背景概述:近年来为加强金融行业信息科技风险管理,各行业监管机构相继出台了针对信息科技安全的相关政策法规,目前各个金融行业客户对信息安全建设十分重视,纷纷加大信息科技管理方面的投入力度。金融行业客户出于信息业务安全和维护等多方面考虑,一般都会自己搭建数据中心,因此随着银行、证券行业业务量火热发展,信息安全风险也随之增大,业务访问效率同时也变成了网络和应用管理员最头疼的话题。 建设目标:物理层、网络架构、终端和操作系统、应用系统、核心业务数据等多方面的安全和优化。 核心理念: 网络攻击及入侵:当金融系统遇到互联网的非法攻击和入侵的时候,势必对网上应用和交易系统产生影响,造成访问效率下降、网络拥堵等状况,采用主动式入侵防御系统利用高可靠识别攻击,精确判断入侵及攻击行为并作出相应的反应来解决遇到的上述问题。 链路负载均衡:为了避免出现链路单点故障,保证链路接入的高可用性,金融系统一般采用不同运营商的多条链路接入,采用链路负载均衡产品,把访问外网资源的内网用户按照要求负载均衡到两条链路,任何一条链路出现故障,都能够实时发现,自动把请求转发至正常的链路;同时把访问内网资源的用户自动导向到访问质量最优的链路,并实时监控链路的状态,如果某一链路出现故障,自动切换到其他正常链路。 安全区域划分和隔离:在数据中心根据不同的安全级别划分出不同的访问区域,不同的区域之间互相访问需要通过安全设备进行隔离,根据不同的安全级别设定策略进行访问控制,通过多种检测机制,发现攻击流量,实时进行阻断,提高应用系统的安全性。 移动办公接入:为加强远程办公终端的安全性和易用性,采用SSLVPN的接入方式,利用对客户端安全检查、灵活定制访问策略和权限的技术手段,满足移动办公用户接入数据中心简单方便。 服务器负载均衡、应用优化:由于网上交易系统都采用SSL 加密的方式,对于如何卸载服务器在处理SSL加解密方面的压力,在不影响服务器性能的前提下,对数据进行加解密就变成了一个重要的话题,使用本地流量管理器,把大量用户的请求平均分发到多台服务器上面,同时能够对数据进行SSL加速,卸载服务器处理SSL加解密的压力。在站点之内,负载均衡产品能够同时对Web前置服务器、应用服务器、数据库服务器、缓存服务器等多种服务器进行负载均衡。 各类应用安全防护:在数据中心的建设过程中最重要的就是核心业务系统,它包含了至关重要的应用系统服务器和核心数据,在核心业务系统中一般采用三层部署的标准架构,Web服务器、应用服务器、数据库,因此各类服务器的安全防护是客户最关心的重点,建议采用Web防火墙对Web服务器进行安全保护,避免针对服务器应用层和源代码攻击的风险,采用数据库安全审计平台对各类数据库操作,数据表调用和修改的动作进行审计和告警,保证在数量繁多的用户访问数据库的情况下行为能够进行审计。动态口令认证系统确保网上交易系统用户帐户和口令的密码保护,形成"双因素"强身份认证。 日志收集和分析:在金融行业各个监督管理机构下发的政策法规文件中,日志统一收集、分析和保存是必不可少的一项重点要求,系统日志保存期限按照风险等级不同来区分,至少不得少于一年,采用统一日志审计平台能够满足各种法规政策的要求,制定相关策略和流程,管理所有生产系统的活动日志,以支持有效的审核、安全取证分析和预防欺诈。 不同平台和品牌的存储之间协同优化:在构建数据存储系统的时候如果采用了异构的部署方式,系统中会出现不同平台和品牌的存储服务器,使用起来会造成很大的不便,采用虚拟存储系统可以把各种基于NAS协议的存储服务进行虚拟化管理,实现无缝数据迁移、存储负载均衡和异构部署等多种优化功能。
行业建设趋势随着智慧校园不断发展,校园网出口带宽不断升级,且各类教育网资源广泛应用ipv6技术,学校需要一套完善的校园网出口行为管控方案,满足智慧校园的建设需求,同时满足《网络安全法》等法律法规要求。 行业应用特点因学生人数众多而无法将违规上网行为定位到人和校园应用带宽分配不合理的问题。拓扑图 业务安全常见问题 1、部分师生法律意识淡薄,存在通过网络发布违法言论的法律风险; 2、缺少上网行为记录措施,一旦发生网络违法,无法追踪到人; 3、 P2P下载、在线视频占用大量带宽资源,师生正常上网学习网速慢,体验差; 4、《网络安全法》要求做上网审计,合规要求更严格。 传统解决方案的问题 1、审计不完整,不满足合规要求,如SSL加密网页无法审计; 2、针对P2P流量无法准确识别并管控,流控效果很差; 3、设备只支持IPv4网络,无法支持IPv6网络环境。 创新解决办法1、 精细灵活的流量管控,基于应用、文件、用户等多种流控策略,通过P2P流量全识别、P2P智能管控技术限制P2P流量;2、 全面的网络行为和内容审计,过滤非法言论和不良应用;3、 丰富的日志报表,自动生成校园上网行为分析、校园网络流量等报表,并支持对接行为感知系统,构建智慧校园大数据分析应用;4、 全面支持IPv4和IPv6网络环境。 用户可获取的收益 1. 优化带宽分配,提升师生上网体验; 2. 过滤不良网站和违法言论,保障学生健康上网和安全上网; 3. 全面审计所有网络行为,满足《网络安全法》等法律法规要求。 涉及的产品产品图标上网行为管理AC 场景价值主张绿色上网,全面审计,精准流控,学生行为感知
针对于企业实际面临的缺乏统一身份标识、高强度统一身份认证等安全需求,可通过P证书认证体系建设为应用层提供安全保障,采用基于PKI技术的数字证书实现基于数字证书的统一身份标识,并与现有应用系统进行整合,实现用户访问应用系统时通过认证平台实现统一身份认证功能,同时通过此次证书认证体系建设为以后信息安全建设和信息化发展奠定基础和提供保障。目前,“用户名+口令”的认证方式普遍存在各个信息系统,基于用户名口令的认证方式是一种弱认证方式,由于其具有容易被猜测、字典攻击、非法拦截、责任认定无法到人等系列弱点,已经无法满足信息系统的安全需要,因此,需要建立一套CA认证系统,来完成数字证书的申请、审核、发放等生命周期管理,为最终用户提供唯一、安全、可信的网络身份标识。根据企业的实际情况,进行证书认证体系基础设施和安全支撑平台设计:基础设施建设设计和统一身份认证体系建设设计。基础设施建设设计:通过部署电子证书认证系统为各类用户颁发数字证书来实现用户身份的统一描述并实现对用户身份的统一管理,通过数字证书来表明相应人员在业务网络中身份的唯一性,基础设施建设为统一身份认证体系建设奠定基础。统一身份认证体系建设设计:通过部署身份认证网关实现对用户基于数字证书统一身份认证功能,实现业务应用系统的单点登录并形成一套完整的应用接入规范为未来建设的业务系统提供应用标准。统一身份认证体系建设能够有效的为整体业务系统提供安全支撑服务。
总体设计拓扑:依据国家等级保护的相关标准和规范,结合用户信息系统面临的安全挑战,为其建立一个完整的安全保障体系。安全分区分域建设:同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,且相同的网络安全域共享一样的安全策略。在安全防护领域,对网络系统进行分区分域进行防护安全能力设计;核心区、出口区、安全管理区、服务器区、安全管理区、互联网服务区。信息安全管理体系建设:安全管理体系的作用是通过建立健全组织机构、规章制度,以及通过人员安全管理、安全教育与培训和各项管理制度的有效执行,来落实人员职责,确定行为规范,保证技术措施真正发挥效用,与技术体系共同保障安全策略的有效贯彻和落实。信息安全管理体系主要包括组织机构、规章制度、人员安全、安全教育和培训等四个方面内容。总体安全方针与安全策略:总体安全方针与安全策略是指导用户方所有信息安全工作的纲领性文件,是信息安全决策机构对信息安全工作的决策和意图的表述。总体安全方针与安全策略的作用在于统一对信息安全工作的认识,规定信息安全的基本架构,明确信息安全的根本目标和原则。
全网威胁感知、溯源分析病毒,揭露流氓黑产,管理企业终端, 提供专属服务,安静简单易操作,专注防御。
以全面、真实、及时的互联网威胁情报为基础,来驱动技术 研发和产品开发,并建立相应的安全服务运营体系。
实时感知、精准处理、动态防御,为用户提供可靠、及时、 成本合理的安全防护。
关注开云
4000-618-418
Copyright © 2006-2025 开云·体育(中国)官方网站_KAIYUN.SPORTS All rights reserved. 业务咨询:13260607300 15527777548
鄂网公安备案 42010602000724号 鄂ICP备07009628号-10 鄂B1-20160016 全网IDC/ISP/VPN虚拟专网证编号:B1-20182826
