一（yī）、需求背景分析：  

        金融（róng）系统构成（chéng）复杂，其信息（xī）资产设备种类与数量众多，使得对设备的（de）安全管理与漏洞发现工作较为困（kùn）难，一（yī）旦有恶意分子通过某信息设备的漏洞入侵（qīn）进系统内部，极有可能造成严（yán）重（chóng）损失。

        西安欧洲杯下注和瑞天信（xìn）息（xī）安全技（jì）术有限（xiàn）公（gōng）司网站安（ān）全监测运营服（fú）务针（zhēn）对安全事件（jiàn）提供：监（jiān）控、分（fèn）析、预警（jǐng）、响应与处理的（de）全（quán）过程，为用（yòng）户（hù）提供切（qiē）实可行的（de）服务解决方案。

二、行业现（xiàn）状（zhuàng）：

金融行业客户出（chū）于信息业（yè）务安全和维（wéi）护等（děng）多方面考虑（lǜ），一般都会自己搭建数据中心，因此随着银行、证券行业业务（wù）量火热（rè）发展，信息安全风险也随（suí）之增（zēng）大，业务（wù）访问效率同时也变成了（le）网络和应用管（guǎn）理员（yuán）最头疼（téng）的话题。

商业银行客户（hù）的业（yè）务系统一（yī）般包括核心应用（yòng）系统、网上银行（háng）系统（tǒng）、办公系统、监控系统、认证系统等；证券基金客户的业务系统（tǒng）包括网上交易查（chá）询（xún）系统、银行结（jié）算系（xì）统（tǒng）、办（bàn）公系（xì）统和门户网（wǎng）站等；保险行业客（kè）户（hù）业务系统包括（kuò）CRM系统、核心业（yè）务系统、保单管理系（xì）统、财务（wù）系统等。各类不（bú）同的行业客户在信息系统建设和使用过程中都会遇到诸如物理层、网络架构、终端和（hé）操作系统、应用（yòng）系统、核心业务数据（jù）等多方（fāng）面（miàn）的安全和优化问题，因此我们的方案主要针对以上各个方面。

三、解决方案（àn）：

网络攻击及入侵（入侵防御系（xì）统防护（hù））：

当银行系统遇到（dào）互联网的非法攻击和入侵的（de）时候，势（shì）必（bì）对网上（shàng）应用和交易系统产生影（yǐng）响（xiǎng），造成访（fǎng）问效（xiào）率下降、网络拥堵（dǔ）等（děng）状况，采用（yòng）主动式入侵防御系统利用高可靠识（shí）别攻击，精（jīng）确判断入侵及攻击行（háng）为并作出相应的（de）反应来解决（jué）客（kè）户遇到（dào）的上述问（wèn）题。

链路负载（zǎi）均衡（多链路控制器）：

为了避免出现链路单点故（gù）障，保证链路接（jiē）入（rù）的高可用性，银行系统（tǒng）一般采用不（bú）同运营商的多条链（liàn）路接入，采（cǎi）用链路（lù）负载均衡产（chǎn）品，把（bǎ）访问外网资源的内网用户按照要求（qiú） 负载均衡到两（liǎng）条链路，任何（hé）一条链（liàn）路出（chū）现故障，都能够实时（shí）发现（xiàn），自动把请求转发（fā）至正常（cháng）的链路；同时把访问内（nèi）网资源（yuán）的用户自动导向到访问质量（liàng）最优的链（liàn）路，并实 时监控链路的状态，如（rú）果某一链路出现（xiàn）故（gù）障，自动切换到其（qí）他正常（cháng）链（liàn）路。

安全区域划分和隔离（防火墙（qiáng））：

客（kè）户在数（shù）据中心根据不（bú）同的安全级别（bié）划分出不同的访问（wèn）区域，不同（tóng）的（de）区域之间互相访问需要通过安全设备进行隔（gé）离，根（gēn）据不同的安全级别设定策略进（jìn）行访问（wèn）控制，通过多种检测机制（zhì），发（fā）现攻击流量，实时进行阻（zǔ）断（duàn），提高应用系统（tǒng）的安全性。

互联网流量管理和优化（全局流量控制（zhì）器、Web加（jiā）速器（qì））：

客户开展电子商务和网（wǎng）上交（jiāo）易业务，需要考（kǎo）虑客户端采用不（bú）同（tóng）接入方式和（hé）终端种类，因此通过采用全局流量（liàng）管理设（shè）备对处（chù）在不同地理位置和运营（yíng）商接入的终端用户选择服务效率最佳（jiā）的（de）数据中心，采（cǎi）用Web加（jiā）速设备利用数据流量优化加速的手段提高访问速度，确保客户满意度的提升。

移（yí）动办公接（jiē）入（rù）（SSLVPN网关）：

客（kè）户为加强远（yuǎn）程（chéng）办公终端的安（ān）全性和易用（yòng）性（xìng），采用SSLVPN的接入方式，利用对客户端安全检查（chá）、灵活定制访（fǎng）问策略和权限的技术手段，满（mǎn）足移动办公用（yòng）户（hù）接入数据中（zhōng）心简单方便。

服务器负载均衡（héng）、应用（yòng）优化（本地流量管理器）：

由于网上交易系统都采用 SSL 加密的方（fāng）式，对于如何卸载服务器在处理 SSL 加解密方面的压力（lì），在不（bú）影响服（fú）务（wù）器性能的前提下，对数据进行（háng）加解密（mì）就（jiù）变成了一（yī）个重要的话题，使用（yòng）本（běn）地流量管理（lǐ）器（qì），把大量用户的请求平（píng）均分发到多台服务（wù）器上（shàng）面，同时能够对数（shù）据进行 SSL 加速，卸载服务（wù）器处理 SSL 加解密的（de）压力。在站点之内，负载均衡（héng）产品能够同时对 Web 前置服务器、应用服务器、数据库（kù）服务器、缓存（cún）服务器等多种（zhǒng）服务器进行负载（zǎi）均衡。

各类应用（yòng）安全防护（WEB应用安全网关、数据库安全审计、动态口令（lìng）认证系统）：

客户在数据中心的建设过程中最（zuì）重要的就是核心业务系统，它包含了至关重要的（de）应（yīng）用系统服（fú）务（wù）器和核心数据，在（zài）核心业（yè）务系（xì）统中一般（bān）采用三层部署的标准架构，Web服务（wù）器、应（yīng）用服务器、数（shù）据（jù）库，因（yīn）此各类服务器的（de）安（ān）全（quán）防护是客户最（zuì）关心的重点，建议（yì）采（cǎi）用Web应用安全网关（guān）对（duì）Web服务器进行安全保护，避免针对服务器应用层和（hé）源（yuán）代（dài）码攻击的风（fēng）险，采用数据库安全审计平台对（duì）各类数据（jù）库操作（zuò），数据表调（diào）用和修改的动作进行审计和（hé）告警，保（bǎo）证（zhèng）在数量繁多的用户访问数据（jù）库的情况下行为能够进行（háng）审计（jì）。动（dòng）态（tài）口令认证系统（tǒng）确保（bǎo）网上交（jiāo）易（yì）系（xì）统用（yòng）户帐户和口令的密码（mǎ）保护，形成"双因素"强（qiáng）身份认证。

日志（zhì）收集和分析（统（tǒng）一日志审计平台）：

在金融行业（yè）各个监督管理机构（gòu）下发的政策法规文件中（zhōng），日志统一收集、分（fèn）析（xī）和保存是必（bì）不可少（shǎo）的（de）一（yī）项重（chóng）点要求（qiú），系统（tǒng）日志保存期限（xiàn）按照风险等（děng）级不（bú）同来区分，至少（shǎo）不得 少于（yú）一年，采用统一日志审计（jì）平（píng）台（tái）能够满足各（gè）种（zhǒng）法规政策的要（yào）求，制定相关策略（luè）和（hé）流（liú）程，管理所有（yǒu）生产（chǎn）系统的活（huó）动日志，以支持有效的审核（hé）、安全取证分析和预防欺诈。

不同平台和品牌的（de）存储之间协（xié）同优化（虚拟存储（chǔ）系统）：

客户在构（gòu）建数据存储系统的时候如果采用了异构的部署方式，系统中会出现（xiàn）不同（tóng）平台（tái）和品牌的存储服务器，使（shǐ）用起来会造成很（hěn）大的不便，采用（yòng）虚拟存储系统可以把各（gè）种基于NAS协议（yì）的存储服务进行虚拟化（huà）管理，实现无缝数（shù）据迁移、存储负载均衡（héng）和异（yì）构（gòu）部署等多种优化功（gōng）能。