面臨的挑戰(zhàn)

隨著互聯(lián)網(wǎng)的飛速發(fā)展，外部網(wǎng)絡(luò)安全狀況日趨嚴(yán)峻，對業(yè)務(wù)系統(tǒng)的信息安全攻擊逐漸從網(wǎng)絡(luò)層向應(yīng)用層和系統(tǒng)層遷移。金融行業(yè)在線業(yè)務(wù)系統(tǒng)是整個(gè)業(yè)務(wù)的核心之一，應(yīng)對業(yè)務(wù)系統(tǒng)進(jìn)行重點(diǎn)防護(hù)，如果業(yè)務(wù)系統(tǒng)的訪問行為控制不利，非授權(quán)用戶可能竊取機(jī)密數(shù)據(jù)、刪除和修改業(yè)務(wù)數(shù)據(jù)、甚至植入病毒，引起系統(tǒng)中斷服務(wù)或癱瘓。

主要存在以下幾個(gè)方面的問題：

• 業(yè)務(wù)系統(tǒng)與內(nèi)外網(wǎng)對接沒有實(shí)現(xiàn)有效的邊界訪問控制，無法界定用戶訪問是否為合法請求；

• 對于流經(jīng)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)沒有有效的流量清洗的能力，無法識別流量是正常的訪問請求還是DOS/DDOS拒絕服務(wù)類的攻擊；

• 對于夾雜在數(shù)據(jù)流中的病毒、木馬、蠕蟲沒有良好的檢測能力，很難避免在業(yè)務(wù)交互過程中由于數(shù)據(jù)中包含病毒、木馬、蠕蟲等威脅對業(yè)務(wù)系統(tǒng)造成的危害；

• 服務(wù)器系統(tǒng)底層漏洞攻擊防護(hù)僅依靠時(shí)效性不強(qiáng)的手動(dòng)補(bǔ)丁更新，缺乏有效的防護(hù)手段，尤其缺乏0Day漏洞攻擊的防護(hù)能力；

• 流經(jīng)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)沒有應(yīng)用層攻擊（如Web攻擊）的檢測能力，難以保證業(yè)務(wù)系統(tǒng)Web應(yīng)用程序以及后臺數(shù)據(jù)庫不被攻擊。

深信服解決方案

深信服為金融行業(yè)提供完整的針對在線業(yè)務(wù)系統(tǒng)服務(wù)器集群的應(yīng)用安全加固解決方案。
通過在在線業(yè)務(wù)服務(wù)器集群匯聚交換前部署深信服下一代防火墻AF，可實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)服務(wù)器的邏輯隔離，防止來自網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面以及數(shù)據(jù)層面的安全威脅在業(yè)務(wù)系統(tǒng)數(shù)據(jù)中心各區(qū)域內(nèi)擴(kuò)散。

方案價(jià)值

采用在線業(yè)務(wù)系統(tǒng)一站式應(yīng)用安全加固部署方案，通過部署深信服下一代防火墻AF，可以從攻擊源頭上保護(hù)金融行業(yè)業(yè)務(wù)系統(tǒng)，有效抵御來自網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)層面的安全威脅；同時(shí)深信服下一代防火墻AF提供的雙向內(nèi)容檢測的技術(shù)幫助用戶解決攻擊被繞過后產(chǎn)生的網(wǎng)頁篡改、敏感信息泄露的問題，實(shí)現(xiàn)防攻擊、防篡改、防泄密的效果。

• 深信服下一代防火墻AF部署于核心交換前可實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)服務(wù)器區(qū)一站式整體安全防護(hù)；

• 通過防火墻子系統(tǒng)模塊的訪問控制策略ACL可實(shí)現(xiàn)網(wǎng)絡(luò)安全域劃分，阻斷各個(gè)區(qū)域間的網(wǎng)絡(luò)通信，防止威脅擴(kuò)散，防止訪問控制權(quán)限不當(dāng)、系統(tǒng)誤配置導(dǎo)致的敏感信息跨區(qū)域傳播的問題；

• 通過DOS／DDOS子系統(tǒng)功能模塊進(jìn)行網(wǎng)絡(luò)層面的安全加固，可以防止利用協(xié)議漏洞對服務(wù)器發(fā)起的拒絕服務(wù)攻擊使得服務(wù)器無法提供正常服務(wù)，導(dǎo)致業(yè)務(wù)中斷等問題；

• 通過防病毒子系統(tǒng)功能模塊可實(shí)現(xiàn)各個(gè)安全域的流量清洗功能，清洗來自其他安全域的病毒、木馬、蠕蟲，防止各區(qū)域進(jìn)行交叉感染；

• 利用入侵防御子系統(tǒng)功能模塊可實(shí)現(xiàn)對服務(wù)器集群操作系統(tǒng)漏洞（如：winserver2003、linux、unix等）、應(yīng)用程序漏洞（IIS服務(wù)器、Apache服務(wù)器、中間件weblogic、數(shù)據(jù)庫oracle、MSSQL、MySQL等）的防護(hù)，防止黑客利用該類漏洞通過緩沖區(qū)溢出、惡意蠕蟲、病毒等應(yīng)用層攻擊獲取服務(wù)器權(quán)限、使服務(wù)器癱瘓導(dǎo)致服務(wù)器、存儲等資源被攻擊的問題；

• 通過Web安全子系統(tǒng)功能模塊的開啟，可實(shí)現(xiàn)對各個(gè)區(qū)域（尤其是DMZ區(qū)）的Web服務(wù)器、數(shù)據(jù)庫服務(wù)器、FTP服務(wù)器等服務(wù)器的安全防護(hù)。防止黑客通過Web攻擊攻陷Web服務(wù)器、數(shù)據(jù)庫等竊取機(jī)密信息；

• 通過信息泄漏防護(hù)子系統(tǒng)功能模塊的開啟，可自定義業(yè)務(wù)系統(tǒng)的敏感信息，防止黑客繞過防御體系竊取業(yè)務(wù)系統(tǒng)的敏感信息；

• 通過防篡改子系統(tǒng)功能模塊的開啟，可防止黑客利用各層面安全漏洞非法篡改業(yè)務(wù)系統(tǒng)合法界面，防止被篡改界面發(fā)布于眾；

• 通過風(fēng)險(xiǎn)評估子系統(tǒng)模塊的啟用對服務(wù)器集群進(jìn)行安全體檢，通過一鍵策略部署的功能開啟入侵防御子系統(tǒng)模塊、Web安全子系統(tǒng)模塊的對應(yīng)策略，可幫助管理員實(shí)現(xiàn)針對性的策略配置；

• 通過智能聯(lián)動(dòng)模塊的應(yīng)用，可形成防火墻子系統(tǒng)功能模塊、入侵防御子系統(tǒng)功能模塊、Web安全子系統(tǒng)功能模塊的智能聯(lián)動(dòng)，有效防止工具型、自動(dòng)化的黑客攻擊，提高攻擊成本，可抑制APT攻擊的發(fā)生。