保险公司网络商城信息安全管理探讨范文

摘要：在网络信息技术逐步成熟和普及的环境下，网络商城成为各大保险公司开展网络业务的重要渠道，对保险公司的生存以及发展，已经产生不言而喻的意义和作用。但保险公司网络商城如何在满足客户便捷性要求的同时，规划其严格的信息安全策略显得至关重要。为此，本文以P保险公司网络商城的信息安全规划为研究对象，通过讨论分析P保险公司网络商城在运行过程中存在的诸多信息安全问题，从信息安全的角度，提出了P保险公司网络商城的网络安全防御策略，为保障P保险公司网络商城的安全、稳定运行提供技术支撑。

关键词：网络安全；网络规划；安全防御

1P保险公司网络商城平台整体构架

随着电子科技的不断突破以及网络用户的屡创新高，网络带动了世界各国网络商城的盛行，亦带动商业的应用并创造了无限商机及发展空间，在此背景下，网络商城的构架已经成为保险业营销发展的必然趋势。为此，2012年8月，P保险公司网络商城平台正式上线，标志着这家保险集团实施的“以客户需求为导向”的战略转型的重要举措落地实施。根据P保险公司网络商城发展规划的基本要求，P保险公司网络商城的在整体设计过程中，划分了多个功能模块，如图1所示。根据业务规划，P保险公司网络商城系统包括基础运行平台和外部接口平台，其中基础运行平台主要保障网络商城各项业务信息流的传送与转换，帮助客户实现网络订单的实现，外部接口主要帮助完成支付与服务的拓展。客户在P保险公司网络商城下单订购保险后，通过系列的认证，获取保单，并通过多种途径，与网络服务人员进行沟通，获取保单详细服务信息。P保险公司则可以借助此平台，完成网络营销与推广，实现传统营销渠道向网络营销渠道的拓展。借助网络商城的启动，P保险公司完成了传统营销、电话营销、网络营销、移动终端销售等全方位的全新销售新体系。截止2016年12月，通过持续对互联网营销模式的探索和创新，P保险公司网络商城实现了业务的大幅提升，提高了P保险公司的业务覆盖范围，实现了产品的创新和经营模式的创新。在网络业务的驱动下，P保险公司近3年的整体市场占有率快速提升，经营业绩取得了骄人的成就，网络商城逐步成为P保险公司主要营销渠道之一。但是，在新的竞争形势下，在快速发展的网络商城的业务中，保险公司也面临着网络信息安全的威胁与挑战，尽管采取了多方面的安全防御措施，P保险公司网络商城在网络安全管理方面依然存在多方面的不足，并构成了较为严重的安全风险。如何实现P保险公司网络商城系统的安全、稳定运行，成为P保险公司亟需解决的关键问题之一。为此，作为P保险公司网络商城的管理者之一，笔者将以P保险公司网络商城为研究对象，在对国内保险业网络安全问题综合分析的基础上，讨论分析P保险公司网络商城的运作网络安全的问题，提出P保险公司网络商城网络安全管理的应对策略，为实现P保险公司网络商城的安全、稳定运行提供参考。

2我国网络商城信息安全管理的现状

在网络技术逐步成熟的今天，作为互联网的主要应用，网络商城带给人类前所未有的购物体验，推动商业从传统模式迈进了新的阶段，极大的方便了客户购物，也帮助商家拓展了营销渠道。如今，网络商城已成为国内商业体系中重要的购物渠道。但在其快速发展的同时，网络商城的信息风险愈发突出。近年来，在P保险公司网络商城系统网络订单快速增长的同时，与之俱来的网络安全问题却日趋严峻，直接威胁到P保险公司网络商城业务的正常开展，为此，如何保障P保险公司网络商城的信息安全，成为信息安全专家讨论的主要议题。在此背景下，制定网络商城信息安全的基本规范，设置严格的政策监管体系，塑造网络商城良好的安全环境，成为国内外研究的主要方向，也是推动是整个网络商城产业健康发展的前提。在开放的网络环境中，完成一系列的订单处理交易，如何保证整体业务流程中的数据安全，已成为我国网络商城健康发展的当务之急。目前，由于国内网络商城没有统一的信息安全标准，导致在实践中产生的问题和引发的信息安全威胁屡屡可见，亟需制定系统的网络安全解决方案，保障网络商城的安全运营。

3P保险公司网络商城安全问题剖析

3.1网络商城信息安全问题的表现

（1）P保险公司网络商城信息安全问题的宏观表现。在保险公司网络业务快速提升的背后，网络安全问题成为P保险公司实施网络营销的最大隐患。如何保证整个业务流程的信息安全，避免信息泄露或被篡改，成为网络商城技术设计的核心工作。但在实际运用中，部分网络商城由于过于注重客户的体验，设计过程中，只偏向模块操作的便捷性，在模块设计上在一定程度上忽略了安全性，导致网络商城平台的网络风险较为突出。另一方面，移动客户端的发展导致安全性能面临更大的挑战，很多用户将大量重要信息存储在手机上，导致一旦手机丢失数据或者被他人恶意盗用，将直接导致较为严重的后果与较大的损失。为此，如何保障移动通讯的安全，防止手机卡被恶意克隆，或个人身份被假冒，将成为网络商城必须面对的核心问题。

（2）技术分析层面的表现。由于网络技术的日新月异，信息安全隐患在技术层面普遍存在。对于保险公司网络商城，主要受攻击手段有：借助黑客手段窃取商业机密、实施恶意方式篡改交易信息、采取非常手段非法删除交易信息、采用内部攻击方式伪造交易信息、不间断实施病毒破坏、黑客入侵等信息安全问题。都有可能为给有关单位带来毁灭性的打击或灾难性的损害，如果从技术角度，完成信息的安全防护，成为网络商城运作的重点内容。

3.2网络商城信息安全问题的来源

（1）硬件层面的安全问题。在网络商城的运作过程中，基础性网络硬件的风险是最大的，如果相关硬件在配置过程中，忽视了安全防护，将直接导致毁灭性的灾难。例如硬件防火墙设置不当，核心交换机配置不当，都可能给网络攻击者可乘之机。

（2）软件层面的安全问题。在网络商城系统中，软件层面的安全问题较为普遍且突出，如何优化软件的编码，保障程序运行的安全，避免出现程序漏洞，成为解决软件层面信息安全的主要工作。

（3）应用层面的安全问题。在硬件和软件相关作用下，网络商城应用层面的问题更加严峻，在系统应用过程中，操作人员的不规范操作，是导致信息安全问题的主要来源。同时，网络攻击、商业欺诈等黑客行为网络商城另外一个重要安全隐患。

（4）环境层面主要是指法律环境。在网络商城运作过程中，信息安全问题更为重要的方面在于管理，在于人。为此，制定科学严峻的法律规范，对各类信息攻击从法律角度加以制约，显得非常必要。为此，国内《网络安全法》的实施，在一定程度上为惩治网络信息的不法侵害，提供了制度保障。

4P保险公司网商城系统安全防御方案

在具有应用过程中，为了保障P保险公司网络商城系统的不被黑客或病毒攻击，必须制定一套较为可行的数据保护安全方案，制定一套较为详细的操作规范，保障系统数据服务器的规范化管理。调查统计表明，国内百分之七十的信息安全问题是由于不按照规范实施防御所致，所以，实施规范化管理，保障P保险公司网络商城各类服务器与软硬件的程序化运作，对其信息安全的防护起到关键性作用。为此，以下从技术层面，给出P保险公司网络商城信息安全技术方案，以应对来自内外的安全威胁。

4.1P保险公司网络商城的网络安全防御系统的构造

（1）P保险公司网络商城的网络营销支付子系统的构造。借助该模块能够实现实时的在线网上支付。其中重要的组成部分：支付网关的作用是将互联网和金融网络安全地连接起来，位于互联网和金融机构内部网之间的支付网关系统连接起来，支付安全是P保险公司网络商城运作过程中信息安全威胁最大的模块，如何保障支付流程的信息安全，成为网络商城信息攻击防御的重点。

（2）后台管理子系统的安全防御的构造。借助该模块，在完成P保险公司网络商城的业务的流转，完成订单数据的储存和管理。后台管理子系统账号安全，成为其信息安全关注的重点，在成千上百的后台管理中，如何设定合适的级别与权限，设置科学的账号分类，进行合适的授权，成为后台管理子系统的重点，同时后台操作的安全风险，也是需要重点监管。

（3）安全认证子系统的构造。安全认证是网络商城系统的核心模块，直接决定了系统的安全实施。在具体实施中，设置严格的安全认证体系，对重要数据进行加密保存，对各类用户设置严格的访问控制权限，对数据库进行严格的热机灾备，都是提升安全认证系统的工作内容。

4.2网络安全防护的整体技术构架

在技术构架方面，P保险公司网络商城系统在实现过程中，采用了J2EE完成系统构建，选择Java2作为信息安全的防范体系。在具体实施中，系统模块部署结构如下：（1）首先，借助J2EE技术完成系统设计中JSP、Servlet等语言的安全分析，保障系统程序的规范、稳定；（2）其次，借助多种加密技术，完成系统数据库的保密控制；（3）接着，综合运用多层级系统防火墙管理，实现硬件与软件的双重防护；（4）最后，动态监测访问源，强化恶意并发访问的控制（DoS攻击），完成系统安全风险的各种防御手段的设计。

4.3网络安全防护的具体的技术措施

（1）充分运作J2EE对JSP、Servlet的安全控制措施。根据J2EE的技术安全规范，构建后台管理与客户登陆验证的数据过滤器（Filter），同时制定详细的访问控制权限，保障系统运行的制度安全。

（2）强化系统数据库被攻击的风险，制定严格的数据加密规则，强化系统热机灾模块的规范，完成对数据的加密与安全控制。在具体实施中，数据库的安全性较大程度上取决于数据库管理系统的安全配置。本系统在数据库系统上，选择Oracle数据库系统，并严格按照Oracle数据库系统的安全规范进行配置，从而保障了数据的安全与稳定。

（3）综合运用多层级系统防火墙管理，实现硬件与软件的双重防护。防火墙是保障P公司网络商城系统安全的核心设备，针对当前网络安全的形势，现对P保险公司网络商城系统防火墙的管理作如下建议：①防火墙许可规则设置按照最少特权原则，保障数据交换过程中的安全。②彻底防御原则，在防火墙过滤规则配置中，要尽可能使用多个限制规则，让防火墙的限制规则尽可能细化，保证不良信息难以进入系统请求行列。③最少信息原则，避免有关的信息暴露。在整个防御体系中，软硬件防火墙的综合运用与严格的规则配置，是网络信息安全防御的关键手段。

（4）恶意并发访问控制（DoS攻击）。对于这个问题，P保险公司网络商城系统需要设计一款信息访问进程的过滤器，过滤器可以保障在指定时间内，拒绝多次访问的不良请求，避免恶意并发对系统攻击的实施。

5研究总结

在传统保险营销方式趋于饱和、竞争趋于稳定的市场环境下，未来一个公司业务的发展，将很大程度上取决于网络渠道的营销情况。网络商城运行过程中，网络商城的安全与否是系统能否连续稳定的运行关键。在网络商城的信息安全防御中，正确配置系统软硬件防火墙，杜绝外部不良信息或请求的入侵，强化内部服务器的安全防护，最大限度杜绝黑客与病毒的不断入侵。另外，为了建立较强的病毒入侵监测防范体系，在网络商城的入口处安装特别设计的病毒防火墙，减少各类流行病毒对系统攻击的可能性。同时在P网络公司的运营过程中，应该建立严格的网络安全防御体系，规范内部管理人员的操作流程，强化系统日志的分析，定期分析系统运行日志，根据日志中攻击请求的问题，建立一个防毒防黑屏障，监测病毒攻击的动向，保证系统的健康稳定运行。

参考文献：

[1]周一波，王璟，朱朝勇，胡茂松.信息安全主动防御预警平台的需求分析和规划设计[J].网络空间安全，2017，8（Z4）：94－97.

[2]王雪东.“互联网+”时代信息安全主动防御系统研究与设计[J].网络空间安全，2016，7（6）：5－6＋13.

[3]王雨.信息安全防御系统中数据防护技术实现[J].现代工业经济和信息化，2015，5（18）：72－73＋79.

[4]熊强，仲伟俊，李治文.网络信息系统中信息安全防御资源分配策略分析——基于约束理论视角[J].运筹与管理，2014，23（3）：163－169.

[5]袁慧.面向用户准入控制的信息安全统一威胁防御管理[J].电力信息与通信技术，2013，11（9）：102－105.

[6]徐世亮.一种基于防注入技术的个人信息安全防御设计[J].电脑知识与技术（学术交流），2007（23）：1240－1243.

[7]沈昌祥.基于可信平台构筑积极防御的信息安全保障框架[J].信息安全与通信保密，2004（9）：17－19.

作者：胡罡 单位：中国太平洋保险（集团）股份有限公司