金融行業(yè)解決方案

timg.jpg

一、安全挑戰(zhàn)

      數(shù)據(jù)中心作為承載業(yè)務(wù)的重要IT基礎(chǔ)設(shè)施,承載著金融機(jī)構(gòu)業(yè)務(wù)發(fā)展和創(chuàng)新提供基本保障的重任。近年來(lái),國(guó)內(nèi)各類金融機(jī)構(gòu)業(yè)務(wù)發(fā)展和相應(yīng)的機(jī)構(gòu)擴(kuò)張非常迅速,原有業(yè)務(wù)系統(tǒng)難以滿足增長(zhǎng)的要求,建設(shè)新的數(shù)據(jù)中心和災(zāi)備中心的情況非常普遍。

      在新的業(yè)務(wù)規(guī)模要求下,數(shù)據(jù)中心需要更高效地支持業(yè)務(wù)和信息共享需求,提供不間斷的服務(wù),這對(duì)數(shù)據(jù)中心的資源整合、全面安全、高效管理和業(yè)務(wù)連續(xù)性提出更高的要求。

      金融機(jī)構(gòu)所面臨的安全形勢(shì)也越來(lái)越嚴(yán)峻,安全威脅越來(lái)越突出,病毒、木馬、蠕蟲、黑客攻擊等,都可能使數(shù)據(jù)中心網(wǎng)絡(luò)和核心業(yè)務(wù)造成嚴(yán)重的破壞。數(shù)據(jù)中心與災(zāi)備中心是金融機(jī)構(gòu)絕大部分重要信息系統(tǒng)所在的位置,通常包括核心生產(chǎn)系統(tǒng)、網(wǎng)上銀行系統(tǒng)、重要支撐系統(tǒng)、重要交易系統(tǒng)、重要管理系統(tǒng)及其他運(yùn)行關(guān)鍵業(yè)務(wù)或涉及客戶身份、資產(chǎn)、交易記錄等敏感信息的重要信息系統(tǒng)。一旦出現(xiàn)問(wèn)題,后果將不堪設(shè)想。
      同時(shí),金融行業(yè)重要的信息系統(tǒng)關(guān)系到國(guó)計(jì)民生,是國(guó)家信息安全重點(diǎn)保護(hù)對(duì)象,國(guó)家信息安全監(jiān)管職能部門需要對(duì)其重要信息和信息系統(tǒng)的信息安全保護(hù)工作進(jìn)行指導(dǎo)監(jiān)督。因此金融監(jiān)管部門要求金融機(jī)構(gòu)的信息科技風(fēng)險(xiǎn)和信息安全管理水平必須符合一定的要求,以免某個(gè)機(jī)構(gòu)自身的問(wèn)題影響金融業(yè)整體安全與穩(wěn)定。

二、解決方案

      數(shù)據(jù)中心的安全方案應(yīng)以安全域劃分為基礎(chǔ),根據(jù)不同系統(tǒng)承載的功能進(jìn)行對(duì)應(yīng)的設(shè)計(jì),重點(diǎn)保障與核心業(yè)務(wù)、實(shí)時(shí)業(yè)務(wù)有關(guān)的系統(tǒng),以保證業(yè)務(wù)持續(xù)運(yùn)行和數(shù)據(jù)安全為主要目標(biāo)。

      數(shù)據(jù)中心網(wǎng)絡(luò)總體可以分為三個(gè)網(wǎng)絡(luò)大區(qū):生產(chǎn)網(wǎng)、辦公網(wǎng)、互聯(lián)網(wǎng)。其中生產(chǎn)網(wǎng)跟辦公網(wǎng)之間通過(guò)硬件防火墻進(jìn)行邏輯隔離,兩網(wǎng)之間的數(shù)據(jù)傳輸通過(guò)數(shù)據(jù)交換區(qū)進(jìn)行數(shù)據(jù)交互,并且為單向傳輸;辦公網(wǎng)跟互聯(lián)網(wǎng)區(qū)之間通過(guò)硬件防火墻進(jìn)行邏輯隔離,并且與跟生產(chǎn)網(wǎng)隔離的防火墻為異構(gòu)防火墻。安全域通常包括:

  • 網(wǎng)絡(luò)設(shè)施域
  • 邊界接入域
  • 計(jì)算環(huán)境域
  • 支撐設(shè)施域

金融數(shù)據(jù)中心安全設(shè)計(jì)圖

 

金融數(shù)據(jù)中心安全設(shè)計(jì)圖(以銀行數(shù)據(jù)中心為例)


      在安全域劃分的基礎(chǔ)上,每個(gè)區(qū)域都可以根據(jù)業(yè)務(wù)連續(xù)和數(shù)據(jù)安全的原則進(jìn)行保護(hù)措施的設(shè)計(jì),可能包括訪問(wèn)控制、異常流量檢測(cè)與清洗、Web應(yīng)用防護(hù)、入侵檢測(cè)、安全漏洞管理、安全配置管理、病毒檢測(cè)與清除、安全運(yùn)維管理、認(rèn)證和加密等。這些措施針對(duì)來(lái)自內(nèi)外部的黑客攻擊、拒絕服務(wù)攻擊(DDOS)、惡意代碼(如病毒蠕蟲)、越權(quán)訪問(wèn)、網(wǎng)絡(luò)傳輸泄密、內(nèi)部人員越權(quán)和濫用、數(shù)據(jù)篡改和抵賴行為等。


      針對(duì)數(shù)據(jù)中心包含的某一個(gè)系統(tǒng),或某項(xiàng)單獨(dú)的技術(shù)措施在整體數(shù)據(jù)中心的應(yīng)用,在整體的數(shù)據(jù)中心解決方案基礎(chǔ)上都可以形成新的子領(lǐng)域的方案,如:

  • 網(wǎng)上銀行/證券/保險(xiǎn)安全解決方案
  • 手機(jī)銀行/證券/保險(xiǎn)安全解決方案
  • Web安全解決方案
  • 入侵檢測(cè)與防御安全解決方案
  • 安全基線管理解決方案


三、方案價(jià)值

  • 設(shè)計(jì)金融機(jī)構(gòu)整體安全體系的基本架構(gòu),從根本上建立扎實(shí)的基礎(chǔ)
  • 切實(shí)防御已知攻擊手段,并對(duì)未知攻擊手段有一定檢測(cè)與防御能力,快速完善到現(xiàn)有防御體系中
  • 建立安全體系的宏觀視角,避免各部分安全工作零散、不成系統(tǒng)
  • 嚴(yán)格遵從監(jiān)管部門相關(guān)要求,有效控制合規(guī)風(fēng)險(xiǎn)
  • 能夠適應(yīng)金融機(jī)構(gòu)業(yè)務(wù)發(fā)展迅速的特點(diǎn),在有需要時(shí)靈活擴(kuò)展
  • 同時(shí)可用于指導(dǎo)災(zāi)備中心安全建設(shè)


四、方案優(yōu)勢(shì)

  • 技術(shù)體系與安全管理體系相結(jié)合,保證可落地性
  • 與其他安全解決方案能夠很好地整合
  • 方案每一部分都可深入設(shè)計(jì),使其得到更充分的安全保護(hù)
  • 參考國(guó)內(nèi)眾多金融機(jī)構(gòu)豐富的案例,有效回避風(fēng)險(xiǎn),提高成功率
  • 天正科技全國(guó)工程和服務(wù)體系,保證服務(wù)質(zhì)量