面臨的挑戰

隨著互聯網的飛速發展，外部網絡安全狀況日趨嚴峻，對業務系統的信息安全攻擊逐漸從網絡層向應用層和系統層遷移。金融行業在線業務系統是整個業務的核心之一，應對業務系統進行重點防護，如果業務系統的訪問行為控制不利，非授權用戶可能竊取機密數據、刪除和修改業務數據、甚至植入病毒，引起系統中斷服務或癱瘓。

主要存在以下幾個方面的問題：

• 業務系統與內外網對接沒有實現有效的邊界訪問控制，無法界定用戶訪問是否為合法請求；

• 對于流經業務系統的數據沒有有效的流量清洗的能力，無法識別流量是正常的訪問請求還是DOS/DDOS拒絕服務類的攻擊；

• 對于夾雜在數據流中的病毒、木馬、蠕蟲沒有良好的檢測能力，很難避免在業務交互過程中由于數據中包含病毒、木馬、蠕蟲等威脅對業務系統造成的危害；

• 服務器系統底層漏洞攻擊防護僅依靠時效性不強的手動補丁更新，缺乏有效的防護手段，尤其缺乏0Day漏洞攻擊的防護能力；

• 流經業務系統的數據沒有應用層攻擊（如Web攻擊）的檢測能力，難以保證業務系統Web應用程序以及后臺數據庫不被攻擊。

深信服解決方案

深信服為金融行業提供完整的針對在線業務系統服務器集群的應用安全加固解決方案。
通過在在線業務服務器集群匯聚交換前部署深信服下一代防火墻AF，可實現業務系統服務器的邏輯隔離，防止來自網絡層面、系統層面、應用層面以及數據層面的安全威脅在業務系統數據中心各區域內擴散。

方案價值

采用在線業務系統一站式應用安全加固部署方案，通過部署深信服下一代防火墻AF，可以從攻擊源頭上保護金融行業業務系統，有效抵御來自網絡、系統、應用、數據層面的安全威脅；同時深信服下一代防火墻AF提供的雙向內容檢測的技術幫助用戶解決攻擊被繞過后產生的網頁篡改、敏感信息泄露的問題，實現防攻擊、防篡改、防泄密的效果。

• 深信服下一代防火墻AF部署于核心交換前可實現業務系統服務器區一站式整體安全防護；

• 通過防火墻子系統模塊的訪問控制策略ACL可實現網絡安全域劃分，阻斷各個區域間的網絡通信，防止威脅擴散，防止訪問控制權限不當、系統誤配置導致的敏感信息跨區域傳播的問題；

• 通過DOS／DDOS子系統功能模塊進行網絡層面的安全加固，可以防止利用協議漏洞對服務器發起的拒絕服務攻擊使得服務器無法提供正常服務，導致業務中斷等問題；

• 通過防病毒子系統功能模塊可實現各個安全域的流量清洗功能，清洗來自其他安全域的病毒、木馬、蠕蟲，防止各區域進行交叉感染；

• 利用入侵防御子系統功能模塊可實現對服務器集群操作系統漏洞（如：winserver2003、linux、unix等）、應用程序漏洞（IIS服務器、Apache服務器、中間件weblogic、數據庫oracle、MSSQL、MySQL等）的防護，防止黑客利用該類漏洞通過緩沖區溢出、惡意蠕蟲、病毒等應用層攻擊獲取服務器權限、使服務器癱瘓導致服務器、存儲等資源被攻擊的問題；

• 通過Web安全子系統功能模塊的開啟，可實現對各個區域（尤其是DMZ區）的Web服務器、數據庫服務器、FTP服務器等服務器的安全防護。防止黑客通過Web攻擊攻陷Web服務器、數據庫等竊取機密信息；

• 通過信息泄漏防護子系統功能模塊的開啟，可自定義業務系統的敏感信息，防止黑客繞過防御體系竊取業務系統的敏感信息；

• 通過防篡改子系統功能模塊的開啟，可防止黑客利用各層面安全漏洞非法篡改業務系統合法界面，防止被篡改界面發布于眾；

• 通過風險評估子系統模塊的啟用對服務器集群進行安全體檢，通過一鍵策略部署的功能開啟入侵防御子系統模塊、Web安全子系統模塊的對應策略，可幫助管理員實現針對性的策略配置；

• 通過智能聯動模塊的應用，可形成防火墻子系統功能模塊、入侵防御子系統功能模塊、Web安全子系統功能模塊的智能聯動，有效防止工具型、自動化的黑客攻擊，提高攻擊成本，可抑制APT攻擊的發生。