保险公司网络商城信息安全管理探讨
摘要:在网络信息技术逐步成熟和普及的环境下,网络商城成为各大保险公司开展网络业务的
重要渠道,对保险公司的生存以及发展,已经产生不言而喻的意义和作用。但保险公司网络商城如何在
满足客户便捷性要求的同时,规划其严格的信息安全策略显得至关重要。为此,本文以 P保险公司网络
商城的信息安全规划为研究对象,通过讨论分析 P保险公司网络商城在运行过程中存在的诸多信息安全
问题,从信息安全的角度,提出了 P保险公司网络商城的网络安全防御策略,为保障 P保险公司网络商
城的安全、稳定运行提供技术支撑。
关键词:网络安全;网络规划;安全防御
1P保险公司网络商城平台整体构架
随着电子科技的不断突破以及网络用户的屡创新高,网络带动了世界各国网络商城的盛行,亦
带动商业的应用并创造了无限商机及发展空间,在此背景下,网络商城的构架已经成为保险业营销发展
的必然趋势。为此,2012年 8月,P保险公司网络商城平台正式上线,标志着这家保险集团实施的“以
客户需求为导向”的战略转型的重要举措落地实施。根据 P保险公司网络商城发展规划的基本要求,P
保险公司网络商城的在整体设计过程中,划分了多个功能模块,如图 1所示。根据业务规划,P保险公
司网络商城系统包括基础运行平台和外部接口平台,其中基础运行平台主要保障网络商城各项业务信息
流的传送与转换,帮助客户实现网络订单的实现,外部接口主要帮助完成支付与服务的拓展。客户在 P
保险公司网络商城下单订购保险后,通过系列的认证,获取保单,并通过多种途径,与网络服务人员进
行沟通,获取保单详细服务信息。P保险公司则可以借助此平台,完成网络营销与推广,实现传统营销
渠道向网络营销渠道的拓展。借助网络商城的启动,P保险公司完成了传统营销、电话营销、网络营
销、移动终端销售等全方位的全新销售新体系。截止 2016年 12月,通过持续对互联网营销模式的探索
和创新,P保险公司网络商城实现了业务的大幅提升,提高了 P保险公司的业务覆盖范围,实现了产品
的创新和经营模式的创新。在网络业务的驱动下,P保险公司近 3年的整体市场占有率快速提升,经营
业绩取得了骄人的成就,网络商城逐步成为 P保险公司主要营销渠道之一。但是,在新的竞争形势下,
在快速发展的网络商城的业务中,保险公司也面临着网络信息安全的威胁与挑战,尽管采取了多方面的
安全防御措施,P保险公司网络商城在网络安全管理方面依然存在多方面的不足,并构成了较为严重的
安全风险。如何实现 P保险公司网络商城系统的安全、稳定运行,成为 P保险公司亟需解决的关键问题
之一。为此,作为 P保险公司网络商城的管理者之一,笔者将以 P保险公司网络商城为研究对象,在对
国内保险业网络安全问题综合分析的基础上,讨论分析 P保险公司网络商城的运作网络安全的问题,提
出 P保险公司网络商城网络安全管理的应对策略,为实现 P保险公司网络商城的安全、稳定运行提供参
考。
2我国网络商城信息安全管理的现状
在网络技术逐步成熟的今天,作为互联网的主要应用,网络商城带给人类前所未有的购物体
验,推动商业从传统模式迈进了新的阶段,极大的方便了客户购物,也帮助商家拓展了营销渠道。如
今,网络商城已成为国内商业体系中重要的购物渠道。但在其快速发展的同时,网络商城的信息风险愈
发突出。近年来,在 P保险公司网络商城系统网络订单快速增长的同时,与之俱来的网络安全问题却日
趋严峻,直接威胁到 P保险公司网络商城业务的正常开展,为此,如何保障 P保险公司网络商城的信息
安全,成为信息安全专家讨论的主要议题。在此背景下,制定网络商城信息安全的基本规范,设置严格
的政策监管体系,塑造网络商城良好的安全环境,成为国内外研究的主要方向,也是推动是整个网络商
城产业健康发展的前提。在开放的网络环境中,完成一系列的订单处理交易,如何保证整体业务流程中
的数据安全,已成为我国网络商城健康发展的当务之急。目前,由于国内网络商城没有统一的信息安全
标准,导致在实践中产生的问题和引发的信息安全威胁屡屡可见,亟需制定系统的网络安全解决方案,
保障网络商城的安全运营。
3P保险公司网络商城安全问题剖析
网络商城信息安全问题的表现
(1)P保险公司网络商城信息安全问题的宏观表现。在保险公司网络业务快速提升的背后,网
络安全问题成为 P保险公司实施网络营销的最大隐患。如何保证整个业务流程的信息安全,避免信息泄
露或被篡改,成为网络商城技术设计的核心工作。但在实际运用中,部分网络商城由于过于注重客户的
体验,设计过程中,只偏向模块操作的便捷性,在模块设计上在一定程度上忽略了安全性,导致网络商
城平台的网络风险较为突出。另一方面,移动客户端的发展导致安全性能面临更大的挑战,很多用户将
大量重要信息存储在手机上,导致一旦手机丢失数据或者被他人恶意盗用,将直接导致较为严重的后果
与较大的损失。为此,如何保障移动通讯的安全,防止手机卡被恶意克隆,或个人身份被假冒,将成为
网络商城必须面对的核心问题。
(2)技术分析层面的表现。由于网络技术的日新月异,信息安全隐患在技术层面普遍存在。对
于保险公司网络商城,主要受攻击手段有:借助黑客手段窃取商业机密、实施恶意方式篡改交易信息、
采取非常手段非法删除交易信息、采用内部攻击方式伪造交易信息、不间断实施病毒破坏、黑客入侵等
信息安全问题。都有可能为给有关单位带来毁灭性的打击或灾难性的损害,如果从技术角度,完成信息
的安全防护,成为网络商城运作的重点内容。
网络商城信息安全问题的来源
(1)硬件层面的安全问题。在网络商城的运作过程中,基础性网络硬件的风险是最大的,如果
相关硬件在配置过程中,忽视了安全防护,将直接导致毁灭性的灾难。例如硬件防火墙设置不当,核心
交换机配置不当,都可能给网络攻击者可乘之机。
(2)软件层面的安全问题。在网络商城系统中,软件层面的安全问题较为普遍且突出,如何优
化软件的编码,保障程序运行的安全,避免出现程序漏洞,成为解决软件层面信息安全的主要工作。
(3)应用层面的安全问题。在硬件和软件相关作用下,网络商城应用层面的问题更加严峻,在
系统应用过程中,操作人员的不规范操作,是导致信息安全问题的主要来源。同时,网络攻击、商业欺
诈等黑客行为网络商城另外一个重要安全隐患。
(4)环境层面主要是指法律环境。在网络商城运作过程中,信息安全问题更为重要的方面在于
管理,在于人。为此,制定科学严峻的法律规范,对各类信息攻击从法律角度加以制约,显得非常必
要。为此,国内《网络安全法》的实施,在一定程度上为惩治网络信息的不法侵害,提供了制度保障。
4P保险公司网商城系统安全防御方案
在具有应用过程中,为了保障 P保险公司网络商城系统的不被黑客或病毒攻击,必须制定一套
较为可行的数据保护安全方案,制定一套较为详细的操作规范,保障系统数据服务器的规范化管理。调
查统计表明,国内百分之七十的信息安全问题是由于不按照规范实施防御所致,所以,实施规范化管
理,保障 P保险公司网络商城各类服务器与软硬件的程序化运作,对其信息安全的防护起到关键性作
用。为此,以下从技术层面,给出 P保险公司网络商城信息安全技术方案,以应对来自内外的安全威
胁。
保险公司网络商城的网络安全防御系统的构造
(1)P保险公司网络商城的网络营销支付子系统的构造。借助该模块能够实现实时的在线网上
支付。其中重要的组成部分:支付网关的作用是将互联网和金融网络安全地连接起来,位于互联网和金
融机构内部网之间的支付网关系统连接起来,支付安全是 P保险公司网络商城运作过程中信息安全威胁
最大的模块,如何保障支付流程的信息安全,成为网络商城信息攻击防御的重点。
(2)后台管理子系统的安全防御的构造。借助该模块,在完成 P保险公司网络商城的业务的流
转,完成订单数据的储存和管理。后台管理子系统账号安全,成为其信息安全关注的重点,在成千上百
的后台管理中,如何设定合适的级别与权限,设置科学的账号分类,进行合适的授权,成为后台管理子
系统的重点,同时后台操作的安全风险,也是需要重点监管。
(3)安全认证子系统的构造。安全认证是网络商城系统的核心模块,直接决定了系统的安全实
施。在具体实施中,设置严格的安全认证体系,对重要数据进行加密保存,对各类用户设置严格的访问
控制权限,对数据库进行严格的热机灾备,都是提升安全认证系统的工作内容。
网络安全防护的整体技术构架
在技术构架方面,P保险公司网络商城系统在实现过程中,采用了 J2EE完成系统构建,选择
Java2作为信息安全的防范体系。在具体实施中,系统模块部署结构如下:(1)首先,借助 J2EE技术
完成系统设计中 JSP、Servlet等语言的安全分析,保障系统程序的规范、稳定;(2)其次,借助多种
加密技术,完成系统数据库的保密控制;(3)接着,综合运用多层级系统防火墙管理,实现硬件与软
件的双重防护;(4)最后,动态监测访问源,强化恶意并发访问的控制(DoS攻击),完成系统安全
风险的各种防御手段的设计。
网络安全防护的具体的技术措施
(1)充分运作 J2EE对 JSP、Servlet的安全控制措施。根据 J2EE的技术安全规范,构建后台
管理与客户登陆验证的数据过滤器(Filter),同时制定详细的访问控制权限,保障系统运行的制度安
全。
(2)强化系统数据库被攻击的风险,制定严格的数据加密规则,强化系统热机灾模块的规范,
完成对数据的加密与安全控制。在具体实施中,数据库的安全性较大程度上取决于数据库管理系统的安
全配置。本系统在数据库系统上,选择 Oracle数据库系统,并严格按照 Oracle数据库系统的安全规范
进行配置,从而保障了数据的安全与稳定。
(3)综合运用多层级系统防火墙管理,实现硬件与软件的双重防护。防火墙是保障 P公司网络
商城系统安全的核心设备,针对当前网络安全的形势,现对 P保险公司网络商城系统防火墙的管理作如
下建议:①防火墙许可规则设置按照最少特权原则,保障数据交换过程中的安全。②彻底防御原则,在
防火墙过滤规则配置中,要尽可能使用多个限制规则,让防火墙的限制规则尽可能细化,保证不良信息
难以进入系统请求行列。③最少信息原则,避免有关的信息暴露。在整个防御体系中,软硬件防火墙的
综合运用与严格的规则配置,是网络信息安全防御的关键手段。
(4)恶意并发访问控制(DoS攻击)。对于这个问题,P保险公司网络商城系统需要设计一款
信息访问进程的过滤器,过滤器可以保障在指定时间内,拒绝多次访问的不良请求,避免恶意并发对系
统攻击的实施。
5研究总结
在传统保险营销方式趋于饱和、竞争趋于稳定的市场环境下,未来一个公司业务的发展,将很
大程度上取决于网络渠道的营销情况。网络商城运行过程中,网络商城的安全与否是系统能否连续稳定
的运行关键。在网络商城的信息安全防御中,正确配置系统软硬件防火墙,杜绝外部不良信息或请求的
入侵,强化内部服务器的安全防护,最大限度杜绝黑客与病毒的不断入侵。另外,为了建立较强的病毒
入侵监测防范体系,在网络商城的入口处安装特别设计的病毒防火墙,减少各类流行病毒对系统攻击的
可能性。同时在 P网络公司的运营过程中,应该建立严格的网络安全防御体系,规范内部管理人员的操
作流程,强化系统日志的分析,定期分析系统运行日志,根据日志中攻击请求的问题,建立一个防毒防
黑屏障,监测病毒攻击的动向,保证系统的健康稳定运行。
参考文献:
[1]周一波,王 Z,朱朝勇,胡茂松.信息安全主动防御预警平台的需求分析和规划设计[J].网
络空间安全,2017,8(Z4):94-97.
[2]王雪东.“互联网+”时代信息安全主动防御系统研究与设计[J].网络空间安全,2016,7
(6):5-6+13.
[3]王雨.信息安全防御系统中数据防护技术实现[J].现代工业经济和信息化,2015,5(18):
72-73+79.
[4]熊强,仲伟俊,李治文.网络信息系统中信息安全防御资源分配策略分析――基于约束理论
视角[J].运筹与管理,2014,23(3):163-169.
[5]袁慧.面向用户准入控制的信息安全统一威胁防御管理[J].电力信息与通信技术,2013,11
(9):102-105.
[6]徐世亮.一种基于防注入技术的个人信息安全防御设计[J].电脑知识与技术(学术交流),
2007(23):1240-1243.
[7]沈昌祥.基于可信平台构筑积极防御的信息安全保障框架[J].信息安全与通信保密,2004
(9):17-19.
作者:胡罡 单位:中国太平洋保险(集团)股份有限公司
