保險公司網(wǎng)絡(luò)商城信息安全管理探討范文
本站小編為你精心準備了保險公司網(wǎng)絡(luò)商城信息安全管理探討參考范文,愿這些范文能點燃您思維的火花,激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。
摘要:在網(wǎng)絡(luò)信息技術(shù)逐步成熟和普及的環(huán)境下,網(wǎng)絡(luò)商城成為各大保險公司開展網(wǎng)絡(luò)業(yè)務(wù)的重要渠道,對保險公司的生存以及發(fā)展,已經(jīng)產(chǎn)生不言而喻的意義和作用。但保險公司網(wǎng)絡(luò)商城如何在滿足客戶便捷性要求的同時,規(guī)劃其嚴格的信息安全策略顯得至關(guān)重要。為此,本文以P保險公司網(wǎng)絡(luò)商城的信息安全規(guī)劃為研究對象,通過討論分析P保險公司網(wǎng)絡(luò)商城在運行過程中存在的諸多信息安全問題,從信息安全的角度,提出了P保險公司網(wǎng)絡(luò)商城的網(wǎng)絡(luò)安全防御策略,為保障P保險公司網(wǎng)絡(luò)商城的安全、穩(wěn)定運行提供技術(shù)支撐。
關(guān)鍵詞:網(wǎng)絡(luò)安全;網(wǎng)絡(luò)規(guī)劃;安全防御
1P保險公司網(wǎng)絡(luò)商城平臺整體構(gòu)架
隨著電子科技的不斷突破以及網(wǎng)絡(luò)用戶的屢創(chuàng)新高,網(wǎng)絡(luò)帶動了世界各國網(wǎng)絡(luò)商城的盛行,亦帶動商業(yè)的應(yīng)用并創(chuàng)造了無限商機及發(fā)展空間,在此背景下,網(wǎng)絡(luò)商城的構(gòu)架已經(jīng)成為保險業(yè)營銷發(fā)展的必然趨勢。為此,2012年8月,P保險公司網(wǎng)絡(luò)商城平臺正式上線,標志著這家保險集團實施的“以客戶需求為導向”的戰(zhàn)略轉(zhuǎn)型的重要舉措落地實施。根據(jù)P保險公司網(wǎng)絡(luò)商城發(fā)展規(guī)劃的基本要求,P保險公司網(wǎng)絡(luò)商城的在整體設(shè)計過程中,劃分了多個功能模塊,如圖1所示。根據(jù)業(yè)務(wù)規(guī)劃,P保險公司網(wǎng)絡(luò)商城系統(tǒng)包括基礎(chǔ)運行平臺和外部接口平臺,其中基礎(chǔ)運行平臺主要保障網(wǎng)絡(luò)商城各項業(yè)務(wù)信息流的傳送與轉(zhuǎn)換,幫助客戶實現(xiàn)網(wǎng)絡(luò)訂單的實現(xiàn),外部接口主要幫助完成支付與服務(wù)的拓展。客戶在P保險公司網(wǎng)絡(luò)商城下單訂購保險后,通過系列的認證,獲取保單,并通過多種途徑,與網(wǎng)絡(luò)服務(wù)人員進行溝通,獲取保單詳細服務(wù)信息。P保險公司則可以借助此平臺,完成網(wǎng)絡(luò)營銷與推廣,實現(xiàn)傳統(tǒng)營銷渠道向網(wǎng)絡(luò)營銷渠道的拓展。借助網(wǎng)絡(luò)商城的啟動,P保險公司完成了傳統(tǒng)營銷、電話營銷、網(wǎng)絡(luò)營銷、移動終端銷售等全方位的全新銷售新體系。截止2016年12月,通過持續(xù)對互聯(lián)網(wǎng)營銷模式的探索和創(chuàng)新,P保險公司網(wǎng)絡(luò)商城實現(xiàn)了業(yè)務(wù)的大幅提升,提高了P保險公司的業(yè)務(wù)覆蓋范圍,實現(xiàn)了產(chǎn)品的創(chuàng)新和經(jīng)營模式的創(chuàng)新。在網(wǎng)絡(luò)業(yè)務(wù)的驅(qū)動下,P保險公司近3年的整體市場占有率快速提升,經(jīng)營業(yè)績?nèi)〉昧蓑溔说某删停W(wǎng)絡(luò)商城逐步成為P保險公司主要營銷渠道之一。但是,在新的競爭形勢下,在快速發(fā)展的網(wǎng)絡(luò)商城的業(yè)務(wù)中,保險公司也面臨著網(wǎng)絡(luò)信息安全的威脅與挑戰(zhàn),盡管采取了多方面的安全防御措施,P保險公司網(wǎng)絡(luò)商城在網(wǎng)絡(luò)安全管理方面依然存在多方面的不足,并構(gòu)成了較為嚴重的安全風險。如何實現(xiàn)P保險公司網(wǎng)絡(luò)商城系統(tǒng)的安全、穩(wěn)定運行,成為P保險公司亟需解決的關(guān)鍵問題之一。為此,作為P保險公司網(wǎng)絡(luò)商城的管理者之一,筆者將以P保險公司網(wǎng)絡(luò)商城為研究對象,在對國內(nèi)保險業(yè)網(wǎng)絡(luò)安全問題綜合分析的基礎(chǔ)上,討論分析P保險公司網(wǎng)絡(luò)商城的運作網(wǎng)絡(luò)安全的問題,提出P保險公司網(wǎng)絡(luò)商城網(wǎng)絡(luò)安全管理的應(yīng)對策略,為實現(xiàn)P保險公司網(wǎng)絡(luò)商城的安全、穩(wěn)定運行提供參考。
2我國網(wǎng)絡(luò)商城信息安全管理的現(xiàn)狀
在網(wǎng)絡(luò)技術(shù)逐步成熟的今天,作為互聯(lián)網(wǎng)的主要應(yīng)用,網(wǎng)絡(luò)商城帶給人類前所未有的購物體驗,推動商業(yè)從傳統(tǒng)模式邁進了新的階段,極大的方便了客戶購物,也幫助商家拓展了營銷渠道。如今,網(wǎng)絡(luò)商城已成為國內(nèi)商業(yè)體系中重要的購物渠道。但在其快速發(fā)展的同時,網(wǎng)絡(luò)商城的信息風險愈發(fā)突出。近年來,在P保險公司網(wǎng)絡(luò)商城系統(tǒng)網(wǎng)絡(luò)訂單快速增長的同時,與之俱來的網(wǎng)絡(luò)安全問題卻日趨嚴峻,直接威脅到P保險公司網(wǎng)絡(luò)商城業(yè)務(wù)的正常開展,為此,如何保障P保險公司網(wǎng)絡(luò)商城的信息安全,成為信息安全專家討論的主要議題。在此背景下,制定網(wǎng)絡(luò)商城信息安全的基本規(guī)范,設(shè)置嚴格的政策監(jiān)管體系,塑造網(wǎng)絡(luò)商城良好的安全環(huán)境,成為國內(nèi)外研究的主要方向,也是推動是整個網(wǎng)絡(luò)商城產(chǎn)業(yè)健康發(fā)展的前提。在開放的網(wǎng)絡(luò)環(huán)境中,完成一系列的訂單處理交易,如何保證整體業(yè)務(wù)流程中的數(shù)據(jù)安全,已成為我國網(wǎng)絡(luò)商城健康發(fā)展的當務(wù)之急。目前,由于國內(nèi)網(wǎng)絡(luò)商城沒有統(tǒng)一的信息安全標準,導致在實踐中產(chǎn)生的問題和引發(fā)的信息安全威脅屢屢可見,亟需制定系統(tǒng)的網(wǎng)絡(luò)安全解決方案,保障網(wǎng)絡(luò)商城的安全運營。
3P保險公司網(wǎng)絡(luò)商城安全問題剖析
3.1網(wǎng)絡(luò)商城信息安全問題的表現(xiàn)
(1)P保險公司網(wǎng)絡(luò)商城信息安全問題的宏觀表現(xiàn)。在保險公司網(wǎng)絡(luò)業(yè)務(wù)快速提升的背后,網(wǎng)絡(luò)安全問題成為P保險公司實施網(wǎng)絡(luò)營銷的最大隱患。如何保證整個業(yè)務(wù)流程的信息安全,避免信息泄露或被篡改,成為網(wǎng)絡(luò)商城技術(shù)設(shè)計的核心工作。但在實際運用中,部分網(wǎng)絡(luò)商城由于過于注重客戶的體驗,設(shè)計過程中,只偏向模塊操作的便捷性,在模塊設(shè)計上在一定程度上忽略了安全性,導致網(wǎng)絡(luò)商城平臺的網(wǎng)絡(luò)風險較為突出。另一方面,移動客戶端的發(fā)展導致安全性能面臨更大的挑戰(zhàn),很多用戶將大量重要信息存儲在手機上,導致一旦手機丟失數(shù)據(jù)或者被他人惡意盜用,將直接導致較為嚴重的后果與較大的損失。為此,如何保障移動通訊的安全,防止手機卡被惡意克隆,或個人身份被假冒,將成為網(wǎng)絡(luò)商城必須面對的核心問題。
(2)技術(shù)分析層面的表現(xiàn)。由于網(wǎng)絡(luò)技術(shù)的日新月異,信息安全隱患在技術(shù)層面普遍存在。對于保險公司網(wǎng)絡(luò)商城,主要受攻擊手段有:借助黑客手段竊取商業(yè)機密、實施惡意方式篡改交易信息、采取非常手段非法刪除交易信息、采用內(nèi)部攻擊方式偽造交易信息、不間斷實施病毒破壞、黑客入侵等信息安全問題。都有可能為給有關(guān)單位帶來毀滅性的打擊或災(zāi)難性的損害,如果從技術(shù)角度,完成信息的安全防護,成為網(wǎng)絡(luò)商城運作的重點內(nèi)容。
3.2網(wǎng)絡(luò)商城信息安全問題的來源
(1)硬件層面的安全問題。在網(wǎng)絡(luò)商城的運作過程中,基礎(chǔ)性網(wǎng)絡(luò)硬件的風險是最大的,如果相關(guān)硬件在配置過程中,忽視了安全防護,將直接導致毀滅性的災(zāi)難。例如硬件防火墻設(shè)置不當,核心交換機配置不當,都可能給網(wǎng)絡(luò)攻擊者可乘之機。
(2)軟件層面的安全問題。在網(wǎng)絡(luò)商城系統(tǒng)中,軟件層面的安全問題較為普遍且突出,如何優(yōu)化軟件的編碼,保障程序運行的安全,避免出現(xiàn)程序漏洞,成為解決軟件層面信息安全的主要工作。
(3)應(yīng)用層面的安全問題。在硬件和軟件相關(guān)作用下,網(wǎng)絡(luò)商城應(yīng)用層面的問題更加嚴峻,在系統(tǒng)應(yīng)用過程中,操作人員的不規(guī)范操作,是導致信息安全問題的主要來源。同時,網(wǎng)絡(luò)攻擊、商業(yè)欺詐等黑客行為網(wǎng)絡(luò)商城另外一個重要安全隱患。
(4)環(huán)境層面主要是指法律環(huán)境。在網(wǎng)絡(luò)商城運作過程中,信息安全問題更為重要的方面在于管理,在于人。為此,制定科學嚴峻的法律規(guī)范,對各類信息攻擊從法律角度加以制約,顯得非常必要。為此,國內(nèi)《網(wǎng)絡(luò)安全法》的實施,在一定程度上為懲治網(wǎng)絡(luò)信息的不法侵害,提供了制度保障。
4P保險公司網(wǎng)商城系統(tǒng)安全防御方案
在具有應(yīng)用過程中,為了保障P保險公司網(wǎng)絡(luò)商城系統(tǒng)的不被黑客或病毒攻擊,必須制定一套較為可行的數(shù)據(jù)保護安全方案,制定一套較為詳細的操作規(guī)范,保障系統(tǒng)數(shù)據(jù)服務(wù)器的規(guī)范化管理。調(diào)查統(tǒng)計表明,國內(nèi)百分之七十的信息安全問題是由于不按照規(guī)范實施防御所致,所以,實施規(guī)范化管理,保障P保險公司網(wǎng)絡(luò)商城各類服務(wù)器與軟硬件的程序化運作,對其信息安全的防護起到關(guān)鍵性作用。為此,以下從技術(shù)層面,給出P保險公司網(wǎng)絡(luò)商城信息安全技術(shù)方案,以應(yīng)對來自內(nèi)外的安全威脅。
4.1P保險公司網(wǎng)絡(luò)商城的網(wǎng)絡(luò)安全防御系統(tǒng)的構(gòu)造
(1)P保險公司網(wǎng)絡(luò)商城的網(wǎng)絡(luò)營銷支付子系統(tǒng)的構(gòu)造。借助該模塊能夠?qū)崿F(xiàn)實時的在線網(wǎng)上支付。其中重要的組成部分:支付網(wǎng)關(guān)的作用是將互聯(lián)網(wǎng)和金融網(wǎng)絡(luò)安全地連接起來,位于互聯(lián)網(wǎng)和金融機構(gòu)內(nèi)部網(wǎng)之間的支付網(wǎng)關(guān)系統(tǒng)連接起來,支付安全是P保險公司網(wǎng)絡(luò)商城運作過程中信息安全威脅最大的模塊,如何保障支付流程的信息安全,成為網(wǎng)絡(luò)商城信息攻擊防御的重點。
(2)后臺管理子系統(tǒng)的安全防御的構(gòu)造。借助該模塊,在完成P保險公司網(wǎng)絡(luò)商城的業(yè)務(wù)的流轉(zhuǎn),完成訂單數(shù)據(jù)的儲存和管理。后臺管理子系統(tǒng)賬號安全,成為其信息安全關(guān)注的重點,在成千上百的后臺管理中,如何設(shè)定合適的級別與權(quán)限,設(shè)置科學的賬號分類,進行合適的授權(quán),成為后臺管理子系統(tǒng)的重點,同時后臺操作的安全風險,也是需要重點監(jiān)管。
(3)安全認證子系統(tǒng)的構(gòu)造。安全認證是網(wǎng)絡(luò)商城系統(tǒng)的核心模塊,直接決定了系統(tǒng)的安全實施。在具體實施中,設(shè)置嚴格的安全認證體系,對重要數(shù)據(jù)進行加密保存,對各類用戶設(shè)置嚴格的訪問控制權(quán)限,對數(shù)據(jù)庫進行嚴格的熱機災(zāi)備,都是提升安全認證系統(tǒng)的工作內(nèi)容。
4.2網(wǎng)絡(luò)安全防護的整體技術(shù)構(gòu)架
在技術(shù)構(gòu)架方面,P保險公司網(wǎng)絡(luò)商城系統(tǒng)在實現(xiàn)過程中,采用了J2EE完成系統(tǒng)構(gòu)建,選擇Java2作為信息安全的防范體系。在具體實施中,系統(tǒng)模塊部署結(jié)構(gòu)如下:(1)首先,借助J2EE技術(shù)完成系統(tǒng)設(shè)計中JSP、Servlet等語言的安全分析,保障系統(tǒng)程序的規(guī)范、穩(wěn)定;(2)其次,借助多種加密技術(shù),完成系統(tǒng)數(shù)據(jù)庫的保密控制;(3)接著,綜合運用多層級系統(tǒng)防火墻管理,實現(xiàn)硬件與軟件的雙重防護;(4)最后,動態(tài)監(jiān)測訪問源,強化惡意并發(fā)訪問的控制(DoS攻擊),完成系統(tǒng)安全風險的各種防御手段的設(shè)計。
4.3網(wǎng)絡(luò)安全防護的具體的技術(shù)措施
(1)充分運作J2EE對JSP、Servlet的安全控制措施。根據(jù)J2EE的技術(shù)安全規(guī)范,構(gòu)建后臺管理與客戶登陸驗證的數(shù)據(jù)過濾器(Filter),同時制定詳細的訪問控制權(quán)限,保障系統(tǒng)運行的制度安全。
(2)強化系統(tǒng)數(shù)據(jù)庫被攻擊的風險,制定嚴格的數(shù)據(jù)加密規(guī)則,強化系統(tǒng)熱機災(zāi)模塊的規(guī)范,完成對數(shù)據(jù)的加密與安全控制。在具體實施中,數(shù)據(jù)庫的安全性較大程度上取決于數(shù)據(jù)庫管理系統(tǒng)的安全配置。本系統(tǒng)在數(shù)據(jù)庫系統(tǒng)上,選擇Oracle數(shù)據(jù)庫系統(tǒng),并嚴格按照Oracle數(shù)據(jù)庫系統(tǒng)的安全規(guī)范進行配置,從而保障了數(shù)據(jù)的安全與穩(wěn)定。
(3)綜合運用多層級系統(tǒng)防火墻管理,實現(xiàn)硬件與軟件的雙重防護。防火墻是保障P公司網(wǎng)絡(luò)商城系統(tǒng)安全的核心設(shè)備,針對當前網(wǎng)絡(luò)安全的形勢,現(xiàn)對P保險公司網(wǎng)絡(luò)商城系統(tǒng)防火墻的管理作如下建議:①防火墻許可規(guī)則設(shè)置按照最少特權(quán)原則,保障數(shù)據(jù)交換過程中的安全。②徹底防御原則,在防火墻過濾規(guī)則配置中,要盡可能使用多個限制規(guī)則,讓防火墻的限制規(guī)則盡可能細化,保證不良信息難以進入系統(tǒng)請求行列。③最少信息原則,避免有關(guān)的信息暴露。在整個防御體系中,軟硬件防火墻的綜合運用與嚴格的規(guī)則配置,是網(wǎng)絡(luò)信息安全防御的關(guān)鍵手段。
(4)惡意并發(fā)訪問控制(DoS攻擊)。對于這個問題,P保險公司網(wǎng)絡(luò)商城系統(tǒng)需要設(shè)計一款信息訪問進程的過濾器,過濾器可以保障在指定時間內(nèi),拒絕多次訪問的不良請求,避免惡意并發(fā)對系統(tǒng)攻擊的實施。
5研究總結(jié)
在傳統(tǒng)保險營銷方式趨于飽和、競爭趨于穩(wěn)定的市場環(huán)境下,未來一個公司業(yè)務(wù)的發(fā)展,將很大程度上取決于網(wǎng)絡(luò)渠道的營銷情況。網(wǎng)絡(luò)商城運行過程中,網(wǎng)絡(luò)商城的安全與否是系統(tǒng)能否連續(xù)穩(wěn)定的運行關(guān)鍵。在網(wǎng)絡(luò)商城的信息安全防御中,正確配置系統(tǒng)軟硬件防火墻,杜絕外部不良信息或請求的入侵,強化內(nèi)部服務(wù)器的安全防護,最大限度杜絕黑客與病毒的不斷入侵。另外,為了建立較強的病毒入侵監(jiān)測防范體系,在網(wǎng)絡(luò)商城的入口處安裝特別設(shè)計的病毒防火墻,減少各類流行病毒對系統(tǒng)攻擊的可能性。同時在P網(wǎng)絡(luò)公司的運營過程中,應(yīng)該建立嚴格的網(wǎng)絡(luò)安全防御體系,規(guī)范內(nèi)部管理人員的操作流程,強化系統(tǒng)日志的分析,定期分析系統(tǒng)運行日志,根據(jù)日志中攻擊請求的問題,建立一個防毒防黑屏障,監(jiān)測病毒攻擊的動向,保證系統(tǒng)的健康穩(wěn)定運行。
參考文獻:
[1]周一波,王璟,朱朝勇,胡茂松.信息安全主動防御預警平臺的需求分析和規(guī)劃設(shè)計[J].網(wǎng)絡(luò)空間安全,2017,8(Z4):94-97.
[2]王雪東.“互聯(lián)網(wǎng)+”時代信息安全主動防御系統(tǒng)研究與設(shè)計[J].網(wǎng)絡(luò)空間安全,2016,7(6):5-6+13.
[3]王雨.信息安全防御系統(tǒng)中數(shù)據(jù)防護技術(shù)實現(xiàn)[J].現(xiàn)代工業(yè)經(jīng)濟和信息化,2015,5(18):72-73+79.
[4]熊強,仲偉俊,李治文.網(wǎng)絡(luò)信息系統(tǒng)中信息安全防御資源分配策略分析——基于約束理論視角[J].運籌與管理,2014,23(3):163-169.
[5]袁慧.面向用戶準入控制的信息安全統(tǒng)一威脅防御管理[J].電力信息與通信技術(shù),2013,11(9):102-105.
[6]徐世亮.一種基于防注入技術(shù)的個人信息安全防御設(shè)計[J].電腦知識與技術(shù)(學術(shù)交流),2007(23):1240-1243.
[7]沈昌祥.基于可信平臺構(gòu)筑積極防御的信息安全保障框架[J].信息安全與通信保密,2004(9):17-19.
作者:胡罡 單位:中國太平洋保險(集團)股份有限公司