金融机构数据中心解决方案

发布日期:2018-05-28

安全挑战

      数据中心作为承载业务的重要IT基础设施,承载着金融机构业务发展和创新提供基本保障的重任。近年来,国内各类金融机构业务发展和相应的机构扩张非常迅速,原有业务系统难以满足增长的要求,建设新的数据中心和灾备中心的情况非常普遍。

      在新的业务规模要求下,数据中心需要更高效地支持业务和信息共享需求,提供不间断的服务,这对数据中心的资源整合、全面安全、高效管理和业务连续性提出更高的要求。

      金融机构所面临的安全形势也越来越严峻,安全威胁越来越突出,病毒、木马、蠕虫、黑客攻击等,都可能使数据中心网络和核心业务造成严重的破坏。数据中心与灾备中心是金融机构绝大部分重要信息系统所在的位置,通常包括核心生产系统、网上银行系统、重要支撑系统、重要交易系统、重要管理系统及其他运行关键业务或涉及客户身份、资产、交易记录等敏感信息的重要信息系统。一旦出现问题,后果将不堪设想。
      同时,金融行业重要的信息系统关系到国计民生,是国家信息安全重点保护对象,国家信息安全监管职能部门需要对其重要信息和信息系统的信息安全保护工作进行指导监督。因此金融监管部门要求金融机构的信息科技风险和信息安全管理水平必须符合一定的要求,以免某个机构自身的问题影响金融业整体安全与稳定。

解决方案

      数据中心的安全方案应以安全域划分为基础,根据不同系统承载的功能进行对应的设计,重点保障与核心业务、实时业务有关的系统,以保证业务持续运行和数据安全为主要目标。

      数据中心网络总体可以分为三个网络大区:生产网、办公网、互联网。其中生产网跟办公网之间通过硬件防火墙进行逻辑隔离,两网之间的数据传输通过数据交换区进行数据交互,并且为单向传输;办公网跟互联网区之间通过硬件防火墙进行逻辑隔离,并且与跟生产网隔离的防火墙为异构防火墙。安全域通常包括:
  • 网络设施域
  • 边界接入域
  • 计算环境域
  • 支撑设施域

金融数据中心安全设计图 

金融数据中心安全设计图(以银行数据中心为例)


      在安全域划分的基础上,每个区域都可以根据业务连续和数据安全的原则进行保护措施的设计,可能包括访问控制、异常流量检测与清洗、Web应用防护、入侵检测、安全漏洞管理、安全配置管理、病毒检测与清除、安全运维管理、认证和加密等。这些措施针对来自内外部的黑客攻击、拒绝服务攻击(DDOS)、恶意代码(如病毒蠕虫)、越权访问、网络传输泄密、内部人员越权和滥用、数据篡改和抵赖行为等。


      针对数据中心包含的某一个系统,或某项单独的技术措施在整体数据中心的应用,在整体的数据中心解决方案基础上都可以形成新的子领域的方案,如:
  • 网上银行/证券/保险安全解决方案
  • 手机银行/证券/保险安全解决方案
  • Web安全解决方案
  • 入侵检测与防御安全解决方案
  • 安全基线管理解决方案


方案价值
  • 设计金融机构整体安全体系的基本架构,从根本上建立扎实的基础
  • 切实防御已知攻击手段,并对未知攻击手段有一定检测与防御能力,快速完善到现有防御体系中
  • 建立安全体系的宏观视角,避免各部分安全工作零散、不成系统
  • 严格遵从监管部门相关要求,有效控制合规风险
  • 能够适应金融机构业务发展迅速的特点,在有需要时灵活扩展
  • 同时可用于指导灾备中心安全建设


方案优势
  • 技术体系与安全管理体系相结合,保证可落地性
  • 与其他安全解决方案能够很好地整合
  • 方案每一部分都可深入设计,使其得到更充分的安全保护
  • 参考国内众多金融机构丰富的案例,有效回避风险,提高成功率
  • 绿盟全国工程和服务体系,保证服务质量