一、需求（qiú）背景（jǐng）分析：  

        金融（róng）系统构成复杂，其信息资产设备种（zhǒng）类与数量众多，使得对（duì）设备的安全管理与（yǔ）漏洞发（fā）现工作较为（wéi）困难，一旦有（yǒu）恶意分子通过某信息设备的漏洞入侵进系统内部（bù），极有可能造成严重损（sǔn）失。

        西安（ān）千亿手机网页版登录入口和瑞天信（xìn）息安（ān）全（quán）技（jì）术有限公司网（wǎng）站安全监测（cè）运（yùn）营服务针对安全事件提供：监控、分析、预警、响应与处理的全过程，为用户提供（gòng）切（qiē）实可行（háng）的服务解决（jué）方案。

二（èr）、行业现状：

金（jīn）融行业客户出（chū）于信（xìn）息（xī）业务（wù）安全和维护（hù）等多方（fāng）面考（kǎo）虑，一（yī）般（bān）都（dōu）会自己搭建数据（jù）中（zhōng）心（xīn），因此（cǐ）随（suí）着银行、证（zhèng）券行（háng）业业务量火热（rè）发（fā）展（zhǎn），信息安（ān）全（quán）风险也随（suí）之（zhī）增大，业务访问效率同时也变成（chéng）了网络和应用管理（lǐ）员最头疼的话题。

商业银行客（kè）户的（de）业务（wù）系统（tǒng）一般包（bāo）括核心应用系统、网上（shàng）银行系统、办公系统、监控系（xì）统、认证（zhèng）系统（tǒng）等；证券（quàn）基（jī）金客户的业务系统包括网上交易查询系统、银（yín）行结算系统、办公系统和门户网站等；保险（xiǎn）行业（yè）客户业务系（xì）统（tǒng）包（bāo）括CRM系统、核心业务系统、保单管理系统、财务系统等（děng）。各类（lèi）不同的行业客户在（zài）信息系统建设和使用过程中都会遇到诸如物理层、网络架构、终端和操作系统、应用系（xì）统、核心（xīn）业务数据等多方面的安全和优化问题，因此我们（men）的方（fāng）案主要针对以上各个（gè）方面。

三、解决（jué）方案：

网络（luò）攻击及入侵（入侵防御系统防（fáng）护（hù））：

当银行（háng）系统（tǒng）遇到互（hù）联网的非法攻击和入侵的（de）时候，势（shì）必对网上应用和交易系统产生影（yǐng）响（xiǎng），造成访问（wèn）效率（lǜ）下（xià）降、网络拥堵等状况，采（cǎi）用主动式入（rù）侵防（fáng）御系统利（lì）用高（gāo）可靠识（shí）别攻击，精确（què）判断（duàn）入侵及攻击行为并作出相应（yīng）的反应来解决客（kè）户遇到的上述问题。

链路负载均（jun1）衡（多（duō）链路（lù）控制器）：

为了（le）避免（miǎn）出现链路单点故障（zhàng），保证链路接入的高可用性，银（yín）行系统一般采用不同运营商的多条（tiáo）链路接入，采用链（liàn）路负载均衡（héng）产品，把访问外网资源（yuán）的内网用（yòng）户按（àn）照要求 负载均（jun1）衡到两条链路，任（rèn）何一（yī）条链路出（chū）现故障，都能够实时（shí）发现，自动把（bǎ）请求（qiú）转发（fā）至正常的链路；同时（shí）把访（fǎng）问内网资源（yuán）的（de）用户（hù）自动（dòng）导向到访问质（zhì）量（liàng）最优的（de）链路，并实 时监控链（liàn）路的状态，如果（guǒ）某一链路出现故障，自动切换到其他正常（cháng）链路（lù）。

安（ān）全区域划分和隔离（防火墙）：

客户在（zài）数据中心（xīn）根据（jù）不同（tóng）的安全级（jí）别划分出不同的访问（wèn）区域，不同的区域之（zhī）间（jiān）互相访问（wèn）需要通过安全设备进行隔离，根（gēn）据（jù）不同的安（ān）全级别设（shè）定策略进行访问控制，通（tōng）过多种检测机制，发现（xiàn）攻击流量，实时进行阻断（duàn），提（tí）高应用系统（tǒng）的安全性。

互（hù）联网流量管理和优化（全局流量控（kòng）制器、Web加速器（qì））：

客户开展电（diàn）子商务和网上交易业务，需要考虑客（kè）户（hù）端（duān）采用不同接入方式和终端种类，因此通（tōng）过采用全局流量管理设备对（duì）处在不同地理位置和运营商接入（rù）的终端用户选择（zé）服务（wù）效率最佳的数据中心，采用（yòng）Web加速设备利用数据流量优化加速的手段提高（gāo）访问速（sù）度（dù），确保客（kè）户满（mǎn）意度的（de）提升。

移动办公接入（SSLVPN网关）：

客（kè）户为加强远程（chéng）办公终（zhōng）端的安全性（xìng）和（hé）易用性，采用SSLVPN的接（jiē）入方（fāng）式，利用（yòng）对（duì）客户端安全检查、灵活定制访问策略和权限（xiàn）的技术手段，满足移动办（bàn）公（gōng）用户接入数据中（zhōng）心（xīn）简单方便。

服务器负载均衡、应用优化（huà）（本地流量管理器）：

由于网上交（jiāo）易系（xì）统都采用 SSL 加密的（de）方式，对于如何卸载服务器在处理 SSL 加解密方（fāng）面（miàn）的压力，在（zài）不影响服务器性能的（de）前提下，对数据进行（háng）加解密就变（biàn）成了（le）一个重要（yào）的话题（tí），使用本地流量管理器，把（bǎ）大量用户的请求平（píng）均分发（fā）到多台服务器（qì）上面（miàn），同时能（néng）够对数据进行 SSL 加速（sù），卸载服务器处理 SSL 加（jiā）解密的压力。在站点之内，负（fù）载均衡产品能够同时对 Web 前置服（fú）务器、应用服（fú）务器（qì）、数据（jù）库服（fú）务（wù）器、缓存服务器等（děng）多种服务器进行负（fù）载均衡。

各（gè）类应（yīng）用安全（quán）防护（WEB应用安（ān）全网（wǎng）关、数据库安全（quán）审计、动（dòng）态口令认证系统）：

客户在数据（jù）中心的建设过程中（zhōng）最重要（yào）的就是（shì）核心业务系统，它包含了（le）至关重要的应用系统服务（wù）器和核（hé）心数据，在核心业务系统中（zhōng）一般采用（yòng）三（sān）层部（bù）署的标（biāo）准架构，Web服务器、应（yīng）用服务器、数据库（kù），因此（cǐ）各类（lèi）服务器的安全防护（hù）是客户最（zuì）关心的重点，建（jiàn）议采用Web应用安全网关对Web服务器（qì）进行安全保护，避免针对服务器（qì）应用层和源代码攻击的风险，采用数据库（kù）安全审（shěn）计（jì）平（píng）台对各类数据库操作，数据（jù）表调用和（hé）修改的动作进行审计和告警，保证在数量繁（fán）多的用户访问数据库的情（qíng）况下行为能（néng）够进（jìn）行审（shěn）计。动态口令认证（zhèng）系统（tǒng）确（què）保网上交易系统用户帐户和口令的密码保护，形成"双因素（sù）"强身（shēn）份认证（zhèng）。

日志收集和分析（统一（yī）日（rì）志审（shěn）计平台（tái））：

在金融（róng）行业（yè）各个监（jiān）督管（guǎn）理机构下发的政策法规文（wén）件（jiàn）中，日志统一（yī）收集、分（fèn）析和（hé）保存是必不（bú）可少的一项重点（diǎn）要求（qiú），系统日志（zhì）保存期限按照（zhào）风险等级（jí）不同来区分，至少不得 少于一年，采用统一日志审（shěn）计平台能够满足各种法规（guī）政策的要（yào）求，制定相关策略和流程，管理所有生产系统的活（huó）动日志，以支（zhī）持有（yǒu）效的审（shěn）核、安（ān）全取证分析和预防欺诈。

不同（tóng）平台（tái）和品牌的（de）存储之间协（xié）同（tóng）优（yōu）化（虚（xū）拟存储系（xì）统）：

客户在构建数据存储系统的时候如果（guǒ）采用了异（yì）构（gòu）的部署方（fāng）式，系统中会出现不同平台和品牌的存储服（fú）务（wù）器（qì），使用（yòng）起（qǐ）来会（huì）造（zào）成很大（dà）的不（bú）便，采（cǎi）用虚拟（nǐ）存储系统可以（yǐ）把各种基于NAS协议的存储服务进行虚拟化（huà）管理，实现无缝数（shù）据迁（qiān）移、存（cún）储负载均衡和异构（gòu）部署等（děng）多种（zhǒng）优化功能。