金融行业网络安全解决方案.docx

金融行业解决方案 ??行业背景 ??? 金融行业按照客户类型划分可分为国有商业银行（政策性商业银行）、股份制商业银行（大型股份制商业银行、城市商业银行、农村信用社等）、证券、基金、期货、保险等，近年来为加强金融行业信息科技风险管理，各行业监管机构相继出台了针对信息科技安全的相关政策法规，如《商业银行信息科技风险管理指引》、《证券公司网上证券信息系统技术指引》、《期货公司信息技术管理指引》和《保险公司信息化管理工作指引》，可以看出目前各个金融行业客户对信息安全建设十分重视，纷纷加大信息科技管理方面的投入力度。 ??行业现状 ??? 金融行业客户出于信息业务安全和维护等多方面考虑，一般都会自己搭建数据中心，因此随着银行、证券行业业务量火热发展，信息安全风险也随之增大，业务访问效率同时也变成了网络和应用管理员最头疼的话题。??? 商业银行客户的业务系统一般包括核心应用系统、网上银行系统、办公系统、监控系统、认证系统等；证券基金客户的业务系统包括网上交易查询系统、银行结算系统、办公系统和门户网站等；保险行业客户业务系统包括CRM系统、核心业务系统、保单管理系统、财务系统等。各类不同的行业客户在信息系统建设和使用过程中都会遇到诸如物理层、网络架构、终端和操作系统、应用系统、核心业务数据等多方面的安全和优化问题，因此我们的方案主要针对以上各个方面。 ??建议网络架构 下载后可见 下载后可见 ??移动办公接入（SSLVPN网关）：??? 客户为加强远程办公终端的安全性和易用性，采用SSLVPN的接入方式，利用对客户端安全检查、灵活定制访问策略和权限的技术手段，满足移动办公用户接入数据中心简单方便。 ? 服务器负载均衡、应用优化（本地流量管理器）：??? 由于网上交易系统都采用 SSL 加密的方式，对于如何卸载服务器在处理 SSL 加解密方面的压力，在不影响服务器性能的前提下，对数据进行加解密就变成了一个重要的话题，使用本地流量管理器，把大量用户的请求平均分发到多台服务器上面，同时能够对数据进行 SSL 加速，卸载服务器处理 SSL 加解密的压力。在站点之内，负载均衡产品能够同时对 Web 前置服务器、应用服务器、数据库服务器、缓存服务器等多种服务器进行负载均衡。 ??各类应用安全防护（WEB防火墙、数据库安全审计、动态口令认证系统）：??? 客户在数据中心的建设过程中最重要的就是核心业务系统，它包含了至关重要的应用系统服务器和核心数据，在核心业务系统中一般采用三层部署的标准架构，Web服务器、应用服务器、数据库，因此各类服务器的安全防护是客户最关心的重点，建议采用Web防火墙对Web服务器进行安全保护，避免针对服务器应用层和源代码攻击的风险，采用数据库安全审计平台对各类数据库操作，数据表调用和修改的动作进行审计和告警，保证在数量繁多的用户访问数据库的情况下行为能够进行审计。动态口令认证系统确保网上交易系统用户帐户和口令的密码保护，形成双因素强身份认证。 ? 日志收集和分析（统一日志审计平台）：??? 在金融行业各个监督管理机构下发的政策法规文件中，日志统一收集、分析和保存是必不可少的一项重点要求，系统日志保存期限按照风险等级不同来区分，至少不得少于一年，采用统一日志审计平台能够满足各种法规政策的要求，制定相关策略和流程，管理所有生产系统的活动日志，以支持有效的审核、安全取证分析和预防欺诈。 ??不同平台和品牌的存储之间协同优化（虚拟存储系统）：??? 客户在构建数据存储系统的时候如果采用了异构的部署方式，系统中会出现不同平台和品牌的存储服务器，使用起来会造成很大的不便，采用虚拟存储系统可以把各种基于NAS协议的存储服务进行虚拟化管理，实现无缝数据迁移、存储负载均衡和异构部署等多种优化功能。 ??需求及解决方案要点 ??网络攻击及入侵（入侵防御系统防护）：??? 当银行系统遇到互联网的非法攻击和入侵的时候，势必对网上应用和交易系统产生影响，造成访问效率下降、网络拥堵等状况，采用主动式入侵防御系统利用高可靠识别攻击，精确判断入侵及攻击行为并作出相应的反应来解决客户遇到的上述问题。 ??链路负载均衡（多链路控制器）：??? 为了避免出现链路单点故障，保证链路接入的高可用性，银行系统一般采用不同运营商的多条链路接入，采用链路负载均衡产品，把访问外网资源的内网用户按照要求负载均衡到两条链路，任何一条链路出现故障，都能够实时发现，自动把请求转发至正常的链路；同时把访问内网资源的用户自动导向到访问质量最优的链路，并实时监控链路的状态，如果某一链路出现故障，自动切换到其他正常链路。 ??安全区域划分和隔离（防火墙）：??? 客户在数据中心根据不同的安全级别划分出不同的访问区域，不同的区域之间互相访问需要通过安全设备进行隔离，根据不同的安全