关注金融安全 山石网科为银行数据中心推全新方案


无论是金融互联网,还是互联网金融,在金融网络正常运行和金融业务运转的核心,数据中心始终发挥着核心作用。然而,移动支付、网上银行、网络保险等多业务的增加和发展,使金融数据中心面临大量数据的访问,海量访问带来的运行压力,以及众多未知病毒、木马等不安全因素,给数据中心带来了众多安全隐患。

对于银行业务来讲,数据中心是银行最重要的资产,没有之一。它承载各种运营系统及其数据,包含传统生产业务,如银行卡、清算、对公、储蓄等,及其OA办公管理类业务,如计财、NOTES等等。对高性能、高可靠和绝对高度的安全和稳定的需求,始终是银行数据中心必备因素。但面临快速发展的移动互联网,不可预知的威胁,守护数据中心的安全,显得至关重要。

分区、分层、分级设计  保障银行数据中心安全

有国外调查机构数据显示,金融领域历来是黑客关注的焦点,在有预谋的网络犯罪中,90%以上集中在银行、证券和保险领域,而银行数据中心服务器区由于其开放性,面临着更多潜的安全威胁,包括网络欺骗、木马病毒、入侵攻击等等手段屡见不鲜,且愈演愈烈。

银行数据中心的业务安全需求主要包括四个大类:服务器区安全、数据中心服务器区与其他分区隔离安全、分区内各级服务器间的隔离安全和高效的安全管理。对数据中心服务器区来说,严格实现与其他各分区的安全域隔离,服务器区内各级服务器间的安全隔离,阻断对服务器区各级服务器的安全攻击,杜绝非法访问、隔离并查杀来自外部的病毒是数据中心安全的关键。

按照分区、分层、分级的设计原则,山石网科为银行数据中心打造了全新的安全解决方案,根据各个分区不同的安全威胁,为银行数据中心服务器区内的网络安全及其网络安全的高可用性,主要内容包括访问控制、入侵防范、病毒过滤、高可用性等,其目的是通过配合数据中心服务器区的基础网络,加强数据中心服务器区的网络安全能力,为上层应用提供安全、高可靠的运行环境,杜绝非法攻击和恶意破坏,保障业务活动的有序性,从而达到应对服务器安全威胁、提升业务持续性、降低运维难度。

重点保护区域边界,完全日志审计保万无一失

2006年,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合制定了《信息安全等级保护管理办法(试行)》(下简称为《等级保护》)。同年中国人民银行办公厅通知各政策性银行、国有商业银行、股份制商业银行等各机构遵照执行。

根据定级思路,银行数据中心的服务器区被定为三级。山石网科新方案认为银行数据中心服务器区需要重点保护区域边界。在区域边界,针对可预知的安全威胁,采取的封堵措施,即访问控制,限制其他分区对服务器区的访问行为、区内各级服务器间的访问、存储区外的服务器对外访问等。

同时在区域边界,对业务活动过程中的数据包进行深度检测,并根据数据包的特征模型、行为模型,鉴别出异常并进行报警和记录。包括攻击检测、病毒过滤,并在访问控制和入侵防御、病毒防护的基础上需要系统及时地进行反应,建立检测与防护的通道,以便成动态的防护体系,如日志审计、报告等等。

高可靠、高性能、可扩展 点缀全新方案

银行数据中心服务器区承载着银行的核心应用,要求数据中心网络具备高性能、高可靠性、高可扩展性的特点。数据中心服务器区的高性能要求,主要包含对网络设备数据流量的转发能力、链路带宽等。高可靠运行特别是生产业务,是银行的“生命线”,重要性不言而喻。

对此,山石网科新方案中提供了带状态的HA能力的安全网关设备,能够配合数据中心服务器区基础网络的HA技术,如STP、动态路由协议、链路聚合等;同时安全网关自身能够提供高可靠性,如多电源冗余、双主控、双风扇。同时具备按需扩展的能力,包括接口扩展和处理能力的扩展,可以充分满足需求。