再保险论文：再保险业务管理平台软件安全设计与评价.docVIP

再保险论文： 再保险业务管理平台软件安全设计与评价 摘要：目前对很多行业来说，IT技术正在支持着关键的业务应用，关键业务应用对安全有较高要求，安全隐患或事故往往对业务造成巨大损失。面对这些问题，需要有一系列工具和方法，能够对IT系统开发和运行安全进行监控和管理。本文以实际再保险业务管理平台中遇到的开发安全管理进行了分析与评价。 关键词：系统；安全；分析 1.背景 目前对很多行业来说，IT技术正在支持着关键的业务应用，如制造业ERP系统，电信BOSSA系统。银行及保险的核心业务系统、卡业务系统以及基于电子商务的业务等。 关键业务应用对安全有较高要求，安全隐患或事故往往对业务造成巨大损失。面对这些问题，需要有一系列工具和方法，能够对IT系统开发和运行进行监控和管理。从而提供系统安全性，改善服务品质，减少和杜绝安全隐患和事故发生，减少维护运营的整体成本，提高系统的可靠性、安全性和稳定性，提高最终客户满意度。 现以某大型保险公司再保险业务系统项目进行分析。该项目涵盖再保险全业务流程处理，同时与直接业务系统、财务系统进行了无缝连接，该系统还结算和查询统计子系统，是一个“业务－财务－再保”一体化的平台，该系统应用于总公司和36家分公司的大型业务处理系统。信息安全无小事，金融保险业是中国经济发展的命脉，是国家级重要信息系统。 信息化已经深入到保险业务的每一个环节，如何有效地识别和控制各类信息技术风险成为摆在我们面前的重要课题，本文将就该再保险系统实施安全策略进行分析。 2.保险业务系统的安全要求 随着计算机技术的不断发展，计算机技术应用越来越广泛，安全问题也日益突出。保险信息系统的安全依赖于网络层、主机层、应用各层的层次安全，任何一个环节出险问题都会影响到保险信息系统的安全。 2.1计算机系统的安全要求 随着计算机技术的不断发展，计算机技术应用越来越广泛，安全问题也日益突出。安全问题可分为以下几类： 2.1.1网络安全问题网络层安全问题 是指对网络的非法访问，如来自另一个网络的攻击、来自网络内部的非法访问、非法截取网络上传输的信息等等。网络入侵者采用窃听等手段搜集信息，然后利用IP欺骗、拒决、篡改、堆栈溢出等手段进行攻击。网络入侵者正是利用了网络存在的各种安全漏洞来达到攻击和破坏的目的。 2.1.2主机层安全问题 主机层安全问题也即操作系统安全问题，是指对主机的非法入侵。由于操作系统非常复杂，因此难免会存在安全漏洞。此外，系统管理员如果对系统参数配置不当也会存在安全隐患。 2.1.3应用层安全问题 应用层安全问题是指数据库的安全以及应用系统的安全遭到非法访问或破坏。如窃取数据库或应用系统的用户信息和口令，非法访问系统；或者用户越权使用信息；信息被泄露； 2.2保险信息系统的安全问题 保险信息系统的安全依赖于网络层、主机层、应用各层的层次安全，任何一个环节出现问题都会影响到保险信息系统的安全。保险信息系统安全问题，主要涉及应用层的安全问题。 2.2.1用户名和密码 用户名和密码是保险信息系统安全的第一道防线，是进入系统的身份认证。一些系统忽视用户口令管理，使用一些容易被猜到的密码；或者系统设置有规则简单的初始用户，而很多用户图省事又不修改初始密码，这样用户名和密码很容易被他人获得。 2.2.2用户权限用户权限 管理对于保证保险系统的安全也是至关重要的。不同的用户拥有与其身份相适应的权限，如负责不同险种的部门应只能修改与查看各自管辖险种的信息和少量汇总的总体信息，不同的机构也只能修改与查看属于本机构的信息。同时应防止越权使用信息。 2.2.3数据完整性 数据完整性对于保证保险信息系统安全也是很重要的。数据完整性是指系统中任一处的数据应正确并不与其他相应数据矛盾。同时，保证信息再传输、存储和交换过程中不被非法修改。 2.2.4交易严肃性 保证已经发生的交易不能被否认。如在保险电子商务系统中，双方事后对于已经发生的交易不能抵赖，从而确保交易的严肃性。 2.2.5防止设备故障和病毒危害 要防止因机器、操作系统、计算机故障、计算机病毒甚至自然灾害对保险信息系统或其数据造成破坏和无可挽回的损失。 3.再保险业务系统安全性分析 3.1再保险业务系统架构 再保险业务处理人员通过客户机上得浏览器进行系统访问。系统采用三层Browser/Server体系结构：UI层提供客户端浏览器访问需要展现的JSP界面信息；UI层通过调用后台应用逻辑层提供业务逻辑操作来进行界面数据和逻辑操作数据的交互；应用逻辑层，在进行业务操作涉及到持久化数据访问时，调用数据服务器层提供的服务进行数据访问操作。 在系统的各层内部采用组件化开发实现，组件之间相互协作来实现客户端、UI层、业务逻辑层和数据资源层之间的协调一致的工作。 3.2计算机系统安全分析及措施 3.2.1网络层安全分析及措