一、需（xū）求背景分析：  

        金融系统构成复杂，其信息资产设备（bèi）种类（lèi）与数量（liàng）众多，使得对设备的安全管理（lǐ）与漏洞发现工（gōng）作较为困（kùn）难（nán），一旦有恶意分子通过某信息设备的漏洞入侵进系统内部，极有可能造成严（yán）重损（sǔn）失。

        西（xī）安英国上市公司官网365和瑞天信（xìn）息安全技（jì）术有限公司（sī）网（wǎng）站安全监测运营服务针（zhēn）对（duì）安全事件提供：监控、分析、预警（jǐng）、响应与处理的（de）全过程（chéng），为用（yòng）户（hù）提供切实（shí）可行的服（fú）务解决方案。

二、行业现状：

金融行业客户出（chū）于信息业务安全和维护等多方面考虑，一般都会自（zì）己搭建（jiàn）数据中心，因此随（suí）着银行（háng）、证券行业业务量火热发展，信息安全（quán）风险（xiǎn）也（yě）随之增大，业（yè）务访问效率同时也变成了（le）网络和应用管理员（yuán）最头疼的话（huà）题。

商（shāng）业银行客户的业（yè）务（wù）系统一般包括核（hé）心应用系统（tǒng）、网上银行（háng）系统、办公系统、监控系统、认证系统等；证券基金（jīn）客户的业务系统包括网上（shàng）交易（yì）查询系统、银行结算（suàn）系统、办公系统和门（mén）户网站等；保险（xiǎn）行业客户业务系统（tǒng）包括CRM系（xì）统、核心（xīn）业（yè）务系统、保单管理系（xì）统、财务系统等。各类不（bú）同的行业客户在信息系统建设和使用过（guò）程中都会遇到诸（zhū）如物（wù）理层、网络架构、终端和（hé）操作（zuò）系统、应用（yòng）系统（tǒng）、核心业务数据等多方面（miàn）的安全和优化问题，因此我们（men）的方案主要针对以（yǐ）上各个方面（miàn）。

三、解决方案：

网络（luò）攻击及入侵（入侵（qīn）防御系统防护）：

当银（yín）行系统遇到互联网的非法攻击和（hé）入侵的时（shí）候，势必对网上应用和交易（yì）系统（tǒng）产生（shēng）影（yǐng）响，造成访（fǎng）问（wèn）效率下降、网络拥堵等状况（kuàng），采（cǎi）用主动式入（rù）侵防御系（xì）统利用（yòng）高可靠识别（bié）攻击，精确（què）判断入侵及攻击行（háng）为并作出相应的（de）反（fǎn）应来解决客户遇到的上述问题。

链（liàn）路负载均衡（多链路控制（zhì）器）：

为了（le）避免出现链（liàn）路单点故障，保证链路接入（rù）的高可用（yòng）性（xìng），银行系统一般采用（yòng）不同运营商的多（duō）条链路接入，采用链路负载（zǎi）均衡产（chǎn）品，把访问外网资（zī）源的内网用户（hù）按照要求 负载（zǎi）均衡（héng）到两条链路，任何（hé）一（yī）条链（liàn）路（lù）出现故障，都能够（gòu）实（shí）时发现，自（zì）动（dòng）把请求（qiú）转发至（zhì）正常的链路；同时把（bǎ）访（fǎng）问内网资源的用户自动导（dǎo）向到访问（wèn）质量最优的链（liàn）路，并实 时监控链路的状态，如果某一链路出现故障，自动切换到（dào）其他正（zhèng）常链（liàn）路。

安全区域划分和（hé）隔离（防火（huǒ）墙）：

客户在数据中心根据不同（tóng）的安全（quán）级别划（huá）分出不同的访问区（qū）域，不同的区域之间互相访（fǎng）问需要通过（guò）安全设备进行隔离（lí），根据不同的安全级别设定策略进（jìn）行访问（wèn）控制，通过多种检测机制（zhì），发现攻击流（liú）量，实时（shí）进（jìn）行阻断，提高应（yīng）用（yòng）系统的安全性。

互联网流量管理和优化（huà）（全局流量控制器、Web加速器）：

客户开展电子商务和（hé）网上交易业务，需（xū）要考（kǎo）虑客户端采（cǎi）用（yòng）不同接入（rù）方式和（hé）终端种类（lèi），因此通过采用全局流量管（guǎn）理设备对（duì）处（chù）在不同地（dì）理位置和运营（yíng）商接入的（de）终端用户选择服务（wù）效率（lǜ）最佳的数据（jù）中心，采用Web加速（sù）设备利用数据流（liú）量优化加速的手段提高访问速度（dù），确保（bǎo）客户满意度的提升。

移动办公接入（SSLVPN网关）：

客户为加强远（yuǎn）程办公（gōng）终端的（de）安全性和（hé）易用性，采（cǎi）用SSLVPN的接入方式（shì），利用对客户端安（ān）全检查、灵活定制访问策（cè）略（luè）和权限的（de）技术手段，满足（zú）移（yí）动办公用户接入数（shù）据中（zhōng）心（xīn）简（jiǎn）单方便。

服务器负载（zǎi）均衡、应用（yòng）优化（本地流量管理（lǐ）器）：

由于网上交易系统都采用 SSL 加密的方式，对于如何卸载服务器在处（chù）理 SSL 加解密方面（miàn）的压力，在不影响（xiǎng）服务器性能的前提下（xià），对数据进行加解密（mì）就（jiù）变成了一个重要的（de）话（huà）题，使用本地流量管（guǎn）理器，把大（dà）量用户的（de）请（qǐng）求平均分发到多台服务器上面，同时能够（gòu）对数据（jù）进行 SSL 加速，卸（xiè）载服务器（qì）处（chù）理 SSL 加解（jiě）密的压（yā）力。在站点之内，负（fù）载均衡产品能够（gòu）同时对（duì） Web 前置服务器、应用服务器、数（shù）据库服务器（qì）、缓（huǎn）存服（fú）务（wù）器等（děng）多（duō）种（zhǒng）服务器进行负载均衡。

各（gè）类应用安全防护（WEB应用安全网（wǎng）关（guān）、数据库（kù）安全审（shěn）计（jì）、动（dòng）态口（kǒu）令认证系统（tǒng））：

客户（hù）在（zài）数据（jù）中心的建设过程中最重要的就是核心（xīn）业务（wù）系统，它包含了至关重要的应用系统服务（wù）器（qì）和（hé）核心数据，在核（hé）心业（yè）务系统中（zhōng）一般采用三（sān）层（céng）部署的标准架构，Web服务器、应用（yòng）服务器、数据库，因此各类服务器（qì）的安全防（fáng）护是客户（hù）最关（guān）心的重点，建议采用Web应用安（ān）全（quán）网关（guān）对（duì）Web服务器进行安（ān）全保（bǎo）护，避免针对服务器（qì）应用（yòng）层和（hé）源（yuán）代码攻击的风险，采（cǎi）用数据（jù）库安全（quán）审（shěn）计平台对各（gè）类数据库（kù）操作，数据表调用和修改的动（dòng）作（zuò）进行（háng）审计（jì）和告警（jǐng），保（bǎo）证（zhèng）在数量繁多的用户访问数据库的情况下行为能够（gòu）进行审计。动态口令认（rèn）证系（xì）统确保网上交易系统（tǒng）用（yòng）户帐（zhàng）户和口令（lìng）的（de）密码保护，形成"双因素"强身份认（rèn）证。

日志收集和分析（统一日志审计平台）：

在（zài）金融行业各个监督管理机构下发的政策（cè）法规文件（jiàn）中，日志统（tǒng）一收集、分析和保存（cún）是必不可少（shǎo）的一项（xiàng）重点要求，系（xì）统日志保存期（qī）限按照（zhào）风险等级（jí）不同来区（qū）分，至少不得 少（shǎo）于一年（nián），采用统（tǒng）一（yī）日志审计平台能够满足各种法（fǎ）规政策的（de）要求，制定相关策略和流程（chéng），管（guǎn）理所（suǒ）有生产系（xì）统的活动日（rì）志（zhì），以支持（chí）有效的审（shěn）核、安全取（qǔ）证（zhèng）分析和预防（fáng）欺诈。

不同平台和（hé）品（pǐn）牌的存储之（zhī）间协同优化（虚（xū）拟存储系统）：

客（kè）户在（zài）构建数据存储（chǔ）系统的（de）时候如果采用了异构的部署方式，系统中会出现不（bú）同平台和品牌的存储服务器，使用起来会（huì）造（zào）成很大的不便，采用（yòng）虚（xū）拟存储系（xì）统可以把各种基于NAS协（xié）议的存（cún）储服（fú）务进行虚（xū）拟化管理，实现无缝数据迁移、存储负载均衡和异构部署（shǔ）等多种优化（huà）功（gōng）能。