保险行业的网络安全问题
网络安全问题在保险行业主要表现在以下两方面。
如何确保电子保单信息真实性
近几年来,各大保险公司逐步停止各类手工保单的销售,容易遗失、涂改、仿制的手工保单将全面退出保险市场,代之以“电脑出单”。 中国保监会已要求所有保险公司实现内部电脑联网、实时管理和集中管理,完成电脑出单,以减少人为错误,确保保险行业中最重要的根本因素——保单的真实可靠。
电子保单要求保险公司内部实行电脑联网,各地的员工通过对保险公司数据库的访问,获得保单的数据。所以为了保障保单的真实有效性,员工对核心数据库的访问权限的管理,以及对具有访问权限的员工身份认证变得至关重要。
大型保险公司各分支机构的信息化管理
目前,国内有一些大型的保险公司,它们的特点是:遍布全国很多省市自治区,拥有几千个营业网点,拥有几万乃至几十万的员工。专业、高效的员工队伍在核保、理算、查勘、定损、理赔等各个保险环节中,都需要用到网络和专业的信息化产品,才能确保内部的有效沟通。OA、CRM、ERP等信息化管理软件早已在保险行业获得广泛应用,但是,因为各地分支机构需要对数据进行远程访问,势必存在一个在公网中存取数据的安全问题。
解决方法:VPN+动态密码
针对以上两个问题,综合考虑投资成本、安全性等多种因素,保险公司可以考虑采用VPN(虚拟专用网),在Internet 基础上构建各分公司、营业点、代理商与总部的网络互联平台,是性价比较好的一种方案。
根据大多数保险企业的纵向、垂直的经营模式,采用以公司总部为中心的星形网络符合公司的经营模式。公司总部为一级中心,各分公司为二级中心、与总部网络互联,各代理商、移动人员则接入各自所属的分公司网络。
在这些大型企业中,外地分支机构、外地出差人员、公司员工通过笔记本、家用计算机等访问公司资源的时候,考虑到那些敏感公司资源的安全性,VPN解决方案被提出来。然而VPN访问页面中,用户身份的认证是主要依赖静态密码的,目前传统的“用户名+静态密码”方式已不能够满足当前信息安全形势的需要,如密码容易被人猜测 、输入密码被人窥视 、密码工具破解窥测 、黑客木马程序攻击、钓鱼网站欺骗等安全威胁越来越多。静态密码的不安全性经常使公司资源处于危险之中,在这种情况下,我们在通过VPN访问公司的登录页面上部署基于动态令牌的双因素身份认证服务。
动态密码双因素认证方案
动态密码双因素认证方案主要由三个部分组成:动态令牌产品、代理软件以及认证服务器。
动态令牌是产生动态密码的电子设备或软件,它可以每分钟产生一个一次性认证有效的密码,每一令牌有一个惟一的种子,根据行业标准 AES 运算法则每 60 秒时间就产生一次新的密码。因为产生的密码是不可预测、动态的,使黑客很难在任一时间内测出正确的密码。这项技术把身份认证设备和服务器相联系匹配,从而保证了其高度的安全性。只要你考虑到重要的信息资源暴露的风险性,你就会认为这种保护是必不可少的。
到目前为止,动态令牌的形式已经得到了很大的丰富。不仅有硬件形式的令牌,更有手机令牌、短信令牌、矩阵卡、刮刮卡等多种形态,方便针对各个行业、各类消费者的使用需求。
认证服务器在企业认证方面可以保证登录的用户确实为授权的个体,大大降低攻击和非法访问的风险。在访问控制上,认证服务器可以自定义访问权限,保护对专用网络系统、文件及应用的访问。此外,利用认证服务器还可以规避攻击。识别非法用户接入网络,并有效防范。在用户责任方面,认证服务器可以保证访问历史日志,保证用户不会被任何非法访问事件所牵连。
而实现强大的认证功能的中间代理软件的功能类似于保安人员,用来实施系统建立的安全策略。它是一种设备专用代理软件,已经内置在大多数业内主流的网络设备和浏览器以及Web服务器软件系统中,允许安全管理员通过鼠标点击,而不是编写代码,为用户和保护的资源选择和应用相应的设置。
目前,国内推行动态密码方案的公司已经越来越多,上海动联信息技术有限公司就是进入该行业较早的一家,它利用RSA全球先进的产品和技术,向广大消费者市场推广动码令身份认证服务。国内的一些大型机构,如:兴业银行、上海电信、浙江网通等已采纳了动态密码认证的服务。在未来的发展中,动联刚建成的动码令中心,可以为客户提供一个专业的第三方认证平台,客户只要加盟动码令中心,就可以享受专业的动态密码服务,而不需拥有专业的技术团队,不需投入大量的资金成本。
综上所述,在保险行业,很多保险企业存在着上面提及的网络安全问题,VPN和动态密码的结合将能有效解决这种网络安全问题,令保险行业发展越来越好。