一（yī）、需求背（bèi）景分析（xī）：  

        金融系（xì）统构成复杂，其信息（xī）资产设备（bèi）种类与数（shù）量众多（duō），使得（dé）对设（shè）备的安全管理（lǐ）与漏洞发（fā）现工作较为（wéi）困难，一旦有恶意分子通过某信息（xī）设备的漏洞入侵进系统内部，极（jí）有可能造成（chéng）严重损失（shī）。

        西（xī）安瑞（ruì）天信息安全技术有限公司网站安全监测运营（yíng）服务针对安全事件（jiàn）提供：监控、分析（xī）、预警、响应与处理的（de）全过程，为用户提供切实可行的（de）服务解决方案。

二、行业现状：

金融行业（yè）客户出于信息业务安全和维（wéi）护等多方面（miàn）考虑，一般都会自（zì）己搭（dā）建数据（jù）中心，因此随着银行、证券（quàn）行业业务（wù）量（liàng）火热发展，信息安全（quán）风险也随之增（zēng）大，业（yè）务访问效率同（tóng）时（shí）也变（biàn）成了（le）网络和应用管理员最头疼（téng）的话题。

商业银（yín）行客户的（de）业务（wù）系统一（yī）般包括核心（xīn）应用系统、网上银（yín）行系（xì）统、办公（gōng）系统、监控系（xì）统、认证系统（tǒng）等（děng）；证券基金（jīn）客户的业务系统包括网上（shàng）交易查询系统、银（yín）行结算系统、办公系统和门户网站等；保（bǎo）险（xiǎn）行业客户业务（wù）系（xì）统（tǒng）包括CRM系统、核心业务（wù）系统（tǒng）、保单管理（lǐ）系统、财务系（xì）统（tǒng）等（děng）。各类不同（tóng）的行业客户在信息系统建设和使用过程（chéng）中都（dōu）会（huì）遇到诸如物理层、网络架构、终端和操作（zuò）系统、应（yīng）用系统（tǒng）、核心业（yè）务数据等多方面的安全和优化问题，因此我们的方案主要针对以上（shàng）各个方面。

三、解决（jué）方案：

网络攻击及入侵（入（rù）侵防御系统防护）：

当银行系统遇到互（hù）联网的非法攻击和入侵的时候，势必（bì）对网上应（yīng）用和交易（yì）系统产（chǎn）生（shēng）影响，造（zào）成访问效（xiào）率（lǜ）下降、网络拥（yōng）堵等状况，采用主动式入侵防（fáng）御系（xì）统利用高可（kě）靠识别攻击，精确（què）判断（duàn）入侵（qīn）及攻击行为并作出相应的反应来解决（jué）客户遇到的上述（shù）问（wèn）题（tí）。

链路负载（zǎi）均（jun1）衡（多（duō）链路控制器）：

为了避免出现链（liàn）路单点故障，保证链（liàn）路接（jiē）入（rù）的（de）高可用性（xìng），银行系统一般采用（yòng）不同运营商的（de）多条链路接入（rù），采（cǎi）用（yòng）链（liàn）路负载均衡（héng）产（chǎn）品，把访问（wèn）外网资（zī）源的内网用户（hù）按照要（yào）求 负载均衡到两条链路，任何一（yī）条（tiáo）链（liàn）路出现故障，都能（néng）够实（shí）时发现，自动把请求转发至正常（cháng）的链路；同时把访问内（nèi）网资源的用户（hù）自动导向到访问质量最优的链路，并实 时监控链路的（de）状（zhuàng）态，如果某一链（liàn）路出现故障，自动切（qiē）换到其他（tā）正常链路。

安（ān）全区域划（huá）分和隔（gé）离（防（fáng）火墙）：

客户（hù）在（zài）数据中心根据不同的安全（quán）级别划分出不同的访（fǎng）问区域，不（bú）同的（de）区域之间互相（xiàng）访问需要通（tōng）过安（ān）全设备（bèi）进行隔离，根据不（bú）同的安全级别设定策略进行访问控制，通过（guò）多种检测机制，发现（xiàn）攻击（jī）流量，实时进行阻断，提高应用系统的安全性（xìng）。

互联网流量管理和优化（全局流量控制器、Web加速器）：

客户开展电子商务和（hé）网上交易业务（wù），需要考虑客户端采用（yòng）不（bú）同接（jiē）入（rù）方式和终端（duān）种类，因此通过（guò）采用全局流量管理（lǐ）设备（bèi）对处（chù）在不同地理（lǐ）位（wèi）置和运营商接入的终端用（yòng）户选择服（fú）务效率最佳的数据中心（xīn），采用（yòng）Web加速设备利用（yòng）数据流量优化加速（sù）的手段（duàn）提高访问速度，确保客户满意度（dù）的（de）提升（shēng）。

移动办公接入（rù）（SSLVPN网关（guān））：

客户（hù）为（wéi）加强远程办公终端（duān）的安全性和易用性，采用SSLVPN的接入方式，利用对客户端（duān）安全检查、灵活定（dìng）制（zhì）访问策略和权限的技（jì）术手段，满足移动办公用户（hù）接入数据中心简单（dān）方（fāng）便。

服务器（qì）负载（zǎi）均衡、应用优化（本地流量管理器）：

由（yóu）于网上交易系统（tǒng）都采用 SSL 加密（mì）的方（fāng）式，对于（yú）如何卸载服（fú）务器在处（chù）理 SSL 加解密方面的压力，在不影响服务器性能的前提下，对（duì）数据进行加解密就变（biàn）成（chéng）了（le）一个重要的话题，使用本地流量管（guǎn）理（lǐ）器，把大量用户（hù）的请求平均分发到多台服务器上面，同时能够对数（shù）据进（jìn）行 SSL 加速，卸载服（fú）务（wù）器处理 SSL 加解密（mì）的压（yā）力。在站点（diǎn）之内，负载（zǎi）均衡产品（pǐn）能够同时对 Web 前置服务器、应用服务器、数据（jù）库服务器（qì）、缓存服务器（qì）等多种服务器进行（háng）负载均衡（héng）。

各（gè）类应（yīng）用安全防（fáng）护（WEB应用安全网关、数据（jù）库安（ān）全审计（jì）、动态（tài）口令认证系统）：

客户在数（shù）据中心的建设（shè）过程中最（zuì）重要的就是核心业务系统，它包含了（le）至关重要的应用系统服（fú）务（wù）器和核心数（shù）据，在核心业务系（xì）统中一（yī）般采（cǎi）用三层（céng）部署的标准架构，Web服务器、应用服务器、数据（jù）库，因此（cǐ）各类服务器的（de）安全防护是客户最关（guān）心的重点，建（jiàn）议采（cǎi）用（yòng）Web应用安（ān）全网关对Web服务（wù）器进行安（ān）全保护，避免针（zhēn）对服务器应用层和（hé）源代码攻（gōng）击的风险，采用数（shù）据库安（ān）全审（shěn）计（jì）平台（tái）对（duì）各类数据库操作，数据表调用和修改（gǎi）的动作（zuò）进（jìn）行审计（jì）和（hé）告警，保证在数（shù）量（liàng）繁多的用户访问（wèn）数据库（kù）的情况下行为能够（gòu）进行（háng）审计。动（dòng）态（tài）口令认证系统确保网上（shàng）交易系统用户（hù）帐户和口令的密码保（bǎo）护，形成"双因（yīn）素"强身份认证。

日志收集和分析（统一日志审计平台（tái））：

在金（jīn）融（róng）行（háng）业各个监（jiān）督（dū）管理机（jī）构下发（fā）的政策法规文件中，日志统一收集、分析和保（bǎo）存是必不（bú）可少的一（yī）项重点要求，系（xì）统日志（zhì）保存期限按照风险等级不（bú）同来区分（fèn），至少（shǎo）不（bú）得 少于一年，采用统一日（rì）志审计平台能够满足各（gè）种法规政策的要（yào）求，制（zhì）定相关策略（luè）和流程（chéng），管理所有生产系统（tǒng）的活动日（rì）志，以（yǐ）支持（chí）有效的（de）审核、安（ān）全取证分析（xī）和预防（fáng）欺诈。

不同平台和品牌的存储之间协同优化（虚拟存储系统）：

客户在构建数据存储系（xì）统的时（shí）候如果采用了异构的部署方式，系统中会出现（xiàn）不同平（píng）台和品牌的存储服务（wù）器，使用（yòng）起来（lái）会造成（chéng）很大（dà）的不便，采用虚拟（nǐ）存储系（xì）统可以把各（gè）种基于NAS协议的存储服务进行虚拟化管理，实现无缝（féng）数（shù）据迁移、存储负载均（jun1）衡和异构部署等（děng）多种优化功能（néng）。