一、需求背景分析：  

        金融系统构成复杂（zá），其信息资产设备（bèi）种类与数量（liàng）众多，使得对设备的（de）安全管理与漏洞发（fā）现工作较（jiào）为困（kùn）难，一旦有恶意分子通过某信息设备的漏洞入侵（qīn）进（jìn）系统内部，极有可能造成严（yán）重损失。

        西安乐鱼和瑞天信息安全技术有限公（gōng）司（sī）网站安全监测运营服务针对安全事件提供：监控、分析、预警、响应与处（chù）理（lǐ）的全过程，为（wéi）用户提供切实可行的服务解决方案。

二、行业现状：

金（jīn）融行业客户出于信息业务安全和维护等（děng）多方面考虑（lǜ），一般都会自（zì）己搭建数据中（zhōng）心，因此随（suí）着（zhe）银行、证券行业业务量火热发展，信息安全风险也随（suí）之增大，业务访问效率（lǜ）同时（shí）也变成了网络和应用管理员最头疼（téng）的话题。

商业银行客户的业务系统（tǒng）一般（bān）包括核心应用系统、网上银行系（xì）统、办公（gōng）系统、监控（kòng）系统（tǒng）、认证系统等；证券基（jī）金客户的（de）业务系统包（bāo）括网（wǎng）上交易查询系统、银行结算（suàn）系统、办公系统（tǒng）和门（mén）户（hù）网站等；保险行业客户（hù）业务系统包括CRM系统、核心业务系统、保单管（guǎn）理系统、财务系统等。各类不同的（de）行业客户在信息（xī）系统建（jiàn）设和使用过程中都会遇到诸如物理层、网络架构、终端（duān）和操作系统、应用系（xì）统（tǒng）、核心业务数据等多方面的安全和优化（huà）问题，因（yīn）此我们（men）的方案主要针对以上各（gè）个方面（miàn）。

三、解决方案：

网络（luò）攻击及入侵（入侵防御系统防护）：

当银行（háng）系统遇到互联网（wǎng）的非法攻击和入侵的（de）时候（hòu），势必对网（wǎng）上应（yīng）用和交易系统产生影响，造（zào）成（chéng）访问效率下降、网络拥堵等状况，采用主动式入（rù）侵防（fáng）御系统利用（yòng）高可靠识别攻击，精确（què）判断（duàn）入侵及攻击行（háng）为并（bìng）作出（chū）相应（yīng）的反应来解决客户遇（yù）到的上述问题。

链（liàn）路负载均衡（多链路（lù）控制器（qì））：

为了避免出（chū）现链路（lù）单（dān）点故障，保证链路接入的高可用性，银行系统（tǒng）一（yī）般采用不同运营（yíng）商的多条链路接（jiē）入，采（cǎi）用链路负载均衡产品，把访问外网资源的内（nèi）网用户按（àn）照要求 负载均衡到两条（tiáo）链（liàn）路（lù），任何一条链路出现故（gù）障（zhàng），都能够实时发现，自动把请求转发至正（zhèng）常的链（liàn）路；同时把访问内（nèi）网（wǎng）资源的（de）用户自动导向到访问质（zhì）量最优的链路（lù），并实 时监（jiān）控链路的状态，如果某一链路出（chū）现故障，自（zì）动（dòng）切换到（dào）其（qí）他正常链路。

安全区（qū）域划分和（hé）隔离（防（fáng）火墙）：

客户在数据中（zhōng）心根（gēn）据不同的安全级别划分（fèn）出不同（tóng）的访（fǎng）问区（qū）域，不同的区（qū）域之间互（hù）相访问需要通过安全（quán）设备（bèi）进行隔（gé）离（lí），根据不同的安全级别设定策（cè）略进行访问控制，通（tōng）过多种检（jiǎn）测机制，发现攻击流量，实（shí）时（shí）进行阻断，提高（gāo）应用系统的安全（quán）性（xìng）。

互（hù）联（lián）网（wǎng）流（liú）量管理和优化（huà）（全（quán）局流量控制器、Web加速器）：

客户开（kāi）展电子商务和网（wǎng）上（shàng）交（jiāo）易业务，需要考虑客户端采用不同接入方式和终端种（zhǒng）类，因（yīn）此通过采用全局流量管理设备对处在不（bú）同地（dì）理位置和运营商（shāng）接（jiē）入（rù）的终端用户选择服务效率（lǜ）最佳的（de）数据中心（xīn），采用Web加速设备利（lì）用数据流（liú）量优化加速（sù）的手段提（tí）高访（fǎng）问速度，确保客户满意度的（de）提升（shēng）。

移动（dòng）办公接入（SSLVPN网关）：

客户为加强远程办公（gōng）终端（duān）的安全性和易用（yòng）性，采用SSLVPN的接入（rù）方式，利（lì）用（yòng）对客（kè）户端（duān）安全检查、灵（líng）活定制访问策略和权（quán）限（xiàn）的技术（shù）手（shǒu）段，满足（zú）移动办公用户接入数据（jù）中心简单方便。

服（fú）务器负载均衡、应用优化（本地流（liú）量管理器）：

由于网上（shàng）交易系统（tǒng）都（dōu）采用 SSL 加密的方式，对于如何卸载（zǎi）服务器在处理 SSL 加解（jiě）密方面的（de）压力，在不影响服务器性能的前提下，对数据进（jìn）行加解密（mì）就（jiù）变成了一个重要（yào）的话题，使用本地流量（liàng）管理器，把大量用户的请求平均分发到多台服务器上面，同时能够对数据进行 SSL 加（jiā）速，卸载（zǎi）服（fú）务器处理 SSL 加解密的压力（lì）。在（zài）站点之内，负载均衡产品能够同时（shí）对 Web 前（qián）置服务器、应用服务器、数据库服务器（qì）、缓存服务器等（děng）多种服务器进（jìn）行（háng）负载均衡。

各类（lèi）应用安全防护（WEB应用（yòng）安全网关、数（shù）据库安全审计、动态口令（lìng）认证系统）：

客户在数据中心的建设（shè）过程中最重（chóng）要的就（jiù）是核心业务系统，它（tā）包含了至关（guān）重要的应用系统服（fú）务器和（hé）核心数据，在核心业务系统中一般（bān）采用（yòng）三层部（bù）署的标准架构，Web服务器、应（yīng）用服务器（qì）、数据（jù）库，因此各（gè）类服（fú）务器的安全（quán）防护是客（kè）户最（zuì）关（guān）心的重（chóng）点，建议采用（yòng）Web应用安全（quán）网关对（duì）Web服（fú）务器进行安全保（bǎo）护，避免针（zhēn）对服务器应用层和源代码攻击的风（fēng）险（xiǎn），采用数据库安全审计平台对各类数据库操（cāo）作，数（shù）据表（biǎo）调用和修（xiū）改（gǎi）的动作进行审计和告警，保证（zhèng）在（zài）数量（liàng）繁（fán）多的用户访问数据（jù）库的情（qíng）况下行（háng）为（wéi）能够进行审（shěn）计。动态口（kǒu）令（lìng）认（rèn）证系统确保网上（shàng）交（jiāo）易系统（tǒng）用户帐户和口（kǒu）令的密码保（bǎo）护，形成"双因素"强（qiáng）身份认证。

日（rì）志收集和（hé）分析（统一（yī）日志审计平台）：

在金融行业各个（gè）监督管（guǎn）理机构下发的政策法规文件（jiàn）中，日（rì）志（zhì）统一收集、分析和保存是必不可少（shǎo）的一项重点要求（qiú），系统日志保存期限按照（zhào）风险（xiǎn）等级不同来区分，至少不得 少于一年，采用统一日志审计平（píng）台能够满足各（gè）种法规政策的要求，制定相关策略和流程（chéng），管理所有生（shēng）产（chǎn）系统的（de）活动日志，以支持（chí）有效（xiào）的审核、安全取证分析（xī）和（hé）预防欺诈。

不同平（píng）台（tái）和品（pǐn）牌的存储之（zhī）间协（xié）同优化（虚拟存储系统）：

客户（hù）在构建数据存储系统的时（shí）候如果（guǒ）采用了（le）异构的部署方式，系统中会出（chū）现不同平台和品牌的存储服（fú）务器（qì），使用起来会造成很（hěn）大的不便，采用虚拟存储（chǔ）系（xì）统（tǒng）可（kě）以（yǐ）把各种基于NAS协议的存储（chǔ）服（fú）务进行虚拟化（huà）管（guǎn）理，实（shí）现无缝数据迁移、存储负载均衡和异构部署等多种优化功能。