一、需求（qiú）背景分（fèn）析：  

        金融系统构成复杂，其（qí）信息资产设备种类与数量众多，使得对设备的安全管理与漏洞发现工作较为困难，一旦（dàn）有（yǒu）恶意分子（zǐ）通（tōng）过某（mǒu）信（xìn）息设备（bèi）的漏洞入侵（qīn）进（jìn）系统内部（bù），极（jí）有可（kě）能造成严重损失。

        西安乐鱼网页版登录入口和瑞天信息（xī）安（ān）全技术有限公司（sī）网站安全监测（cè）运营服务针对安（ān）全事件提供：监控、分析、预警、响应与处（chù）理的（de）全（quán）过（guò）程（chéng），为用户（hù）提（tí）供（gòng）切（qiē）实可行的服务解决方案。

二、行业（yè）现状：

金融行业客户（hù）出于信息业务安全和维护等多方面（miàn）考虑，一般都（dōu）会自己搭建（jiàn）数（shù）据中心（xīn），因此（cǐ）随着（zhe）银（yín）行（háng）、证券行业（yè）业务量火热发展，信息（xī）安（ān）全风（fēng）险也随之增大，业务访（fǎng）问效率同（tóng）时也变成了网（wǎng）络和应用管理员最头疼的话题。

商业银行客户的业务系统一般包括核心（xīn）应用系统（tǒng）、网上银行（háng）系统（tǒng）、办公系统、监控系统、认证系统等；证（zhèng）券基金客户的业务系统包括网上交易（yì）查询系统、银行（háng）结算（suàn）系统、办公系统（tǒng）和门户网站（zhàn）等（děng）；保险行（háng）业客户业务系统（tǒng）包括CRM系统、核心（xīn）业务系统、保单管理系统、财务系统等。各类（lèi）不同的行（háng）业客户在信息系统建设和使用过程中都会遇到诸如物理层、网（wǎng）络（luò）架（jià）构、终端和操作系统、应用系统、核心（xīn）业务数据等多（duō）方面（miàn）的安全和优（yōu）化问题（tí），因此我们的方案主要针（zhēn）对以上各个方面。

三、解决方案：

网络攻击及入（rù）侵（入侵防御系统防护）：

当银行系统遇到互联（lián）网的非法（fǎ）攻击和入侵（qīn）的（de）时候，势必对网上应用和交易系统（tǒng）产（chǎn）生影响，造（zào）成访（fǎng）问效率下降、网络拥（yōng）堵等状况，采用主动（dòng）式入侵（qīn）防御系统利用高可靠识别攻击，精确判断入侵及攻击行为并（bìng）作出相应（yīng）的反应来解决（jué）客户遇到（dào）的上述问题。

链（liàn）路负（fù）载均（jun1）衡（多（duō）链路控制器（qì））：

为了避免（miǎn）出现链路（lù）单点故障，保证链路接入的（de）高可用性（xìng），银行系统一（yī）般采用不同运营（yíng）商的多条链路（lù）接入，采用链路负载均衡（héng）产（chǎn）品，把访问（wèn）外网资（zī）源的内网用户按照要求 负载均衡到（dào）两条链路，任（rèn）何一条链路出现（xiàn）故（gù）障，都能够实时（shí）发现，自动把请求（qiú）转发至正常的链（liàn）路（lù）；同时把访问内网资（zī）源的（de）用户自动导向到访问质量最优的链路，并实 时（shí）监控链路（lù）的状态，如（rú）果（guǒ）某一链（liàn）路出现故障（zhàng），自动（dòng）切换到（dào）其他正常链路。

安（ān）全区域划分和隔离（防火墙）：

客户在数（shù）据中心根据不同的安全（quán）级别划（huá）分出不同的访问区域，不同的区（qū）域之间互相访问需（xū）要通过安全（quán）设（shè）备进（jìn）行隔离（lí），根据不（bú）同的安全（quán）级别设定策略进行访问控制，通过（guò）多种检测机制，发（fā）现攻击流量，实时进行阻断，提高应（yīng）用系（xì）统的安全（quán）性（xìng）。

互联网流量管理和优化（全局（jú）流（liú）量（liàng）控制器、Web加速器）：

客户开展（zhǎn）电（diàn）子商务和网上交易（yì）业务，需要考虑客户端采用不同接入方（fāng）式和终（zhōng）端（duān）种类（lèi），因（yīn）此通过（guò）采用全（quán）局（jú）流量管（guǎn）理设（shè）备对处在不同地理（lǐ）位置和（hé）运营商接入的终端用（yòng）户选择服务效率最佳的数据中心，采用Web加速设备利用数据流量优化加速的手段提高访问（wèn）速度，确保客户（hù）满（mǎn）意度的提（tí）升（shēng）。

移动办公接（jiē）入（SSLVPN网关）：

客户（hù）为加强远程办公终端的安全性和易用性，采用SSLVPN的接入方式，利用对客户（hù）端安全检查、灵活定制访问策略和权（quán）限（xiàn）的技术手段，满足移动办公用户接入数据（jù）中（zhōng）心简单方便。

服（fú）务器负载（zǎi）均衡、应用优化（本地流量管（guǎn）理器）：

由于网上（shàng）交（jiāo）易系统（tǒng）都采用 SSL 加密（mì）的方式，对于如何卸载服务（wù）器在处（chù）理 SSL 加解密方面的（de）压力，在不影（yǐng）响（xiǎng）服务器性能的前提下，对数据进行（háng）加解密就变成了一个重要的话题，使用（yòng）本地流量管（guǎn）理器，把大量用（yòng）户的（de）请求（qiú）平均分发到多（duō）台服（fú）务器上面，同（tóng）时能（néng）够对数据进行 SSL 加（jiā）速，卸（xiè）载服务（wù）器处理 SSL 加解密的压力。在站点之内，负载均衡产（chǎn）品能够同时对（duì） Web 前置服务（wù）器、应（yīng）用服务（wù）器、数据（jù）库服（fú）务器、缓存服务器（qì）等多（duō）种服务器进行负载均衡。

各类应用安（ān）全防护（hù）（WEB应用安全网关、数据库安（ān）全审计、动态口（kǒu）令认证系（xì）统）：

客户在数据中心的建设过程中最重要的（de）就（jiù）是核心业务系统（tǒng），它包含了至关重要（yào）的应用系统服（fú）务器和核心数据，在核心业（yè）务系统中一般采用三层部署的（de）标准架构（gòu），Web服务（wù）器、应用服务器、数据库，因此各类服务器的安（ān）全防护是（shì）客户最关心的重点，建（jiàn）议采用Web应用安全网（wǎng）关（guān）对Web服务器进行安全保护，避免针对（duì）服务器应（yīng）用层（céng）和源代码攻击的风险（xiǎn），采用数据库安全审（shěn）计（jì）平台对各（gè）类数据库操作，数据表调（diào）用和修改的动作进行审计和（hé）告警，保（bǎo）证在数量繁多的用户访问数据库的情况下行为（wéi）能够进（jìn）行审计。动（dòng）态口令认（rèn）证（zhèng）系统确保网上交易系统用户帐户和口令的密码（mǎ）保护，形（xíng）成"双因素"强身份（fèn）认证。

日（rì）志收集和分（fèn）析（统一日（rì）志审（shěn）计平（píng）台）：

在金融行业各（gè）个监（jiān）督管理机构下发的政策法规文件中（zhōng），日志统（tǒng）一收（shōu）集、分析和保存是必不可少的（de）一项重（chóng）点要求，系统日志（zhì）保存期限（xiàn）按照风险等级不同来区（qū）分，至少不得 少于一年，采用统一日（rì）志审计平台能够满足各种法（fǎ）规政策的要求，制定相关策略和流程，管理所有生产系（xì）统（tǒng）的（de）活动日志，以支持（chí）有效的审核、安全（quán）取证分析（xī）和预防欺诈（zhà）。

不同平（píng）台和（hé）品（pǐn）牌的存储之间协同优化（虚拟存储系（xì）统）：

客户在（zài）构（gòu）建（jiàn）数据存储系统的（de）时候如果采用了异构的部署方（fāng）式（shì），系统中会出现不同平台和品牌的（de）存储服务器（qì），使用起来会造成很大的不便，采（cǎi）用（yòng）虚（xū）拟存储系统可以把各种基于NAS协（xié）议的存储（chǔ）服务进行虚拟化管理，实现无缝数据迁移、存（cún）储负载（zǎi）均衡和（hé）异构部署（shǔ）等多种优化功能。