网络安全性和可用性保障

信息技术覆盖了金融行业所有的业务及其相关流程，伴随着金融服务的多样化和金融业务规模的不断扩大，尤其是金融行业网络结构和网络应用日趋复杂，对信息安全的要求也日益提升。包括边界安全风险、内网安全风险、应用安全风险和管理安全风险在内的四类信息安全风险都在威胁着我们的网络系统架构。

针对这些特性和需求，我们设计了完善的网络安全架构及策略，能够防止来自外部的黑客攻击以及内部的恶意攻击。对网络资源访问进行控制，对网络传输进行实时监控，还必须有强大的安全审计、事件分析及告警功能。

以银联数据网络架构设计为例。

1）网络安全域策略

生产网络分为6个安全域，分别为广域网接入区、互联网业务区、外围系统区、发卡系统区、卡组织接入区和监控管理区。

（1）广域接入区。部署了多台路由器用于客户机构广域网线路接入。另有多台交换机作为广域网接入区核心交换机。

（2）互联网业务区。部署了两组异构防火墙用于配置访问策略；多台交换机作为核心交换机用于接入互联网业务主机；多台IPS、WAF用于安全防护；多台负载均衡设备用于应用交付负载。

（3）外围系统区。部署了多台高端交换机作为核心，部分低端交换机用于外围系统主机接入。

（4）发卡系统区。部署了多台防火墙用于安全防护；多台高端交换机作为核心交换机用于卡系统主机接入。

（5）卡组织接入区。部署了多台防火墙用于接入各卡组织。

（6）监控管理区。部署了多台交换机作为核心交换机，用于监控管理PC以及运维审计系统的接入，部署了多台防火墙用于配置访问策略。

2）边界完整性

银联数据生产网络边界部署了两组四台异构防火墙用于配置访问策略。在第一组防火墙之后部署了入侵防御系统以及WEB应用防护系统。

（1）防火墙用于执行访问控制策略。所有访问控制策略均细化到IP以及端口，杜绝非法的链接进入生产网络。

（2）在互联网边界处部署了IPS入侵防御系统及WEB应用防火墙，识别并阻断针对银联数据网站的攻击行为。如果有攻击者对银联数据相关网站进行攻击，部署在互联网边界处的WEB应用防火墙会通过规则、特征库识别出攻击，对攻击请求或者攻击源IP进行阻断。但WAF只能处理HTTP协议的数据流，只能防护对网站WEB应用的攻击，对于其他WEB应用之外的攻击比如针对SSL协议的攻击则无法阻挡。而IPS则为WEB应用防火墙设备提供了很好互补作用，能够对HTTP协议之外的其他攻击行为进行识别和阻挡。因此IPS和WEB应用防火墙结合起来，再加上网络防火墙只开放WEB应用必需的端口，能够达到最好的防护效果，实现多层次纵深防御。

3）访问控制

各安全区域之间均有防火墙进行访问控制。所有访问控制策略均细化到IP及端口。所有访问策略的开启均通过变更流程进行审核评估。每年例行对所有访问策略进行复核、梳理。

4）日志审计

所有网络设备的日志均一式两份发送到网络设备监控管理系统以及日志服务器，确保日志防篡改。

网络设备监控管理系统根据日志内容、级别生成告警，由网络值班专员进行7×24小时监控管理。

5）可用性保障

所有网络设备均为双机热备冗余，确保硬件平台高可用。网络值班监控专员通过网络设备监控管理系统对所有网络设备和链路进行流量、性能等方面的7×24小时实时监控。