深圳农商行数据中心安全域隔离与防护


作为深圳市网点最多的商业银行,深圳农商行在近几年得到快速发展,同时为了更好地贴近业务发展,深圳农商行长期在信息化建设上不断投入,同时其信息安全也在同步建设。

按照分域分区分级的保护思路,深圳农商行通过引入山石网科安全设备,将网络按照支撑业务的不同,隔离形成多个独立的安全域,安全设备在不同安全域的互联节点上,通过严格的访问控制、入侵防御、抗攻击等多种技术,有效保障了信息网络的安全,为上层应用提供可靠安全的运行环境。

需求分析

深圳农商行的安全建设,最重要的目标是通过完善的技术解决方案,构建一套管理手段与技术手段相结合的全方位、多层次、动态发展的信息安全防护体系,保障银行信息系统稳定、安全、高效,为银行业务的发展提供一个坚实的信息系统基础。结合深圳农商行当前业务及网络特点,网络安全采用分区分域设计,各区域安全需求包括:

● 区域隔离与访问控制:在一些重要的安全区域边界引入访问控制措施,并根据访问来源,访问目标,访问行为等因素,参考银行的相关业务访问执行严格的访问控制,限制非法的访问;

● 综合防御应对安全威胁:部署的安全设备需要能够提供多种安全防护手段,如基础防火墙、入侵防御、病毒过滤等,从而有效对外部威胁;

● 高性能保障业务运行效率:对于商业银行而言,引入的安全设备需要在多个安全域的边界,对访问进行过滤,并对潜在的恶意代码进行过滤和阻断,为此设备的运行效率是深圳农商行进行选型的关键因素。

解决方案

通过长期市场考察与测试,深圳农商行最终选择山石网科多功能安全设备作为安全防护设备。其中两套SG-6000-G3150被部署在深圳本部办公网出口,对员工的互联网访问实施管控;两套SG-6000-M6110被部署在武汉灾备数据中心出口,通过访问控制技术,来限制外部的访问,并通过抗攻击技术,来防范拒绝服务类型的攻击;两套SG-6000-M3100被部署在深圳办公区和广西办公区之间的互联,启用访问控制、防病毒等技术,在保障业务有序访问的前提下,还确保恶意代码的蔓延。

● 高性能满足银行业务快速处理要求

传统安全设备虽然实现了多种安全功能在一个平台上的集成,但限于X86架构,无法实现高性能的安全。山石网科企业安全设备则采用了先进的Plus®G2多核硬件平台,大大提升了硬件处理性能。同时,山石网科全并行的软硬件一体设计,使多核硬件平台充分发挥出性能优势,完全满足深圳农商行安全防护的高性能要求。

● 多功能实现银行业务综合安全防御

随着安全威胁的日益复杂和快速渗透,互联网及业务外联区域成为高风险区。传统防火墙的基础防护功能已无法满足银行网络的高安全需求。山石网科企业安全设备则在单一平台上融合了多种安全防护功能,在深圳农商行的安全设备上,除了启用防火墙的访问控制功能以外,还开启了病毒过滤和抗攻击功能,对各个安全域的访问数据包实施深度检测,并对具有潜在安全威胁的数据包进行深度查杀,保障上层应用的安全。

● 高性价比合理控制采购和运维成本

由于在单台山石网科安全设备上即可实现了多种安全功能,对比使用多台安全设备的方案,从整体上降低了采购成本,也降低了单点故障,降低运维成本。另外由于采用多核的架构,使得山石网科安全设备在开启多个功能后,依然有很高的性能表现,以G3150为例,整体防火墙吞吐量可达6G,同时开启抗攻击、病毒过滤等功能后依然可以将吞吐量保持在接近1G,完全可以确保深圳农商行各类的应用效率。

运行效果

深圳农商行基于分域分区隔离的思路,通过部署山石网科企业安全设备,完善了信息安全技术层面的防护措施,构建了一套管理手段与技术手段相结合的全方位、多层次、动态发展的信息安全防护体系,保障银行信息系统稳定、安全、高效,为银行业务的发展提供一个坚实的信息系统平台。

相关产品