行業(yè)背景
金融行業(yè)按照客戶類型劃分可分為國(guó)有商業(yè)銀行(政策性商業(yè)銀行)、股份制商業(yè)銀行(大型股份制商業(yè)銀行���、城市商業(yè)銀行�、農(nóng)村信用社等)、證券�����、基金�、期貨、保險(xiǎn)等����,近年來為加強(qiáng)金融行業(yè)信息科技風(fēng)險(xiǎn)管理,各行業(yè)監(jiān)管機(jī)構(gòu)相繼出臺(tái)了針對(duì)信息科技安全的相關(guān)政策法規(guī)��,如《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》����、《證券公司網(wǎng)上證券信息系統(tǒng)技術(shù)指引》��、《期貨公司信息技術(shù)管理指引》和《保險(xiǎn)公司信息化管理工作指引》��,可以看出目前各個(gè)金融行業(yè)客戶對(duì)信息安全建設(shè)十分重視��,紛紛加大信息科技管理方面的投入力度���。
行業(yè)現(xiàn)狀
金融行業(yè)客戶出于信息業(yè)務(wù)安全和維護(hù)等多方面考慮����,一般都會(huì)自己搭建數(shù)據(jù)中心,因此隨著銀行��、證券行業(yè)業(yè)務(wù)量火熱發(fā)展��,信息安全風(fēng)險(xiǎn)也隨之增大�,業(yè)務(wù)訪問效率同時(shí)也變成了網(wǎng)絡(luò)和應(yīng)用管理員最頭疼的話題。
商業(yè)銀行客戶的業(yè)務(wù)系統(tǒng)一般包括核心應(yīng)用系統(tǒng)��、網(wǎng)上銀行系統(tǒng)����、辦公系統(tǒng)、監(jiān)控系統(tǒng)��、認(rèn)證系統(tǒng)等���;證券基金客戶的業(yè)務(wù)系統(tǒng)包括網(wǎng)上交易查詢系統(tǒng)����、銀行結(jié)算系統(tǒng)��、辦公系統(tǒng)和門戶網(wǎng)站等���;保險(xiǎn)行業(yè)客戶業(yè)務(wù)系統(tǒng)包括CRM系統(tǒng)��、核心業(yè)務(wù)系統(tǒng)��、保單管理系統(tǒng)��、財(cái)務(wù)系統(tǒng)等�����。各類不同的行業(yè)客戶在信息系統(tǒng)建設(shè)和使用過程中都會(huì)遇到諸如物理層�����、網(wǎng)絡(luò)架構(gòu)�、終端和操作系統(tǒng)、應(yīng)用系統(tǒng)�、核心業(yè)務(wù)數(shù)據(jù)等多方面的安全和優(yōu)化問題,因此我們的方案主要針對(duì)以上各個(gè)方面��。
建議網(wǎng)絡(luò)架構(gòu)
移動(dòng)辦公接入(SSLVPN網(wǎng)關(guān)):
客戶為加強(qiáng)遠(yuǎn)程辦公終端的安全性和易用性���,采用SSLVPN的接入方式,利用對(duì)客戶端安全檢查���、靈活定制訪問策略和權(quán)限的技術(shù)手段����,滿足移動(dòng)辦公用戶接入數(shù)據(jù)中心簡(jiǎn)單方便。
服務(wù)器負(fù)載均衡����、應(yīng)用優(yōu)化(本地流量管理器):
由于網(wǎng)上交易系統(tǒng)都采用 SSL 加密的方式,對(duì)于如何卸載服務(wù)器在處理 SSL 加解密方面的壓力��,在不影響服務(wù)器性能的前提下����,對(duì)數(shù)據(jù)進(jìn)行加解密就變成了一個(gè)重要的話題,使用本地流量管理器��,把大量用戶的請(qǐng)求平均分發(fā)到多臺(tái)服務(wù)器上面��,同時(shí)能夠?qū)?shù)據(jù)進(jìn)行 SSL 加速�����,卸載服務(wù)器處理 SSL 加解密的壓力����。在站點(diǎn)之內(nèi)����,負(fù)載均衡產(chǎn)品能夠同時(shí)對(duì) Web 前置服務(wù)器����、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器�����、緩存服務(wù)器等多種服務(wù)器進(jìn)行負(fù)載均衡����。
各類應(yīng)用安全防護(hù)(WEB防火墻、數(shù)據(jù)庫安全審計(jì)�、動(dòng)態(tài)口令認(rèn)證系統(tǒng)):
客戶在數(shù)據(jù)中心的建設(shè)過程中最重要的就是核心業(yè)務(wù)系統(tǒng),它包含了至關(guān)重要的應(yīng)用系統(tǒng)服務(wù)器和核心數(shù)據(jù)��,在核心業(yè)務(wù)系統(tǒng)中一般采用三層部署的標(biāo)準(zhǔn)架構(gòu)�,Web服務(wù)器、應(yīng)用服務(wù)器���、數(shù)據(jù)庫�,因此各類服務(wù)器的安全防護(hù)是客戶最關(guān)心的重點(diǎn)��,建議采用Web防火墻對(duì)Web服務(wù)器進(jìn)行安全保護(hù)����,避免針對(duì)服務(wù)器應(yīng)用層和源代碼攻擊的風(fēng)險(xiǎn),采用數(shù)據(jù)庫安全審計(jì)平臺(tái)對(duì)各類數(shù)據(jù)庫操作�,數(shù)據(jù)表調(diào)用和修改的動(dòng)作進(jìn)行審計(jì)和告警,保證在數(shù)量繁多的用戶訪問數(shù)據(jù)庫的情況下行為能夠進(jìn)行審計(jì)��。動(dòng)態(tài)口令認(rèn)證系統(tǒng)確保網(wǎng)上交易系統(tǒng)用戶帳戶和口令的密碼保護(hù)�����,形成"雙因素"強(qiáng)身份認(rèn)證�����。
日志收集和分析(統(tǒng)一日志審計(jì)平臺(tái)):
在金融行業(yè)各個(gè)監(jiān)督管理機(jī)構(gòu)下發(fā)的政策法規(guī)文件中�����,日志統(tǒng)一收集���、分析和保存是必不可少的一項(xiàng)重點(diǎn)要求����,系統(tǒng)日志保存期限按照風(fēng)險(xiǎn)等級(jí)不同來區(qū)分,至少不得少于一年�,采用統(tǒng)一日志審計(jì)平臺(tái)能夠滿足各種法規(guī)政策的要求,制定相關(guān)策略和流程�����,管理所有生產(chǎn)系統(tǒng)的活動(dòng)日志����,以支持有效的審核、安全取證分析和預(yù)防欺詐�。
不同平臺(tái)和品牌的存儲(chǔ)之間協(xié)同優(yōu)化(虛擬存儲(chǔ)系統(tǒng)):
客戶在構(gòu)建數(shù)據(jù)存儲(chǔ)系統(tǒng)的時(shí)候如果采用了異構(gòu)的部署方式,系統(tǒng)中會(huì)出現(xiàn)不同平臺(tái)和品牌的存儲(chǔ)服務(wù)器�,使用起來會(huì)造成很大的不便,采用虛擬存儲(chǔ)系統(tǒng)可以把各種基于NAS協(xié)議的存儲(chǔ)服務(wù)進(jìn)行虛擬化管理��,實(shí)現(xiàn)無縫數(shù)據(jù)遷移�����、存儲(chǔ)負(fù)載均衡和異構(gòu)部署等多種優(yōu)化功能���。
