一、需求背景分析：  

        金融系（xì）统（tǒng）构（gòu）成复杂，其（qí）信息资产（chǎn）设备种类与数量众多，使（shǐ）得对设备的安（ān）全管理与漏洞发现工作（zuò）较为困难，一旦有（yǒu）恶意分子通过某信息（xī）设（shè）备的漏洞入侵进（jìn）系（xì）统内部（bù），极有（yǒu）可能（néng）造成严重损（sǔn）失。

        西安开云和瑞天信息安全技术有限公司网站（zhàn）安全监测运营服务针对安全事件提供：监控、分析、预（yù）警、响应与处理的全（quán）过程（chéng），为（wéi）用户提供（gòng）切（qiē）实（shí）可（kě）行的服务解决方（fāng）案。

二、行业现状：

金融行业客户出于信息业务安全和维护等多方面（miàn）考虑（lǜ），一般都会自己搭建（jiàn）数据中（zhōng）心，因（yīn）此随着银行、证券行业业（yè）务量火热发展，信息安全风险也随之（zhī）增大，业务访（fǎng）问效率同时也变成了网（wǎng）络和应用管理员（yuán）最头疼的话题（tí）。

商（shāng）业银行客户（hù）的业（yè）务（wù）系（xì）统（tǒng）一般（bān）包括核心应用系统、网上（shàng）银行（háng）系统、办（bàn）公系统、监（jiān）控系统（tǒng）、认证系统等；证券基金客户的业务（wù）系统包括网（wǎng）上交易查询系统（tǒng）、银行结算系统、办公系（xì）统和门户网站等；保险行业客户业务系统包括CRM系统、核心业务系统、保单管理系统、财务系统等。各类不同的行业客户在信息（xī）系统建设和使用过（guò）程中（zhōng）都会（huì）遇到诸如物理层、网（wǎng）络架构、终端和操作系统（tǒng）、应用系统、核心业务数据等多方（fāng）面的安全和优（yōu）化（huà）问题，因此我们的方案主要（yào）针对（duì）以上（shàng）各个（gè）方面。

三、解决方案：

网络（luò）攻击及入侵（入侵防（fáng）御系（xì）统防护（hù））：

当（dāng）银行系统遇到互（hù）联（lián）网的非法攻（gōng）击（jī）和入侵的时（shí）候，势必（bì）对网上（shàng）应用和交易系统产（chǎn）生影（yǐng）响（xiǎng），造成访问（wèn）效率下降、网（wǎng）络拥堵等状况，采用（yòng）主动式（shì）入侵（qīn）防御系统利用高（gāo）可靠（kào）识别攻击，精确判（pàn）断（duàn）入侵及（jí）攻击行（háng）为并作出相应的反应来解决（jué）客（kè）户遇（yù）到（dào）的上述问题。

链路负载均衡（多链路控（kòng）制器）：

为（wéi）了避免（miǎn）出（chū）现（xiàn）链路（lù）单点故障，保证链（liàn）路接（jiē）入的高可用性，银行系统一般采用不同（tóng）运营商的多条（tiáo）链路接（jiē）入，采用链路负载均衡（héng）产品，把访（fǎng）问外（wài）网资（zī）源（yuán）的内网用户按（àn）照（zhào）要求 负载均（jun1）衡到两条链路，任何一条链（liàn）路出现故障，都能够实（shí）时发现（xiàn），自动把（bǎ）请求（qiú）转发至正常的链路（lù）；同时把访问内网资源（yuán）的（de）用户自动导向到访问质量最优的链路，并实 时监控链路的状态，如果（guǒ）某一链路出现（xiàn）故障，自动切（qiē）换到其（qí）他正常链路（lù）。

安全区（qū）域划（huá）分和隔离（防火墙）：

客户在数（shù）据中心根据不同（tóng）的安全级别划分出（chū）不（bú）同的访问区域，不同的区域之间互相访问需要通过安全设备进行隔（gé）离（lí），根据不（bú）同的安全级别设定策（cè）略进行访问（wèn）控制（zhì），通过多种检测（cè）机制，发现（xiàn）攻击（jī）流量，实时进（jìn）行阻断，提（tí）高应用系（xì）统（tǒng）的安全性。

互联网（wǎng）流量管理和优（yōu）化（全局流量控（kòng）制器、Web加速器）：

客户开展电子商（shāng）务（wù）和网上交易（yì）业务，需要考虑客（kè）户（hù）端采用不同接入方式（shì）和终端种类，因此通过（guò）采用全局流量（liàng）管理设备对处在不同地理位置和运营商（shāng）接入的终端用户（hù）选择服务效率最佳（jiā）的数据中心，采用（yòng）Web加速设备利用数（shù）据流（liú）量优化加速的手段提高（gāo）访问速度（dù），确保客户满意度的提（tí）升。

移动办公接入（SSLVPN网关）：

客户为（wéi）加强远程办公终端的安全（quán）性和易用性，采用SSLVPN的（de）接入方式，利用对客户端安全检查、灵活定制访问策略和权限的技术手段，满足移动办公用户接入数据中（zhōng）心简单方便。

服务器负载均衡、应用优化（huà）（本地流量（liàng）管理（lǐ）器）：

由（yóu）于网上（shàng）交易系统都采用 SSL 加密（mì）的（de）方式，对于如（rú）何卸（xiè）载服务器在处理 SSL 加解密（mì）方面的压力，在不（bú）影（yǐng）响服务器性能的前提下，对（duì）数（shù）据（jù）进行加解密就变成了一个（gè）重要的话题，使用本地流量（liàng）管理器，把大量用户的请求平（píng）均分发到（dào）多台服务器上面，同时能够对数据进行 SSL 加速（sù），卸载（zǎi）服务器处理（lǐ） SSL 加解密的压力。在站点之内，负载均衡产品能够同时对 Web 前置服务器、应用服务器（qì）、数据库（kù）服务器、缓（huǎn）存服（fú）务器等多（duō）种服务器进行负载均衡。

各（gè）类应用（yòng）安（ān）全（quán）防护（WEB应用安全网（wǎng）关、数据库（kù）安全审计（jì）、动态（tài）口令认（rèn）证系（xì）统）：

客（kè）户在数据中心的建设过程中最重（chóng）要（yào）的就是（shì）核心业务系统，它包含了（le）至关重要的应用（yòng）系统服务器和（hé）核心数据，在核（hé）心（xīn）业（yè）务系统（tǒng）中一般采（cǎi）用（yòng）三层部（bù）署的（de）标准架（jià）构，Web服务器、应用（yòng）服务器、数据库，因此各（gè）类服务器（qì）的（de）安全防护是客（kè）户最关心的重点，建议采用Web应（yīng）用安全网（wǎng）关对（duì）Web服务器进行安全（quán）保护，避（bì）免针（zhēn）对（duì）服务器应用层和源代（dài）码攻击（jī）的风险，采用数（shù）据库安全审计平台对各类数据库操作，数据表调用和修改的动作进行审计和告警，保证在数（shù）量繁多的用户访问数据库的（de）情况（kuàng）下（xià）行为（wéi）能（néng）够进行审计（jì）。动（dòng）态口令认证（zhèng）系（xì）统确保网（wǎng）上交易（yì）系统用户帐户和口（kǒu）令的密码保护，形成"双因素"强身份认证。

日（rì）志收集和分（fèn）析（统一日志审计平台）：

在（zài）金融（róng）行业各个监督管（guǎn）理机构下发的政策（cè）法（fǎ）规文件中，日志统一收集（jí）、分（fèn）析和保存是必不可少的一项重点要求，系统日志保存期（qī）限按照（zhào）风险（xiǎn）等级不同来区分（fèn），至少不得 少于（yú）一年，采用统一日志审计（jì）平台能够满（mǎn）足各种法规（guī）政策的要求（qiú），制定（dìng）相（xiàng）关策略和流程（chéng），管理所有生产系统的活动日志，以支持有效（xiào）的审（shěn）核、安全取（qǔ）证分析和预防欺诈。

不同平（píng）台和（hé）品牌的存（cún）储之间协同优化（虚拟存储（chǔ）系（xì）统）：

客（kè）户在构（gòu）建数据存储系统的时候如果采用了异构的部署方式，系（xì）统中会出现不同平台和品牌的存储服务器，使用（yòng）起来会（huì）造成很大的不便（biàn），采用虚拟（nǐ）存储系统可以把各种基于NAS协议的存储服务进行虚（xū）拟化管理，实（shí）现无缝数（shù）据迁移（yí）、存储负载均（jun1）衡和（hé）异构部署等多种优化功能。