金融行業解決方案

timg.jpg

一、安全挑戰

      數據中心作為承載業務的重要IT基礎設施,承載著金融機構業務發展和創新提供基本保障的重任。近年來,國內各類金融機構業務發展和相應的機構擴張非常迅速,原有業務系統難以滿足增長的要求,建設新的數據中心和災備中心的情況非常普遍。

      在新的業務規模要求下,數據中心需要更高效地支持業務和信息共享需求,提供不間斷的服務,這對數據中心的資源整合、全面安全、高效管理和業務連續性提出更高的要求。

      金融機構所面臨的安全形勢也越來越嚴峻,安全威脅越來越突出,病毒、木馬、蠕蟲、黑客攻擊等,都可能使數據中心網絡和核心業務造成嚴重的破壞。數據中心與災備中心是金融機構絕大部分重要信息系統所在的位置,通常包括核心生產系統、網上銀行系統、重要支撐系統、重要交易系統、重要管理系統及其他運行關鍵業務或涉及客戶身份、資產、交易記錄等敏感信息的重要信息系統。一旦出現問題,后果將不堪設想。
      同時,金融行業重要的信息系統關系到國計民生,是國家信息安全重點保護對象,國家信息安全監管職能部門需要對其重要信息和信息系統的信息安全保護工作進行指導監督。因此金融監管部門要求金融機構的信息科技風險和信息安全管理水平必須符合一定的要求,以免某個機構自身的問題影響金融業整體安全與穩定。

二、解決方案

      數據中心的安全方案應以安全域劃分為基礎,根據不同系統承載的功能進行對應的設計,重點保障與核心業務、實時業務有關的系統,以保證業務持續運行和數據安全為主要目標。

      數據中心網絡總體可以分為三個網絡大區:生產網、辦公網、互聯網。其中生產網跟辦公網之間通過硬件防火墻進行邏輯隔離,兩網之間的數據傳輸通過數據交換區進行數據交互,并且為單向傳輸;辦公網跟互聯網區之間通過硬件防火墻進行邏輯隔離,并且與跟生產網隔離的防火墻為異構防火墻。安全域通常包括:

  • 網絡設施域
  • 邊界接入域
  • 計算環境域
  • 支撐設施域

金融數據中心安全設計圖

 

金融數據中心安全設計圖(以銀行數據中心為例)


      在安全域劃分的基礎上,每個區域都可以根據業務連續和數據安全的原則進行保護措施的設計,可能包括訪問控制、異常流量檢測與清洗、Web應用防護、入侵檢測、安全漏洞管理、安全配置管理、病毒檢測與清除、安全運維管理、認證和加密等。這些措施針對來自內外部的黑客攻擊、拒絕服務攻擊(DDOS)、惡意代碼(如病毒蠕蟲)、越權訪問、網絡傳輸泄密、內部人員越權和濫用、數據篡改和抵賴行為等。


      針對數據中心包含的某一個系統,或某項單獨的技術措施在整體數據中心的應用,在整體的數據中心解決方案基礎上都可以形成新的子領域的方案,如:

  • 網上銀行/證券/保險安全解決方案
  • 手機銀行/證券/保險安全解決方案
  • Web安全解決方案
  • 入侵檢測與防御安全解決方案
  • 安全基線管理解決方案


三、方案價值

  • 設計金融機構整體安全體系的基本架構,從根本上建立扎實的基礎
  • 切實防御已知攻擊手段,并對未知攻擊手段有一定檢測與防御能力,快速完善到現有防御體系中
  • 建立安全體系的宏觀視角,避免各部分安全工作零散、不成系統
  • 嚴格遵從監管部門相關要求,有效控制合規風險
  • 能夠適應金融機構業務發展迅速的特點,在有需要時靈活擴展
  • 同時可用于指導災備中心安全建設


四、方案優勢

  • 技術體系與安全管理體系相結合,保證可落地性
  • 與其他安全解決方案能夠很好地整合
  • 方案每一部分都可深入設計,使其得到更充分的安全保護
  • 參考國內眾多金融機構豐富的案例,有效回避風險,提高成功率
  • 天正科技全國工程和服務體系,保證服務質量