守护银行数据中心服务器–三方案确保安全


银行系统安全威胁无处不在 应防范于未然
银行数据中心属于大型数据中心,根据业务的类型,按照分区、分层、分级的设计原则进行建设。银行系统承载着各种运营系统及其数据,包含传统生产业务,如龙卡、清算、对公、储蓄等,及其OA等办公管理类业务,银行业务对国家安全、社会稳定、经济建设等具有极高的重要性。

有国外调查机构数据显示,金融领域历来是黑客关注的焦点,在有预谋的网络犯罪中,90%以上集中在银行、证券和保险领域,而银行数据中心服务器区面临着许多潜在的安全威胁,包括网络欺骗、木马病毒、入侵攻击等等手段屡见不鲜,且愈演愈烈。

Hillstone山石网科根据多年的经验分析认为,银行数据中心服务器区易遭受的攻击主要包括两种形式:一种是来自黑客的入侵,在数据中心未采取必要的安全隔离措施时,黑客往往通过嗅探、渗透等手段,侵入数据中心服务器区,获取并篡改相关数据,从而谋取利益;另一种是病毒侵入,数据中心是数据交换的场所,会容易造成病毒的传入,不但容易为黑客的攻击创造条件,一些病毒也会对数据中心网络的正常运行带来威胁。

银行数据中心重要等级高 安全需求强烈
为了保障银行数据中心系统的安全,在2006年,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合制定了《信息安全等级保护管理办法(试行)》,(下简称《等级保护办法》),同年中国人民银行办公厅通知各政策性银行、国有商业银行、股份制商业银行等各机构遵照执行。

依据《等级保护办法》和对银行数据中心服务器区的应用、安全风险分析的结果,Hillstone山石网科认为需要根据数据中心基础网络的分区设计部署原则,按照体系化的方法,对数据中心服务器区进行综合的防范,形成系统化的保护,在网络安全层面,银行数据中心服务器区应在硬件和软件上同时符合安全要求:
在软件上,安全设备首先要能够防范对服务器的访问风险,能够隔离并查杀来自外分区的病毒,对常见的攻击行为,病毒传播进行有效阻断,实现数据中心服务器区与其他分区及其分区内各级服务器间的隔离,并通过严格的访问控制,限制其他分区对服务器区的访问;同时在数据中心服务器区内各级服务器间进行边界隔离,并通过严格的访问控制,限制各级服务器之间的访问,限制数据中心内服务器对外的访问,从而实现有效的安全管理。

在硬件上,银行数据中心服务器区承载着银行的核心应用,要求数据中心网络具备高性能、高可靠性、高可扩展性的特点。数据中心服务器区的高性能要求,包含对网络设备的转发能力、链路带宽等,并要求具有百G以上的转发能力,支持链路聚合,链路带宽可扩展以满足数据中心内的流量要求;可靠性上则要求具有多中心异地备份、数据中心网络设计的高可靠性,以及数据中心网络安全设备的高可靠性。对于安全网关而言,需要提供带状态的HA能力;能够配合数据中心服务器区基础网络的HA技术,比如STP、动态路由协议、链路聚合等;安全网关自身能够提供高可靠性,比如多电源冗余、双主控、双风扇,并具备按需扩展能力,以承载因业务增加而带来的性能压力。

Hillstone山石网科解决方案助力银行系统防护
通过对数据中心服务器区面临的安全需求、设备需求,及其数据中心服务器区内防火墙部署方式的分析,Hillstone山石网科认为银行数据中心服务器区内的安全网关除了提供防火墙、防病毒、入侵防御的功能外,还必须具备高性能、高可靠性、高可扩展性,以满足不同规模的数据中心服务器区的安全需求。

据悉,在满足数据中心服务器区的安全需求方面,Hillstone山石网科的安全网关可以提供基于应用行为和特征的应用识别功能,可防范多种网络攻击,支持在低时延、高并发条件下的基于流的病毒过滤,支持大病毒文件的扫描,支持基于状态、精准的攻击检测和防御,支持针对HTTP、FTP、SMTP等多种协议和应用的攻击检测和防御,以及与HSM配合实现安全网关的设备集中管理,性能、流量监控与分析,实现集中监管和细粒度分析审计等多种功能。

Hillstone山石网科副总裁赵彦利表示,本方案可以为银行数据中心服务器区提供整体性的安全防护,规避数据中心服务器区安全威胁,提升业务持续性,实现全局性安全管理等功能,确保银行数据中心系统的安全。