金融

行业需求

随着信息安全行业的迅猛发展,各行业之间的竞争也日益激烈,而金融业一直走在行业的前端。金融行业主要包括银行、证券、基金、期货和保险等多个体系,其中以银行最为复杂。金融行业信息系统建设始终围绕更好地为用户经济活动提供服务而展开,在用户全球化、交易电子化、服务随时随地化的大背景下,金融行业将面对如何在更开放的环境中提供安全的金融服务的挑战;另外,信息技术的迅猛发展,打破了原有的业界信息安全基准;云计算的兴起,提供了充足的计算资源,使得暴力破解密码更为轻松,网上唾手可得的攻击工具以及有组织的金融犯罪等均对银行信息安全防护提出了严峻的挑战;同时,面对错综复杂的金融环境,合理平衡安全与易用的关系,在保障资金交易安全的同时,兼顾便利也是银行业面临的长期挑战。

解决方案

银行的信息系统通常包括核心业务应用系统、网上银行系统、办公系统、认证系统、外联业务等;证券基金的信息系统一般包括网上交易查询系统、银行结算系统、办公系统和门户网站等;保险行业的信息系统则主要有CRM系统、核心业务系统、保单管理系统、财务系统等。各类不同的行业客户在信息系统建设过程中都会涉及到物理层、网络层、计算环境终端和操作系统、应用系统和核心数据等层面的安全需求。

应用价值

  • 从网络结构上,为了避免出现单点链路故障,保障业务应用系统的高可用性,金融系统一般都采用不同运营商的多条链路接入,形成骨干双链路结构,一方面确保双出口的稳定性和可靠性,另一方面充分保障了业务的连续性。
  • 每个安全域使用安全隔离设备进行逻辑隔离,两层以上进行隔离时,两层防火墙建议为异构方式,以保证各个区域的安全性;每个安全域的接入交换建议旁路部署入侵检测设备,在不影响网络性能的情况下对网络流量进行全面安全审计、监控、攻击识别和响应。
  • 核心交换区由热备的高端网络交换机组成双链路结构,主要承担主数据中心内部的高速转发和数据交换任务。内部区域的核心设备旁路需部署异常流量监控与响应设备,通过多种手段监控网络各路由交换单元,提供异常流量检测、流量流向分析、异常自动响应功能,保障骨干网络带宽的使用效率和服务质量保证,从而有效规划和使用带宽,降低整体成本,提高网络性能。
  • 生产业务区部署金融业务的核心生产业务系统、服务器等生产主机。建议利用堡垒机实现对现有网络设备、安全设备的综合4A审计和高效管理。
  • 网上银行区需部署网上银行业务的服务器、网络设备等;该区内部还可细分为互联网接入区、网银WEB服务器区、网银应用服务器区。网银区应用交付系统需实现多出口链路均衡、智能DNS、服务器负载均衡、SSL加速、网页防篡改、WEB压缩加速等必要功能。
  • 业务外联区连接与央行、银联及中间业务合作单位等网络设备;若有中间业务类的前置机,也可放在该安全域内。另外,需要部署有效的入侵防御体系,在传统防火墙访问控制功能基础上,为前置服务器区提供入侵防御、深度检测及抗DoS/DDoS攻击。同时考虑部署网络防病毒系统,负责外联服务数据流的病毒检测。
  • 纵向线是指金融系统广域网,主要负责完成与上级总行和下级支行的互联,建议部署集成防病毒、入侵防御和深度检测的VPN综合安全网关设备,提供动态、深度的主动安全防御以及安全可靠的数据交换传输。
  • 在金融行业各个监督管理机构下发的政策法规文件中,日志统一采集、审计和存档都是必不可少的一项重点要求。因此,建议在以上技术防护体系的基础上,建立一个综合运维管理平台,实现清晰描述、系统展示整体风险状况,并提供风险规避方法,以驱动维护人员主动执行风险规避措施。
  • 如果说安全产品可以帮助用户构建安全技术防护体系,那么安全服务则可以帮助用户真正提升安全防护能力。当一个组织的信息基础设施建设达到一定程度和规模后,在规避安全风险、控制安全成本及保障业务持续性的需求压力下,这个组织必然需要更加专业的安全服务来规划、制订符合自身情况的安全策略并进行有效的安全管理。