保險公司網絡商城信息安全管理探討范文

本站小編為你精心準備了保險公司網絡商城信息安全管理探討參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

摘要：在網絡信息技術逐步成熟和普及的環境下，網絡商城成為各大保險公司開展網絡業務的重要渠道，對保險公司的生存以及發展，已經產生不言而喻的意義和作用。但保險公司網絡商城如何在滿足客戶便捷性要求的同時，規劃其嚴格的信息安全策略顯得至關重要。為此，本文以P保險公司網絡商城的信息安全規劃為研究對象，通過討論分析P保險公司網絡商城在運行過程中存在的諸多信息安全問題，從信息安全的角度，提出了P保險公司網絡商城的網絡安全防御策略，為保障P保險公司網絡商城的安全、穩定運行提供技術支撐。

關鍵詞：網絡安全；網絡規劃；安全防御

1P保險公司網絡商城平臺整體構架

隨著電子科技的不斷突破以及網絡用戶的屢創新高，網絡帶動了世界各國網絡商城的盛行，亦帶動商業的應用并創造了無限商機及發展空間，在此背景下，網絡商城的構架已經成為保險業營銷發展的必然趨勢。為此，2012年8月，P保險公司網絡商城平臺正式上線，標志著這家保險集團實施的“以客戶需求為導向”的戰略轉型的重要舉措落地實施。根據P保險公司網絡商城發展規劃的基本要求，P保險公司網絡商城的在整體設計過程中，劃分了多個功能模塊，如圖1所示。根據業務規劃，P保險公司網絡商城系統包括基礎運行平臺和外部接口平臺，其中基礎運行平臺主要保障網絡商城各項業務信息流的傳送與轉換，幫助客戶實現網絡訂單的實現，外部接口主要幫助完成支付與服務的拓展。客戶在P保險公司網絡商城下單訂購保險后，通過系列的認證，獲取保單，并通過多種途徑，與網絡服務人員進行溝通，獲取保單詳細服務信息。P保險公司則可以借助此平臺，完成網絡營銷與推廣，實現傳統營銷渠道向網絡營銷渠道的拓展。借助網絡商城的啟動，P保險公司完成了傳統營銷、電話營銷、網絡營銷、移動終端銷售等全方位的全新銷售新體系。截止2016年12月，通過持續對互聯網營銷模式的探索和創新，P保險公司網絡商城實現了業務的大幅提升，提高了P保險公司的業務覆蓋范圍，實現了產品的創新和經營模式的創新。在網絡業務的驅動下，P保險公司近3年的整體市場占有率快速提升，經營業績取得了驕人的成就，網絡商城逐步成為P保險公司主要營銷渠道之一。但是，在新的競爭形勢下，在快速發展的網絡商城的業務中，保險公司也面臨著網絡信息安全的威脅與挑戰，盡管采取了多方面的安全防御措施，P保險公司網絡商城在網絡安全管理方面依然存在多方面的不足，并構成了較為嚴重的安全風險。如何實現P保險公司網絡商城系統的安全、穩定運行，成為P保險公司亟需解決的關鍵問題之一。為此，作為P保險公司網絡商城的管理者之一，筆者將以P保險公司網絡商城為研究對象，在對國內保險業網絡安全問題綜合分析的基礎上，討論分析P保險公司網絡商城的運作網絡安全的問題，提出P保險公司網絡商城網絡安全管理的應對策略，為實現P保險公司網絡商城的安全、穩定運行提供參考。

2我國網絡商城信息安全管理的現狀

在網絡技術逐步成熟的今天，作為互聯網的主要應用，網絡商城帶給人類前所未有的購物體驗，推動商業從傳統模式邁進了新的階段，極大的方便了客戶購物，也幫助商家拓展了營銷渠道。如今，網絡商城已成為國內商業體系中重要的購物渠道。但在其快速發展的同時，網絡商城的信息風險愈發突出。近年來，在P保險公司網絡商城系統網絡訂單快速增長的同時，與之俱來的網絡安全問題卻日趨嚴峻，直接威脅到P保險公司網絡商城業務的正常開展，為此，如何保障P保險公司網絡商城的信息安全，成為信息安全專家討論的主要議題。在此背景下，制定網絡商城信息安全的基本規范，設置嚴格的政策監管體系，塑造網絡商城良好的安全環境，成為國內外研究的主要方向，也是推動是整個網絡商城產業健康發展的前提。在開放的網絡環境中，完成一系列的訂單處理交易，如何保證整體業務流程中的數據安全，已成為我國網絡商城健康發展的當務之急。目前，由于國內網絡商城沒有統一的信息安全標準，導致在實踐中產生的問題和引發的信息安全威脅屢屢可見，亟需制定系統的網絡安全解決方案，保障網絡商城的安全運營。

3P保險公司網絡商城安全問題剖析

3.1網絡商城信息安全問題的表現

（1）P保險公司網絡商城信息安全問題的宏觀表現。在保險公司網絡業務快速提升的背后，網絡安全問題成為P保險公司實施網絡營銷的最大隱患。如何保證整個業務流程的信息安全，避免信息泄露或被篡改，成為網絡商城技術設計的核心工作。但在實際運用中，部分網絡商城由于過于注重客戶的體驗，設計過程中，只偏向模塊操作的便捷性，在模塊設計上在一定程度上忽略了安全性，導致網絡商城平臺的網絡風險較為突出。另一方面，移動客戶端的發展導致安全性能面臨更大的挑戰，很多用戶將大量重要信息存儲在手機上，導致一旦手機丟失數據或者被他人惡意盜用，將直接導致較為嚴重的后果與較大的損失。為此，如何保障移動通訊的安全，防止手機卡被惡意克隆，或個人身份被假冒，將成為網絡商城必須面對的核心問題。

（2）技術分析層面的表現。由于網絡技術的日新月異，信息安全隱患在技術層面普遍存在。對于保險公司網絡商城，主要受攻擊手段有：借助黑客手段竊取商業機密、實施惡意方式篡改交易信息、采取非常手段非法刪除交易信息、采用內部攻擊方式偽造交易信息、不間斷實施病毒破壞、黑客入侵等信息安全問題。都有可能為給有關單位帶來毀滅性的打擊或災難性的損害，如果從技術角度，完成信息的安全防護，成為網絡商城運作的重點內容。

3.2網絡商城信息安全問題的來源

（1）硬件層面的安全問題。在網絡商城的運作過程中，基礎性網絡硬件的風險是最大的，如果相關硬件在配置過程中，忽視了安全防護，將直接導致毀滅性的災難。例如硬件防火墻設置不當，核心交換機配置不當，都可能給網絡攻擊者可乘之機。

（2）軟件層面的安全問題。在網絡商城系統中，軟件層面的安全問題較為普遍且突出，如何優化軟件的編碼，保障程序運行的安全，避免出現程序漏洞，成為解決軟件層面信息安全的主要工作。

（3）應用層面的安全問題。在硬件和軟件相關作用下，網絡商城應用層面的問題更加嚴峻，在系統應用過程中，操作人員的不規范操作，是導致信息安全問題的主要來源。同時，網絡攻擊、商業欺詐等黑客行為網絡商城另外一個重要安全隱患。

（4）環境層面主要是指法律環境。在網絡商城運作過程中，信息安全問題更為重要的方面在于管理，在于人。為此，制定科學嚴峻的法律規范，對各類信息攻擊從法律角度加以制約，顯得非常必要。為此，國內《網絡安全法》的實施，在一定程度上為懲治網絡信息的不法侵害，提供了制度保障。

4P保險公司網商城系統安全防御方案

在具有應用過程中，為了保障P保險公司網絡商城系統的不被黑客或病毒攻擊，必須制定一套較為可行的數據保護安全方案，制定一套較為詳細的操作規范，保障系統數據服務器的規范化管理。調查統計表明，國內百分之七十的信息安全問題是由于不按照規范實施防御所致，所以，實施規范化管理，保障P保險公司網絡商城各類服務器與軟硬件的程序化運作，對其信息安全的防護起到關鍵性作用。為此，以下從技術層面，給出P保險公司網絡商城信息安全技術方案，以應對來自內外的安全威脅。

4.1P保險公司網絡商城的網絡安全防御系統的構造

（1）P保險公司網絡商城的網絡營銷支付子系統的構造。借助該模塊能夠實現實時的在線網上支付。其中重要的組成部分：支付網關的作用是將互聯網和金融網絡安全地連接起來，位于互聯網和金融機構內部網之間的支付網關系統連接起來，支付安全是P保險公司網絡商城運作過程中信息安全威脅最大的模塊，如何保障支付流程的信息安全，成為網絡商城信息攻擊防御的重點。

（2）后臺管理子系統的安全防御的構造。借助該模塊，在完成P保險公司網絡商城的業務的流轉，完成訂單數據的儲存和管理。后臺管理子系統賬號安全，成為其信息安全關注的重點，在成千上百的后臺管理中，如何設定合適的級別與權限，設置科學的賬號分類，進行合適的授權，成為后臺管理子系統的重點，同時后臺操作的安全風險，也是需要重點監管。

（3）安全認證子系統的構造。安全認證是網絡商城系統的核心模塊，直接決定了系統的安全實施。在具體實施中，設置嚴格的安全認證體系，對重要數據進行加密保存，對各類用戶設置嚴格的訪問控制權限，對數據庫進行嚴格的熱機災備，都是提升安全認證系統的工作內容。

4.2網絡安全防護的整體技術構架

在技術構架方面，P保險公司網絡商城系統在實現過程中，采用了J2EE完成系統構建，選擇Java2作為信息安全的防范體系。在具體實施中，系統模塊部署結構如下：（1）首先，借助J2EE技術完成系統設計中JSP、Servlet等語言的安全分析，保障系統程序的規范、穩定；（2）其次，借助多種加密技術，完成系統數據庫的保密控制；（3）接著，綜合運用多層級系統防火墻管理，實現硬件與軟件的雙重防護；（4）最后，動態監測訪問源，強化惡意并發訪問的控制（DoS攻擊），完成系統安全風險的各種防御手段的設計。

4.3網絡安全防護的具體的技術措施

（1）充分運作J2EE對JSP、Servlet的安全控制措施。根據J2EE的技術安全規范，構建后臺管理與客戶登陸驗證的數據過濾器（Filter），同時制定詳細的訪問控制權限，保障系統運行的制度安全。

（2）強化系統數據庫被攻擊的風險，制定嚴格的數據加密規則，強化系統熱機災模塊的規范，完成對數據的加密與安全控制。在具體實施中，數據庫的安全性較大程度上取決于數據庫管理系統的安全配置。本系統在數據庫系統上，選擇Oracle數據庫系統，并嚴格按照Oracle數據庫系統的安全規范進行配置，從而保障了數據的安全與穩定。

（3）綜合運用多層級系統防火墻管理，實現硬件與軟件的雙重防護。防火墻是保障P公司網絡商城系統安全的核心設備，針對當前網絡安全的形勢，現對P保險公司網絡商城系統防火墻的管理作如下建議：①防火墻許可規則設置按照最少特權原則，保障數據交換過程中的安全。②徹底防御原則，在防火墻過濾規則配置中，要盡可能使用多個限制規則，讓防火墻的限制規則盡可能細化，保證不良信息難以進入系統請求行列。③最少信息原則，避免有關的信息暴露。在整個防御體系中，軟硬件防火墻的綜合運用與嚴格的規則配置，是網絡信息安全防御的關鍵手段。

（4）惡意并發訪問控制（DoS攻擊）。對于這個問題，P保險公司網絡商城系統需要設計一款信息訪問進程的過濾器，過濾器可以保障在指定時間內，拒絕多次訪問的不良請求，避免惡意并發對系統攻擊的實施。

5研究總結

在傳統保險營銷方式趨于飽和、競爭趨于穩定的市場環境下，未來一個公司業務的發展，將很大程度上取決于網絡渠道的營銷情況。網絡商城運行過程中，網絡商城的安全與否是系統能否連續穩定的運行關鍵。在網絡商城的信息安全防御中，正確配置系統軟硬件防火墻，杜絕外部不良信息或請求的入侵，強化內部服務器的安全防護，最大限度杜絕黑客與病毒的不斷入侵。另外，為了建立較強的病毒入侵監測防范體系，在網絡商城的入口處安裝特別設計的病毒防火墻，減少各類流行病毒對系統攻擊的可能性。同時在P網絡公司的運營過程中，應該建立嚴格的網絡安全防御體系，規范內部管理人員的操作流程，強化系統日志的分析，定期分析系統運行日志，根據日志中攻擊請求的問題，建立一個防毒防黑屏障，監測病毒攻擊的動向，保證系統的健康穩定運行。

參考文獻：

[1]周一波，王璟，朱朝勇，胡茂松.信息安全主動防御預警平臺的需求分析和規劃設計[J].網絡空間安全，2017，8（Z4）：94－97.

[2]王雪東.“互聯網+”時代信息安全主動防御系統研究與設計[J].網絡空間安全，2016，7（6）：5－6＋13.

[3]王雨.信息安全防御系統中數據防護技術實現[J].現代工業經濟和信息化，2015，5（18）：72－73＋79.

[4]熊強，仲偉俊，李治文.網絡信息系統中信息安全防御資源分配策略分析——基于約束理論視角[J].運籌與管理，2014，23（3）：163－169.

[5]袁慧.面向用戶準入控制的信息安全統一威脅防御管理[J].電力信息與通信技術，2013，11（9）：102－105.

[6]徐世亮.一種基于防注入技術的個人信息安全防御設計[J].電腦知識與技術（學術交流），2007（23）：1240－1243.

[7]沈昌祥.基于可信平臺構筑積極防御的信息安全保障框架[J].信息安全與通信保密，2004（9）：17－19.

作者：胡罡 單位：中國太平洋保險（集團）股份有限公司