一、金融行業信息安全概述

　　金融行業信息化系統經過多年的發展建設，目前信息化程度已達到了較高水平。信息技術在提高管理水平、促進業務創新、提升企業競爭力方面發揮著日益重要的作用。隨著銀行信息化的深入發展，銀行業務系統對信息技術的高度依賴，銀行業網絡信息安全問題也日益嚴重，新的安全威脅不斷涌現，并且由于其數據的特殊性和重要性，更成為黑客攻擊的重要對象，針對金融信息網絡的計算機犯罪的案件呈逐年上升趨勢，特別是銀行全面進入業務系統整合、數據大集中的新的發展階段，以及銀行卡、網上銀行、電子商務、網上證券交易等新的產品和新一代業務系統的迅速發展，現在不少銀行開始將部分業務放到互聯網上，今后幾年內將迅速形成一個以基于TCP/IP協議為主的復雜的、全國性的網絡應用環境，來自外部和內部的信息安全風險將不斷增加，這就對金融系統的安全性提出了更高的要求，金融信息安全對金融行業穩定運行、客戶權益乃至國家經濟金融安全、社會穩定都具有越來越重要的意義。金融業迫切需要建設主動的、深層的、立體的信息安全保障體系，保障業務系統的正常運轉，保障企業經營使命的順利實現。

　　二、金融業安全風險及需求分析

　　金融行業典型網絡拓撲如下，通常為一個層次化的互聯廣域網體系結構：
 

　　
     2、1金融行業風險分析
 

　　金融行業網絡系統面臨的風險復雜多樣，既有來自外部的，也有來自內部的。可以概括為以下三個大的方面：

　　·組織方面的風險。缺乏統一的安全規劃和安全職責部門；

　　·技術方面的風險。安全保護措施不充分。盡管已經采用了一些安全技術和安全產品，但是目前安全技術的采用是不足的，存在大量這樣、那樣的風險和漏洞；

　　·管理方面的風險。安全管理有待提高，安全意識培訓、安全策略和業務連續性計劃都需要完善和加強；

　　具體風險分析如下：

　　·缺乏對內部用戶的行為控制和行為監管，表現在對內部人員的過分信任，沒有可靠的管理手段往往是出現內部高科技犯罪的開始。

　　·雖然制定了一系列信息安全規定，但是沒有一個科學的評估方法和管理手段，無法對系統的安全狀況進行量化的分析和科學的管理，結果往往是事與愿違。

　　·缺乏專業的安全組織結構和明確的管理流程（如應急響應流程）。

　　·業務系統操作人員安全管理薄弱，口令系統混亂，安全性差。

　　·部分同城清算、聯行系統保護脆弱，可能被攻破和滲透。

　　·開放的TCP/IP協議的的先天設計缺陷，易于遭受IP欺騙攻擊和各種拒絕服務攻擊。

　　·操作系統和應用軟件系統存在大量安全漏洞。

　　·蠕蟲、病毒、垃圾郵件、間諜軟件帶來的數據破壞和泄露風險。

　　·大量的、分散的安全資源的整合和集中管理問題，以及海量安全事件和告警需要的大量人力資源處理帶來的管理和成本風險。