金融行業按照客戶類型劃分可分為國有商業銀行(政策性商業銀行)、股份制商業銀行(大型股份制商業銀行、城市商業銀行、農村信用社等)、證券、基金、期貨、保險等,近年來為加強金融行業信息科技風險管理,各行業監管機構相繼出臺了針對信息科技安全的相關政策法規,如《商業銀行信息科技風險管理指引》、《證券公司網上證券信息系統技術指引》、《期貨公司信息技術管理指引》和《保險公司信息化管理工作指引》,可以看出目前各個金融行業客戶對信息安全建設十分重視,紛紛加大信息科技管理方面的投入力度。
行業現狀
金融行業客戶出于信息業務安全和維護等多方面考慮,一般都會自己搭建數據中心,因此隨著銀行、證券行業業務量火熱發展,信息安全風險也隨之增大,業務訪問效率同時也變成了網絡和應用管理員最頭疼的話題。
商業銀行客戶的業務系統一般包括核心應用系統、網上銀行系統、辦公系統、監控系統、認證系統等;證券基金客戶的業務系統包括網上交易查詢系統、銀行結算系統、辦公系統和門戶網站等;保險行業客戶業務系統包括CRM系統、核心業務系統、保單管理系統、財務系統等。各類不同的行業客戶在信息系統建設和使用過程中都會遇到諸如物理層、網絡架構、終端和操作系統、應用系統、核心業務數據等多方面的安全和優化問題,因此我們的方案主要針對以上各個方面。
移動辦公接入(SSLVPN網關):
客戶為加強遠程辦公終端的安全性和易用性,采用SSLVPN的接入方式,利用對客戶端安全檢查、靈活定制訪問策略和權限的技術手段,滿足移動辦公用戶接入數據中心簡單方便。
服務器負載均衡、應用優化(本地流量管理器):
由于網上交易系統都采用 SSL 加密的方式,對于如何卸載服務器在處理 SSL 加解密方面的壓力,在不影響服務器性能的前提下,對數據進行加解密就變成了一個重要的話題,使用本地流量管理器,把大量用戶的請求平均分發到多臺服務器上面,同時能夠對數據進行 SSL 加速,卸載服務器處理 SSL 加解密的壓力。在站點之內,負載均衡產品能夠同時對 Web 前置服務器、應用服務器、數據庫服務器、緩存服務器等多種服務器進行負載均衡。
各類應用安全防護(WEB防火墻、數據庫安全審計、動態口令認證系統):
客戶在數據中心的建設過程中最重要的就是核心業務系統,它包含了至關重要的應用系統服務器和核心數據,在核心業務系統中一般采用三層部署的標準架構,Web服務器、應用服務器、數據庫,因此各類服務器的安全防護是客戶最關心的重點,建議采用Web防火墻對Web服務器進行安全保護,避免針對服務器應用層和源代碼攻擊的風險,采用數據庫安全審計平臺對各類數據庫操作,數據表調用和修改的動作進行審計和告警,保證在數量繁多的用戶訪問數據庫的情況下行為能夠進行審計。動態口令認證系統確保網上交易系統用戶帳戶和口令的密碼保護,形成"雙因素"強身份認證。
日志收集和分析(統一日志審計平臺):
在金融行業各個監督管理機構下發的政策法規文件中,日志統一收集、分析和保存是必不可少的一項重點要求,系統日志保存期限按照風險等級不同來區分,至少不得少于一年,采用統一日志審計平臺能夠滿足各種法規政策的要求,制定相關策略和流程,管理所有生產系統的活動日志,以支持有效的審核、安全取證分析和預防欺詐。
不同平臺和品牌的存儲之間協同優化(虛擬存儲系統):
客戶在構建數據存儲系統的時候如果采用了異構的部署方式,系統中會出現不同平臺和品牌的存儲服務器,使用起來會造成很大的不便,采用虛擬存儲系統可以把各種基于NAS協議的存儲服務進行虛擬化管理,實現無縫數據遷移、存儲負載均衡和異構部署等多種優化功能。
網絡攻擊及入侵(入侵防御系統防護):
當銀行系統遇到互聯網的非法攻擊和入侵的時候,勢必對網上應用和交易系統產生影響,造成訪問效率下降、網絡擁堵等狀況,采用主動式入侵防御系統利用高可靠識別攻擊,精確判斷入侵及攻擊行為并作出相應的反應來解決客戶遇到的上述問題。
鏈路負載均衡(多鏈路控制器):
為了避免出現鏈路單點故障,保證鏈路接入的高可用性,銀行系統一般采用不同運營商的多條鏈路接入,采用鏈路負載均衡產品,把訪問外網資源的內網用戶按照要求負載均衡到兩條鏈路,任何一條鏈路出現故障,都能夠實時發現,自動把請求轉發至正常的鏈路;同時把訪問內網資源的用戶自動導向到訪問質量最優的鏈路,并實時監控鏈路的狀態,如果某一鏈路出現故障,自動切換到其他正常鏈路。
安全區域劃分和隔離(防火墻):
客戶在數據中心根據不同的安全級別劃分出不同的訪問區域,不同的區域之間互相訪問需要通過安全設備進行隔離,根據不同的安全級別設定策略進行訪問控制,通過多種檢測機制,發現攻擊流量,實時進行阻斷,提高應用系統的安全性。
互聯網流量管理和優化(全局流量控制器、Web加速器):
客戶開展電子商務和網上交易業務,需要考慮客戶端采用不同接入方式和終端種類,因此通過采用全局流量管理設備對處在不同地理位置和運營商接入的終端用戶選擇服務效率最佳的數據中心,采用Web加速設備利用數據流量優化加速的手段提高訪問速度,確保客戶滿意度的提升。
移動辦公接入(SSLVPN網關):
客戶為加強遠程辦公終端的安全性和易用性,采用SSLVPN的接入方式,利用對客戶端安全檢查、靈活定制訪問策略和權限的技術手段,滿足移動辦公用戶接入數據中心簡單方便。
服務器負載均衡、應用優化(本地流量管理器):
