一（yī）、需求背景分析：  

        金融系统构（gòu）成复杂，其信息资产（chǎn）设（shè）备种类与数（shù）量众多，使得对设备的安（ān）全管理与漏洞（dòng）发现工作较为困难，一（yī）旦有恶意分（fèn）子通过（guò）某信（xìn）息设备的漏洞入侵进系统内部（bù），极有可能造成严重损失。

        西安（ān）易游和瑞天信息安全（quán）技术有限（xiàn）公司（sī）网站安全（quán）监测运营服务针对安全事件提（tí）供：监控、分析、预警、响应与处理（lǐ）的全（quán）过程（chéng），为用户提供切实（shí）可行的服务解决方案。

二（èr）、行业现状：

金融行业客户出于信息（xī）业务安全和维护等多（duō）方面考虑（lǜ），一（yī）般都（dōu）会自（zì）己搭（dā）建数据中心（xīn），因此随（suí）着银行、证券行业（yè）业（yè）务量火热发展，信息（xī）安全风（fēng）险也（yě）随之增大，业务（wù）访问效率同时也变成了网络和应（yīng）用管理（lǐ）员最（zuì）头疼的话题。

商业银行客户的业务系统一（yī）般包括核心应用系统、网上银（yín）行系统、办（bàn）公系统、监控系（xì）统、认证系统等；证（zhèng）券基金客户的业务系（xì）统包括网上交易查询系统、银行结算系统、办公系统和门户网站等（děng）；保险（xiǎn）行（háng）业客户业务系统（tǒng）包括CRM系统、核心业务（wù）系统、保单管理系统、财务系统等。各类不同（tóng）的行（háng）业客户（hù）在信息系（xì）统建设（shè）和使（shǐ）用过（guò）程（chéng）中都会遇到（dào）诸如（rú）物理层、网络架（jià）构、终（zhōng）端和操作系统（tǒng）、应用系统、核心业务数据等多（duō）方面的安全和（hé）优化（huà）问题，因此我们的方案主要针对以上各（gè）个方面。

三、解决方案：

网络攻击及入侵（入侵（qīn）防御系统防（fáng）护）：

当银行（háng）系统（tǒng）遇到互（hù）联网的非法（fǎ）攻击和入侵的时候（hòu），势必对网上应用和交易系统产（chǎn）生影（yǐng）响（xiǎng），造成访问效率下降、网络拥堵等状况，采用主动（dòng）式入（rù）侵防御系统利（lì）用高可靠识别攻击，精确（què）判断入侵（qīn）及攻击行为并作出（chū）相应的反应来解决客户遇到（dào）的上述问题。

链路负载均衡（多链（liàn）路控制器）：

为（wéi）了避免出现链（liàn）路单点故障，保证（zhèng）链路接入的高可（kě）用性，银（yín）行系统一般（bān）采用（yòng）不同运营商（shāng）的多条链路接入，采用（yòng）链路负载均衡产品，把访问（wèn）外（wài）网资源（yuán）的内网用户按照要求 负载（zǎi）均衡到两条链路（lù），任何一（yī）条链路出现故障，都能够实时发现（xiàn），自动把请求（qiú）转发至正（zhèng）常的链（liàn）路（lù）；同时把（bǎ）访问内网（wǎng）资源（yuán）的用户自动导向到访问质量最（zuì）优的（de）链路，并实（shí） 时监（jiān）控链路的状态，如（rú）果某（mǒu）一链路出现故（gù）障，自动切换到其他正常链路（lù）。

安全区域划分和隔离（lí）（防火墙）：

客户（hù）在（zài）数据中心根据不同（tóng）的（de）安全级别划分出不同的访问区域，不同的区域之间互相访问需要（yào）通过安全设备进行隔离，根据不同的安全级别（bié）设定（dìng）策略进行访问控制，通（tōng）过多种检（jiǎn）测机制，发现攻击流（liú）量，实时进行阻断，提高应用（yòng）系统的安全（quán）性。

互联网流量管（guǎn）理和优化（全局流量控制器、Web加速器）：

客户开（kāi）展电子商（shāng）务和网上（shàng）交易业务，需要考虑客户端（duān）采用（yòng）不同接入方式和（hé）终端种类，因此通过采（cǎi）用全局流量管（guǎn）理（lǐ）设备（bèi）对处在不（bú）同地理位（wèi）置（zhì）和运营商接入的终（zhōng）端用户选（xuǎn）择服务效率最佳的数据中心，采用Web加速（sù）设（shè）备利用数据流量（liàng）优化加速的手（shǒu）段提高（gāo）访问速（sù）度，确保客户满意度的提升（shēng）。

移动办公接入（rù）（SSLVPN网（wǎng）关）：

客户为加强远（yuǎn）程办公终端的安全（quán）性和易用性，采（cǎi）用SSLVPN的接入方式，利用对客户端安全检查、灵活（huó）定制访问策略（luè）和权限的技术手段，满（mǎn）足移动办公用户接入（rù）数据中（zhōng）心简单方便。

服务器负载均衡、应用优（yōu）化（本地（dì）流（liú）量管理（lǐ）器）：

由（yóu）于网上交易系（xì）统都采用 SSL 加密的方式，对于如何卸载服（fú）务器在处理 SSL 加解密（mì）方面的（de）压力，在不影响服务器性能的前提下（xià），对数据进行加解密就变成了一个重要的话题，使用（yòng）本（běn）地流（liú）量管（guǎn）理器（qì），把大量用户的（de）请求平均（jun1）分发到多台（tái）服务器上面，同时能（néng）够对数据进行 SSL 加速，卸载（zǎi）服务器处（chù）理 SSL 加解密的压力。在站点之内，负载均衡产品（pǐn）能够同（tóng）时对 Web 前置服务器、应用服务器、数据库服务器、缓（huǎn）存服务（wù）器（qì）等多种服务器进行负（fù）载（zǎi）均（jun1）衡。

各类应用安全防（fáng）护（WEB应用安全网关、数据库安（ān）全审计、动态口令认（rèn）证系（xì）统）：

客户在数据中心的（de）建设过（guò）程（chéng）中最重要（yào）的就是核（hé）心业务系统（tǒng），它包含了至关重要的（de）应（yīng）用系统服务器和（hé）核心数据，在核（hé）心业务系统中（zhōng）一般采用三层部署的标准架构，Web服（fú）务器、应用服务器、数据（jù）库，因（yīn）此各（gè）类（lèi）服务器的安全防护是客户最关心的重点（diǎn），建议采用Web应用安全网关对Web服务器进行安全保护（hù），避免（miǎn）针对服务器（qì）应用层（céng）和源代码攻击的风险，采用数据库安全审（shěn）计平台对（duì）各类数据库操作，数据表调用和（hé）修（xiū）改的动作进行审计和告警，保（bǎo）证在（zài）数量繁多的用户访问（wèn）数据库的情况下行为能够进行审计。动态口令认证系统确（què）保网上交易系统用户帐户和（hé）口令的密码保护，形成"双因素（sù）"强身份认证。

日志收集和分析（统一（yī）日志审计平台）：

在（zài）金（jīn）融行业各个监督管理机（jī）构下发的政（zhèng）策法规文件中，日（rì）志统一收（shōu）集（jí）、分析和保存是必不可少的一项重点要求，系统日志保存期限按照（zhào）风险等级不（bú）同（tóng）来区分（fèn），至少不得 少于一（yī）年，采（cǎi）用统一日（rì）志审计（jì）平台能够满（mǎn）足各种（zhǒng）法规政策的要求，制定（dìng）相（xiàng）关策略（luè）和流程，管理所有（yǒu）生产（chǎn）系统的活动日（rì）志，以支持有效的审核、安全取证分析和预防欺诈。

不同平台和品牌的存储之间（jiān）协同优化（虚拟存储系统）：

客户（hù）在构建数据（jù）存储系统的时候如果采用了异构的部署方式，系统中（zhōng）会出现不同平台和品牌的存储（chǔ）服务器（qì），使用（yòng）起（qǐ）来会造成很大的不便（biàn），采用虚拟存储系统可以把各（gè）种基（jī）于（yú）NAS协议的存储服务进（jìn）行虚拟化管理，实现无缝数据迁移（yí）、存储负载（zǎi）均（jun1）衡和异构（gòu）部署等多种优化功能（néng）。