行业背景描述
业务持续性
金融服务的特性决定了必须要拥有有效战略措施,这对于计划内或非计划内中断的连续运营是非常关键的,而获利能力和客户关系在发生短暂中断时几乎不受影响。关键一点是当设备无法使用时仍能提供对应用的持续接入,因此有明智的商业规划和调节需求是至关重要的,这样一旦发生计划内和非计划内系统中断时,金融服务机构才能确保关键信息和应用的可用性和安全性。采用最小化中断恢复业务比应用环境和数据的异地备份更有效。这同时也要求提供给员工可靠的、及时的所需资源接入,以便他们能开展自己的工作并保证业务运转。
业务的安全性
金融行业随着计算机技术的飞速发展,但随之而来产生了数据的安全问题。各种应用系统和数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题。数据库系统作为信息的聚集体,是计算机信息系统的核心部件,其安全性至关重要。
业务系统管理的挑战
管理风险:主要表现为人员的职责、流程有待完善,内部员工的日常操作有待规范,第三方维护人员的操作监控失效等等,离职员工的后门, 致使安全事件发生时,无法追溯并定位真实的操作者。
技术风险:数据库是一个庞大而复杂的系统,安全漏洞如溢出、 注入层出不穷,补丁的跟进非常延后,更何况通过应用层的注入攻击使得数据库处于一个无辜受害的状态。目前的现实状况是很难通过外部的任何网络层安全设备(比如:防火墙、IDS、IPS等)来阻止应用层攻击的威胁。
审计层面:现有的依赖于数据库日志文件的审计方法,存在诸多的弊端,比如:数据库审计功能的开启会影响数据库本身的性能、这一点在大型的数据库用户最能表现;数据库日志文件本身存在被篡改 的风险、自己的日志审计也难以体现审计信息的有效性和权威性。此外, 对于海量数据的挖掘和迅速定位也是任何审计系统必须面对和解决的核心问题之一。
面临的挑战
高效可靠
用户主数据中心,同时接入多线路,要求多线路能做到负载均衡和链路间的高冗余.
保证系统的7×24小时服务,保证系统的高可靠性;保证设备切换时,应用的连续性。
各种业务服务器负载均衡(包括网站Web服务器,SSL安全网关,业务Web服务器和应用服务器)
带宽较大,但数据传输的速度仍然较慢,希望通过改造提高数据处理和传输效率
安全可控
对业务系统的防御要做到网络层到应用层的全面防御.
对WEB服务的安全防御要能做到对已知和未知的威胁的防御能力.
数据库作为整个业务系统的核心,要能对数据库的攻击和异常行为做到防御或警告.要能对数据库的进行评估.
对业务流量可以做到合理的管控.
监控审计
要能对关键业务的数据库访问行为进行详细的审计.
对通过web服务攻击数据库的用户可以审计出来.
网络示意图
解决方案描述
两台F5链路负载均衡双机部署在链路的前端,用来解决多链路的负载均衡和冗余切换.
两台PALO ALTO防火墙双机部署,用来解决网络层攻击和带宽管理,VPN接入,应用的识别.
两台SourceFire入侵防御透明串接,用来解决应用层的攻击检测和网络行为和设备的检测分析.
两台F5本地负载均衡双机部署,用来做应用服务器的负载均衡和服务的健康检测.
两台ARISTA 万兆核心交换机,用来做为数据中心的核心交换.
一台IMPERVA WEB应用防火墙透明部署在WEB应用服务器前端,使用动态学习建模功能和web攻击防御库抵御已知和未知的web应用攻击.
一台IMPERVA 数据库安全防火墙透明部署用来对数据库做全面的审计,并能防御对数据库的各种攻击和对数据库异常访问行为的警报.
带来的收益
用户的业务系统保证7×24小时服务,保证系统的高可靠性.
用户的所有业务系统从网络层到应用层都得到了精确的安全防护和最小的网络延迟.
用户数据库所有访问都可以根据需要进行详细审计,分析出数据库的威胁和漏洞等.
应用流量可以得到合理的管控.
业务系统的维护更加灵活,提高了业务系统的扩展能力.
