隨著加入WTO的臨近，金融行業(yè)加快了改革和重組的步伐，面對國內(nèi)外的競爭，各行加大了科技的資金投入,不斷完善網(wǎng)絡(luò)結(jié)構(gòu)，紛紛推出高技術(shù)含量的客戶服務(wù)項目，爭取客戶，吸收存款，多占市場份額。

因此，爭取客戶使各金融機構(gòu)展開了競爭的行動。競爭的加劇使各金融機構(gòu)各施所能，推出網(wǎng)上銀行、手機銀行、電子商務(wù)、網(wǎng)上證券交易等服務(wù)，隨著電子商務(wù)(E-Commerce)、銀行信息化建設(shè)(Intranet/Internet/Extranet)、虛擬專用網(wǎng)(VPN)等的興起，網(wǎng)絡(luò)改造的逐漸深入，各金融機構(gòu)內(nèi)部網(wǎng)絡(luò)已經(jīng)形成了一個基于TCP/IP,網(wǎng)絡(luò)設(shè)備多種多樣的一個復(fù)雜的全國性的復(fù)雜的廣域網(wǎng)，同時，金融機構(gòu)內(nèi)部的網(wǎng)絡(luò)系統(tǒng)安全也越來越直接的地涉及到生產(chǎn)領(lǐng)域，與經(jīng)濟效益和經(jīng)濟利益也越來越緊密的聯(lián)系在了一起，金融業(yè)務(wù)的特殊性和實時性以及保密性又要求不能有任何一點的失誤，如何設(shè)計一個好的，高效的，經(jīng)濟的，風(fēng)險最低的安全網(wǎng)絡(luò)系統(tǒng)已成為亟待解決的大問題。

 

1. 對內(nèi)部人員的充分信任,特別是對于內(nèi)部信息科技人員的充分信任，而且沒有可靠的管理手段往往是出現(xiàn)內(nèi)部高科技犯罪的開始。

2. 雖然制定了一系列信息安全規(guī)定，但是沒有一個科學(xué)的評估方法和管理，無法對系統(tǒng)的安全和漏洞進行量化的分析和科學(xué)的管理，結(jié)果往往是事與愿違。

3. 業(yè)務(wù)系統(tǒng)操作人員安全管理薄弱，口令系統(tǒng)混亂，安全性差。雖然有加密機，只要能物理的接觸到營業(yè)終端，就能很容易的實現(xiàn)到主機系統(tǒng)的越權(quán)訪問。

4. 加密機的黑箱設(shè)計，算法的不公開給黑客的遠程攻擊造成了困難，也使得算法和設(shè)計上的缺陷不易被監(jiān)察，而對有心人來說，也許解密和仿冒并不困難。

5. 分組協(xié)議里的閉合用戶群并不安全，信任關(guān)系可能被黑客利用。

6. 有的同城清算、聯(lián)行系統(tǒng)可能被攻破和滲透。

7. 應(yīng)用軟件的潛在設(shè)計缺陷。

8. 主機系統(tǒng)存在安全漏洞。

 

^┍ HLC華菱企管_┛在對金融行業(yè)進行信息安全咨詢過程中主要需要考慮包含貫穿始終結(jié)構(gòu)、網(wǎng)絡(luò)層的安全、操作系統(tǒng)平臺的安全、應(yīng)用平臺的安全，以及在此基礎(chǔ)之上的應(yīng)用數(shù)據(jù)的安全。總體來講，金融行業(yè)業(yè)務(wù)支撐網(wǎng)的安全需求包括：策略安全、安全評估、物理安全、系統(tǒng)安全，網(wǎng)絡(luò)安全，應(yīng)用和數(shù)據(jù)庫安全等。基于這些安全需求, 我們可為客戶提供以下解決方案：

1、通過ISO27001的信息安全管理體系建立，確保在管理制度有一套規(guī)范的制度作為金融業(yè)務(wù)運營的有效運行體系。如建立物理安全控制系統(tǒng)，包括門禁系統(tǒng)、防靜電防磁、防火防盜、多路供電。

2、通過ISO20000-1的IT服務(wù)管理體系建立，確保在管理制度有一套規(guī)范的制度作為金融業(yè)務(wù)運營的有效運行體系。如建立網(wǎng)絡(luò)漏洞掃描、網(wǎng)絡(luò)入侵偵測和響應(yīng)、路由器訪問控制列表(ACL)等.

3、通過對風(fēng)險評估和相關(guān)對策的制訂，降低風(fēng)險，如制訂策略安全,包括安全的范圍、等級、公司的政策、標準。

4、通過建立完整的業(yè)務(wù)連續(xù)性計劃，包括災(zāi)難恢復(fù)，來降低經(jīng)營風(fēng)險，提供企業(yè)的形象。