一、需求（qiú）背景分析：  

        金融系统构成复杂，其信息资（zī）产设备种类与数（shù）量众多（duō），使得对设备（bèi）的安全管（guǎn）理（lǐ）与漏洞发现（xiàn）工作较为困难，一旦有（yǒu）恶意分子通过某信息设备的漏洞入侵进系统内部，极有（yǒu）可能造（zào）成严重损失。

        西安瑞（ruì）天信息安全（quán）技术有限公司网站安（ān）全监测运营服务（wù）针对安全（quán）事件提（tí）供：监控、分析、预警、响应与处理的全过程，为（wéi）用户提供切实（shí）可行的服（fú）务解决（jué）方案。

二、行业（yè）现状：

金融行业客户出于信（xìn）息业（yè）务安全和（hé）维护等（děng）多方面（miàn）考虑，一般都会自己搭建数据中心，因此随着银（yín）行、证券行业业（yè）务量火热发展，信息安全风险也随之增大，业务访问效（xiào）率同时也变（biàn）成（chéng）了网络和（hé）应用管（guǎn）理员最头疼的（de）话题。

商业银行客户的业（yè）务系统（tǒng）一（yī）般包（bāo）括核心应用（yòng）系统、网（wǎng）上银行系统、办公系统（tǒng）、监控系统、认证系统（tǒng）等；证券基金客（kè）户的业（yè）务系统（tǒng）包括网上交易查询系统、银行（háng）结算系统、办（bàn）公系统（tǒng）和门户网站等；保险行业客户业务系统包括CRM系统（tǒng）、核心业务系统、保单管理系统、财（cái）务（wù）系统等。各类不同的（de）行业（yè）客户在信息系统建（jiàn）设和使用过（guò）程中都会遇到诸如（rú）物理层、网络架（jià）构、终端和操作（zuò）系（xì）统、应用系统、核心业务数据等多方面（miàn）的安全和优化问题，因此我（wǒ）们的方（fāng）案（àn）主要针（zhēn）对以上各个方面。

三、解决方案：

网络攻击及入侵（入（rù）侵防御系（xì）统防护）：

当银（yín）行系统遇到互联网的非法（fǎ）攻击和入侵的时候，势必对网（wǎng）上应（yīng）用（yòng）和交易系统产生影响，造成访问效率下降、网络拥堵等状况，采用主动式入侵防御系统利（lì）用高可靠识别攻（gōng）击，精确判断（duàn）入侵及攻击行为并作（zuò）出（chū）相（xiàng）应（yīng）的反应（yīng）来（lái）解（jiě）决客（kè）户遇到的上述（shù）问题。

链（liàn）路负载（zǎi）均衡（多链路控制器（qì））：

为了避免出现链路单点故障，保证（zhèng）链路接（jiē）入的高可用性，银行系统一般采用不同运营商（shāng）的多条链路接入，采（cǎi）用链路负载均衡产品，把访问外网资源的内（nèi）网用（yòng）户按照要求 负载均衡到两（liǎng）条链路，任何一条链路出现故（gù）障，都能够实时发现，自动把（bǎ）请求（qiú）转发至正常的链路；同时把访问内网资源（yuán）的（de）用户（hù）自动导向到访问质量最优的链路，并实 时监控（kòng）链路的状态，如果某一链路出现故障（zhàng），自动切换到其他正常链路。

安全区域划分和隔（gé）离（防（fáng）火墙）：

客户在数（shù）据中心根据不同的安全级别划分出不同的（de）访问区域，不同的区域之间互相访（fǎng）问（wèn）需要通过安全设（shè）备进（jìn）行隔离，根据不同的安全级别设定策略进行访问（wèn）控制，通过多种检测（cè）机制（zhì），发现攻击（jī）流（liú）量，实时进行阻断（duàn），提高（gāo）应用系统的安全（quán）性。

互联（lián）网流（liú）量（liàng）管理和优化（huà）（全局流量控制（zhì）器、Web加（jiā）速器（qì））：

客户开（kāi）展电子商务和网上（shàng）交易业务，需要考虑（lǜ）客户（hù）端采用不同接入方（fāng）式和终端种类，因此通过采用全（quán）局（jú）流量管理设备对处在不同地理位（wèi）置和运营（yíng）商接入的（de）终端用户（hù）选择服务效率最佳的数据中心，采用Web加速设备利用数据流（liú）量（liàng）优化加速（sù）的手段提（tí）高访问速度，确保（bǎo）客户满意度的提升。

移动办公接（jiē）入（rù）（SSLVPN网（wǎng）关）：

客户为加强远程办公终端的安全性（xìng）和易用（yòng）性，采用SSLVPN的接入（rù）方式，利（lì）用对（duì）客户端（duān）安全（quán）检查、灵活定制访问（wèn）策略和权（quán）限的技术手段，满足移（yí）动办公用户接入数据中心简单方便。

服务器（qì）负载均衡、应用优化（本（běn）地流量管理器）：

由于网上（shàng）交易系统都（dōu）采用 SSL 加密的方式，对（duì）于如何卸载（zǎi）服务器在处理（lǐ） SSL 加解密（mì）方面的压力，在（zài）不影响（xiǎng）服务器（qì）性能的前提（tí）下，对数据进行（háng）加（jiā）解密（mì）就变（biàn）成了一个重要的话（huà）题，使用本地流量（liàng）管（guǎn）理器，把大量用（yòng）户的（de）请求平均分发到多台服务器上面，同时能够对数据进行 SSL 加速，卸载（zǎi）服务器处（chù）理 SSL 加（jiā）解密的压力。在站点之内，负载均（jun1）衡产品能够（gòu）同（tóng）时对 Web 前置服（fú）务（wù）器、应用服务器、数（shù）据（jù）库服务器、缓（huǎn）存服务器等多种服务器进行负（fù）载均衡（héng）。

各类应用（yòng）安全（quán）防（fáng）护（hù）（WEB应用（yòng）安全网关（guān）、数据库安全（quán）审计、动态（tài）口令认证系统）：

客户在（zài）数据中心的建设过程中最重要的就是核心（xīn）业（yè）务系（xì）统，它包（bāo）含（hán）了至关重（chóng）要的应用系统（tǒng）服务器（qì）和核心数据（jù），在（zài）核心（xīn）业务（wù）系统中一般采用（yòng）三层部署的标准架（jià）构，Web服务器、应用服务器、数据库，因（yīn）此各类服务器的安全防护是客（kè）户最（zuì）关心的重点，建议采用Web应用安全网关（guān）对Web服务器进（jìn）行安全（quán）保护，避免针对服务器应用层和源代码攻击的风（fēng）险（xiǎn），采用数（shù）据库（kù）安全审计平台对各类数据库操（cāo）作，数据表调用和修（xiū）改的动作进行审计和告警，保证在数量繁多的用户访问（wèn）数据库的情（qíng）况下行为能够进行审（shěn）计。动态口令认证系统确（què）保网上交易系统用户帐（zhàng）户和口令的密（mì）码保（bǎo）护，形成"双因素"强身（shēn）份认（rèn）证。

日（rì）志收集和分析（xī）（统（tǒng）一（yī）日志审计平台）：

在金融行业各个监督管理机构（gòu）下发的政策法规文件中，日志统一收集、分析和保存是必不可少的（de）一项重点要求（qiú），系统日志保存（cún）期（qī）限按照风险（xiǎn）等级不同（tóng）来区分，至少不（bú）得 少于一年（nián），采用统一日志审计平台能够满足各种法规政（zhèng）策的要求，制定（dìng）相关策略（luè）和流程（chéng），管理所有生产系统的活动日志，以支持有（yǒu）效的审核（hé）、安全取证（zhèng）分（fèn）析和预防欺诈。

不同（tóng）平台（tái）和品牌的（de）存储之间协同优化（虚（xū）拟存（cún）储系统（tǒng））：

客户在（zài）构建数据存储系（xì）统的时候如果采用了（le）异构的部署（shǔ）方式（shì），系统中会（huì）出（chū）现（xiàn）不（bú）同平台和（hé）品牌的存储服（fú）务（wù）器（qì），使用起来会（huì）造成很大（dà）的不便，采用虚拟存（cún）储系统可以把各种（zhǒng）基于（yú）NAS协议（yì）的（de）存储服务进行虚（xū）拟化管理，实现无（wú）缝数据迁移、存储负载均衡和异构部署等多种（zhǒng）优化功（gōng）能。