一、需(xū)求(qiú)背(bèi)景分析:
金融系统构成复杂,其信息资产设备种类(lèi)与数量众多,使得(dé)对设(shè)备的安全管理与漏洞发现工作较(jiào)为困难,一旦有恶意分子通过某信息设备的(de)漏洞入侵(qīn)进(jìn)系统内部(bù),极有可能造成(chéng)严(yán)重损失(shī)。
西安九游在线和瑞天信息(xī)安全技术有限公司网站(zhàn)安全监(jiān)测运营服务(wù)针对安全(quán)事(shì)件(jiàn)提(tí)供:监控、分(fèn)析(xī)、预(yù)警、响应与处理的全过(guò)程,为(wéi)用户提供切实(shí)可行的服务解决方(fāng)案。
二、行(háng)业现状(zhuàng):
金融行业客户出于(yú)信息业务安全和维护等多方面考虑,一般都会自己搭建数(shù)据中心,因此(cǐ)随着银(yín)行、证(zhèng)券(quàn)行业业务量火热发展,信息安全风险也随之增大,业(yè)务访问效率同时也变成了网络和应用管(guǎn)理员最(zuì)头疼的话(huà)题。
商业银行客户的(de)业务系统一般包括核心应(yīng)用系统、网上银行系统、办公系统、监控(kòng)系统、认证系统等;证券基(jī)金客(kè)户的业(yè)务(wù)系统包括网上(shàng)交易查询系统、银行结(jié)算系统、办公系统和门户网站等;保险行业客户业务系统包括CRM系统、核心业务系统(tǒng)、保单管理系统、财(cái)务系统等。各类不同的行业客(kè)户在信息系统建设和使用过程中都会遇到诸如物理层、网络架构、终端和操(cāo)作系统、应用系统(tǒng)、核心业务数(shù)据等(děng)多方面(miàn)的安全和优化(huà)问题(tí),因此(cǐ)我们的方案主要针对(duì)以上各个方面。
三、解决方案:
网(wǎng)络攻(gōng)击及入(rù)侵(入侵防御系统(tǒng)防护):
当(dāng)银行系统遇到互联网的非法攻击和入侵的时候,势必对网(wǎng)上应用(yòng)和(hé)交(jiāo)易系统产生影响,造(zào)成访问效率下降(jiàng)、网络拥堵等状况,采用主动式入侵防(fáng)御系统利用高可(kě)靠(kào)识别攻击(jī),精确判断入侵及攻击行为并作出相(xiàng)应的反应来(lái)解决客户遇到的上(shàng)述问题(tí)。
链路负载均衡(héng)(多链(liàn)路(lù)控制器):
为了避免出现链路单点故障,保证链路接入的高可用性,银(yín)行系统(tǒng)一般(bān)采(cǎi)用(yòng)不同运(yùn)营商的多条链路(lù)接入,采用(yòng)链路(lù)负载均(jun1)衡产品,把访问外网资源(yuán)的内(nèi)网用户按照要求 负载(zǎi)均衡到(dào)两条链(liàn)路(lù),任何一条链路(lù)出现故(gù)障,都能够(gòu)实(shí)时发(fā)现,自动把请(qǐng)求(qiú)转(zhuǎn)发至正(zhèng)常的链路;同时把(bǎ)访问(wèn)内网(wǎng)资源的用户自动导向到访问质量(liàng)最优的链路,并实(shí) 时(shí)监控(kòng)链(liàn)路的状态,如(rú)果某一链路(lù)出现故障,自动切换到其(qí)他正常链路。
安全(quán)区域划分和隔离(防火墙):
客户在数(shù)据中(zhōng)心根(gēn)据不同的(de)安全级别划分出不同的(de)访问区域,不同的区域之间(jiān)互相访问需要通过安全设(shè)备进行隔(gé)离,根据不同(tóng)的安全级别(bié)设定策略进(jìn)行访问(wèn)控制,通(tōng)过多种(zhǒng)检测机(jī)制(zhì),发现攻击流量,实(shí)时(shí)进(jìn)行阻(zǔ)断(duàn),提高(gāo)应用系统的安全性。
互(hù)联网(wǎng)流量管理(lǐ)和优化(全局流量控(kòng)制器、Web加速器(qì)):
客户开展电(diàn)子商务(wù)和(hé)网(wǎng)上交易业务,需要(yào)考虑客(kè)户端采用不同接入方式和终端种类,因此通过采(cǎi)用全(quán)局流量管(guǎn)理设备对处在(zài)不同(tóng)地理位置和运(yùn)营商接入的终端用户选择服务效率(lǜ)最(zuì)佳的数据中心,采用Web加速设备(bèi)利(lì)用数据流量优化(huà)加(jiā)速的手段提高(gāo)访问速度,确保客户满(mǎn)意度的提升。
移动办公接入(SSLVPN网关):
客户(hù)为(wéi)加(jiā)强远程办公终端的安全性和易用性,采用(yòng)SSLVPN的接入方式,利用对客户(hù)端安全检查、灵活定制访(fǎng)问策略和(hé)权限(xiàn)的(de)技术手段,满足(zú)移动办公用户接入数(shù)据(jù)中心简单方便(biàn)。
服务器负载(zǎi)均衡(héng)、应用优化(本(běn)地(dì)流量(liàng)管理器(qì)):
由于网上交易系统都采用 SSL 加密的方式,对于(yú)如何卸载服务器在处理 SSL 加解(jiě)密方面的压力,在不影响服务器性(xìng)能的前(qián)提下,对数(shù)据进行加解密就变成了(le)一个(gè)重要(yào)的话(huà)题,使(shǐ)用本地(dì)流量管理器,把大量用户的请求平均分(fèn)发到多台服务器上(shàng)面,同时能够对(duì)数据进行 SSL 加速,卸载(zǎi)服(fú)务器处理 SSL 加解密的压力。在站点(diǎn)之内,负载均衡产品能够同(tóng)时对(duì) Web 前置(zhì)服务器、应(yīng)用服(fú)务器、数(shù)据库服务器、缓(huǎn)存服务器等多种服务器进行负(fù)载均衡。
各类应(yīng)用安全防护(WEB应(yīng)用安全网关、数据库(kù)安(ān)全审(shěn)计、动态口令认(rèn)证系统):
客(kè)户(hù)在数据(jù)中心的建设过程中最(zuì)重(chóng)要的(de)就是(shì)核心业务系统,它(tā)包含了至关重要(yào)的应用系统服务器和核(hé)心数(shù)据,在核心业务系统(tǒng)中一般采用三层部署的标准架构,Web服务器、应用服务器、数据库,因此各类(lèi)服(fú)务器的安全防护(hù)是客(kè)户最关(guān)心(xīn)的重点,建议采用Web应用安全网关对Web服务器进行安全保护(hù),避免针对服务器应(yīng)用层(céng)和源代码攻击(jī)的风险,采用数据(jù)库安全审(shěn)计(jì)平台对各类数据库操作,数据表调用和修改的动作进行审(shěn)计和告警,保证(zhèng)在(zài)数(shù)量繁多的用户访问数据(jù)库的(de)情况下行(háng)为能(néng)够进(jìn)行审(shěn)计。动态口令认证(zhèng)系统确保(bǎo)网上交易系统用(yòng)户(hù)帐(zhàng)户(hù)和(hé)口令的密(mì)码保护,形成"双因素"强身份认证。
日志收集和分析(统一日志审计(jì)平台):
在(zài)金融行(háng)业各个监督管理机构下(xià)发的政(zhèng)策(cè)法规文件中,日(rì)志统一收集、分析和保(bǎo)存是(shì)必不可少的一项重点要求,系统(tǒng)日志保存期限按照风险等级不同来(lái)区分,至少不(bú)得 少(shǎo)于一年,采用统一日志审计平台(tái)能够满足各种法规政策的要求,制定相关策略(luè)和流程(chéng),管理(lǐ)所有生产系统的活动日志,以支持有效的审核(hé)、安全取证分(fèn)析和预防欺诈。
不同平台和品牌的存(cún)储之(zhī)间协同优(yōu)化(虚拟存储系统):
客户在构建数据存(cún)储系统的时候(hòu)如果采用了异(yì)构(gòu)的(de)部(bù)署方(fāng)式(shì),系统中会出现(xiàn)不同平台和(hé)品牌的(de)存储(chǔ)服务器,使用(yòng)起来会造成(chéng)很大的不(bú)便,采用虚拟存(cún)储系统(tǒng)可(kě)以把各种基于NAS协议(yì)的存储服务进行虚拟化管理,实现无缝数据迁移(yí)、存储负载均(jun1)衡和异构部署等(děng)多种(zhǒng)优化功能(néng)。
安全高效
全面监测
防护可靠
情(qíng)报及(jí)时(shí)