金融行業(yè)按照客戶類型劃分可分為國有商業(yè)銀行(政策性商業(yè)銀行)、股份制商業(yè)銀行(大型股份制商業(yè)銀行、城市商業(yè)銀行、農(nóng)村信用社等)、證券、基金、期貨、保險(xiǎn)等，近年來為加強(qiáng)金融行業(yè)信息科技風(fēng)險(xiǎn)管理，各行業(yè)監(jiān)管機(jī)構(gòu)相繼出臺了針對信息科技安全的相關(guān)政策法規(guī)，如《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》、《證券公司網(wǎng)上證券信息系統(tǒng)技術(shù)指引》、《期貨公司信息技術(shù)管理指引》和《保險(xiǎn)公司信息化管理工作指引》，可以看出目前各個(gè)金融行業(yè)客戶對信息安全建設(shè)十分重視，紛紛加大信息科技管理方面的投入力度。

　　行業(yè)需求現(xiàn)狀

　　金融行業(yè)客戶出于信息業(yè)務(wù)安全和維護(hù)等多方面考慮，一般都會自己搭建數(shù)據(jù)中心，因此隨著銀行、證券行業(yè)業(yè)務(wù)量火熱發(fā)展，信息安全風(fēng)險(xiǎn)也隨之增大，業(yè)務(wù)訪問效率同時(shí)也變成了網(wǎng)絡(luò)和應(yīng)用管理員最頭疼的話題。

　　商業(yè)銀行客戶的業(yè)務(wù)系統(tǒng)一般包括核心應(yīng)用系統(tǒng)、網(wǎng)上銀行系統(tǒng)、辦公系統(tǒng)、監(jiān)控系統(tǒng)、認(rèn)證系統(tǒng)等;證券基金客戶的業(yè)務(wù)系統(tǒng)包括網(wǎng)上交易查詢系統(tǒng)、銀行結(jié)算系統(tǒng)、辦公系統(tǒng)和門戶網(wǎng)站等;保險(xiǎn)行業(yè)客戶業(yè)務(wù)系統(tǒng)包括CRM系統(tǒng)、核心業(yè)務(wù)系統(tǒng)、保單管理系統(tǒng)、財(cái)務(wù)系統(tǒng)等。各類不同的行業(yè)客戶在信息系統(tǒng)建設(shè)和使用過程中都會遇到諸如物理層、網(wǎng)絡(luò)架構(gòu)、終端和操作系統(tǒng)、應(yīng)用系統(tǒng)、核心業(yè)務(wù)數(shù)據(jù)等多方面的安全和優(yōu)化問題，因此我們的方案主要針對以上各個(gè)方面。

　　建議網(wǎng)絡(luò)解決方案：

　　金融行業(yè)信息安防解決方案

　　需求及方案要點(diǎn)：

　　網(wǎng)絡(luò)攻擊及入侵(入侵防御系統(tǒng)防護(hù))：當(dāng)銀行系統(tǒng)遇到互聯(lián)網(wǎng)的非法攻擊和入侵的時(shí)候，勢必對網(wǎng)上應(yīng)用和交易系統(tǒng)產(chǎn)生影響，造成訪問效率下降、網(wǎng)絡(luò)擁堵等狀況，采用主動式入侵防御系統(tǒng)利用高可靠識別攻擊，精確判斷入侵及攻擊行為并作出相應(yīng)的反應(yīng)來解決客戶遇到的上述問題。

　　鏈路負(fù)載均衡(多鏈路控制器)：為了避免出現(xiàn)鏈路單點(diǎn)故障，保證鏈路接入的高可用性，銀行系統(tǒng)一般采用不同運(yùn)營商的多條鏈路接入，采用鏈路負(fù)載均衡產(chǎn)品，把訪問外網(wǎng)資源的內(nèi)網(wǎng)用戶按照要求負(fù)載均衡到兩條鏈路，任何一條鏈路出現(xiàn)故障，都能夠?qū)崟r(shí)發(fā)現(xiàn)，自動把請求轉(zhuǎn)發(fā)至正常的鏈路;同時(shí)把訪問內(nèi)網(wǎng)資源的用戶自動導(dǎo)向到訪問質(zhì)量最優(yōu)的鏈路，并實(shí)時(shí)監(jiān)控鏈路的狀態(tài)，如果某一鏈路出現(xiàn)故障，自動切換到其他正常鏈路。

　　安全區(qū)域劃分和隔離(防火墻)：客戶在數(shù)據(jù)中心根據(jù)不同的安全級別劃分出不同的訪問區(qū)域，不同的區(qū)域之間互相訪問需要通過安全設(shè)備進(jìn)行隔離，根據(jù)不同的安全級別設(shè)定策略進(jìn)行訪問控制，通過多種檢測機(jī)制，發(fā)現(xiàn)攻擊流量，實(shí)時(shí)進(jìn)行阻斷，提高應(yīng)用系統(tǒng)的安全性。

　　互聯(lián)網(wǎng)流量管理和優(yōu)化(全局流量控制器、Web加速器)：客戶開展電子商務(wù)和網(wǎng)上交易業(yè)務(wù)，需要考慮客戶端采用不同接入方式和終端種類，因此通過采用全局流量管理設(shè)備對處在不同地理位置和運(yùn)營商接入的終端用戶選擇服務(wù)效率最佳的數(shù)據(jù)中心，采用Web加速設(shè)備利用數(shù)據(jù)流量優(yōu)化加速的手段提高訪問速度，確?？蛻魸M意度的提升。

　　移動辦公接入(SSLVPN網(wǎng)關(guān))：客戶為加強(qiáng)遠(yuǎn)程辦公終端的安全性和易用性，采用SSLVPN的接入方式，利用對客戶端安全檢查、靈活定制訪問策略和權(quán)限的技術(shù)手段，滿足移動辦公用戶接入數(shù)據(jù)中心簡單方便。

　　服務(wù)器負(fù)載均衡、應(yīng)用優(yōu)化(本地流量管理器)：由于網(wǎng)上交易系統(tǒng)都采用SSL加密的方式，對于如何卸載服務(wù)器在處理SSL加解密方面的壓力，在不影響服務(wù)器性能的前提下，對數(shù)據(jù)進(jìn)行加解密就變成了一個(gè)重要的話題，使用本地流量管理器，把大量用戶的請求平均分發(fā)到多臺服務(wù)器上面，同時(shí)能夠?qū)?shù)據(jù)進(jìn)行SSL加速，卸載服務(wù)器處理SSL加解密的壓力。在站點(diǎn)之內(nèi)，負(fù)載均衡產(chǎn)品能夠同時(shí)對Web前置服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、緩存服務(wù)器等多種服務(wù)器進(jìn)行負(fù)載均衡。

　　各類應(yīng)用安全防護(hù)(WEB防火墻、數(shù)據(jù)庫安全審計(jì)、動態(tài)口令認(rèn)證系統(tǒng))：客戶在數(shù)據(jù)中心的建設(shè)過程中最重要的就是核心業(yè)務(wù)系統(tǒng)，它包含了至關(guān)重要的應(yīng)用系統(tǒng)服務(wù)器和核心數(shù)據(jù)，在核心業(yè)務(wù)系統(tǒng)中一般采用三層部署的標(biāo)準(zhǔn)架構(gòu)，Web服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫，因此各類服務(wù)器的安全防護(hù)是客戶最關(guān)心的重點(diǎn)，建議采用Web防火墻對Web服務(wù)器進(jìn)行安全保護(hù)，避免針對服務(wù)器應(yīng)用層和源代碼攻擊的風(fēng)險(xiǎn)，采用數(shù)據(jù)庫安全審計(jì)平臺對各類數(shù)據(jù)庫操作，數(shù)據(jù)表調(diào)用和修改的動作進(jìn)行審計(jì)和告警，保證在數(shù)量繁多的用戶訪問數(shù)據(jù)庫的情況下行為能夠進(jìn)行審計(jì)。動態(tài)口令認(rèn)證系統(tǒng)確保網(wǎng)上交易系統(tǒng)用戶帳戶和口令的密碼保護(hù)，形成"雙因素"強(qiáng)身份認(rèn)證。

　　日志收集和分析(統(tǒng)一日志審計(jì)平臺)：在金融行業(yè)各個(gè)監(jiān)督管理機(jī)構(gòu)下發(fā)的政策法規(guī)文件中，日志統(tǒng)一收集、分析和保存是必不可少的一項(xiàng)重點(diǎn)要求，系統(tǒng)日志保存期限按照風(fēng)險(xiǎn)等級不同來區(qū)分，至少不得少于一年，采用統(tǒng)一日志審計(jì)平臺能夠滿足各種法規(guī)政策的要求，制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的活動日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。

　　不同平臺和品牌的存儲之間協(xié)同優(yōu)化(虛擬存儲系統(tǒng))：客戶在構(gòu)建數(shù)據(jù)存儲系統(tǒng)的時(shí)候如果采用了異構(gòu)的部署方式，系統(tǒng)中會出現(xiàn)不同平臺和品牌的存儲服務(wù)器，使用起來會造成很大的不便，采用虛擬存儲系統(tǒng)可以把各種基于NAS協(xié)議的存儲服務(wù)進(jìn)行虛擬化管理，實(shí)現(xiàn)無縫數(shù)據(jù)遷移、存儲負(fù)載均衡和異構(gòu)部署等多種優(yōu)化功能。