深圳农商行数据中心安全域隔离与防护

作为深圳市网点最多的商业银行，深圳农商行在近几年得到快速发展，同时为了更好地贴近业务发展，深圳农商行长期在信息化建设上不断投入，同时其信息安全也在同步建设。

按照分域分区分级的保护思路，深圳农商行通过引入山石网科安全设备，将网络按照支撑业务的不同，隔离形成多个独立的安全域，安全设备在不同安全域的互联节点上，通过严格的访问控制、入侵防御、抗攻击等多种技术，有效保障了信息网络的安全，为上层应用提供可靠安全的运行环境。

需求分析

深圳农商行的安全建设，最重要的目标是通过完善的技术解决方案，构建一套管理手段与技术手段相结合的全方位、多层次、动态发展的信息安全防护体系，保障银行信息系统稳定、安全、高效，为银行业务的发展提供一个坚实的信息系统基础。结合深圳农商行当前业务及网络特点，网络安全采用分区分域设计，各区域安全需求包括：

● 区域隔离与访问控制：在一些重要的安全区域边界引入访问控制措施，并根据访问来源，访问目标，访问行为等因素，参考银行的相关业务访问执行严格的访问控制，限制非法的访问；

● 综合防御应对安全威胁：部署的安全设备需要能够提供多种安全防护手段，如基础防火墙、入侵防御、病毒过滤等，从而有效对外部威胁；

● 高性能保障业务运行效率：对于商业银行而言，引入的安全设备需要在多个安全域的边界，对访问进行过滤，并对潜在的恶意代码进行过滤和阻断，为此设备的运行效率是深圳农商行进行选型的关键因素。

解决方案

通过长期市场考察与测试，深圳农商行最终选择山石网科多功能安全设备作为安全防护设备。其中两套SG-6000-G3150被部署在深圳本部办公网出口，对员工的互联网访问实施管控；两套SG-6000-M6110被部署在武汉灾备数据中心出口，通过访问控制技术，来限制外部的访问，并通过抗攻击技术，来防范拒绝服务类型的攻击；两套SG-6000-M3100被部署在深圳办公区和广西办公区之间的互联，启用访问控制、防病毒等技术，在保障业务有序访问的前提下，还确保恶意代码的蔓延。

● 高性能满足银行业务快速处理要求

传统安全设备虽然实现了多种安全功能在一个平台上的集成，但限于X86架构，无法实现高性能的安全。山石网科企业安全设备则采用了先进的Plus®G2多核硬件平台，大大提升了硬件处理性能。同时，山石网科全并行的软硬件一体设计，使多核硬件平台充分发挥出性能优势，完全满足深圳农商行安全防护的高性能要求。

● 多功能实现银行业务综合安全防御

随着安全威胁的日益复杂和快速渗透，互联网及业务外联区域成为高风险区。传统防火墙的基础防护功能已无法满足银行网络的高安全需求。山石网科企业安全设备则在单一平台上融合了多种安全防护功能，在深圳农商行的安全设备上，除了启用防火墙的访问控制功能以外，还开启了病毒过滤和抗攻击功能，对各个安全域的访问数据包实施深度检测，并对具有潜在安全威胁的数据包进行深度查杀，保障上层应用的安全。

● 高性价比合理控制采购和运维成本

由于在单台山石网科安全设备上即可实现了多种安全功能，对比使用多台安全设备的方案，从整体上降低了采购成本，也降低了单点故障，降低运维成本。另外由于采用多核的架构，使得山石网科安全设备在开启多个功能后，依然有很高的性能表现，以G3150为例，整体防火墙吞吐量可达6G，同时开启抗攻击、病毒过滤等功能后依然可以将吞吐量保持在接近1G，完全可以确保深圳农商行各类的应用效率。

运行效果

深圳农商行基于分域分区隔离的思路，通过部署山石网科企业安全设备，完善了信息安全技术层面的防护措施，构建了一套管理手段与技术手段相结合的全方位、多层次、动态发展的信息安全防护体系，保障银行信息系统稳定、安全、高效，为银行业务的发展提供一个坚实的信息系统平台。