隨著加入WTO的臨近，金融行業(yè)加快了改革和重組的步伐，面對國內(nèi)外的競爭，各行加大了科技的資金投入,不斷完善網(wǎng)絡結構，紛紛推出高技術含量的客戶服務項目，爭取客戶，吸收存款，多占市場份額。

因此，爭取客戶使各金融機構展開了競爭的行動。競爭的加劇使各金融機構各施所能，推出網(wǎng)上銀行、手機銀行、電子商務、網(wǎng)上證券交易等服務，隨著電子商務(E-Commerce)、銀行信息化建設(Intranet/Internet/Extranet)、虛擬專用網(wǎng)(VPN)等的興起，網(wǎng)絡改造的逐漸深入，各金融機構內(nèi)部網(wǎng)絡已經(jīng)形成了一個基于TCP/IP,網(wǎng)絡設備多種多樣的一個復雜的全國性的復雜的廣域網(wǎng)，同時，金融機構內(nèi)部的網(wǎng)絡系統(tǒng)安全也越來越直接的地涉及到生產(chǎn)領域，與經(jīng)濟效益和經(jīng)濟利益也越來越緊密的聯(lián)系在了一起，金融業(yè)務的特殊性和實時性以及保密性又要求不能有任何一點的失誤，如何設計一個好的，高效的，經(jīng)濟的，風險最低的安全網(wǎng)絡系統(tǒng)已成為亟待解決的大問題。

 

1. 對內(nèi)部人員的充分信任,特別是對于內(nèi)部信息科技人員的充分信任，而且沒有可靠的管理手段往往是出現(xiàn)內(nèi)部高科技犯罪的開始。

2. 雖然制定了一系列信息安全規(guī)定，但是沒有一個科學的評估方法和管理，無法對系統(tǒng)的安全和漏洞進行量化的分析和科學的管理，結果往往是事與愿違。

3. 業(yè)務系統(tǒng)操作人員安全管理薄弱，口令系統(tǒng)混亂，安全性差。雖然有加密機，只要能物理的接觸到營業(yè)終端，就能很容易的實現(xiàn)到主機系統(tǒng)的越權訪問。

4. 加密機的黑箱設計，算法的不公開給黑客的遠程攻擊造成了困難，也使得算法和設計上的缺陷不易被監(jiān)察，而對有心人來說，也許解密和仿冒并不困難。

5. 分組協(xié)議里的閉合用戶群并不安全，信任關系可能被黑客利用。

6. 有的同城清算、聯(lián)行系統(tǒng)可能被攻破和滲透。

7. 應用軟件的潛在設計缺陷。

8. 主機系統(tǒng)存在安全漏洞。

 

^┍ HLC華菱企管_┛在對金融行業(yè)進行信息安全咨詢過程中主要需要考慮包含貫穿始終結構、網(wǎng)絡層的安全、操作系統(tǒng)平臺的安全、應用平臺的安全，以及在此基礎之上的應用數(shù)據(jù)的安全。總體來講，金融行業(yè)業(yè)務支撐網(wǎng)的安全需求包括：策略安全、安全評估、物理安全、系統(tǒng)安全，網(wǎng)絡安全，應用和數(shù)據(jù)庫安全等?；谶@些安全需求, 我們可為客戶提供以下解決方案：

1、通過ISO27001的信息安全管理體系建立，確保在管理制度有一套規(guī)范的制度作為金融業(yè)務運營的有效運行體系。如建立物理安全控制系統(tǒng)，包括門禁系統(tǒng)、防靜電防磁、防火防盜、多路供電。

2、通過ISO20000-1的IT服務管理體系建立，確保在管理制度有一套規(guī)范的制度作為金融業(yè)務運營的有效運行體系。如建立網(wǎng)絡漏洞掃描、網(wǎng)絡入侵偵測和響應、路由器訪問控制列表(ACL)等.

3、通過對風險評估和相關對策的制訂，降低風險，如制訂策略安全,包括安全的范圍、等級、公司的政策、標準。

4、通過建立完整的業(yè)務連續(xù)性計劃，包括災難恢復，來降低經(jīng)營風險，提供企業(yè)的形象。