如何保证金融公司的应用系统安全？

关于应用系统的安全，主要包含几个层次的含义。
1、在业务安全方面，主要是保证业务的连续性，不中断。IBM LinuxONE硬件平均无故障时间大于40年，而且大部份部件可以不停机维护。其设计目标是单机处理关键业务。大部份LinuxONE主机用户都选择用单机运行关键业务。同时LINUXONE也具备HA技术，可以做到单机分区内LPAR的HA，近一步保证业务系统的连续性。最后， LinuxONE还支持基于存储或基于数据库的多种数据复制和容灾方案，可以做同城和异地容灾，保护整个业务系统的安全。
2、在数据安全方面，主要是通过一些安全策略保证数据不泄露，不丢失。LinuxONE提供商用平台最高级别的安全性:基于策略的一致性用户身份认证, 访问控制, 审计和管理，保护关键数据的高速加密和集中式的密钥管理，企业云和负载整合平台的安全基础，加强符合法规和标准的合规性检查和审计功能，通过早期的应用和网络漏洞的预防，降低运营风险。主要技术有：

• ResourceAccess Control Facility (RACF）：LinuxONE的安全基石,提供最安全的保护:包括控制所有资源的访问，整合硬件和操作系统，支持加密服务支持数字证书。也帮助应用程序和数据库安全，而无需修改应用程序:减少安全复杂度和成本开销，集中化安全流程易于管理新的工作负载和基础用户层的增加，满足跟踪审计和合规性要求。
• TheCommon Criteria program (CC)：共同准则是美国、欧盟和加拿大联合研究制订的“信息技术安全共同评价准则”的简称,是对计算机产品安全的评价准则。（LinuxONE获得了EAL5+,商用服务器中最高，相当于军事级别，在美国也被用于军事和国防，这也意味着LinuxONE的设计能够实现不同分区间操作系统的安全隔离，保证运行在一个分区操作系统上的应用不能访问跨分区的不同操作系统实例的应用数据。）
• FIPS 140-2：是NIST所发布的针对密码模块的安全标准，被世界范围业界所广泛应用。
• IBM LinuxONE Crypto：这个加密特性已经发展了10多年，还在不断提升和创新，能够帮助客户实现更安全的业务交易。
• CPACF ：LinuxONE每个处理器都可提供CPACF功能,通过协加密处理器支持主处理器实现最快的加密速度,重新设计的加密协处理器能够支持更高容量的加密需求。 较上一代产品，提高了大块数据的加密性能,提供一组对称的加密函数和哈希函数,明文操作提高加减密性能以帮助实现更好的：SSL ／ VPN ／存储数据应用,使用最新的CPACF功能将使得下面的功能随着吞吐量的增大而获益。
• 提供基于PCIe的加密卡：Crypto Express5S，采用先进的高速加密技术; 利用处理器对敏感数据进行的智能加密能够节约成本。支持多种类型，包括PIN码型交易类型,信用卡EMV型交易类型(处理器和PIN码),使用对称密钥，哈希，公开密钥算法的一般意义的加密应用, VISA加密(VFPE), 简化的加密密钥管理等。设计达到FIPS 140-2认证，符合规定要求，适用于PCI标准。
• LinuxONE简化加密管理－TKEworkstation：TKE可以帮助Crypto Express5S进行域分组,模块化克隆。这些功能都大大减少部署时间和带来更高的安全等级。当客户需要管理加密模块时，TKE的安全和简化管理能力提供显著的客户价值。 如果使用TKE, 将更容易管理85个域组。 TKE提供密钥部分的保护和双重控制能力在未定义域组给分区前或者分区不可用时，的TKE能够管理这些域。
• IBM zSecure套件：综合性安全产品，包括自动化能力，简化安全管理的复杂度，整合各安全功能实现智能化安全。

linuxone是全冗余性组件设计，本机可以达到5个9的高可用性；而且linuxone是全层级ha；而且linuxone的TSAMP技术可以是跨平台HA的；而且在线维护和升级及在线微码升级能力大幅减少计划内停机