面臨的挑戰(zhàn)

隨著互聯(lián)網(wǎng)的飛速發(fā)展，外部網(wǎng)絡安全狀況日趨嚴峻，對業(yè)務系統(tǒng)的信息安全攻擊逐漸從網(wǎng)絡層向應用層和系統(tǒng)層遷移。金融行業(yè)在線業(yè)務系統(tǒng)是整個業(yè)務的核心之一，應對業(yè)務系統(tǒng)進行重點防護，如果業(yè)務系統(tǒng)的訪問行為控制不利，非授權用戶可能竊取機密數(shù)據(jù)、刪除和修改業(yè)務數(shù)據(jù)、甚至植入病毒，引起系統(tǒng)中斷服務或癱瘓。

主要存在以下幾個方面的問題：

• 業(yè)務系統(tǒng)與內外網(wǎng)對接沒有實現(xiàn)有效的邊界訪問控制，無法界定用戶訪問是否為合法請求；

• 對于流經(jīng)業(yè)務系統(tǒng)的數(shù)據(jù)沒有有效的流量清洗的能力，無法識別流量是正常的訪問請求還是DOS/DDOS拒絕服務類的攻擊；

• 對于夾雜在數(shù)據(jù)流中的病毒、木馬、蠕蟲沒有良好的檢測能力，很難避免在業(yè)務交互過程中由于數(shù)據(jù)中包含病毒、木馬、蠕蟲等威脅對業(yè)務系統(tǒng)造成的危害；

• 服務器系統(tǒng)底層漏洞攻擊防護僅依靠時效性不強的手動補丁更新，缺乏有效的防護手段，尤其缺乏0Day漏洞攻擊的防護能力；

• 流經(jīng)業(yè)務系統(tǒng)的數(shù)據(jù)沒有應用層攻擊（如Web攻擊）的檢測能力，難以保證業(yè)務系統(tǒng)Web應用程序以及后臺數(shù)據(jù)庫不被攻擊。

深信服解決方案

深信服為金融行業(yè)提供完整的針對在線業(yè)務系統(tǒng)服務器集群的應用安全加固解決方案。
通過在在線業(yè)務服務器集群匯聚交換前部署深信服下一代防火墻AF，可實現(xiàn)業(yè)務系統(tǒng)服務器的邏輯隔離，防止來自網(wǎng)絡層面、系統(tǒng)層面、應用層面以及數(shù)據(jù)層面的安全威脅在業(yè)務系統(tǒng)數(shù)據(jù)中心各區(qū)域內擴散。

方案價值

采用在線業(yè)務系統(tǒng)一站式應用安全加固部署方案，通過部署深信服下一代防火墻AF，可以從攻擊源頭上保護金融行業(yè)業(yè)務系統(tǒng)，有效抵御來自網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)層面的安全威脅；同時深信服下一代防火墻AF提供的雙向內容檢測的技術幫助用戶解決攻擊被繞過后產(chǎn)生的網(wǎng)頁篡改、敏感信息泄露的問題，實現(xiàn)防攻擊、防篡改、防泄密的效果。

• 深信服下一代防火墻AF部署于核心交換前可實現(xiàn)業(yè)務系統(tǒng)服務器區(qū)一站式整體安全防護；

• 通過防火墻子系統(tǒng)模塊的訪問控制策略ACL可實現(xiàn)網(wǎng)絡安全域劃分，阻斷各個區(qū)域間的網(wǎng)絡通信，防止威脅擴散，防止訪問控制權限不當、系統(tǒng)誤配置導致的敏感信息跨區(qū)域傳播的問題；

• 通過DOS／DDOS子系統(tǒng)功能模塊進行網(wǎng)絡層面的安全加固，可以防止利用協(xié)議漏洞對服務器發(fā)起的拒絕服務攻擊使得服務器無法提供正常服務，導致業(yè)務中斷等問題；

• 通過防病毒子系統(tǒng)功能模塊可實現(xiàn)各個安全域的流量清洗功能，清洗來自其他安全域的病毒、木馬、蠕蟲，防止各區(qū)域進行交叉感染；

• 利用入侵防御子系統(tǒng)功能模塊可實現(xiàn)對服務器集群操作系統(tǒng)漏洞（如：winserver2003、linux、unix等）、應用程序漏洞（IIS服務器、Apache服務器、中間件weblogic、數(shù)據(jù)庫oracle、MSSQL、MySQL等）的防護，防止黑客利用該類漏洞通過緩沖區(qū)溢出、惡意蠕蟲、病毒等應用層攻擊獲取服務器權限、使服務器癱瘓導致服務器、存儲等資源被攻擊的問題；

• 通過Web安全子系統(tǒng)功能模塊的開啟，可實現(xiàn)對各個區(qū)域（尤其是DMZ區(qū)）的Web服務器、數(shù)據(jù)庫服務器、FTP服務器等服務器的安全防護。防止黑客通過Web攻擊攻陷Web服務器、數(shù)據(jù)庫等竊取機密信息；

• 通過信息泄漏防護子系統(tǒng)功能模塊的開啟，可自定義業(yè)務系統(tǒng)的敏感信息，防止黑客繞過防御體系竊取業(yè)務系統(tǒng)的敏感信息；

• 通過防篡改子系統(tǒng)功能模塊的開啟，可防止黑客利用各層面安全漏洞非法篡改業(yè)務系統(tǒng)合法界面，防止被篡改界面發(fā)布于眾；

• 通過風險評估子系統(tǒng)模塊的啟用對服務器集群進行安全體檢，通過一鍵策略部署的功能開啟入侵防御子系統(tǒng)模塊、Web安全子系統(tǒng)模塊的對應策略，可幫助管理員實現(xiàn)針對性的策略配置；

• 通過智能聯(lián)動模塊的應用，可形成防火墻子系統(tǒng)功能模塊、入侵防御子系統(tǒng)功能模塊、Web安全子系統(tǒng)功能模塊的智能聯(lián)動，有效防止工具型、自動化的黑客攻擊，提高攻擊成本，可抑制APT攻擊的發(fā)生。