一、需求背景分析（xī）：  

        金（jīn）融系统构（gòu）成复杂，其信息资产设备种类与数量众多（duō），使得对设备的（de）安（ān）全（quán）管理与漏洞发现工作较为（wéi）困难，一旦有恶意分子通过某信息设备的漏洞入（rù）侵（qīn）进（jìn）系统内部，极有可能造成严重损失。

        西安众彩官网和瑞天（tiān）信息（xī）安全技术有限公司网站安全监测（cè）运营服务针对安全事件（jiàn）提供：监（jiān）控、分析、预（yù）警、响应与处理的全过程，为用户提（tí）供（gòng）切实（shí）可行（háng）的服务（wù）解决方案（àn）。

二、行业现状：

金融行业客户出于信息业务安全和维护等多方（fāng）面考虑（lǜ），一般都（dōu）会自己搭建数据中心，因此随着（zhe）银行、证券行业（yè）业（yè）务量火热发展，信（xìn）息安全（quán）风险（xiǎn）也随之增大，业务访问效（xiào）率同时也（yě）变成了网络和应用管理员最头疼的（de）话题。

商（shāng）业银行客户的业务系统一般包括（kuò）核心应（yīng）用系统、网上银行系统、办公系统、监控系统、认证（zhèng）系（xì）统等（děng）；证券基金客户的（de）业务系统包括网上交易（yì）查（chá）询系（xì）统、银（yín）行结算系统、办（bàn）公系统和门户网站等；保险行业（yè）客户业务系统包括CRM系统、核心业务系统、保单管理（lǐ）系统、财务系统（tǒng）等。各类（lèi）不同的行业客户（hù）在信息系统（tǒng）建（jiàn）设和使（shǐ）用过程中都会遇到诸如物理层、网络（luò）架构、终端和操作系统、应用系统、核心（xīn）业务数据等多方（fāng）面的安全和（hé）优（yōu）化问题，因此我们的方案主要针对以上各个方面。

三（sān）、解决方案：

网络攻击及入侵（入侵防御系统防护）：

当银行系统遇到互联网的非法攻（gōng）击和入侵（qīn）的时候，势必对网上应用和交易系统产生影响，造成访问效率下降（jiàng）、网络（luò）拥堵等状况，采用（yòng）主动式（shì）入侵防御（yù）系（xì）统利（lì）用高可靠识（shí）别攻击，精确判断入侵及攻（gōng）击行为（wéi）并作出相应（yīng）的反应来解决客户遇到的（de）上述问题。

链路（lù）负载均衡（多链路控制（zhì）器）：

为（wéi）了避免（miǎn）出现链路（lù）单点（diǎn）故障，保证链路接入的（de）高可用性，银行系统一（yī）般采用不同运营商（shāng）的多条（tiáo）链路接入，采用链路负载（zǎi）均衡产品，把（bǎ）访问外网资源的内网用户按照要求 负（fù）载均衡到两条链（liàn）路，任何一条链（liàn）路（lù）出现（xiàn）故障，都能够实时发现（xiàn），自动（dòng）把（bǎ）请求转发至正常的（de）链路（lù）；同时把访问内网资源的用（yòng）户（hù）自动导向到访问质量最优的链路，并实 时监（jiān）控链路的状态，如果某一链（liàn）路出现故障（zhàng），自动切换到其他正常链（liàn）路。

安（ān）全（quán）区域划分和（hé）隔离（防火墙）：

客户在数据中心根据不（bú）同的安全级（jí）别划分出不同的（de）访问区域，不同的区域之间互相访问需要通过（guò）安全设（shè）备进行（háng）隔离，根据不同的安（ān）全级别设定策略进行访（fǎng）问（wèn）控制，通（tōng）过多（duō）种检测机制，发现攻击（jī）流量，实时进行阻断，提高（gāo）应用系统的（de）安全性。

互（hù）联网流量管理和优化（全（quán）局（jú）流（liú）量控制器、Web加速器）：

客户开展（zhǎn）电子（zǐ）商务和（hé）网上交（jiāo）易业务，需要考虑客户端采用不同（tóng）接入方（fāng）式和终（zhōng）端种类，因此通（tōng）过采用全（quán）局流量管理设备对处在（zài）不同地（dì）理（lǐ）位置和运营商接（jiē）入的终端用户选择服务效率（lǜ）最佳的数据中心（xīn），采用Web加速（sù）设备利（lì）用数据流（liú）量优化加速的手段（duàn）提高访问速度（dù），确保客（kè）户（hù）满意度的（de）提升。

移动办公接（jiē）入（SSLVPN网关（guān））：

客户为加强远（yuǎn）程办公终端的安全性和易用性（xìng），采用SSLVPN的接（jiē）入方式，利用对客户端（duān）安全检查、灵活定（dìng）制访问（wèn）策略和权限的技术手（shǒu）段，满足移动办公（gōng）用户接入数据中心（xīn）简单方（fāng）便。

服务器负载均（jun1）衡、应用优（yōu）化（本地流量管理器）：

由于网上交易系统都采用 SSL 加密（mì）的（de）方式，对于如何卸载服务器在处理 SSL 加解（jiě）密方面的压力，在不影响服务（wù）器性（xìng）能的前提下，对数据（jù）进（jìn）行加解（jiě）密就变成（chéng）了一个重（chóng）要（yào）的话（huà）题（tí），使（shǐ）用本地流量（liàng）管理器（qì），把大（dà）量用（yòng）户的（de）请求平均分发（fā）到多（duō）台（tái）服务（wù）器上（shàng）面，同时能（néng）够对数据进行 SSL 加（jiā）速，卸载服务（wù）器处理 SSL 加（jiā）解密的压力。在站点之内，负载均衡产品能够（gòu）同时对 Web 前置服务器、应用服（fú）务（wù）器、数据库服务器、缓存（cún）服（fú）务器等（děng）多种服务器进（jìn）行负载均（jun1）衡（héng）。

各类应（yīng）用安全防（fáng）护（WEB应（yīng）用安（ān）全网关、数据库安全审计、动（dòng）态口令（lìng）认证系统）：

客户在数据（jù）中（zhōng）心（xīn）的建（jiàn）设过程中最重要的就是核心业（yè）务系统，它包含（hán）了（le）至关重要的应用系统服务器和核心数（shù）据，在核（hé）心业务（wù）系统中一般采用三层部署的标准架构，Web服（fú）务器、应（yīng）用服务器、数据库，因此各类服务器的（de）安全防（fáng）护是客（kè）户最关心的重点，建议采用Web应用安全网关对Web服务器进（jìn）行安全保护，避免针对（duì）服务器应用层和源代码攻击的（de）风险，采（cǎi）用数据库（kù）安（ān）全审计（jì）平台对各（gè）类数据库操作，数据表（biǎo）调用和修改的动作进行审计和告警（jǐng），保（bǎo）证在数量繁多的（de）用户访问数（shù）据库（kù）的情况下行（háng）为能够进行（háng）审计。动态口令认证（zhèng）系统确（què）保（bǎo）网上交（jiāo）易系统用户帐户和口令的密（mì）码保（bǎo）护，形成（chéng）"双因（yīn）素"强身（shēn）份（fèn）认证。

日志（zhì）收集和分析（统一日志审计平（píng）台）：

在金融行业各个监督管理（lǐ）机构下发的政策法（fǎ）规文件（jiàn）中，日志统一（yī）收集（jí）、分析（xī）和保存是必不（bú）可（kě）少（shǎo）的（de）一项重点要求，系统日志保存期限按照风（fēng）险等级（jí）不同来区分，至（zhì）少不得 少于（yú）一年，采（cǎi）用统一（yī）日志审（shěn）计平台（tái）能够满足各种法规政策的要求，制定（dìng）相关（guān）策略和流程，管理所有生产系统的活动日（rì）志，以支持有效的（de）审核、安全取证分析和预防欺诈。

不同平台和品牌的存储之间协（xié）同优化（虚拟存储系（xì）统）：

客户（hù）在构建数据存储系（xì）统的时候如果采用了异构的部署方（fāng）式，系统中会出现不同平台和品（pǐn）牌的（de）存储服务（wù）器，使用起来会造成很大的（de）不（bú）便，采（cǎi）用虚拟存（cún）储系统可以把各种基于NAS协议的存（cún）储服务进行虚拟化管理，实现（xiàn）无缝数据迁移（yí）、存储负载（zǎi）均衡和异（yì）构部（bù）署（shǔ）等多种（zhǒng）优化功能。