部署了 SSL 证书，具体部署情况如下：

     中国人保财险 : 部署 VeriSign 支持 SGC 强制 128 位加密的 SSL 证书 ( Secure Site Pro )

     中国人寿保险 ：没有部署 SSL 证书

     中国平安保险 ：部署 WoSign 支持 SGC 强制 128 位加密的 SSL 证书 ( SGC 超真 SSL )

     中国太平洋保险 ：部署 WoSign 支持 SGC 强制 128 位加密的 SSL 证书 ( SGC 超真 SSL )

     新华人寿保险 ：没有部署 SSL 证书

     泰康人寿保险 ：部署 VeriSign 支持 SGC 强制 128 位加密的 SSL 证书 ( Secure Site Pro ) ，但由于没有在注册和登录页面做 https:// 链接就实际上等于没有启用。

     而位于保险业第二梯队、第三梯队的保险公司有些并没有网上投保系统，即使有，也基本上还没有部署 SSL 证书。有意思的是：即使是外资保险公司，其国外总公司网站 100% 都部署了 SSL 证书，而其国内合资或独资保险公司只有少数也部署了 SSL 证书。

     按照笔者估计：全国 110 多家保险公司中部署了 SSL 证书的可能在 10% 以内， 90% 以上都没有部署 SSL 证书，与欧美国家的保险公司 100% 都部署 SSL 证书相比，差距还相当大，当然就有理由说“信息安全问题不容乐观”了。

     请大家不要把信息安全与网络安全混淆起来，目前国内的信息系统建设一般只重视网络安全 ( 防火墙等 ) ，并没有重视信息安全。没有部署 SSL 证书就等于投保客户在网上投保时输入的各种个人机密信息 ( 个人身份证号码、家庭电话、手机号码、银行账户等 ) 都没有采取加密措施，都有可能并极容易被非法窃取和非法篡改。而部署了 SSL 证书，则能确保投保客户在网上投保和查询时输入的各种个人机密信息都能自动地加密传输，确保了用户的机密信息不会被非法窃取和非法篡改，从而保护用户的机密信息安全，让用户可以放心地使用网上保险系统。

     请注意：考虑到投保客户使用的操作系统和浏览器版本各种各样，所以，部署的 SSL 证书一定要支持强制 128 位加密技术，否则如果用户使用低版本浏览器的话，可能只能实现 40 为或 56 位的加密，而破译 40 位加密只需几秒钟， 56 位加密也只需几天时间。所以，部署 不 支持强制 128 位加密技术的 SSL 证书也是非常不安全的，而且还容易让用户误以为有 SSL 证书就安全了。这就非常容易理解为何保险业第一梯队中部署了 SSL 证书的保险公司都是部署的支持强制 128 位加密技术的 SSL 证书。

     同时值得注意的是：由于目前各种恶意软件泛滥，所以，仅部署了 SSL 证书还不够，还应该保护用户登录时在线输入密码时的安全。而密码安全控件技术 (ActiveX 控件 ) 被公认为保护在线用户输入密码安全的有效手段，目前已经得到网上银行系统和其他重要系统的普遍应用，此安全控件的作用就是获得键盘的控制权，使得用户输入的密码信息不可能被电脑中可能有的间谍软件截取。建议所有网上保险系统也都尽快采用此技术 ( 购买一个 微软代码签名证书 数字签名密码控件即可 ) 。

     WoSign 作为国内领先的信息安全服务提供商愿意免费为各家保险公司提供数字证书相关的技术咨询和技术支持，并愿意优惠提供各种品牌 SSL 证书产品，以便各保险公司能尽快及时改进不足，完善其信息安全保护系统，让广大投保用户真正放心使用和放心投保。欢迎相关人士尽快 联系我们 。