一、需（xū）求（qiú）背景分析：  

        金融系（xì）统构成复（fù）杂（zá），其信息（xī）资产设备种类与数量（liàng）众多，使（shǐ）得对设备的安全管理与漏洞发现工作较为困（kùn）难，一旦有恶意分子通（tōng）过某信息设备的漏洞入侵进系统内（nèi）部，极有（yǒu）可（kě）能造成严重损失。

        西安瑞（ruì）天信息安全技术有限公司网站安全监测运营服务针对安全事件提供（gòng）：监控、分析、预警、响应与处理的（de）全过程，为用户提供切实可行的（de）服务解决方案。

二（èr）、行业现状：

金融行业客户出于信息业务安全和维护等多方面考虑，一般都会自己搭建（jiàn）数据中心，因此随着银行、证券行业业务量火热发展，信息安全风（fēng）险也随（suí）之（zhī）增大，业务（wù）访（fǎng）问效率同时（shí）也变成了网络和应用（yòng）管理员最头疼的话题。

商（shāng）业银行客户的业务系统一般包括核心应用（yòng）系统、网上银行（háng）系统（tǒng）、办公系统、监控系统、认证系统等；证券基金客（kè）户的业务系统包括网（wǎng）上交易查询系统、银行结算系统、办公系统和（hé）门户（hù）网站等；保险行业客（kè）户业务系统包括（kuò）CRM系（xì）统（tǒng）、核（hé）心业（yè）务系统、保单管理系（xì）统、财务系（xì）统等。各（gè）类不同的行业客户在信息（xī）系统建设和使用过程中都（dōu）会遇到诸如物（wù）理层、网络架（jià）构（gòu）、终端和操作（zuò）系统、应（yīng）用系统、核（hé）心业务数（shù）据等多方（fāng）面（miàn）的安（ān）全和优化问题，因此我（wǒ）们的（de）方案主要针对以上各个方面。

三、解决方案（àn）：

网络攻（gōng）击及入侵（入侵防御系统（tǒng）防护）：

当银（yín）行系统遇（yù）到（dào）互联网的（de）非法攻击和入侵的时候，势（shì）必对网上应用（yòng）和交易系统产（chǎn）生影（yǐng）响，造成访问效（xiào）率下降、网（wǎng）络拥堵等（děng）状（zhuàng）况（kuàng），采用主动式入（rù）侵（qīn）防御系统利用（yòng）高可（kě）靠识（shí）别攻（gōng）击，精确判断（duàn）入侵及攻击行为并（bìng）作出相应的反应来（lái）解决客户遇到的上述问（wèn）题（tí）。

链路负载（zǎi）均（jun1）衡（多链（liàn）路控制器（qì））：

为（wéi）了（le）避免出现链路单点故障，保证链（liàn）路接入（rù）的（de）高可用性（xìng），银行系统一般采用不（bú）同运（yùn）营商的多（duō）条（tiáo）链路接入（rù），采用链路负载均衡（héng）产品（pǐn），把访问外网（wǎng）资源的（de）内网用户（hù）按（àn）照要（yào）求（qiú） 负载均衡到两（liǎng）条链（liàn）路，任何一条链路出现故障，都能够实时发（fā）现，自（zì）动把请（qǐng）求转发至正（zhèng）常的（de）链路；同时把访问内网（wǎng）资源的用户自动导向到访问质量最优的（de）链路，并实 时监控链（liàn）路的状态，如果某一链路出现故障（zhàng），自（zì）动切（qiē）换到（dào）其他正常（cháng）链（liàn）路。

安全区域（yù）划（huá）分和隔离（防火墙）：

客户在数据中（zhōng）心根据不同的（de）安全（quán）级别划分出不同的访问区域，不同的区（qū）域之间互（hù）相访问（wèn）需（xū）要通过安全设（shè）备进行隔离，根（gēn）据（jù）不同（tóng）的安全级别设定策略（luè）进行（háng）访（fǎng）问（wèn）控制，通过多（duō）种（zhǒng）检测机制，发现攻击流量，实时进行（háng）阻断，提高应用系统的安全性。

互联网流量管（guǎn）理（lǐ）和优（yōu）化（全（quán）局流量控制器、Web加（jiā）速器（qì））：

客户开展（zhǎn）电子商务和（hé）网上（shàng）交（jiāo）易业务，需要考虑客户端（duān）采用不同接入方式和终端种类，因此通过采用全局（jú）流量管理设备对（duì）处在不同地（dì）理位置和运营商接（jiē）入的终端用户选择（zé）服务效率最佳（jiā）的数（shù）据（jù）中心（xīn），采用（yòng）Web加速设备利用数（shù）据流量优（yōu）化加速的手（shǒu）段提高访问速度，确保客户满意度的（de）提升（shēng）。

移动办公接入（SSLVPN网关）：

客户为加强远程（chéng）办公终端的（de）安全性和易用性，采用SSLVPN的接入方式（shì），利用（yòng）对客（kè）户端安全（quán）检查、灵活（huó）定制访问策略和权限的技（jì）术手（shǒu）段，满足移动（dòng）办公用户接入数（shù）据中（zhōng）心（xīn）简单方便。

服务器负载均衡、应用优（yōu）化（本地流量管理器）：

由于网（wǎng）上交易系统都采用 SSL 加密的方式，对于如何卸载服务（wù）器在处理 SSL 加解（jiě）密方面（miàn）的压（yā）力，在不影响服务器性能的前提（tí）下，对数据（jù）进行加（jiā）解密就变成了一个（gè）重要的话题，使用本地流量管理器，把大量用户的请求平（píng）均分（fèn）发到多台服（fú）务器（qì）上面（miàn），同时能够对数据进行 SSL 加（jiā）速，卸载服务器处理 SSL 加解密的压力。在站（zhàn）点之（zhī）内，负载均衡产（chǎn）品能够同时对 Web 前置服务器、应用服（fú）务器、数据库服务器、缓存服（fú）务器等（děng）多种服（fú）务器进行负载均衡。

各类应用安全防护（hù）（WEB应用（yòng）安全网关、数据库安全审（shěn）计、动态口令认证系统）：

客户在数据（jù）中心的建设过程中最重要的就是核心（xīn）业（yè）务系统，它包含（hán）了至关重要的应用系统服务器和核心（xīn）数据（jù），在核（hé）心业务系统中一般采用三层部署的标（biāo）准架构，Web服务（wù）器、应用服务器、数据库，因此（cǐ）各类服务器的安（ān）全防护是客户最（zuì）关（guān）心（xīn）的（de）重点，建议采用Web应（yīng）用安（ān）全网关对Web服务（wù）器进行安全保护，避免（miǎn）针对（duì）服务器应（yīng）用层（céng）和源代码攻击的风险，采用数据库（kù）安（ān）全审计平台对各类（lèi）数据库操（cāo）作，数（shù）据表调用和修改的动作进行审计和告警，保证在数量（liàng）繁（fán）多（duō）的用户（hù）访问数据库的情况下行（háng）为能够进行审计（jì）。动态口令认证系（xì）统（tǒng）确保网上交易系统用户帐户和口令（lìng）的密码保（bǎo）护，形成（chéng）"双因素"强身份认证（zhèng）。

日志（zhì）收集和分析（统一日志审（shěn）计平台）：

在（zài）金融（róng）行业各个监（jiān）督管（guǎn）理机构下发的政策法规文件（jiàn）中，日志（zhì）统一收（shōu）集、分析和保存（cún）是必不可少的一（yī）项重点（diǎn）要（yào）求，系统日志保存（cún）期限按照风（fēng）险等级不同（tóng）来（lái）区分，至少（shǎo）不（bú）得 少于一年，采（cǎi）用统一日志审计（jì）平台能够满足（zú）各种法规（guī）政策的要求，制（zhì）定相关策略和流程，管理（lǐ）所（suǒ）有（yǒu）生产系统的活动日志，以支持有效的（de）审核（hé）、安全取证（zhèng）分（fèn）析（xī）和（hé）预防欺（qī）诈。

不同平台（tái）和品牌（pái）的存储之间协同优（yōu）化（虚（xū）拟存储系统（tǒng））：

客户在构建数据存储（chǔ）系统的时候如果采用了异构的（de）部（bù）署方式，系统中会出现不（bú）同平台和（hé）品（pǐn）牌的存储服务器，使用起来会造成很大的不便（biàn），采用虚拟存储系统可以把各种基于NAS协议的存储服务进行虚拟化管理，实现无缝数（shù）据迁移、存储负（fù）载均（jun1）衡和异构（gòu）部署等多种优化功（gōng）能。