一（yī）、需求背（bèi）景分（fèn）析（xī）：  

        金融系统构成复杂（zá），其信息资产设备种（zhǒng）类与数量众多，使得（dé）对设备的安（ān）全管理与漏洞发现工（gōng）作较为困难，一（yī）旦有（yǒu）恶意分（fèn）子通过某（mǒu）信息设（shè）备的漏洞入侵进系统内部，极（jí）有可能造（zào）成严重损失。

        西安Token钱包和瑞天（tiān）信（xìn）息安全技术（shù）有限公司网站安（ān）全（quán）监（jiān）测（cè）运（yùn）营服务（wù）针对安全事件（jiàn）提供：监控、分析、预警（jǐng）、响应与处理的全（quán）过程，为用户（hù）提供切实可行的服（fú）务（wù）解（jiě）决方（fāng）案。

二、行业现状：

金融行业客户（hù）出于信（xìn）息业务安全和维护等（děng）多（duō）方面（miàn）考虑，一般都会自（zì）己搭建数据中（zhōng）心，因此随（suí）着银行、证券（quàn）行业（yè）业务量火热发展，信息安全风险也（yě）随之增大，业务访问效（xiào）率同时（shí）也（yě）变成了网络和（hé）应用管理员最头疼的（de）话题。

商业银行客户的业务（wù）系统一般包括核（hé）心应用系统（tǒng）、网（wǎng）上银行系统（tǒng）、办公（gōng）系（xì）统、监控系统、认证系统（tǒng）等；证券基金客户的业（yè）务系统包括网上交易（yì）查询系统、银行结算系统（tǒng）、办（bàn）公系统和门户网站等；保险（xiǎn）行（háng）业客户业务系统包括CRM系统、核心业（yè）务系统、保（bǎo）单管理系统、财务系统等。各类不同的行业客（kè）户在（zài）信息系统建设和使用过程中都会遇到诸如物理层、网（wǎng）络架构、终端和操作系（xì）统、应用系统（tǒng）、核心业务（wù）数（shù）据等多（duō）方面的安全和优化问题，因此我们的方案（àn）主（zhǔ）要针（zhēn）对以上各个方面。

三、解决（jué）方案：

网络攻击及（jí）入侵（入侵防御系统防护）：

当银行系统遇（yù）到互联网的非法攻击和（hé）入侵的时候（hòu），势必对网上应用和交易系统产生影响（xiǎng），造（zào）成访问效率下降、网络（luò）拥堵等（děng）状（zhuàng）况，采用主动（dòng）式入侵防（fáng）御系统利用高可靠识别攻（gōng）击，精确判断入（rù）侵及（jí）攻击行为并作出相应的反应（yīng）来（lái）解决客户遇到的上述（shù）问题。

链路负载均衡（多链路控（kòng）制器（qì））：

为了（le）避免出现链路（lù）单点故障，保证（zhèng）链路接入的高（gāo）可用性，银（yín）行系统一般（bān）采用不同（tóng）运营（yíng）商的多条链路接入，采用链路（lù）负载均衡产品，把访问外网资源的内（nèi）网用户按（àn）照要求 负（fù）载均衡到（dào）两条链路，任何一（yī）条（tiáo）链（liàn）路（lù）出现故障（zhàng），都能够实（shí）时发（fā）现，自动把（bǎ）请求（qiú）转发（fā）至正常的链路（lù）；同时把访问（wèn）内网资源的用户自动导向到访问质（zhì）量（liàng）最优的链（liàn）路，并实 时监控链路的状（zhuàng）态，如果某一链路出（chū）现故障，自动切换到（dào）其他正常链路。

安全区域（yù）划分和（hé）隔（gé）离（防火墙）：

客户在数据中心根据（jù）不同的安全（quán）级别划分出不同的访问区（qū）域，不同的区域之间互相（xiàng）访问需要通（tōng）过安全设（shè）备进行隔离（lí），根（gēn）据不同的安全级别设定策略进行访问控制，通（tōng）过多种检测机制，发现攻击流量，实（shí）时进行阻（zǔ）断，提高应（yīng）用（yòng）系统的安全性。

互联网（wǎng）流量管理和优化（全局流量控制（zhì）器（qì）、Web加速器）：

客户（hù）开展电子商务和网上交易业务，需要考虑客户端采用不同（tóng）接入方式和终端种（zhǒng）类（lèi），因此通（tōng）过采用全（quán）局（jú）流量管（guǎn）理设备对处在（zài）不同地理位置和运营商接入（rù）的终端（duān）用户选择服务效率最佳的数据中心，采用Web加速设备利用数据流量优化加速的手段提高访问速度（dù），确保客户满（mǎn）意度的提（tí）升（shēng）。

移动办（bàn）公接入（SSLVPN网关（guān））：

客（kè）户（hù）为加强远程办（bàn）公终端（duān）的安（ān）全性和易用性，采用SSLVPN的接（jiē）入方式，利（lì）用对客户端安（ān）全检查、灵活定制访问策略和权限的技术手段，满足移动（dòng）办（bàn）公用户（hù）接入（rù）数（shù）据中心（xīn）简单方便。

服务器（qì）负载均衡（héng）、应用（yòng）优（yōu）化（本地流量管理（lǐ）器）：

由于网上交易系（xì）统都采用（yòng） SSL 加密的（de）方式，对于如（rú）何卸载服务器在处理 SSL 加解密方面的（de）压力，在不（bú）影响（xiǎng）服务器性能的前提下，对（duì）数据进行加解密（mì）就变成了一个重要的话题，使用（yòng）本地（dì）流量管理器，把（bǎ）大量用户的请求平均分发到（dào）多台（tái）服（fú）务器上面（miàn），同时能够对数（shù）据进行 SSL 加速，卸载服（fú）务（wù）器处理 SSL 加解密的压力。在站点之内（nèi），负（fù）载均衡产品能（néng）够同时对 Web 前置服务器、应用（yòng）服务器、数（shù）据库服务器、缓存服务（wù）器等（děng）多种服（fú）务器进行负载均衡。

各（gè）类应（yīng）用安全防（fáng）护（WEB应用（yòng）安全网关、数据库（kù）安全审计、动态口令认证系统）：

客户在数据中心的建设过程中（zhōng）最重要（yào）的就是核心业务系统（tǒng），它包含了至关重要的应（yīng）用系统（tǒng）服务器和核心数据（jù），在核心业务系统中一般采用三层部署的标准架构，Web服（fú）务（wù）器（qì）、应用服务器、数据库，因此各类服务器的（de）安（ān）全防护是客（kè）户最关心（xīn）的（de）重（chóng）点，建议采（cǎi）用Web应（yīng）用安全网关对Web服务器（qì）进行安全（quán）保护，避免针对服务器应用（yòng）层（céng）和源（yuán）代码攻击的风险，采用数据库安全审（shěn）计平台对各类（lèi）数（shù）据库操作，数据表调用和修改的（de）动作（zuò）进行审计和告警，保证在数量繁多的用户（hù）访问数据库的（de）情况下行为能够进行审计。动态口令认证系统确保（bǎo）网上（shàng）交易系统用户帐户和口令的密码保护，形（xíng）成"双因素（sù）"强（qiáng）身份认证（zhèng）。

日志收集（jí）和（hé）分析（统一（yī）日志审计平（píng）台（tái））：

在金融行业各个监督管理机构下（xià）发的政策法（fǎ）规文件中，日志统一收（shōu）集、分析（xī）和保存（cún）是（shì）必不可少（shǎo）的一项重点要求，系统日志保存期限按照风险等（děng）级（jí）不（bú）同来区分，至少（shǎo）不（bú）得 少于一年（nián），采用统一日志审计平（píng）台能够（gòu）满足各种法规政策的（de）要求，制定相关策略和流程，管理所（suǒ）有（yǒu）生产系（xì）统的（de）活动日（rì）志（zhì），以支持（chí）有效的审核、安全取证分析（xī）和预防欺（qī）诈。

不同平台和品牌的存储（chǔ）之（zhī）间协同优化（虚（xū）拟存储系统）：

客户在构（gòu）建（jiàn）数据存储系（xì）统的（de）时候如果（guǒ）采用了异构的（de）部（bù）署方式（shì），系统中（zhōng）会出现（xiàn）不（bú）同（tóng）平台和品牌的存储服务（wù）器，使用（yòng）起来（lái）会造成很大的（de）不便，采用虚拟存储系统可以把各（gè）种基于NAS协（xié）议（yì）的（de）存储服务进行虚拟化管理，实现无缝数据迁移、存（cún）储负载均衡和（hé）异构部署等多种优化功能。