一、需求背景（jǐng）分（fèn）析：  

        金融（róng）系统构成复杂，其信息（xī）资产设备种类与（yǔ）数量众多，使得（dé）对设备的安（ān）全管理与（yǔ）漏洞发现工作（zuò）较为困难（nán），一旦（dàn）有恶意分（fèn）子通过某信息设备的漏洞入（rù）侵进系统内部，极有可（kě）能造成严重损失（shī）。

        西安九游平台和瑞天（tiān）信息安（ān）全技术有（yǒu）限公（gōng）司网（wǎng）站安全监测运营服务针对安全事件提（tí）供：监控、分析、预警、响应与处理的全过程，为用户提供切（qiē）实可行的服务（wù）解决方案。

二、行（háng）业（yè）现状：

金融行业客户出于信息业务安全和维护等多方面考虑，一般都会自己搭（dā）建数据中心，因（yīn）此随着（zhe）银行、证券行业业（yè）务量火热（rè）发展（zhǎn），信息安全风险（xiǎn）也随之增（zēng）大，业务访问（wèn）效率同时也变成了网络和应用管理（lǐ）员（yuán）最头疼的话题。

商业银（yín）行客户的业务系统一般包括核心应用系（xì）统、网上银行系统、办公系统、监控系（xì）统、认（rèn）证系统等；证券基金客户的业（yè）务系统包括网（wǎng）上交易查询系统（tǒng）、银行结算系统、办公系统和门户网站等；保险行业（yè）客户业务系统包括CRM系统、核心业务系（xì）统、保单管理系统、财务系统等。各类不同的行业（yè）客户在信息系统建（jiàn）设和使用（yòng）过程中都会遇到诸如物（wù）理层（céng）、网络架构、终端（duān）和操作（zuò）系统、应（yīng）用系统、核心业务数（shù）据等多方（fāng）面的安全和优化（huà）问题，因此（cǐ）我们的方案（àn）主要针对以上各个方面。

三、解（jiě）决（jué）方案：

网络攻（gōng）击及入侵（入侵防御系统（tǒng）防护）：

当银行系统遇到（dào）互联网（wǎng）的非法攻击和入侵的时候（hòu），势必对网（wǎng）上应用和（hé）交易系统（tǒng）产生影响，造成访问（wèn）效率下降、网（wǎng）络拥（yōng）堵等（děng）状况，采用主动式（shì）入侵防御系统利用高可靠识别攻击，精确判断入侵及攻（gōng）击行为并（bìng）作出相（xiàng）应的反（fǎn）应来解（jiě）决客户（hù）遇到的上述问题。

链路（lù）负载均（jun1）衡（多（duō）链路（lù）控制器）：

为了避免出现链路单点故障，保（bǎo）证链（liàn）路接入的高可（kě）用性，银行系（xì）统一般采用（yòng）不同运营商（shāng）的（de）多条链路接入，采用链路负载均衡产品，把访问（wèn）外网资源的内网用户（hù）按（àn）照要求 负载均衡到两条（tiáo）链路，任何一条链路出现故障（zhàng），都能够实时发现（xiàn），自动（dòng）把请（qǐng）求转发（fā）至正常的链路；同时把访问内网资源的用户自（zì）动导向到访问质量最优（yōu）的链路，并实 时（shí）监控链路的状（zhuàng）态（tài），如（rú）果某一链路出现故障，自（zì）动切换到其他（tā）正常链路。

安全区域划分（fèn）和隔离（防火墙）：

客户在数据中心根据不同的（de）安（ān）全级（jí）别划分（fèn）出不同的访问（wèn）区域，不同的区域之间互相访问（wèn）需（xū）要通过（guò）安（ān）全设（shè）备进（jìn）行隔离，根据不（bú）同的安全级别设定策略进行访问控制，通过多种（zhǒng）检测机制，发现（xiàn）攻击（jī）流量，实时进行阻断（duàn），提高（gāo）应用系统的安（ān）全（quán）性。

互联网流量管理和优化（全局流量控制器、Web加速器（qì））：

客户开展电子商务（wù）和网上交易业务（wù），需（xū）要考虑客户端（duān）采用不同接入（rù）方式和终端种类，因此（cǐ）通过采用（yòng）全局流量管理（lǐ）设（shè）备对（duì）处在不同地理位置和（hé）运营商接入的终端（duān）用户选择服务效率最佳的数据（jù）中心，采用Web加速设（shè）备利用（yòng）数据流量优化加速的手段（duàn）提（tí）高访问速度，确保客户满意度的提升。

移动办公接入（rù）（SSLVPN网（wǎng）关）：

客户为加强远程办公终（zhōng）端的安（ān）全（quán）性和易用性，采用SSLVPN的接入方式，利用（yòng）对客户端安全（quán）检查、灵活定（dìng）制访问策略和权限的技术手段，满足移动办（bàn）公（gōng）用户接（jiē）入数据中（zhōng）心简单（dān）方便。

服务器负载均衡、应（yīng）用优（yōu）化（本（běn）地流量管（guǎn）理器）：

由（yóu）于网上交易系统都采用 SSL 加密（mì）的方式，对于如何（hé）卸载（zǎi）服（fú）务（wù）器在处理（lǐ） SSL 加解密方面的压力，在不（bú）影响服（fú）务器性能的前（qián）提（tí）下，对数据进行加解密就（jiù）变成了（le）一个重要的话题，使用本地流量管理器，把大量（liàng）用户的请求平均分发到多（duō）台服务器上面（miàn），同（tóng）时能（néng）够对数据进行 SSL 加速，卸载服务器处理 SSL 加解密（mì）的压力。在站点之内，负载均衡产品（pǐn）能够同时对 Web 前置服务器、应（yīng）用服务器（qì）、数据库服务器、缓存服务器（qì）等多（duō）种服（fú）务器进行负载均衡。

各类应用安全防护（WEB应用安（ān）全（quán）网关、数据库安全审计、动（dòng）态口令认证系统）：

客（kè）户在（zài）数据中心的建设过程中最重要的（de）就是核（hé）心业务系统，它包含（hán）了至关重要的应用系统（tǒng）服务（wù）器和核心数据，在核心（xīn）业务（wù）系（xì）统中一般采用三（sān）层部署（shǔ）的标准架构（gòu），Web服务器、应用（yòng）服务器、数据库，因此各类服务器的安全防护是客户最关心的重（chóng）点（diǎn），建议采用（yòng）Web应用安全（quán）网（wǎng）关对（duì）Web服务（wù）器（qì）进行安全保护（hù），避（bì）免针（zhēn）对（duì）服务器应用层和源（yuán）代码（mǎ）攻击的风险，采用数据（jù）库（kù）安全审计平（píng）台（tái）对各类数据库操（cāo）作，数（shù）据表调用和修改的动（dòng）作进（jìn）行审计和告警，保（bǎo）证在数量（liàng）繁多的用户访问数据库（kù）的情况下行为（wéi）能够进行审（shěn）计。动态（tài）口令认证系统（tǒng）确保网上交易系统用户帐户和口令的密（mì）码保护，形成"双因素"强身份（fèn）认证（zhèng）。

日志收集和分析（统（tǒng）一（yī）日志审（shěn）计平台）：

在金（jīn）融（róng）行业各个监（jiān）督管理机构下发（fā）的政策法（fǎ）规文件中，日志统（tǒng）一收集、分析和保（bǎo）存是必不可少（shǎo）的（de）一项重点要求，系统（tǒng）日（rì）志保（bǎo）存期限按照风险等级不同来区分，至（zhì）少不得 少于（yú）一年（nián），采用统一（yī）日志审计平（píng）台能够满足（zú）各种（zhǒng）法规政策的要求，制定相关策（cè）略和流（liú）程（chéng），管理所有生产系统的活动日志，以支（zhī）持有效的审（shěn）核、安全取证分析和预防欺诈（zhà）。

不同平台和品（pǐn）牌的存储之间协同优化（虚拟存储系（xì）统）：

客户在（zài）构（gòu）建数据存储系统（tǒng）的时候如果采（cǎi）用了异（yì）构的（de）部（bù）署（shǔ）方式（shì），系统中（zhōng）会出（chū）现（xiàn）不同平（píng）台和品牌的存储服务器，使（shǐ）用起来会造成（chéng）很大的不便，采用虚拟（nǐ）存储系统可以（yǐ）把（bǎ）各种基于NAS协议的存（cún）储服（fú）务进行虚拟化管（guǎn）理，实现无缝数据迁（qiān）移、存储负载均（jun1）衡和异构部署等多（duō）种（zhǒng）优化功能（néng）。