保险网销平台应用安全解决方案
一、用户背景
国内某财产保险股份有限公司是经 中国保监会 批准设立的一家全国性股份制财产保险公司,主要业务包括财产损失保险、责任保险、信用保险、保证保险、短期健康保险和意外伤害保险等,总部设在北京,全国设有27家省市分公司。
二、用户需求
保险公司网销业务的安全需求如下:
- 交易和操作抗抵赖需求
- 数据机密性需求
- 身份真实性需求
- 电子印章的需求
通过提供行为证据,防止主体否认其行为。证据内容包括行为主体、行为方式、行为内容和行为时间等。
通过对数据进行加密,防止数据的未授权泄露。比如用户的隐私数据,关键的交易数据等。
通过标识和鉴别主体的身份,防止身份的冒用和伪造。
在网销系统的保单上加盖保险公司的公章和其他业务章,作为和客户交易的达成的确认方式。
三、解决方案
根据对以上安全需求的分析,我们建议采用如下产品满足需求,解决方案概述如下:
-
采用数字证书认证服务器,确保人员、主机身份的真实性,主要分三条进行阐述:
- 1) 为服务器颁发全球服务器证书,防止钓鱼网站(如网银和证券的钓鱼网站事件层出不穷,是金融电子化后一种主流的诈骗手段。);
- 2) 保证内部关键操作和交易人员身份的真实性;
- 3) 购买保险的客户,不同于网银和网上证券用户,会频繁对个人账户进行操作,所以无法颁发个人证书。可以采取网银类似的客户端的安全控件等终端安全手段保护个人身份的真实性。
-
采用签名验签系统,满足关键交易和操作的抗抵赖要求。在服务器端和客户端部署,保证交易和操作的防抵赖、防篡改、责任的事后可以追溯。对于保险公司网销系统,以下两种情况需要进行电子签名:
- 1) 操作员、管理员、代理商中间商的操作人员的操作需要防抵赖;
- 2) 最终用户的关键操作,如操作主体信息、操作内容需要在服务器端进行合规的签名,作为纠纷时备查的依据。
- 采用加密机,满足数据加密存储的要求。具体建设方案如下:
- 采用电子印章服务器,对保单进行统一签章,作为和客户交易的达成的确认方式,并实现纸制保单二维码防伪等功能。
在服务器端部署,配合数据库服务器的加密机制,对关键的数据字段进行加密。被加密的数据即使被黑客窃取,由于是密文数据,黑客也无法读取内容。
四、网络拓扑
图 应用安全设备部署拓扑图
五、用户收益
网销系统的信息安全建设的收益如下:
- 满足合规性要求,避免了法律纠纷。在技术合规、设备资质合规的前提下,满足《电子签名法》、《信息系统安全等级保护基本要求》等系列法律法规的要求,面对潜在的纠纷,保险公司留存法律支持的电子证据。
- 数字证书认证服务器的使用,满足了身份真实性需求,即通过标识和鉴别主体的身份,防止身份的冒用和伪造的。
- 电子印章系统的采用,满足保单上合法加盖公章的需求,即在网销系统的保单上加盖保险公司的公章和其他业务章,作为和客户交易达成的确认方式。
- 签名验签服务器的采用,满足了交易和操作抗抵赖需求,即通过提供行为证据,防止主体否认其行为。证据内容包括行为主体、行为方式、行为内容和行为时间等。
- 加密机的使用,满足了关键数据加密存储需求,即通过对数据进行加密,防止数据的未授权泄露。比如用户的隐私数据,关键的交易数据等。