《金融行业网络安全解决方案》由会员分享,可在线阅读,更多相关《金融行业网络安全解决方案(4页珍藏版)》请在金锄头文库上搜索。
1、金融行业解决方案行业背景金融行业按照客户类型划分可分为国有商业银行(政策性商业银行)、股份制商业银行(大型股份 制商业银行、城市商业银行、农村信用社等)、证券、基金、期货、保险等,近年来为加强金融行业信息 科技风险管理,各行业监管机构相继出台了针对信息科技安全的相关政策法规,如商业银行信息科技风险 管理指引、证券公司网上证券信息系统技术指引、期货公司信息技术管理指引和保险公司信 息化管理工作指引,可以看出目前各个金融行业客户对信息安全建设十分重视,纷纷加大信息科技管理方 面的投入力度。口行业现状金融行业客户出于信息业务安全和维护等多方面考虑,一般都会自己搭建数据中心,因此随着银行、 证券行业业
2、务量火热发展,信息安全风险也随之增大,业务访问效率同时也变成了网络和应用管理员最头 疼的话题。商业银行客户的业务系统一般包括核心应用系统、网上银行系统、办公系统、监控系统、认证系统 等;证券基金客户的业务系统包括网上交易查询系统、银行结算系统、办公系统和门户网站等;保险行业 客户业务系统包括CRM系统、核心业务系统、保单管理系统、财务系统等.各类不同的行业客户在信息系统 建设和使用过程中都会遇到诸如物理层、网络架构、终端和操作系统、应用系统、核心业务数据等多方面 的安全和优化问题,因此我们的方案主要针对以上各个方面.口 建议网络架构下载后可见移动办公接入(SSLVPN网关):客户为加强远程办公
3、终端的安全性和易用性,采用SSLVPN的接入方式,利用对客户端安全检查、 灵活定制访问策略和权限的技术手段,满足移动办公用户接入数据中心简单方便。- 服务器负载均衡、应用优化(本地流量管理器):由于网上交易系统都采用SSL加密的方式,对于如何卸载服务器在处理SSL加解密方面的压力, 在不影响服务器性能的前提下,对数据进行加解密就变成了一个重要的话题,使用本地流量管理器,把大量 用户的请求平均分发到多台服务器上面,同时能够对数据进行SSL加速,卸载服务器处理SSL加解密的压 力。在站点之内,负载均衡产品能够同时对Web前置服务器、应用服务器、数据库服务器、缓存服务器等 多种服务器进行负载均衡。少
4、 各类应用安全防护(WEB防火墙、数据库安全审计、动态口令认证系统):客户在数据中心的建设过程中最重要的就是核心业务系统,它包含了至关重要的应用系统服务器和 核心数据,在核心业务系统中一般采用三层部署的标准架构,Web服务器、应用服务器、数据库,因此各类 服务器的安全防护是客户最关心的重点,建议采用Web防火墙对Web服务器进行安全保护,避免针对服务 器应用层和源代码攻击的风险,采用数据库安全审计平台对各类数据库操作,数据表调用和修改的动作进行 审计和告警,保证在数量繁多的用户访问数据库的情况下行为能够进行审计动态口令认证系统确保网上交 易系统用户帐户和口令的密码保护,形成双因素”强身份认证。
5、日志收集和分析(统一日志审计平台):在金融行业各个监督管理机构下发的政策法规文件中,日志统一收集、分析和保存是必不可少的一 项重点要求,系统日志保存期限按照风险等级不同来区分,至少不得少于一年,采用统一日志审计平台能 够满足各种法规政策的要求,制定相关策略和流程,管理所有生产系统的活动日志,以支持有效的审核、安 全取证分析和预防欺诈。3 不同平台和品牌的存储之间协同优化(虚拟存储系统):客户在构建数据存储系统的时候如果采用了异构的部署方式,系统中会出现不同平台和品牌的存储 服务器,使用起来会造成很大的不便,采用虚拟存储系统可以把各种基于NAS协议的存储服务进行虚拟化 管理,实现无缝数据迁移、存
6、储负载均衡和异构部署等多种优化功能。需求及解决方案要点3网络攻击及入侵(入侵防御系统防护):当银行系统遇到互联网的非法攻击和入侵的时候,势必对网上应用和交易系统产生影响,造成访问 效率下降、网络拥堵等状况,采用主动式入侵防御系统利用高可靠识别攻击,精确判断入侵及攻击行为并 作出相应的反应来解决客户遇到的上述问题。链路负载均衡(多链路控制器):为了避免出现链路单点故障,保证链路接入的高可用性,银行系统一般采用不同运营商的多条链路 接入,采用链路负载均衡产品,把访问外网资源的内网用户按照要求负载均衡到两条链路,任何一条链路出 现故障,都能够实时发现,自动把请求转发至正常的链路;同时把访问内网资源的
7、用户自动导向到访问质量 最优的链路,并实时监控链路的状态,如果某一链路出现故障,自动切换到其他正常链路.安全区域划分和隔离(防火墙):客户在数据中心根据不同的安全级别划分出不同的访问区域,不同的区域之间互相访问需要通过安 全设备进行隔离,根据不同的安全级别设定策略进行访问控制,通过多种检测机制,发现攻击流量,实时进 行阻断,提高应用系统的安全性.亍 互联网流量管理和优化(全局流量控制器、Web加速器):客户开展电子商务和网上交易业务,需要考虑客户端采用不同接入方式和终端种类,因此通过采用全局流 量管理设备对处在不同地理位置和运营商接入的终端用户选择服务效率最佳的数据中心,采用Web加速设 备利
8、用数据流量优化加速的手段提高访问速度,确保客户满意度的提升。3移动办公接入(SSLVPN网关):客户为加强远程办公终端的安全性和易用性,采用SSLVPN的接入方式,利用对客户端安全检查、 灵活定制访问策略和权限的技术手段,满足移动办公用户接入数据中心简单方便。- 服务器负载均衡、应用优化(本地流量管理器):由于网上交易系统都采用SSL加密的方式,对于如何卸载服务器在处理SSL加解密方面的压力, 在不影响服务器性能的前提下,对数据进行加解密就变成了一个重要的话题,使用本地流量管理器,把大量 用户的请求平均分发到多台服务器上面,同时能够对数据进行SSL加速,卸载服务器处理SSL加解密的压 力。在站
9、点之内,负载均衡产品能够同时对Web前置服务器、应用服务器、数据库服务器、缓存服务器等 多种服务器进行负载均衡。各类应用安全防护(WEB防火墙、数据库安全审计、动态口令认证系统):客户在数据中心的建设过程中最重要的就是核心业务系统,它包含了至关重要的应用系统服务器和 核心数据,在核心业务系统中一般采用三层部署的标准架构,Web服务器、应用服务器、数据库,因此各类 服务器的安全防护是客户最关心的重点,建议采用Web防火墙对Web服务器进行安全保护,避免针对服务 器应用层和源代码攻击的风险,采用数据库安全审计平台对各类数据库操作,数据表调用和修改的动作进行 审计和告警,保证在数量繁多的用户访问数据
10、库的情况下行为能够进行审计。动态口令认证系统确保网上 交易系统用户帐户和口令的密码保护,形成”双因素”强身份认证。3 日志收集和分析(统一日志审计平台):在金融行业各个监督管理机构下发的政策法规文件中,日志统一收集、分析和保存是必不可少的一 项重点要求,系统日志保存期限按照风险等级不同来区分,至少不得少于一年,采用统一日志审计平台能够 满足各种法规政策的要求,制定相关策略和流程,管理所有生产系统的活动日志,以支持有效的审核、安全 取证分析和预防欺诈。不同平台和品牌的存储之间协同优化(虚拟存储系统):客户在构建数据存储系统的时候如果采用了异构的部署方式,系统中会出现不同平台和品牌的存储 服务器,
11、使用起来会造成很大的不便,采用虚拟存储系统可以把各种基于NAS协议的存储服务进行虚拟化 管理,实现无缝数据迁移、存储负载均衡和异构部署等多种优化功能.口部分成功客户国有银行:中国人民银行、中国工商银行、中国农业银行、中国银行、中国建设银行 商业银行:交通银行、兴业银行、中信银行、招商银行、华夏银行、民生银行、北京银行、宁波商行、齐 鲁银行 城商、农商行:上海农商行、深圳农商行、重庆农商行、云南农商行、浙江农信、广东农信、广州农信、 江苏农信、山东农信 外资银行:渣打银行、德意志银行、东亚银行、法国兴业银行、华侨银行、永亨银行、三井银行、花旗银 行、瑞士联合银行 基金:宝盈基金、博时基金、长城基金、招商基金、兴业基金、信诚基金、南方基金、广发基金、汇添富 基金证券:银河证券、宏源证券、国联证券、光大证券、广发证券、华泰证券、太平洋证券、上海证券交易所、 深圳证券交易所保险:平安保险、中国人保、中国人寿、信诚人寿、泰康保险、华泰保险、民生人寿、大地保险、鼎和财险
