数据中心作为承载业务的重要IT基础设施,承载着金融机构业务发展和创新提供基本保障的重任。近年来,国内各类金融机构业务发展和相应的机构扩张非常迅速,原有业务系统难以满足增长的要求,建设新的数据中心和灾备中心的情况非常普遍。
在新的业务规模要求下,数据中心需要更高效地支持业务和信息共享需求,提供不间断的服务,这对数据中心的资源整合、全面安全、高效管理和业务连续性提出更高的要求。
金融机构所面临的安全形势也越来越严峻,安全威胁越来越突出,病毒、木马、蠕虫、黑客攻击等,都可能使数据中心网络和核心业务造成严重的破坏。数据中心与灾备中心是金融机构绝大部分重要信息系统所在的位置,通常包括核心生产系统、网上银行系统、重要支撑系统、重要交易系统、重要管理系统及其他运行关键业务或涉及客户身份、资产、交易记录等敏感信息的重要信息系统。一旦出现问题,后果将不堪设想。数据中心的安全方案应以安全域划分为基础,根据不同系统承载的功能进行对应的设计,重点保障与核心业务、实时业务有关的系统,以保证业务持续运行和数据安全为主要目标。
数据中心网络总体可以分为三个网络大区:生产网、办公网、互联网。其中生产网跟办公网之间通过硬件防火墙进行逻辑隔离,两网之间的数据传输通过数据交换区进行数据交互,并且为单向传输;办公网跟互联网区之间通过硬件防火墙进行逻辑隔离,并且与跟生产网隔离的防火墙为异构防火墙。安全域通常包括:
金融数据中心安全设计图(以银行数据中心为例)
在安全域划分的基础上,每个区域都可以根据业务连续和数据安全的原则进行保护措施的设计,可能包括访问控制、异常流量检测与清洗、Web应用防护、入侵检测、安全漏洞管理、安全配置管理、病毒检测与清除、安全运维管理、认证和加密等。这些措施针对来自内外部的黑客攻击、拒绝服务攻击(DDOS)、恶意代码(如病毒蠕虫)、越权访问、网络传输泄密、内部人员越权和滥用、数据篡改和抵赖行为等。
针对数据中心包含的某一个系统,或某项单独的技术措施在整体数据中心的应用,在整体的数据中心解决方案基础上都可以形成新的子领域的方案,如:
方案价值
方案优势
