一、需求背景分析：  

        金融系统构成复杂，其信息资产设备种（zhǒng）类与数量众多，使（shǐ）得（dé）对（duì）设备的安全管理与漏洞（dòng）发（fā）现工（gōng）作较为困难，一旦有恶意分子通（tōng）过某信息设备的漏洞入侵进系统内（nèi）部，极有可能（néng）造成严重损（sǔn）失。

        西安千亿官网和瑞天信息安全（quán）技术（shù）有限公司网站安全（quán）监测运营服务针（zhēn）对安全事（shì）件提供：监控、分析、预（yù）警、响应（yīng）与（yǔ）处理的（de）全过程，为（wéi）用户提供切实可行的服务解决方案。

二（èr）、行业（yè）现状：

金融行业客户出于信息业务安全和（hé）维护等多方（fāng）面考虑，一般都会自己搭建数据中心，因此随着银（yín）行、证券行业（yè）业务量火热发（fā）展（zhǎn），信息安全（quán）风险也随之增大，业务（wù）访问效率同时也变（biàn）成了网络和应用管理员最头（tóu）疼的话（huà）题。

商业银行客（kè）户的业务系统一（yī）般（bān）包括核心应用系统、网上银行系统、办公系统（tǒng）、监控系统（tǒng）、认证系统（tǒng）等；证券基金客户的业务系统包括网（wǎng）上（shàng）交易查（chá）询系统、银行结算系统（tǒng）、办（bàn）公（gōng）系统和门户网站（zhàn）等；保（bǎo）险行业（yè）客户业务（wù）系（xì）统（tǒng）包括CRM系统、核心业务系统、保单管理（lǐ）系统、财务系统等。各类不同的行业（yè）客（kè）户在信息系（xì）统（tǒng）建设（shè）和使用过程中都会遇到诸如物理（lǐ）层、网络架构、终（zhōng）端（duān）和操作系统、应用（yòng）系统（tǒng）、核心（xīn）业务数据等多（duō）方面的（de）安（ān）全和优化问题，因此我们（men）的方案主（zhǔ）要针对以上（shàng）各个方面。

三、解（jiě）决方（fāng）案：

网络攻击及入侵（qīn）（入侵防御系统防护）：

当银（yín）行系统遇到互联网的非法攻击和入侵的时候，势必（bì）对网上应用（yòng）和交易系统产生影响，造成访问效率下降、网络（luò）拥堵等状况，采用主动式入侵防御系统利用（yòng）高可靠识（shí）别攻击，精确（què）判断（duàn）入侵及攻击行为并作出相应的反（fǎn）应来解决（jué）客户遇到（dào）的上（shàng）述（shù）问题（tí）。

链路负（fù）载均衡（多（duō）链路（lù）控制器）：

为了避免出现链路单点故障，保证链路接入的高可用性，银行系统（tǒng）一般采用不同运营商的多条链路接（jiē）入，采用链路负载均衡产品，把（bǎ）访问外网资源的内（nèi）网（wǎng）用户按（àn）照要求 负（fù）载均（jun1）衡到两条链路，任何（hé）一（yī）条（tiáo）链（liàn）路出现（xiàn）故障，都能够实（shí）时（shí）发现，自动把请求（qiú）转发（fā）至正常的链路；同时（shí）把访（fǎng）问内网资源的用户自（zì）动导向到（dào）访问质量最（zuì）优的链路（lù），并实 时监控链路的（de）状态，如果（guǒ）某（mǒu）一链路出现故障，自动切换到其他正常链路。

安（ān）全区（qū）域（yù）划分和隔离（防火墙）：

客（kè）户在数据（jù）中心根据不同的安全（quán）级别划分出不同的访问区（qū）域，不同的区域之间互相（xiàng）访问需要通过安（ān）全（quán）设备进行隔离，根据不同的安全级别（bié）设定策略进行（háng）访问控制，通过（guò）多（duō）种检测机制，发现攻击（jī）流量，实时进行阻断，提高应用（yòng）系（xì）统的安全性。

互联网流量管理和优化（全（quán）局流（liú）量（liàng）控制器、Web加速器）：

客户开展电子商务和网上（shàng）交易（yì）业务，需要考（kǎo）虑客（kè）户端（duān）采（cǎi）用不同（tóng）接（jiē）入方式和终端种类，因此通过采用全（quán）局流量管（guǎn）理设备对处在不同地理位置和运营商接入的（de）终端用户选择服（fú）务效（xiào）率最佳（jiā）的数据中（zhōng）心，采用Web加速设备利用数据流量（liàng）优化加速的手（shǒu）段提高访问速度，确（què）保客户满意度（dù）的提升。

移动办（bàn）公接入（SSLVPN网关）：

客户为加（jiā）强远（yuǎn）程办公（gōng）终端的安全性和易用性，采用（yòng）SSLVPN的接入方式（shì），利用（yòng）对客户端安（ān）全检查、灵活定制访问策略和权限的技（jì）术（shù）手（shǒu）段，满足移动办公用户（hù）接入数据中心简（jiǎn）单方（fāng）便。

服务（wù）器负（fù）载（zǎi）均衡、应用优化（本地（dì）流量管理器）：

由于网上（shàng）交易系统（tǒng）都采用 SSL 加密的方式，对于如（rú）何卸载服务器（qì）在（zài）处理 SSL 加解密方（fāng）面的压力，在不（bú）影响服务器性能的前提下，对数据进行（háng）加解（jiě）密就变成了一个重要的话（huà）题，使用（yòng）本地流量管（guǎn）理器，把大量用户的请求平（píng）均分发到（dào）多（duō）台服务器上（shàng）面，同时（shí）能够对数据进行 SSL 加（jiā）速，卸载服（fú）务器处理 SSL 加解密的压力。在站（zhàn）点之内，负载均衡产（chǎn）品能够同时对 Web 前置服务器、应用服务器、数（shù）据库（kù）服务器、缓存服务（wù）器等多种服务器进行负载均衡。

各类应用（yòng）安全（quán）防（fáng）护（WEB应用安全网关、数据库安全审计、动（dòng）态口令（lìng）认证系统）：

客户（hù）在（zài）数据中（zhōng）心的建设（shè）过程（chéng）中（zhōng）最重要的就是核心业（yè）务系统，它包（bāo）含（hán）了至关重要（yào）的应用系统服务（wù）器和核心数据，在（zài）核心业务系统中一般采用（yòng）三层部署（shǔ）的标（biāo）准架构，Web服务器、应（yīng）用服务器、数（shù）据库，因（yīn）此各（gè）类（lèi）服务器的（de）安全防（fáng）护是客户最关心的（de）重点，建议采用Web应用安全网关对Web服（fú）务器进行安全保护，避免针对服务器应用层和源代码攻击的风险，采用数据库安全审计平台对各类（lèi）数据库操作（zuò），数据（jù）表调用和修改的动作（zuò）进行审计和（hé）告警，保证在数量繁多的用户访问数据库的情况下行（háng）为能够进（jìn）行审计（jì）。动态口令认证系统确保网（wǎng）上交易系统用（yòng）户帐户（hù）和口令的密（mì）码保护（hù），形成（chéng）"双因素"强身（shēn）份认证（zhèng）。

日志收集和（hé）分析（统（tǒng）一日志审计（jì）平台）：

在金（jīn）融行业各个监（jiān）督管（guǎn）理机（jī）构下发的（de）政策法规（guī）文件中，日志统一收集、分析（xī）和保存（cún）是必不（bú）可少的一项重（chóng）点（diǎn）要求，系（xì）统日志保存（cún）期限（xiàn）按照风险等级不同来区分，至少（shǎo）不得 少于一年，采用统一（yī）日志审（shěn）计平台能够满足各种法规（guī）政策（cè）的要求（qiú），制定相关（guān）策略（luè）和流程，管理所有生产（chǎn）系统的活动日（rì）志，以（yǐ）支（zhī）持有（yǒu）效的审（shěn）核、安全取证分（fèn）析（xī）和预防（fáng）欺诈。

不同（tóng）平台和品牌的（de）存储之间协同（tóng）优化（虚拟存储系统）：

客户在构建数据存储系统的时候（hòu）如（rú）果采（cǎi）用了（le）异（yì）构的部署方式，系统中会出现不同平台和（hé）品牌的存（cún）储（chǔ）服务（wù）器，使用起来会造成很大的不便，采用虚拟存储系统（tǒng）可以把各种基（jī）于NAS协议（yì）的存储服务进行（háng）虚拟化管理，实现无缝（féng）数据（jù）迁移、存（cún）储负载均衡和（hé）异（yì）构部署等多（duō）种优化功能。