一、需求背（bèi）景分析：  

        金融系统构成复杂（zá），其信息资产设备种类与数量众多，使（shǐ）得对设（shè）备的安全管理与漏洞发现（xiàn）工作较为困难，一旦有恶意分子（zǐ）通过某信息设备的漏洞入（rù）侵进（jìn）系统内部，极有可能（néng）造成严（yán）重损失。

        西安luck18新利和瑞天信息安全技（jì）术有限公（gōng）司网站安全监测（cè）运营服务（wù）针对安全事件（jiàn）提供：监控、分析、预警（jǐng）、响应与处理的全过程，为用（yòng）户提供切实可（kě）行的服务解决方案。

二、行业现状：

金融行业客户（hù）出于信息业（yè）务（wù）安（ān）全和维护等多方（fāng）面（miàn）考虑，一般都会自（zì）己搭建数（shù）据中（zhōng）心，因此随着银行、证券行业业务量（liàng）火热发（fā）展，信息安全风险（xiǎn）也随（suí）之增（zēng）大，业务访（fǎng）问效率同时（shí）也变成了网络和应用管理员（yuán）最头疼（téng）的话题（tí）。

商业银行客户的业务系统一般包括核心应用系统、网上银行系统、办公系统（tǒng）、监控系统、认证系统等；证券基金客户的业务（wù）系统包括（kuò）网上（shàng）交易查询系（xì）统（tǒng）、银行结算系统（tǒng）、办公（gōng）系统（tǒng）和门（mén）户（hù）网站（zhàn）等；保险行业客户业务系（xì）统包括（kuò）CRM系统、核心业务系统、保单管理（lǐ）系统、财务系统等。各类（lèi）不同的行业（yè）客户在信息系统建设和使（shǐ）用过程中（zhōng）都会遇到诸如（rú）物理层、网络架构、终端和操作（zuò）系统、应用系统、核心业务数据等多方面的安全和优（yōu）化问题（tí），因此我（wǒ）们的方案（àn）主（zhǔ）要（yào）针对以上各个方面。

三（sān）、解决方案：

网络攻（gōng）击（jī）及入侵（入侵（qīn）防（fáng）御系统防护（hù））：

当银行系统遇（yù）到互（hù）联网的非法攻（gōng）击和入侵的时候，势必对网上（shàng）应用和交（jiāo）易（yì）系统产生影响（xiǎng），造成访问（wèn）效率下降、网络拥堵等状况（kuàng），采（cǎi）用主动式入侵防御系统利（lì）用高（gāo）可靠识别攻击，精（jīng）确判（pàn）断入侵（qīn）及攻击行为（wéi）并作出相应（yīng）的（de）反应来解决（jué）客户遇到（dào）的上述问题。

链路负载（zǎi）均衡（多（duō）链路控制器（qì））：

为了（le）避免出（chū）现链路单点故障，保证链路（lù）接入的高（gāo）可用性（xìng），银行系统一般采用不同运营商的（de）多条链路接入，采用（yòng）链路负载均衡（héng）产品，把访（fǎng）问外网资源（yuán）的内（nèi）网用（yòng）户（hù）按照要求 负载均衡到两（liǎng）条（tiáo）链路，任何（hé）一条链路出现故障，都能够（gòu）实时发现，自动（dòng）把请求转发至正常的链（liàn）路（lù）；同时把访问内网资源的用户自动导（dǎo）向到访问质量最优（yōu）的链路，并实 时监控链路（lù）的状（zhuàng）态（tài），如果（guǒ）某一链路出现（xiàn）故（gù）障，自动切换到其他正常链路。

安全区域划分和隔（gé）离（lí）（防火墙）：

客户（hù）在数据中心根据不同的安全级别划（huá）分出不同（tóng）的访问（wèn）区域，不（bú）同的区域（yù）之（zhī）间互（hù）相访问（wèn）需要通（tōng）过安全设（shè）备进行隔（gé）离（lí），根据不同的（de）安全（quán）级别设定策略进行访（fǎng）问控（kòng）制，通过多（duō）种检测机制，发现攻击（jī）流（liú）量，实（shí）时进（jìn）行阻断，提高应（yīng）用系统的（de）安全性。

互联（lián）网流量管理和优化（全局流量控制器、Web加速器）：

客户开展电子商务和网上交易（yì）业务，需要（yào）考虑客（kè）户（hù）端（duān）采用不同接入（rù）方式和终端种类，因（yīn）此（cǐ）通过采用（yòng）全局流（liú）量管理（lǐ）设备对（duì）处在不同地（dì）理位置和运（yùn）营商接入的终端用户选择服（fú）务效率最佳的数据（jù）中心（xīn），采用Web加（jiā）速设备利用数据流量（liàng）优化加速的手段提高访问（wèn）速度，确（què）保客户满意（yì）度的提升（shēng）。

移动办公接入（SSLVPN网关）：

客户（hù）为加（jiā）强远程办公终端的安（ān）全性和易用（yòng）性，采用SSLVPN的（de）接入（rù）方式（shì），利用对客户端安全检查、灵活（huó）定制访问策略和（hé）权限的技术手（shǒu）段，满足移动办公用户（hù）接入数据中心简单（dān）方便。

服务器（qì）负载均衡（héng）、应用优化（本地流量管理器）：

由于网（wǎng）上交易系统都采用 SSL 加密（mì）的方式，对于如（rú）何卸载服（fú）务器在（zài）处理 SSL 加（jiā）解密方（fāng）面的（de）压力，在不影响服（fú）务器性能的（de）前提下，对数据进行加解密就变成（chéng）了一个重要的话题，使用（yòng）本地流量（liàng）管理器，把（bǎ）大量用户的（de）请求平均（jun1）分发到多（duō）台服务器上面，同（tóng）时（shí）能够对（duì）数（shù）据进行 SSL 加速，卸载服务器（qì）处理 SSL 加（jiā）解密的（de）压力。在站点之内，负载均衡产品能够同时对 Web 前置（zhì）服务器、应用服务器、数据库服务（wù）器、缓存服务器等多种（zhǒng）服务器进行负载均（jun1）衡（héng）。

各类应用安全防（fáng）护（WEB应用安（ān）全网关（guān）、数据库安全审计、动（dòng）态口令认证系统）：

客户在数据中（zhōng）心的建设过程中最（zuì）重（chóng）要的就是核心业（yè）务系统，它包（bāo）含了至（zhì）关重要的应用（yòng）系（xì）统服务器和核心数据（jù），在核（hé）心业务系统中一（yī）般采用三（sān）层部署（shǔ）的标准架构，Web服务器、应用服务器、数（shù）据库（kù），因此各类服务器的安全防护是客户最关心的重点，建议采用Web应（yīng）用安全网关对Web服务器（qì）进行（háng）安全保护，避免针对服务器应用层和源代（dài）码攻击的风险，采用数据（jù）库安全审计平台对各（gè）类数据库操（cāo）作，数据表调用和修（xiū）改的动作进行审计和告警（jǐng），保证在数量繁多的用户访问数据（jù）库的情（qíng）况下行为能够进行审计。动（dòng）态（tài）口（kǒu）令认（rèn）证系统确保网上（shàng）交易（yì）系统用户帐（zhàng）户和口令（lìng）的（de）密码保护，形成"双因素"强身份认证（zhèng）。

日志收集和分析（统一日志审（shěn）计（jì）平（píng）台）：

在金融（róng）行业各个监督（dū）管理机构（gòu）下发的政策法规文件中，日志统一（yī）收集、分析和保存是必不（bú）可少的（de）一（yī）项重点要（yào）求，系（xì）统日志保存期（qī）限（xiàn）按照风险等（děng）级不（bú）同来区分，至（zhì）少不得 少于一年，采用统一日（rì）志审计平台能够（gòu）满足各（gè）种法规政策（cè）的要求，制定相关策略和流（liú）程，管理所有（yǒu）生产系统的活动日（rì）志，以（yǐ）支持（chí）有效的（de）审核、安全取证（zhèng）分析和预防（fáng）欺诈。

不同平台和（hé）品（pǐn）牌的（de）存（cún）储之间协（xié）同优化（huà）（虚拟存储系统）：

客（kè）户在构（gòu）建数据（jù）存储系统的时候如（rú）果采用了异构的部署方式，系统中会出现不同平台和品牌（pái）的存储（chǔ）服务器，使用起（qǐ）来会造成（chéng）很大的（de）不（bú）便，采用虚拟存（cún）储（chǔ）系统（tǒng）可以（yǐ）把各（gè）种基于NAS协议的存（cún）储服务进（jìn）行（háng）虚拟化（huà）管理，实现无缝数据迁移、存储负载均衡和异构部（bù）署等多（duō）种优化功能（néng）。