一、需求（qiú）背景分析：  

        金融系统构成复杂，其（qí）信息资产设（shè）备种类（lèi）与（yǔ）数（shù）量众多，使（shǐ）得对设备的（de）安全管理与漏洞发现工作较为困难（nán），一旦（dàn）有恶（è）意分子（zǐ）通过某信息设备的漏洞（dòng）入侵进系统内部，极有可能（néng）造成严重损失。

        西安瑞（ruì）天信息安（ān）全技术有限公（gōng）司网站安全监测（cè）运营服务针对安全事（shì）件提供：监控、分析、预警（jǐng）、响应（yīng）与处（chù）理的全（quán）过程，为用户提（tí）供切实（shí）可行的服务解决（jué）方案（àn）。

二、行业现状：

金融行业客户出于（yú）信息（xī）业务安全和维护等多方面考虑（lǜ），一般都会自己搭建（jiàn）数据中心，因此随着银行、证券行业（yè）业务量（liàng）火热发展，信息安全风险也随之增大，业务访（fǎng）问效率同（tóng）时也（yě）变成了网（wǎng）络和应（yīng）用（yòng）管理（lǐ）员最头疼的（de）话题（tí）。

商业银行客户的业务系统（tǒng）一般包括核心应用系统、网上银行系（xì）统、办公（gōng）系统、监控系统（tǒng）、认证（zhèng）系统（tǒng）等（děng）；证券基（jī）金客户的业务（wù）系统（tǒng）包括网上交易查询系统、银行结算（suàn）系统、办公系（xì）统（tǒng）和门户网站等；保险（xiǎn）行业客户业务系统包括CRM系统、核心业务系统、保单管理系统、财（cái）务系统等。各类不同的行业客户在信息系统建设和使用（yòng）过程中都（dōu）会遇到（dào）诸如物理层、网络架构（gòu）、终端和操作（zuò）系（xì）统、应用（yòng）系统、核心（xīn）业务数据（jù）等多方面的安全和优化问题，因此我们的方案主（zhǔ）要（yào）针对以（yǐ）上各（gè）个方面。

三、解决方案（àn）：

网络攻击及（jí）入侵（qīn）（入侵防御系统防护）：

当银行系统遇到互联网的非法攻（gōng）击和（hé）入侵的时（shí）候，势必对网上应（yīng）用和（hé）交易系统产生影响，造成访（fǎng）问效率下降、网（wǎng）络拥堵等（děng）状况，采用主动式入侵防御系统利用（yòng）高可靠（kào）识别（bié）攻击（jī），精（jīng）确判断入侵及（jí）攻击（jī）行为并（bìng）作出相应的（de）反应来解决客户遇到的上述问（wèn）题。

链（liàn）路负载均衡（多链（liàn）路控制器）：

为了避（bì）免出现（xiàn）链路（lù）单点（diǎn）故障，保证链路接入的高可用性（xìng），银行（háng）系统一般采用不同运营商的多条链（liàn）路接入，采用链路负载均衡产品（pǐn），把访问外（wài）网资（zī）源的（de）内（nèi）网用户按照要求（qiú） 负载均衡到两条链路，任（rèn）何一条链路出现故障，都能够实时发现，自动把请求转发至（zhì）正常（cháng）的链路（lù）；同时把访问内（nèi）网资（zī）源的用户自（zì）动（dòng）导向（xiàng）到（dào）访问质量最优的链路，并实 时监控链路的状态，如（rú）果（guǒ）某一链（liàn）路出现故障，自动切（qiē）换到其他正常链路。

安全（quán）区域划分和隔离（防火墙）：

客（kè）户在数据中心根据不（bú）同的安（ān）全级别（bié）划分出（chū）不同（tóng）的访问区域，不同的区（qū）域之间互相访问需要通（tōng）过安全设备进行隔离，根（gēn）据（jù）不同（tóng）的安全（quán）级别设定策（cè）略（luè）进行访（fǎng）问控（kòng）制（zhì），通过多（duō）种检测机制，发现（xiàn）攻击流量（liàng），实时进行阻断（duàn），提高应用系统（tǒng）的安全性。

互联网流量管理和优化（huà）（全局流量控制（zhì）器、Web加速（sù）器）：

客户（hù）开展电子商务和网（wǎng）上交易业务，需要考（kǎo）虑客户端采用（yòng）不（bú）同接入（rù）方式和终端种类，因（yīn）此通过（guò）采用全局流量管理设备对（duì）处在（zài）不同地理位置（zhì）和运营商接（jiē）入的（de）终端（duān）用户（hù）选择服务效率（lǜ）最佳的数（shù）据（jù）中（zhōng）心，采用Web加速设备利用数据流量优化加（jiā）速的手段提（tí）高访问速度，确保客户满意度（dù）的提（tí）升。

移（yí）动办公接入（SSLVPN网关）：

客户为加强远程（chéng）办公终端的安全性和易用（yòng）性，采（cǎi）用SSLVPN的接入方（fāng）式，利用对客户端安全检查（chá）、灵活定制访问（wèn）策略和权限的技术（shù）手段，满足移（yí）动办公用户（hù）接（jiē）入数据（jù）中（zhōng）心简单（dān）方（fāng）便。

服（fú）务器负载均衡、应用优化（本地流量管理器）：

由于网（wǎng）上交易系统都采用 SSL 加密的方式，对于如（rú）何卸载服务器在处理（lǐ） SSL 加（jiā）解密方面的（de）压力，在不影响（xiǎng）服务器性能的前提下，对数据进行加解密就变成了一（yī）个重要的话题，使（shǐ）用（yòng）本地流量（liàng）管理器，把大量（liàng）用户的请（qǐng）求平均分发到多台服务器上面（miàn），同（tóng）时（shí）能够（gòu）对数（shù）据进行 SSL 加速，卸载服务器（qì）处（chù）理 SSL 加解密的压力。在站点之内，负载均衡产品能够同时对 Web 前置服务器（qì）、应用服务器、数据（jù）库服务器、缓（huǎn）存服务器等多种服务（wù）器（qì）进行负（fù）载均衡。

各类应用安全防护（WEB应用（yòng）安（ān）全网关、数（shù）据库安（ān）全审计、动态口（kǒu）令认证系统）：

客户在数据（jù）中心的建设过程中最重要的就（jiù）是核心业务系统，它包含了至关重要的（de）应用系统服务器（qì）和核（hé）心数（shù）据，在核心业务系统中一（yī）般（bān）采用三层部署的标准架构，Web服务器、应（yīng）用服（fú）务（wù）器、数据库，因此各类服务器的（de）安全防护（hù）是客户最关心（xīn）的重点（diǎn），建议采用（yòng）Web应用安全网关对Web服务器进行安全（quán）保（bǎo）护，避（bì）免针对服务器（qì）应用层和源代码攻击的风险，采用数据库安全审计平台对（duì）各类数据库操作，数据（jù）表调用（yòng）和修改的动作进行审计和告警，保（bǎo）证在数量繁多的（de）用户访（fǎng）问数据（jù）库（kù）的情况下行为能够进行审计。动态口令认证（zhèng）系统确保网上交易系统（tǒng）用户帐户（hù）和口令的密码保护，形（xíng）成"双因（yīn）素"强身份认证。

日志收集和分析（统一日志审计平台（tái））：

在金（jīn）融行业（yè）各（gè）个监督管理（lǐ）机构（gòu）下（xià）发（fā）的政策法规文件（jiàn）中，日志（zhì）统一（yī）收集、分（fèn）析和保存（cún）是必不可少（shǎo）的一项重点要求（qiú），系统日志保存期限按照风险等级不同来区分，至少不得（dé） 少于一年，采用统一日志审计（jì）平台能够满足各（gè）种法规政策的（de）要求，制定相关策略和流程，管理所有（yǒu）生产系（xì）统的活动日志，以（yǐ）支持（chí）有（yǒu）效的审核、安全（quán）取证（zhèng）分析和预防欺（qī）诈。

不（bú）同平台和品牌（pái）的存储之间协同优化（虚拟存储系统）：

客户（hù）在构建数据存储系统的时候如果采用了异（yì）构的部署方式，系统中（zhōng）会出现不同平台和（hé）品牌的存储服务器，使用起（qǐ）来会（huì）造成很大（dà）的不便，采用虚拟存储系统可（kě）以把各种基于NAS协议的存（cún）储服务进行虚拟化管理，实现无（wú）缝数据迁移、存储负载（zǎi）均（jun1）衡和异构（gòu）部署等多种优（yōu）化功能（néng）。