面臨的挑戰(zhàn)

隨著互聯(lián)網(wǎng)的飛速發(fā)展，外部網(wǎng)絡(luò)安全狀況日趨嚴(yán)峻，對(duì)業(yè)務(wù)系統(tǒng)的信息安全攻擊逐漸從網(wǎng)絡(luò)層向應(yīng)用層和系統(tǒng)層遷移。金融行業(yè)在線業(yè)務(wù)系統(tǒng)是整個(gè)業(yè)務(wù)的核心之一，應(yīng)對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行重點(diǎn)防護(hù)，如果業(yè)務(wù)系統(tǒng)的訪問(wèn)行為控制不利，非授權(quán)用戶可能竊取機(jī)密數(shù)據(jù)、刪除和修改業(yè)務(wù)數(shù)據(jù)、甚至植入病毒，引起系統(tǒng)中斷服務(wù)或癱瘓。

主要存在以下幾個(gè)方面的問(wèn)題：

• 業(yè)務(wù)系統(tǒng)與內(nèi)外網(wǎng)對(duì)接沒(méi)有實(shí)現(xiàn)有效的邊界訪問(wèn)控制，無(wú)法界定用戶訪問(wèn)是否為合法請(qǐng)求；

• 對(duì)于流經(jīng)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)沒(méi)有有效的流量清洗的能力，無(wú)法識(shí)別流量是正常的訪問(wèn)請(qǐng)求還是DOS/DDOS拒絕服務(wù)類的攻擊；

• 對(duì)于夾雜在數(shù)據(jù)流中的病毒、木馬、蠕蟲沒(méi)有良好的檢測(cè)能力，很難避免在業(yè)務(wù)交互過(guò)程中由于數(shù)據(jù)中包含病毒、木馬、蠕蟲等威脅對(duì)業(yè)務(wù)系統(tǒng)造成的危害；

• 服務(wù)器系統(tǒng)底層漏洞攻擊防護(hù)僅依靠時(shí)效性不強(qiáng)的手動(dòng)補(bǔ)丁更新，缺乏有效的防護(hù)手段，尤其缺乏0Day漏洞攻擊的防護(hù)能力；

• 流經(jīng)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)沒(méi)有應(yīng)用層攻擊（如Web攻擊）的檢測(cè)能力，難以保證業(yè)務(wù)系統(tǒng)Web應(yīng)用程序以及后臺(tái)數(shù)據(jù)庫(kù)不被攻擊。

深信服解決方案

深信服為金融行業(yè)提供完整的針對(duì)在線業(yè)務(wù)系統(tǒng)服務(wù)器集群的應(yīng)用安全加固解決方案。
通過(guò)在在線業(yè)務(wù)服務(wù)器集群匯聚交換前部署深信服下一代防火墻AF，可實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)服務(wù)器的邏輯隔離，防止來(lái)自網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面以及數(shù)據(jù)層面的安全威脅在業(yè)務(wù)系統(tǒng)數(shù)據(jù)中心各區(qū)域內(nèi)擴(kuò)散。

方案價(jià)值

采用在線業(yè)務(wù)系統(tǒng)一站式應(yīng)用安全加固部署方案，通過(guò)部署深信服下一代防火墻AF，可以從攻擊源頭上保護(hù)金融行業(yè)業(yè)務(wù)系統(tǒng)，有效抵御來(lái)自網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)層面的安全威脅；同時(shí)深信服下一代防火墻AF提供的雙向內(nèi)容檢測(cè)的技術(shù)幫助用戶解決攻擊被繞過(guò)后產(chǎn)生的網(wǎng)頁(yè)篡改、敏感信息泄露的問(wèn)題，實(shí)現(xiàn)防攻擊、防篡改、防泄密的效果。

• 深信服下一代防火墻AF部署于核心交換前可實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)服務(wù)器區(qū)一站式整體安全防護(hù)；

• 通過(guò)防火墻子系統(tǒng)模塊的訪問(wèn)控制策略ACL可實(shí)現(xiàn)網(wǎng)絡(luò)安全域劃分，阻斷各個(gè)區(qū)域間的網(wǎng)絡(luò)通信，防止威脅擴(kuò)散，防止訪問(wèn)控制權(quán)限不當(dāng)、系統(tǒng)誤配置導(dǎo)致的敏感信息跨區(qū)域傳播的問(wèn)題；

• 通過(guò)DOS／DDOS子系統(tǒng)功能模塊進(jìn)行網(wǎng)絡(luò)層面的安全加固，可以防止利用協(xié)議漏洞對(duì)服務(wù)器發(fā)起的拒絕服務(wù)攻擊使得服務(wù)器無(wú)法提供正常服務(wù)，導(dǎo)致業(yè)務(wù)中斷等問(wèn)題；

• 通過(guò)防病毒子系統(tǒng)功能模塊可實(shí)現(xiàn)各個(gè)安全域的流量清洗功能，清洗來(lái)自其他安全域的病毒、木馬、蠕蟲，防止各區(qū)域進(jìn)行交叉感染；

• 利用入侵防御子系統(tǒng)功能模塊可實(shí)現(xiàn)對(duì)服務(wù)器集群操作系統(tǒng)漏洞（如：winserver2003、linux、unix等）、應(yīng)用程序漏洞（IIS服務(wù)器、Apache服務(wù)器、中間件weblogic、數(shù)據(jù)庫(kù)oracle、MSSQL、MySQL等）的防護(hù)，防止黑客利用該類漏洞通過(guò)緩沖區(qū)溢出、惡意蠕蟲、病毒等應(yīng)用層攻擊獲取服務(wù)器權(quán)限、使服務(wù)器癱瘓導(dǎo)致服務(wù)器、存儲(chǔ)等資源被攻擊的問(wèn)題；

• 通過(guò)Web安全子系統(tǒng)功能模塊的開啟，可實(shí)現(xiàn)對(duì)各個(gè)區(qū)域（尤其是DMZ區(qū)）的Web服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、FTP服務(wù)器等服務(wù)器的安全防護(hù)。防止黑客通過(guò)Web攻擊攻陷Web服務(wù)器、數(shù)據(jù)庫(kù)等竊取機(jī)密信息；

• 通過(guò)信息泄漏防護(hù)子系統(tǒng)功能模塊的開啟，可自定義業(yè)務(wù)系統(tǒng)的敏感信息，防止黑客繞過(guò)防御體系竊取業(yè)務(wù)系統(tǒng)的敏感信息；

• 通過(guò)防篡改子系統(tǒng)功能模塊的開啟，可防止黑客利用各層面安全漏洞非法篡改業(yè)務(wù)系統(tǒng)合法界面，防止被篡改界面發(fā)布于眾；

• 通過(guò)風(fēng)險(xiǎn)評(píng)估子系統(tǒng)模塊的啟用對(duì)服務(wù)器集群進(jìn)行安全體檢，通過(guò)一鍵策略部署的功能開啟入侵防御子系統(tǒng)模塊、Web安全子系統(tǒng)模塊的對(duì)應(yīng)策略，可幫助管理員實(shí)現(xiàn)針對(duì)性的策略配置；

• 通過(guò)智能聯(lián)動(dòng)模塊的應(yīng)用，可形成防火墻子系統(tǒng)功能模塊、入侵防御子系統(tǒng)功能模塊、Web安全子系統(tǒng)功能模塊的智能聯(lián)動(dòng)，有效防止工具型、自動(dòng)化的黑客攻擊，提高攻擊成本，可抑制APT攻擊的發(fā)生。