金融行业

金融行业

行业现状

  金融行业用户主要包括银行、证券、保险、基金、交易所等,每种用户在其企业内部或者数据中心之内,都部署多种应用系统。

  银行业主要应用系统有门户网站、网上银行系统、电话银行系统、 ATM/POS 系统、内部网办公系统、邮件系统等;保险行业主要有保险保障业务系统、投资理财业务系统、内网办公系统、邮件系统、坐席客服系统等。

  随着基金证券业的火热发展,基金证券公司的网上交易、网上查询、网上论坛等应用系统都呈指数级增长,对原有内网办公、邮件、坐席客服、网站门户等系统都提出了新的挑战,急需保证业务访问的快速、安全、高可用。

  考虑到应用系统的安全性,大多数用户都是自己搭建数据中心,很少选择 IDC 托管的方式。为了避免出现单点故障,保证链路接入的高可用性,用户都采用不同运营商的多条链路接入。

  为了保证交易的安全性,网上银行、网上交易系统都采用 SSL 加密的方式,目前 SSL 加解密的工作大多由应用服务器处理。

亟需解决的问题

  应用服务器的负载均衡和冗余:如何把大量的用户请求在多台服务器之间进行分发,做到负载均衡,并在某一服务器出现故障时,能够快速发现故障,并将请求转发到其他正常的服务器上面?

  SSL 加速:由于网上银行、网上交易系统都采用 SSL 加密的方式,如何卸载服务器在处理 SSL 加解密方面的压力,在不影响服务器性能的前提下,对数据进行加解密?

  广域网多站点之间的负载均衡和站点冗灾备份:如何把用户导向到访问质量最优的站点,如何在某一站点出现故障的情况下做到快速切换其他正常的站点?

  多链路负载均衡:为了保证各种应用系统在全国范围内的不同用户都能够快速访问,解决各运营商之间互访的问题,需要选择多条不同运营商的链路,那么如何把用户导向到两条链路上面?如何把内部用户访问外网的请求负载均衡到多条链路上面?并在某一条链路出现故障的情况下,把以上两种访问切换到正常的链路上面?

  服务质量监测:如何评价在全国范围甚至全球范围内不同地理位置的用户访问质量?

  互联网网关及 Web 通讯控制:如何保证用户能够进行安全、快速的互联网访问,并且保证将间谍软件及恶意代码等阻挡在外,防止信息泄露?

  应用系统的安全防护:为了提高整个网络的安全性,如何进行安全区域的划分,保护内网服务器资源,同时进行入侵检测,保护服务器资源免受各种攻击的侵害?

  安全的远程访问:对于企业内部网的各种应用系统,如何解决移动办公用户能够快速、安全的访问?

  统一访问控制:企业网络在不断扩展,但是安全性却在不断下降,新的威胁出现在可信的用户可流量中,如何在客户端在接入网络之前评估其安全状态,对不符合要求的用户进行隔离或者修复?如何建立基于身份的和策略的网络准入控制?

建议网络结构

 

解决方案要点

广域网负载均衡

  采用广域网负载均衡设备,来实现 IDC 节点冗余备份和负载均衡,解决目前不同运营商之间互联互通问题;

服务器负载均衡

  使用负载均衡设备,把大量用户的请求平均分发到多台服务器上面,同时能够对数据进行 SSL 加速,卸载服务器处理 SSL 加解密的压力。在站点之内,负载均衡产品能够同时对 Web 前置服务器、应用服务器、数据库服务器、缓存服务器等多种服务器进行负载均衡;

多链路负载均衡

  采用链路负载均衡产品,把访问外网资源的内网用户按照要求负载均衡到两条链路,任何一条链路出现故障,都能够实时发现,自动把请求转发至正常的链路;同时把访问内网资源的用户自动导向到访问质量最优的链路,并实时监控链路的状态,如果某一链路出现故障,自动切换到其他正常链路;

服务质量检测

  采用第三方的服务质量监控产品在全国甚至全球范围内对站点的访问质量进行检测,给出访问质量报告,客观的反映出站点的服务质量;

互联网网关和 Web 通讯控制

  采用 Internet 安全访问网关设备,对员工上网行为的纪录和审计,提高工作效率;

应用系统的安全防护

  使用防火墙、入侵检测设备对内外网、 DMZ 等安全区域进行隔离,并进行入侵防护。通过高性能的防火墙产品对不同的安全区域进行访问控制,并通过多种检测机制,发现攻击流量,实时进行阻断,提高应用系统的安全性;

安全远程接入系统

  对于分支结构或分公司与总部的连接,采用 IPSEC VPN 技术来实现;对于移动远程办公人员,采用 SSL VPN 技术来实现远程连接;

统一访问控制

  采用统一的认证和授权机制,对内部网络的终端进行验证,认证和授权的内容不再局限于简单的用户名和密码。实现基于用户身份、所处网络位置(用户 IP 地址)、终端主机的安全状况的统一的授权。根据终端用户认证信息的不同(用户身份、 IP 地址、终端主机的安全状况),在边界控制防火墙上动态的为该终端动态加载策略,实现不同的访问权限。对于不符合安全策略的终端,防火墙上阻断其访问权限,同时对其进行修复。