无论是金融互联网，还是互联网金融，在金融网络正常运行和金融业务运转的核心，数据中心始终发挥着核心作用。然而，移动支付、网上银行、网络保险等多业务的增加和发展，使金融数据中心面临大量数据的访问，海量访问带来的运行压力，以及众多未知病毒、木马等不安全因素，给数据中心带来了众多安全隐患。

对于银行业务来讲，数据中心是银行最重要的资产，没有之一。它承载各种运营系统及其数据，包含传统生产业务，如银行卡、清算、对公、储蓄等，及其OA办公管理类业务，如计财、NOTES等等。对高性能、高可靠和绝对高度的安全和稳定的需求，始终是银行数据中心必备因素。但面临快速发展的移动互联网，不可预知的威胁，守护数据中心的安全，显得至关重要。

分区、分层、分级设计  保障银行数据中心安全

有国外调查机构数据显示，金融领域历来是黑客关注的焦点，在有预谋的网络犯罪中，90%以上集中在银行、证券和保险领域，而银行数据中心服务器区由于其开放性，面临着更多潜的安全威胁，包括网络欺骗、木马病毒、入侵攻击等等手段屡见不鲜，且愈演愈烈。

银行数据中心的业务安全需求主要包括四个大类：服务器区安全、数据中心服务器区与其他分区隔离安全、分区内各级服务器间的隔离安全和高效的安全管理。对数据中心服务器区来说，严格实现与其他各分区的安全域隔离，服务器区内各级服务器间的安全隔离，阻断对服务器区各级服务器的安全攻击，杜绝非法访问、隔离并查杀来自外部的病毒是数据中心安全的关键。

按照分区、分层、分级的设计原则，山石网科为银行数据中心打造了全新的安全解决方案，根据各个分区不同的安全威胁，为银行数据中心服务器区内的网络安全及其网络安全的高可用性，主要内容包括访问控制、入侵防范、病毒过滤、高可用性等，其目的是通过配合数据中心服务器区的基础网络，加强数据中心服务器区的网络安全能力，为上层应用提供安全、高可靠的运行环境，杜绝非法攻击和恶意破坏，保障业务活动的有序性，从而达到应对服务器安全威胁、提升业务持续性、降低运维难度。

重点保护区域边界，完全日志审计保万无一失

2006年，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合制定了《信息安全等级保护管理办法(试行)》（下简称为《等级保护》）。同年中国人民银行办公厅通知各政策性银行、国有商业银行、股份制商业银行等各机构遵照执行。

根据定级思路，银行数据中心的服务器区被定为三级。山石网科新方案认为银行数据中心服务器区需要重点保护区域边界。在区域边界，针对可预知的安全威胁，采取的封堵措施，即访问控制，限制其他分区对服务器区的访问行为、区内各级服务器间的访问、存储区外的服务器对外访问等。

同时在区域边界，对业务活动过程中的数据包进行深度检测，并根据数据包的特征模型、行为模型，鉴别出异常并进行报警和记录。包括攻击检测、病毒过滤，并在访问控制和入侵防御、病毒防护的基础上需要系统及时地进行反应，建立检测与防护的通道，以便成动态的防护体系，如日志审计、报告等等。

高可靠、高性能、可扩展 点缀全新方案

银行数据中心服务器区承载着银行的核心应用，要求数据中心网络具备高性能、高可靠性、高可扩展性的特点。数据中心服务器区的高性能要求，主要包含对网络设备数据流量的转发能力、链路带宽等。高可靠运行特别是生产业务，是银行的“生命线”，重要性不言而喻。

对此，山石网科新方案中提供了带状态的HA能力的安全网关设备，能够配合数据中心服务器区基础网络的HA技术，如STP、动态路由协议、链路聚合等；同时安全网关自身能够提供高可靠性，如多电源冗余、双主控、双风扇。同时具备按需扩展的能力，包括接口扩展和处理能力的扩展，可以充分满足需求。