隨著加入WTO的臨近，金融行業加快了改革和重組的步伐，面對國內外的競爭，各行加大了科技的資金投入,不斷完善網絡結構，紛紛推出高技術含量的客戶服務項目，爭取客戶，吸收存款，多占市場份額。

因此，爭取客戶使各金融機構展開了競爭的行動。競爭的加劇使各金融機構各施所能，推出網上銀行、手機銀行、電子商務、網上證券交易等服務，隨著電子商務(E-Commerce)、銀行信息化建設(Intranet/Internet/Extranet)、虛擬專用網(VPN)等的興起，網絡改造的逐漸深入，各金融機構內部網絡已經形成了一個基于TCP/IP,網絡設備多種多樣的一個復雜的全國性的復雜的廣域網，同時，金融機構內部的網絡系統安全也越來越直接的地涉及到生產領域，與經濟效益和經濟利益也越來越緊密的聯系在了一起，金融業務的特殊性和實時性以及保密性又要求不能有任何一點的失誤，如何設計一個好的，高效的，經濟的，風險最低的安全網絡系統已成為亟待解決的大問題。

 

1. 對內部人員的充分信任,特別是對于內部信息科技人員的充分信任，而且沒有可靠的管理手段往往是出現內部高科技犯罪的開始。

2. 雖然制定了一系列信息安全規定，但是沒有一個科學的評估方法和管理，無法對系統的安全和漏洞進行量化的分析和科學的管理，結果往往是事與愿違。

3. 業務系統操作人員安全管理薄弱，口令系統混亂，安全性差。雖然有加密機，只要能物理的接觸到營業終端，就能很容易的實現到主機系統的越權訪問。

4. 加密機的黑箱設計，算法的不公開給黑客的遠程攻擊造成了困難，也使得算法和設計上的缺陷不易被監察，而對有心人來說，也許解密和仿冒并不困難。

5. 分組協議里的閉合用戶群并不安全，信任關系可能被黑客利用。

6. 有的同城清算、聯行系統可能被攻破和滲透。

7. 應用軟件的潛在設計缺陷。

8. 主機系統存在安全漏洞。

 

^┍ HLC華菱企管_┛在對金融行業進行信息安全咨詢過程中主要需要考慮包含貫穿始終結構、網絡層的安全、操作系統平臺的安全、應用平臺的安全，以及在此基礎之上的應用數據的安全。總體來講，金融行業業務支撐網的安全需求包括：策略安全、安全評估、物理安全、系統安全，網絡安全，應用和數據庫安全等。基于這些安全需求, 我們可為客戶提供以下解決方案：

1、通過ISO27001的信息安全管理體系建立，確保在管理制度有一套規范的制度作為金融業務運營的有效運行體系。如建立物理安全控制系統，包括門禁系統、防靜電防磁、防火防盜、多路供電。

2、通過ISO20000-1的IT服務管理體系建立，確保在管理制度有一套規范的制度作為金融業務運營的有效運行體系。如建立網絡漏洞掃描、網絡入侵偵測和響應、路由器訪問控制列表(ACL)等.

3、通過對風險評估和相關對策的制訂，降低風險，如制訂策略安全,包括安全的范圍、等級、公司的政策、標準。

4、通過建立完整的業務連續性計劃，包括災難恢復，來降低經營風險，提供企業的形象。