金融领域网络安全解决方案

场景需求

——

金融作为国民经济命脉，关系到国家和人民的切身利益。金融企业的数据，敏感性远大于其他行业，也是黑客垂涎的目标，一旦泄露，不仅会遭受巨大的经济损失，也面临着法律风险。同时，金融机构存在分支机构多、网点多、分散广、信息系统复杂、维护和升级难等问题，因此漏洞修复和问题排查工作难度较大。另外，随着云计算、大数据、人工智能、区块链等技术的发展，金融网络还面临着云计算环境中东西向和南北向的安全隔离防护控制问题，数据泄露、滥用、丢失等大数据安全问题，以及区块链、人工智能AI等新技术应用引起的安全漏洞等问题。因此，为保证金融网络系统的安全，需要对其网络进行系统性的安全设计。        

金融机构的网络结构大多采用以数据中心为根节点的树形网络架构，包括服务数据中心和一级行数据中心。用户广泛分布在行外（Internet和Extranet）和行内（总行、分行、网点）各个层面。随着银行不断通过互联网进行跨行业深化融合，承载业务的银行业务中心的规模也在不断扩张，数据中心内部的网络流量激增，流量结构更加繁杂。此外，随着各项数据融合技术在数据中心的普遍应用，使得数据中心内部的资源调度和运维环境更加复杂。可控的数据交换作为未来网络的发展趋势，成为了金融行业普遍关注和重点研究的方向，并且也在逐步地推向生产。金融行业亟需建设新一代的可控数据交换体系，实现端到端的数据和业务可视化，精细化监测各类业务数据和变化趋势，进一步指导未来网络规划。      

当前，金融行业网络安全主要面临以下挑战：

1. 数据交换要求网络能够快速融合承载相关业务数据，实现业务数据的统一安全交换；

2. 基于传统路由的流量数据管理灵活性不足，无法快速实现业务数据的细粒度管控，无法动态调优；

3. 广域链路不可感知，缺少数据细粒度监控手段，缺乏应用感知能力，管理运维困难；

4. 部分业务对广域链路突发流量带宽要求高，缺乏高并发场景下的数据摆渡解决方案。

 

 

解决方案

——

以某银行这样一个数量多、结构复杂的二级网络系统为例，遵循“纵深防御”的设计原则，基于分区分域的设计思想，将整个网络在南北向上划分为总数据中心、省一级网络中心和市二级网络中心，并从外层到内层形成纵深防护机制。如图所示，在各个数据中心、一级网、二级网等边界部署基于安全标记进行逻辑隔离和基于数据摆渡进行物理隔离的多功能安全数据交换系统，各网络之间采用基于国密算法的VPN隧道传输。通过在各边界按需开启物理隔离、安全标记、数据结构检查、数字鉴权和全息审计等安全功能，可构建多层次多功能防护的立体纵深防御安全体系。系统建设可达到等保三级规范的要求，性能指标达到业界防火墙水平，具备关键基础设施可用性快速恢复能力。      

针对金融行业网络安全面临的挑战，建设内容概括如下：

1. 对于跨网跨域以及跨安全等级的数据传输与业务交互，采用基于安全标记技术的强制访问控制机制进行逻辑隔离，对所有主、客体间的访问请求、数据交换进行南北向和东西向的细粒度管控与审计；

2. 在重要的网络区域边界开启物理隔离机制和数据结构检查，防范数据负载层面可能包含的攻击；

3. 融合2到7层网络安全技术，防范各种已知或未知攻击，保护核心数据的安全；

4. 通过部署集中管控平台，采用独立的带外管理网络，实现安全设备的统一运维管理、配置、监控和分析，提供全面的、基于统一安全策略的网络安全防御；

5. 动态调优提升网络安全性能，优化网络安全架构提高大容量、高并发处理能力；

6. 实现应用流量的细粒度智能管控调度。

 

 

 

方案价值

——

1. 实现不同级别网络和同级别不同部门间业务数据的安全隔离；

2. 所有数据加密后再传输，保障数据传输安全；

3. 按需开启防御开关，可防止数据链路层到应用层的各种网络攻击；

4. 实现对业务与行为的全审计；

5. 实现业务数据的细粒度管控，提升数据应用的安全性；

6. 提升业务数据交换的安全性，可以很好地应对各种实时数据应用的场景，提高数据的利用率；

7. 能够快速融合承载相关业务数据，实现业务数据的统一安全交换；

8. 高并发处理能力符合金融行业对数据实时性的要求；

9. 安全快速的数据摆渡提高业务端取数的实时性和丰富性，满足业务端实时大数据分析和业务需求。