一、需求背（bèi）景分析（xī）：  

        金融系统构（gòu）成复杂，其信（xìn）息（xī）资产设备种类与数（shù）量（liàng）众多，使得对设备的安全管理与漏洞发（fā）现（xiàn）工作较（jiào）为困难（nán），一旦有恶意分子（zǐ）通过某信息设备（bèi）的（de）漏洞入侵进系统（tǒng）内部，极有可能造成（chéng）严重（chóng）损失（shī）。

        西安完美体育和瑞天信（xìn）息安全技术有（yǒu）限公司网（wǎng）站安（ān）全监测运（yùn）营（yíng）服务针对安全（quán）事件（jiàn）提供（gòng）：监控（kòng）、分析、预（yù）警、响应与处理（lǐ）的（de）全过程（chéng），为（wéi）用户提供切实可（kě）行的服务解（jiě）决方案。

二、行业现状：

金融行（háng）业客户（hù）出于信息业务安全（quán）和（hé）维（wéi）护等（děng）多方面考虑，一（yī）般都会自己搭建数据中心，因此随着（zhe）银（yín）行、证券行业（yè）业务量火热发展（zhǎn），信息（xī）安全风险也随之（zhī）增（zēng）大，业务访问效率同时（shí）也变成了网络和应用管理员最头疼的话题。

商（shāng）业银行客户的业（yè）务（wù）系统一（yī）般包括核（hé）心应用系统（tǒng）、网上银行系统、办公系（xì）统、监控系统、认证（zhèng）系统等；证券基金（jīn）客户的（de）业务系统包括网（wǎng）上交易查询系统（tǒng）、银行结算系统、办公系统和门户网站等；保险行业客户业务系统包括CRM系统、核心业务系统、保单管理系（xì）统、财（cái）务（wù）系统等。各类不同（tóng）的行业客户在信息系统（tǒng）建设和（hé）使用过程中都会遇到诸如（rú）物理（lǐ）层、网（wǎng）络架构、终端和操（cāo）作系统、应用系统、核心业务数据等多方（fāng）面的安全和优化问题（tí），因此（cǐ）我（wǒ）们的方案（àn）主要针（zhēn）对以上各个方（fāng）面。

三（sān）、解决方案（àn）：

网（wǎng）络攻（gōng）击及入侵（入侵防御系统防护）：

当银行系统遇到互联网的非（fēi）法（fǎ）攻击和入侵（qīn）的（de）时候，势必对网上应（yīng）用和交易系（xì）统（tǒng）产生（shēng）影（yǐng）响，造成访问效率下降、网（wǎng）络拥堵（dǔ）等状况（kuàng），采用主动式入侵（qīn）防御系（xì）统（tǒng）利用高可靠识别攻击，精确判（pàn）断入侵及攻击行为（wéi）并（bìng）作出（chū）相应（yīng）的（de）反应来（lái）解决客（kè）户遇（yù）到的上述（shù）问（wèn）题。

链（liàn）路负载均衡（多链路控制（zhì）器）：

为了避免出现链路单点故障（zhàng），保证链路接入的高（gāo）可用性（xìng），银行系统一般采用不同运营商（shāng）的多条链路接入，采用链（liàn）路（lù）负载均衡产品，把访问外（wài）网资（zī）源的内网用（yòng）户按照要求 负载均衡到（dào）两条链路，任何一条链路出现故障，都能够（gòu）实时发现，自动把请求转发至正常的链路；同时把访问内网资源的用户自动导向到（dào）访（fǎng）问质（zhì）量最（zuì）优的链路，并实 时（shí）监（jiān）控链路的（de）状态，如果某一链路出现故（gù）障（zhàng），自动（dòng）切换到（dào）其（qí）他正（zhèng）常链路。

安全区域划（huá）分和隔离（防火墙）：

客户在数据中心根据不同的安全级别划分（fèn）出不同的访问区域，不同的区域之间互相访问（wèn）需要（yào）通过（guò）安全设备（bèi）进行隔离，根据不同（tóng）的安全级别（bié）设定策（cè）略（luè）进行访问控制，通过多种检测机（jī）制（zhì），发现攻击流量，实时进（jìn）行阻断，提高应用系统（tǒng）的安全（quán）性。

互联网流量管理和优化（huà）（全局（jú）流量控制器、Web加速器）：

客户（hù）开展电子商（shāng）务和网上交易业务，需要考虑客户端（duān）采用（yòng）不同接入（rù）方式（shì）和终（zhōng）端（duān）种类（lèi），因此（cǐ）通过（guò）采（cǎi）用全局流量管（guǎn）理（lǐ）设备（bèi）对处在不同地理位置和（hé）运（yùn）营（yíng）商接入的（de）终端用（yòng）户选择服（fú）务效（xiào）率最佳（jiā）的数据（jù）中心，采用Web加速设备利用数据流量（liàng）优化加（jiā）速的手段提高访问速度，确保客户满意度（dù）的（de）提升。

移动办（bàn）公接入（SSLVPN网（wǎng）关（guān））：

客户为加强（qiáng）远程（chéng）办公终端的安全性和易（yì）用性，采用SSLVPN的接（jiē）入（rù）方（fāng）式，利用对客户端安全检查、灵（líng）活定制访问策略和权限的（de）技（jì）术（shù）手段（duàn），满足移动（dòng）办公用户接入数据中心简单（dān）方（fāng）便。

服务器负载均衡、应（yīng）用（yòng）优化（huà）（本地（dì）流量管理器（qì））：

由（yóu）于网上交易系统都采用 SSL 加密的方式，对于如何卸载服务器在处理 SSL 加解密方面的压力，在不影（yǐng）响服（fú）务器性能（néng）的前提下，对数据（jù）进行加解密就变成了一（yī）个重要（yào）的话题，使用本地流量管（guǎn）理器，把大量用户的请（qǐng）求平均分发到多台服务器上面，同时（shí）能够对数据进行 SSL 加速（sù），卸载服务器处理 SSL 加解密的压力。在站点之内，负载均衡（héng）产品能够同时对 Web 前置服务器、应用服务器、数据库服务器、缓（huǎn）存服务器等多种服务器进行负载（zǎi）均（jun1）衡。

各（gè）类应用安全防护（WEB应用安全网关、数据（jù）库安全审计、动态口令认证（zhèng）系统）：

客户在数据中心的（de）建设过程中最重要的就（jiù）是核心业务系统，它包含了至关重要的应用系统（tǒng）服务器和核心数据（jù），在核心业（yè）务系统中（zhōng）一般（bān）采用三层（céng）部署的标准（zhǔn）架构，Web服务（wù）器、应用（yòng）服务（wù）器、数据库，因（yīn）此各类服务器的安全防护是客户最关心的重点，建议采（cǎi）用Web应用安全网关对Web服务器进行安全保护，避免针对服务器应用（yòng）层和源代码（mǎ）攻击的风险，采用数据（jù）库安全审（shěn）计平台对各（gè）类（lèi）数据库（kù）操作，数据表（biǎo）调用和修改的动（dòng）作进行审计和告警，保证在数量繁多的用户访问数（shù）据库的情（qíng）况（kuàng）下行（háng）为能够（gòu）进行审计。动态口令认证（zhèng）系统确保网上交易系统用（yòng）户帐（zhàng）户和口令的密（mì）码保护，形成"双因素"强（qiáng）身（shēn）份认证。

日志收集和分（fèn）析（统一日志审计（jì）平台（tái））：

在（zài）金融行业各个监督管理（lǐ）机构下（xià）发的政策法规文件中，日志统一收集、分析和保存是必不可少的（de）一项重点要求，系（xì）统日（rì）志保存期限按照（zhào）风（fēng）险等级不（bú）同来区分，至少不得 少（shǎo）于（yú）一年，采用统（tǒng）一日（rì）志审计平台能够满足（zú）各种法规政策（cè）的要求，制定相关策略和（hé）流程，管理所有（yǒu）生产系统（tǒng）的活动日（rì）志，以（yǐ）支（zhī）持有效的审核、安全取证分析和预防欺诈。

不同平台（tái）和品牌的（de）存储之间（jiān）协同优化（虚（xū）拟存储系统（tǒng））：

客户在构建数据存储系统的时候如果采（cǎi）用了异（yì）构的部署方式，系（xì）统中会出现不同平台和（hé）品牌的存储服务器，使用起来会（huì）造成很（hěn）大（dà）的（de）不便，采用虚拟存储系统（tǒng）可以把各种基于（yú）NAS协议的存（cún）储（chǔ）服务（wù）进行虚拟化管（guǎn）理，实现无缝数据迁移、存储负载均衡和异构部署（shǔ）等多种优化功能。