随着加入WTO的临近,金融行业加快了改革和重组的步伐,面对国内外的竞争,各行加大了科技的资金投入,不断完善网络结构,纷纷推出高技术含量的客户服务项目,争取客户,吸收存款,多占市场份额。
因此,争取客户使各金融机构展开了竞争的行动。竞争的加剧使各金融机构各施所能,推出网上银行、手机银行、电子商务、网上证券交易等服务,随着电子商务(E-Commerce)、银行信息化建设(Intranet/Internet/Extranet)、虚拟专用网(VPN)等的兴起,网络改造的逐渐深入,各金融机构内部网络已经形成了一个基于TCP/IP,网络设备多种多样的一个复杂的全国性的复杂的广域网,同时,金融机构内部的网络系统安全也越来越直接的地涉及到生产领域,与经济效益和经济利益也越来越紧密的联系在了一起,金融业务的特殊性和实时性以及保密性又要求不能有任何一点的失误,如何设计一个好的,高效的,经济的,风险最低的安全网络系统已成为亟待解决的大问题。
A. 银行、保险等金融行业信息安全面临的威胁
1. 对内部人员的充分信任,特别是对于内部信息科技人员的充分信任,而且没有可靠的管理手段往往是出现内部高科技犯罪的开始。
2. 虽然制定了一系列信息安全规定,但是没有一个科学的评估方法和管理,无法对系统的安全和漏洞进行量化的分析和科学的管理,结果往往是事与愿违。
3. 业务系统操作人员安全管理薄弱,口令系统混乱,安全性差。虽然有加密机,只要能物理的接触到营业终端,就能很容易的实现到主机系统的越权访问。
4. 加密机的黑箱设计,算法的不公开给黑客的远程攻击造成了困难,也使得算法和设计上的缺陷不易被监察,而对有心人来说,也许解密和仿冒并不困难。
5. 分组协议里的闭合用户群并不安全,信任关系可能被黑客利用。
6. 有的同城清算、联行系统可能被攻破和渗透。
7. 应用软件的潜在设计缺陷。
8. 主机系统存在安全漏洞。
B. ┍ HLC华菱企管┛为您提供的解决方案
┍ HLC华菱企管┛在对金融行业进行信息安全咨询过程中主要需要考虑包含贯穿始终结构、网络层的安全、操作系统平台的安全、应用平台的安全,以及在此基础之上的应用数据的安全。总体来讲,金融行业业务支撑网的安全需求包括:策略安全、安全评估、物理安全、系统安全,网络安全,应用和数据库安全等。基于这些安全需求, 我们可为客户提供以下解决方案:
1、通过ISO27001的信息安全管理体系建立,确保在管理制度有一套规范的制度作为金融业务运营的有效运行体系。如建立物理安全控制系统,包括门禁系统、防静电防磁、防火防盗、多路供电。
2、通过ISO20000-1的IT服务管理体系建立,确保在管理制度有一套规范的制度作为金融业务运营的有效运行体系。如建立网络漏洞扫描、网络入侵侦测和响应、路由器访问控制列表(ACL)等.
3、通过对风险评估和相关对策的制订,降低风险,如制订策略安全,包括安全的范围、等级、公司的政策、标准。
4、通过建立完整的业务连续性计划,包括灾难恢复,来降低经营风险,提供企业的形象。