一、需求背景分析：  

        金融（róng）系统构（gòu）成（chéng）复杂，其信息（xī）资产设备种类（lèi）与数量众多，使得对设备的安全管理与（yǔ）漏洞发（fā）现工作较为困难（nán），一旦有恶意分子通过某信息设（shè）备的漏洞入侵进系统内部，极（jí）有（yǒu）可能造（zào）成严（yán）重损失（shī）。

        西安qy球友会和瑞天信息安全技（jì）术有限公司网站安（ān）全监（jiān）测运营服务（wù）针对安（ān）全（quán）事件提供（gòng）：监控、分（fèn）析、预警、响应与处理的全过程，为（wéi）用户提供切实（shí）可行的服务解决方（fāng）案。

二、行业现状（zhuàng）：

金融行业客（kè）户出于（yú）信息业务安全和维护等多方（fāng）面考虑，一般都会自己（jǐ）搭建数据中心（xīn），因此随着银行、证券行业（yè）业务量火热发展，信息安全风险也随之增（zēng）大，业务访问效率同时也变成了网（wǎng）络和应用管理员最头疼的话题。

商业银（yín）行客户的业务系统一般包括核心应用（yòng）系统、网上银行系统、办（bàn）公系（xì）统、监（jiān）控系统、认证系统等；证（zhèng）券基金客户的业务系统包括（kuò）网上（shàng）交易查（chá）询系统、银行结算系统、办公系统和门户网站等；保险行业客户业务系统（tǒng）包括CRM系（xì）统、核心（xīn）业（yè）务系（xì）统、保单管理系统、财务系统等。各类不同的行业客户在（zài）信息（xī）系统（tǒng）建（jiàn）设和使用过程（chéng）中（zhōng）都（dōu）会遇（yù）到诸如物（wù）理层、网络架构、终端（duān）和（hé）操作系统、应用系统、核心业务数（shù）据等多方面的（de）安全和优化问题，因此我们的方案主要针对以上各个方面（miàn）。

三、解决方案：

网络（luò）攻击及入侵（入侵防御系统防护）：

当银行（háng）系统遇到互联网的非法攻击和入侵的（de）时候，势必对（duì）网上应用和交易系统产生（shēng）影响，造成访问效（xiào）率下降、网络拥堵等（děng）状（zhuàng）况，采用（yòng）主（zhǔ）动式入侵防御系统利用高可靠识别攻击，精确判断入（rù）侵及（jí）攻击（jī）行为（wéi）并作（zuò）出相（xiàng）应的（de）反（fǎn）应来解决客户（hù）遇到的上述（shù）问题。

链（liàn）路负载（zǎi）均（jun1）衡（héng）（多链路（lù）控制器）：

为了避免（miǎn）出现链路单点故障（zhàng），保证链路接入的高可用性，银（yín）行（háng）系统一般（bān）采用不同运营商（shāng）的多条链路接入，采用链路负载均衡（héng）产品，把访问外网资源的内网用户按照（zhào）要（yào）求（qiú） 负（fù）载均衡（héng）到（dào）两条链路，任何一条（tiáo）链路（lù）出现故障，都能够（gòu）实（shí）时发现，自动把请（qǐng）求转（zhuǎn）发至（zhì）正常的链路；同时把（bǎ）访问内网资源的用户自动导向到访问（wèn）质量最优的链路，并实 时监控（kòng）链路的（de）状态，如果某一链路出现故障（zhàng），自动切换到其他（tā）正常链路（lù）。

安全区域划分（fèn）和隔离（防火（huǒ）墙）：

客户在数（shù）据中心根（gēn）据不（bú）同的安全（quán）级别（bié）划（huá）分出不同（tóng）的访问区域，不（bú）同的区（qū）域之（zhī）间互相访问需（xū）要通过（guò）安全设备（bèi）进行（háng）隔离，根（gēn）据不同的安全（quán）级别设（shè）定（dìng）策略进行访问控制，通过多种检测（cè）机制，发现攻击（jī）流量，实时进行阻断，提高应用系统的安全性（xìng）。

互联（lián）网（wǎng）流量管理和优化（全局流量控制器（qì）、Web加速器）：

客户开展电子（zǐ）商务和（hé）网上交易业务，需要考（kǎo）虑客户端采用不（bú）同接入方式（shì）和终（zhōng）端（duān）种类，因此（cǐ）通过采用（yòng）全局流量管理设（shè）备对处在不同地理位置和运营商接入的终端（duān）用户选择服务效率最佳的数据中心，采用Web加（jiā）速设备利用数据流量优化加速的手段（duàn）提高访问速度（dù），确保客户满（mǎn）意（yì）度的提升。

移动办公接入（SSLVPN网（wǎng）关）：

客户为加（jiā）强远程办公终端的安全性和（hé）易（yì）用性，采用SSLVPN的接入（rù）方式，利用对客（kè）户端安全检查、灵活定制访问策略和（hé）权限（xiàn）的（de）技术（shù）手段，满足移动办公用户（hù）接入数据中（zhōng）心简单（dān）方便。

服务器负载（zǎi）均衡、应用优化（本地流（liú）量管理器（qì））：

由于网（wǎng）上交易系统都采用 SSL 加密（mì）的方（fāng）式，对于如何卸载服（fú）务器在处理 SSL 加解密方面的（de）压力，在不影（yǐng）响服（fú）务器性能的前（qián）提（tí）下，对数据进行加解密就变（biàn）成了一个重要的话题，使用本地流量管（guǎn）理（lǐ）器，把大量用户的请（qǐng）求（qiú）平均分发到多台服务（wù）器上面，同（tóng）时能够对数据进行（háng） SSL 加速，卸载服务（wù）器处理 SSL 加解（jiě）密的压力。在（zài）站点（diǎn）之内，负载均衡（héng）产品能够同（tóng）时对 Web 前置服务器、应用服务器、数据库服务（wù）器、缓存（cún）服（fú）务器等多种服务器进（jìn）行负载均衡。

各类应用安全（quán）防（fáng）护（WEB应用安全网关、数据（jù）库安全（quán）审计、动态口令认证系统）：

客户（hù）在数据中（zhōng）心的建设过程中最重要的就是（shì）核心业（yè）务系统，它（tā）包含了至关重要的（de）应用系统服务器和（hé）核心（xīn）数据（jù），在核心业务系统中（zhōng）一般采用三层（céng）部署的标准架构，Web服务器、应用服务器、数据库，因（yīn）此各类服（fú）务器的安全防护是客户最关心的重点，建议（yì）采用Web应（yīng）用安全网关对Web服务器（qì）进行安（ān）全保（bǎo）护（hù），避（bì）免（miǎn）针对服务器应用层和源（yuán）代码攻（gōng）击的（de）风险，采用数据库安全审（shěn）计平台对各类数据（jù）库操作，数据表调用和修改的动作进行审计和（hé）告警（jǐng），保证（zhèng）在数量繁多的用户访（fǎng）问数据库的情况下（xià）行（háng）为能够进行审计（jì）。动（dòng）态口令认证系统确保网上交（jiāo）易系统用户（hù）帐户（hù）和口令的密码保护，形成"双因（yīn）素（sù）"强身份认证。

日志收集和分析（统一日志审（shěn）计平台）：

在金融行业各个（gè）监督管理机构下发的政策法规文件（jiàn）中（zhōng），日志统一收集、分析（xī）和（hé）保存是必不可少的一项重点（diǎn）要求（qiú），系统日志保存期限（xiàn）按照（zhào）风险等级不（bú）同来区分，至少（shǎo）不得（dé） 少于一年（nián），采用统一（yī）日志审计平台能够满足各种（zhǒng）法规政（zhèng）策的（de）要求（qiú），制定相关策略和流（liú）程，管理所有（yǒu）生产系统的活动日志，以支持有效的审核、安全取证分析（xī）和（hé）预（yù）防欺（qī）诈。

不（bú）同平台和品牌（pái）的存储之间（jiān）协同（tóng）优化（虚拟（nǐ）存储系统（tǒng））：

客户在构建数（shù）据存（cún）储系统的时候如果采用了异构的部署（shǔ）方（fāng）式，系统中会出现不同平台和品牌的存储服务器，使（shǐ）用起来会造成很大的不便，采用（yòng）虚拟存储系（xì）统可以把各种基于（yú）NAS协议的存储服务（wù）进行虚（xū）拟化管（guǎn）理，实现无缝数据迁移、存储负载均衡和（hé）异构部（bù）署等（děng）多种（zhǒng）优化功能（néng）。