一、需求背景分析：  

        金融系统构成复杂（zá），其信息资产（chǎn）设备种（zhǒng）类（lèi）与数量众多，使得（dé）对设备（bèi）的安全管（guǎn）理与漏洞发现工（gōng）作（zuò）较为困（kùn）难，一旦有恶意分子通过（guò）某信息（xī）设备（bèi）的漏洞入侵进系统内部，极有可能造成严重（chóng）损失。

        西安瑞（ruì）天信（xìn）息安全技术有限公司网站安全（quán）监测运营服务（wù）针对安全事件提供：监控、分析（xī）、预警、响应与处理的（de）全过程（chéng），为用户提供切实可行的服（fú）务（wù）解决方案。

二、行业现状：

金融行业客户出于信息业务安（ān）全和（hé）维护等多方面考虑，一般都会自己搭建数据中（zhōng）心，因此随（suí）着（zhe）银行、证券行业业务量（liàng）火热发展（zhǎn），信息安全风险也随之增大，业务（wù）访问效（xiào）率同时也（yě）变成了网络和应用（yòng）管理员最头疼的话题。

商业银行客户（hù）的业务（wù）系统一（yī）般包（bāo）括核心（xīn）应用系（xì）统、网上银行系（xì）统、办公系（xì）统、监控系统、认证系统等；证券基金（jīn）客户的业（yè）务系统包括网上交易查询系统、银行结（jié）算系统、办公系统和门户网（wǎng）站等；保险行业客户业务系统（tǒng）包括（kuò）CRM系统、核心业务系统、保单管（guǎn）理系（xì）统、财（cái）务系统等。各类不同的（de）行业客户在信息（xī）系统建设和使用过程中都会遇到诸如（rú）物理（lǐ）层（céng）、网络架构、终端和操作（zuò）系统、应用系统、核（hé）心业务（wù）数据等多方面的安全和优化问题，因此（cǐ）我们的方案主要针对以上各个方面。

三、解决方（fāng）案：

网络攻击及入（rù）侵（入侵防御系统防护）：

当银行（háng）系统遇到互联网的非法（fǎ）攻击和入侵的时候（hòu），势必对网（wǎng）上应（yīng）用和交易系统产生影响，造成访（fǎng）问效率下降（jiàng）、网络拥堵等状况，采用主动式入侵防御系（xì）统利用高可靠识别攻击，精确判断入侵及攻击行为（wéi）并作出相应的反（fǎn）应来解决客户遇到的上（shàng）述问题。

链路负载均衡（多链路控制器）：

为了避免出现链路单点（diǎn）故障，保证链（liàn）路接入的高可用性，银行系统一（yī）般采用不同运营商的多条（tiáo）链路接入，采用链路负载均（jun1）衡产（chǎn）品，把访问（wèn）外网资源的（de）内（nèi）网用户按（àn）照要求 负载均衡到两条链路（lù），任何一条链路（lù）出现故障，都能够实时发现，自动把请求转发至正常的（de）链（liàn）路；同时把访问内网资源的用户自动（dòng）导向（xiàng）到访问质量最优的链路，并实 时监控链路的（de）状（zhuàng）态，如（rú）果某（mǒu）一链路出现故障，自动切（qiē）换到其（qí）他正常（cháng）链（liàn）路。

安全区（qū）域划分和隔离（lí）（防火墙）：

客户在数据中心根据不（bú）同（tóng）的安全级（jí）别划分（fèn）出不（bú）同（tóng）的访问区域（yù），不同（tóng）的（de）区（qū）域之间互（hù）相访问需要通过安全设备进（jìn）行隔离，根据（jù）不同的安全级别设定策（cè）略进（jìn）行访问控制，通（tōng）过多（duō）种检测机制，发（fā）现攻击（jī）流量，实时进行阻断，提（tí）高应用（yòng）系统的安（ān）全性。

互联网（wǎng）流（liú）量管理和优（yōu）化（全局流（liú）量控制器、Web加速器）：

客户（hù）开（kāi）展电（diàn）子商务和（hé）网上（shàng）交易（yì）业（yè）务，需要（yào）考虑客户（hù）端采（cǎi）用不同（tóng）接入方式和终端种类（lèi），因此通过（guò）采用全局流量（liàng）管理设备对处（chù）在（zài）不同地理位置和（hé）运营商（shāng）接入的终端用户选择服务效率最佳（jiā）的（de）数据中心，采用Web加速设（shè）备利用数（shù）据（jù）流量优化加速的手段提高访问速度，确保（bǎo）客户满意（yì）度的（de）提升。

移动办公接入（SSLVPN网关）：

客户为加强远程（chéng）办（bàn）公终端的安（ān）全（quán）性（xìng）和易用性，采（cǎi）用SSLVPN的（de）接入方式，利用对客户端（duān）安全检（jiǎn）查、灵（líng）活定制访问（wèn）策略和权限的技术手（shǒu）段，满足移动办公用户接入数据中心简单（dān）方便。

服务器负（fù）载均（jun1）衡、应（yīng）用优（yōu）化（本地流量管理器（qì））：

由于网上交易系统都采用 SSL 加密的方式，对于如何卸载（zǎi）服务器在处（chù）理 SSL 加解密方面的压力，在不影响（xiǎng）服（fú）务器（qì）性（xìng）能的前提（tí）下，对数（shù）据（jù）进行（háng）加解密（mì）就变成了一个重要（yào）的话（huà）题，使用本地流量管（guǎn）理器，把大（dà）量（liàng）用（yòng）户（hù）的请求平均分发到多台服（fú）务（wù）器上面，同时能够对数（shù）据进行 SSL 加速（sù），卸载服务器处理（lǐ） SSL 加（jiā）解密的压（yā）力。在站点之内，负载（zǎi）均衡产品能够同时对 Web 前置服务（wù）器、应用服务器（qì）、数（shù）据（jù）库服（fú）务器（qì）、缓存服（fú）务器等（děng）多种服务器进行负载均衡。

各（gè）类（lèi）应用安全防护（WEB应用安全网关、数据库安全审计、动态口令认证系（xì）统）：

客户在（zài）数据中心的建设过程中（zhōng）最重要（yào）的（de）就是核（hé）心业务系统，它（tā）包（bāo）含（hán）了至（zhì）关（guān）重要的应（yīng）用系（xì）统（tǒng）服务器和核心数据（jù），在（zài）核心业务系统（tǒng）中一般（bān）采用三层部（bù）署的标准架构，Web服（fú）务器、应用（yòng）服（fú）务（wù）器、数据（jù）库，因此（cǐ）各类（lèi）服务器（qì）的安全（quán）防护是客户最关心（xīn）的（de）重点（diǎn），建议采用Web应用安全网关对Web服务器进行（háng）安（ān）全保护，避免针对服（fú）务器（qì）应用层和源代码（mǎ）攻击（jī）的风（fēng）险，采（cǎi）用数据（jù）库安全审计平台对各类数据库操作，数据表调用和修改的动作进（jìn）行审计（jì）和告（gào）警，保证在数量繁多的用户访（fǎng）问数据库的（de）情（qíng）况下行为能（néng）够进（jìn）行审计（jì）。动态口（kǒu）令认证系统确（què）保网上（shàng）交易系统用户帐户和口令的密（mì）码保护，形成"双因素"强身（shēn）份（fèn）认证。

日志收集和分析（统一日志审计平（píng）台）：

在金融行业各个监督管理机构（gòu）下（xià）发的政策法规文件（jiàn）中，日志统一（yī）收（shōu）集、分析和保存是必不可少（shǎo）的一项重点要求，系统日志保（bǎo）存期限按照风险等级不同来（lái）区（qū）分，至少不（bú）得 少于一年，采用统一日（rì）志审计平台能够满足各种法规政策的要求，制（zhì）定相关策略和流程，管理所有生产系统的活动日志，以支持有效的审核（hé）、安全取证分析和预防欺诈。

不同平（píng）台和品牌的存储之间协（xié）同优化（虚拟存（cún）储系（xì）统）：

客户在（zài）构建（jiàn）数（shù）据存（cún）储系统的时候如果采用（yòng）了异构的部署方式，系统中会出现不同平台（tái）和品牌的存储（chǔ）服务器，使用起来（lái）会造成很大（dà）的不便，采用虚拟存（cún）储系统可以把（bǎ）各种（zhǒng）基于（yú）NAS协议的存储服务进行虚拟化管理，实现无缝数（shù）据迁（qiān）移、存储（chǔ）负（fù）载均（jun1）衡和异构部署等多种（zhǒng）优（yōu）化功能（néng）。