一、需求（qiú）背景分析（xī）：  

        金融系统构（gòu）成复杂，其信息（xī）资产（chǎn）设备种类与数量众多，使得对设备（bèi）的安全管理与（yǔ）漏洞发（fā）现（xiàn）工作较为困（kùn）难，一旦有恶意（yì）分子通过某（mǒu）信息设（shè）备的漏（lòu）洞入侵（qīn）进系统内部，极有可（kě）能造成严重损（sǔn）失（shī）。

        西安瑞（ruì）天信息安全技（jì）术有限公司网站安全（quán）监测运营服务针对（duì）安全事件提供（gòng）：监（jiān）控、分析、预警、响应（yīng）与（yǔ）处理（lǐ）的全过（guò）程，为用户提供切（qiē）实（shí）可行（háng）的（de）服务（wù）解（jiě）决方案。

二、行业现状（zhuàng）：

金融行（háng）业客户出于信息业务安全和维护（hù）等多方面考虑，一般都会自己搭建（jiàn）数据中心，因此随着银行、证（zhèng）券行业业务量火热（rè）发展，信息安全风险也随之增（zēng）大，业务访问效率同（tóng）时也变成（chéng）了网（wǎng）络和应用管（guǎn）理员最头疼的话题。

商业银行客户的业务系统一般（bān）包括核心应（yīng）用系统、网上银行（háng）系统、办公（gōng）系统、监控系统、认证（zhèng）系统等（děng）；证（zhèng）券基金客（kè）户的业务系统包（bāo）括网上交（jiāo）易查询系统、银行结算（suàn）系统、办公系统和（hé）门（mén）户（hù）网站（zhàn）等；保（bǎo）险（xiǎn）行业（yè）客户业务（wù）系（xì）统包括CRM系统、核（hé）心业务系（xì）统、保（bǎo）单管（guǎn）理系统、财务（wù）系统（tǒng）等。各类不同（tóng）的（de）行（háng）业（yè）客户（hù）在信（xìn）息系统建设和（hé）使用过程中（zhōng）都会遇到诸如物理层、网络架构、终（zhōng）端和操作系统、应用系统（tǒng）、核（hé）心业务数据等（děng）多方面的安全和优化问题，因此我们（men）的方案主要针对以上各个方面。

三、解决方案：

网（wǎng）络攻击（jī）及入侵（入侵防御系统防护）：

当银行系（xì）统遇到（dào）互联（lián）网的非法攻（gōng）击和入侵的时候，势（shì）必对网上应用和交易系统产生影响，造成访问（wèn）效（xiào）率（lǜ）下降、网络拥堵等状况，采（cǎi）用主动式入侵防（fáng）御系统利用高（gāo）可（kě）靠识别攻击，精（jīng）确判断入侵及攻击行（háng）为并（bìng）作出相应（yīng）的反应来解决客户遇到的（de）上述问（wèn）题。

链路负载均衡（多链（liàn）路控（kòng）制器）：

为（wéi）了避（bì）免出现（xiàn）链路单点故障，保证链路接（jiē）入的高可用性，银行（háng）系统一般采（cǎi）用不同运营商（shāng）的多条链路接入，采用链（liàn）路负载均衡产品，把访问外（wài）网资源的（de）内网用户（hù）按（àn）照要求 负载均衡到两（liǎng）条链（liàn）路，任何一条链（liàn）路出（chū）现故障，都能（néng）够实（shí）时发现，自动把请求转发至正常的链路；同时把访问（wèn）内网资源（yuán）的用户自（zì）动导向到访问质量最（zuì）优的（de）链路，并实 时监控（kòng）链路的状态，如（rú）果某一链路出（chū）现故（gù）障，自动切换到其他（tā）正常链（liàn）路。

安全区域划分（fèn）和隔离（防火墙）：

客户在（zài）数（shù）据（jù）中心根据不同的安全级别划分出不（bú）同的访问（wèn）区域，不（bú）同的区域之（zhī）间（jiān）互相访问需（xū）要通过安全（quán）设（shè）备（bèi）进（jìn）行隔离，根（gēn）据不同的安全级别设（shè）定策略进行访问控制，通过多种检测机（jī）制，发现攻击流量，实时（shí）进行阻（zǔ）断，提高（gāo）应用系统（tǒng）的安全性。

互联网流（liú）量管（guǎn）理和优化（huà）（全局流（liú）量控（kòng）制器、Web加速器（qì））：

客（kè）户开展电子商务和（hé）网上交（jiāo）易（yì）业务，需要考虑（lǜ）客户端采用不同接入（rù）方式（shì）和终端种类，因（yīn）此通过采用全局流量管（guǎn）理设备对处在（zài）不同地理位置和运营商接入的终端用户选择服务（wù）效率最（zuì）佳的数（shù）据中心，采用（yòng）Web加速设（shè）备利用（yòng）数据流量优化（huà）加速（sù）的手段提高访问速度，确保客户满意度的（de）提（tí）升。

移动办公（gōng）接入（rù）（SSLVPN网关）：

客户为（wéi）加强（qiáng）远程办（bàn）公（gōng）终端的安全性（xìng）和（hé）易用性（xìng），采用SSLVPN的接（jiē）入方式，利用（yòng）对客户（hù）端安全检（jiǎn）查、灵活定（dìng）制（zhì）访问策略和（hé）权限的技（jì）术（shù）手段，满足（zú）移动办（bàn）公用户接入数据（jù）中（zhōng）心简单（dān）方便。

服（fú）务器（qì）负（fù）载均衡、应用优化（huà）（本地流量（liàng）管理器）：

由于网上交（jiāo）易（yì）系统都采用 SSL 加密的方式，对（duì）于如何卸载服务器在处（chù）理 SSL 加解密（mì）方面（miàn）的压力，在不（bú）影（yǐng）响服务器（qì）性能的（de）前提下，对数（shù）据进行（háng）加解密（mì）就变成了（le）一个重要的话题，使（shǐ）用本地流量（liàng）管理器，把大量用户的请求平均（jun1）分（fèn）发（fā）到（dào）多台（tái）服务器（qì）上（shàng）面，同时能够（gòu）对数（shù）据进行 SSL 加速，卸载服务器处理 SSL 加解密的压力（lì）。在站点之内，负（fù）载均衡产（chǎn）品（pǐn）能够同时对 Web 前置（zhì）服务器、应用服（fú）务器、数（shù）据库服务器、缓存服务器等多种（zhǒng）服（fú）务（wù）器进行负载均衡。

各类应用安全防护（WEB应用安全网关（guān）、数据库安全审计、动（dòng）态口令认证系统）：

客户在（zài）数据（jù）中心的建设过程中最重要（yào）的就是核（hé）心业务（wù）系（xì）统，它（tā）包含了至关重要的应用系统服（fú）务器和（hé）核心数据，在核心业务系统中一般采用三层部（bù）署（shǔ）的标准架构，Web服务器、应用（yòng）服务器、数据库，因此各类服（fú）务（wù）器（qì）的安全防护（hù）是客户最关（guān）心（xīn）的重点，建议采（cǎi）用Web应（yīng）用安全网（wǎng）关对Web服务器进行安全保护，避免（miǎn）针对服务器应用（yòng）层和源（yuán）代码攻击的风险，采用数据库安全审计平台（tái）对各类数据库操作（zuò），数据表调用和（hé）修改的（de）动作进行审计和（hé）告警，保证在数量繁多的用户（hù）访问数（shù）据（jù）库的情况下（xià）行（háng）为能够进行审计。动（dòng）态口令（lìng）认证系统（tǒng）确保网上交易（yì）系统用户帐户和口令的密码保护，形（xíng）成（chéng）"双（shuāng）因（yīn）素"强身份（fèn）认证。

日志收集（jí）和分析（统一日志审（shěn）计平台（tái））：

在金融行业各个监督管理机（jī）构下发（fā）的（de）政策法规文件中，日志（zhì）统一收集、分析和保存是必不可少的一项重点要求，系统日志保（bǎo）存（cún）期限按（àn）照风险等（děng）级不同来区分，至少不得（dé） 少于一年，采用统一（yī）日（rì）志审计（jì）平台能够满足各种法规政策（cè）的要求，制定相关（guān）策略和流（liú）程（chéng），管理（lǐ）所有生产（chǎn）系（xì）统的（de）活动（dòng）日志，以支持有效（xiào）的审（shěn）核（hé）、安（ān）全取（qǔ）证（zhèng）分析和预防（fáng）欺诈（zhà）。

不同平（píng）台和品牌的存储（chǔ）之（zhī）间（jiān）协同优化（虚（xū）拟（nǐ）存储系统）：

客户（hù）在构建数（shù）据存储系统的时候（hòu）如果采用了异构的部署方（fāng）式，系（xì）统中会出现不同平台和品牌的存储服务（wù）器，使（shǐ）用（yòng）起来会造成很大的（de）不便（biàn），采用（yòng）虚拟存储（chǔ）系统可以把各种基于NAS协议的存储服务进行虚拟化管理，实现无缝数据迁移、存储负载均衡和异构部署等多（duō）种优化功能。