近年来，随着整个社会数字化转型进程加速，支撑金融企业数字化转型的网络信息系统越来越复杂，边界也愈加模糊。当前，尤其自新冠肺炎疫情爆发以来，网络安全形势日益复杂，网络攻击破坏活动不断增多，影响力和破坏力显著增强，网络违法犯罪也呈现快速增长的态势。网络安全已进入了攻击复杂化、漏洞产业化、网络军火民用化、安全法制化、重保工作常态化、安全事件应急小时化的新常态。

当前金融企业面临的网络和数据安全风险越来越高，国内外各类安全事件频发。金融企业一直是网络攻击的重灾区，尤其勒索软件、挖矿蠕虫、敏感数据泄漏、软件供应链攻击、APT攻击、钓鱼邮件呈逐年攀升态势，来自互联网的攻击频度与强度日益加大，对金融企业的网上信息系统的安全运行构成了严重威胁。在监管层面，随着国家《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规以及等级保护2.0制度的正式施行，标志着网络和数据安全已上升到国家法律层面，金融企业同样面临巨大的网络安全监管压力。如何构建网络安全纵深防御体系，有效抵御内外部网络安全威胁，成为金融企业亟需解决的问题。

网络安全边界防御体系是一个企业的安全基础体系，大量的实践案例证明，持续做好边界防御体系建设与运营，通常可以为安全防护带来事半功倍的效果。金融企业的网上信息系统对业务连续性和安全性均有极高的要求，一个较为完善的金融企业网络安全纵深防御体系架构需要同时兼顾多方面的要求，下图1为一种典型的数据中心网络安全边界纵深防御体系的总体架构。

图1 网络安全纵深防御体系总体架构

为确保业务连续性，金融企业数据中心的网络安全边界防御体系架构中所使用的设备与链路均考虑了冗余备份，比如设备高可用、多线路接入等。对于设备可以采用HA或集群方式部署，在互联网接入部分，可以采用多运营商线路或BGP线路接入，不同运营商线路接入到交换机不同VLAN,以满足不同运营商的用户接入需求。若采用多运营商互联网线路接入，通常需要配合使用智能DNS解析实现用户客户端优先访问同运营商的线路，为用户提供优质的互联网访问体验。对来自互联网的大流量DDoS攻击，受限于金融企业互联网源站的DDoS防护成本和防护效果，优先推荐采用对应线路所属运营商的流量清洗服务，实现大流量DDoS攻击的防护。

如上图1所示,互联网负载均衡为数据中心DMZ区各业务服务器的网络接入提供高可用和网络资源负载均衡，实现DMZ业务负载的L4-L7层应用交付能力，如L4-L7应用代理、L7层HTTP报文的改写、SSL证书卸载等。同时，为确保DMZ区服务器在主动出站访问互联网资源时，节省负载均衡成本，可利用互联网负载均衡同时实现出站的三运营商互联网链路的负载均衡和多运营商Local DNS均衡代理转发功能，为DMZ区服务器出站访问流量实现在三运营商线路上负载分担、链路高可用及多运营商Local DNS解析。

内网负载均衡也称为横向负载均衡/NAT64网关，顾名思义，该负载均衡为DMZ区服务器提供该区服务器东西向流量的负载均衡，以及在该区服务器无法向互联网直接提供IPv6服务时，通过内网负载均衡在南北向为互联网客户端及时提供IPv6地址转IPv4地址的NAT64服务，确保平滑提供互联网IPv6服务，满足监管要求。

为满足网络安全等级保护和安全防御的基本要求，如上图1所示，金融企业的互联网边界网络安全纵深防御体系架构应具备防火墙功能，支持透明、路由等多种模式灵活部署。随着防火墙技术的发展，下一代防火墙普遍集成了四层防火墙、IPS、应用控制、防病毒、URL过滤和安全沙箱等多项安全功能，并基于性能考虑，采用专用ASIC芯片进行相关安全功能的处理。

当前，下一代防火墙已成为金融企业互联网边界纵深防御体系架构中的重要组成部分。下一代防火墙在互联网边界实现入站和出站两个方向五元组的L4层访问控制，以及入侵防御、应用控制、防病毒、URL过滤和安全沙箱等多种L7层应用安全功能，相比传统的L4层防火墙，具有更深入更细颗粒度的应用层攻击检测和防御能力，满足等保2.0标准的基本要求。

为满足等级保护和Web应用安全防御的基本要求，如上图1所示，金融企业的网络安全边界纵深防御体系架构应具备Web安全防护功能，支持透明代理、透明桥、路由代理和反向代理等多种模式灵活部署，且设备接口支持断电bypass功能。下一代WAF设备为互联网边界同时提供基于攻击特征及攻击行为的Web攻击防护能力，为DMZ区所有Web服务提供统一的Web攻击防护功能，能够支持0day漏洞防护能力，实现Web攻击告警和拦截，支持BOT防护、CC攻击、慢攻击防护和动态混淆防护，以及基本的网页防篡改功能，还能够对端到端TLS/SSL加密流量提供TLS/SSL加解密和Web攻击防护。

如图1所示，该架构中的故障隔离交换机一般为二层交换机，两台故障隔离交换机可以采用堆叠或Trunk方式互联，其作用是在上下联的安全设备自身发生故障或因线路故障导致接口为down时，隔离故障的传导，确保安全设备HA切换后网络的连通性。随着网络安全纵深防御架构功能的扩展，该故障隔离交换机上可以用于统一接入其他的各类网络安全设备，如SSLVPN、零信任SDP网关以及IP封禁网关（常用于日常安全运营或安全重保期间）等，为互联网的前端网络接入提供可扩展的、丰富的安全控制措施。

如图1所示，该架构中网关交换机主要包括DMZ区服务器网关交换机和中台数据库（DB）服务器网关交换机，均为三层交换机，支持IPv4/IPv6双栈协议和IP路由转发功能，实现DMZ区应用服务器和中台区数据库DB服务器的IP路由网关功能，每对堆叠的网关交换机与区域边界防火墙通过VLAN的三层SVI接口互联。为确保设备高可用，推荐网关交换机采用堆叠方式部署，服务器的两个网卡与两台交换机分别上联（双上联）。

如图1所示，该架构中的区域边界防火墙，部署于数据中心每个安全区域的边界，采用防火墙管理平台进行集中统一的运行管理和安全策略下发，实现各安全区域间的精细化网络安全访问控制，是内网安全不可或缺的安全控制措施。为确保防火墙的高可用和安全性，该架构中每个区域边界防火墙推荐采用双机部署，如主备HA方式，并根据金融行业最佳实践，采用和互联网下一代防火墙异构的品牌，进一步提高安全性。

如图1所示，该架构中的数据中心骨干网采用传统的“核心+汇聚+接入”三层架构，数据中心核心层与各区域的汇聚层之间通过OSPF动态路由协议交换与更新各安全区域的IP路由信息，所有网络设备均采用双机部署，核心层和与各区域汇聚层之间通过OSPF路由协议ECMP机制实现网络设备和链路的动态双活，确保数据中心骨干网络高性能高吞吐的流量转发。各区域汇聚层和接入层之间嵌入区域边界防火墙，接入层交换机为本区域内服务器提供高可用网络接入。

在“云+零信任”时代，虽然网络边界已经日渐复杂和模糊，但网络边界仍是金融企业网络安全防护的重要阵地。网络安全防护主要作用是拒绝网络非授权访问，实现对内外部网络攻击的主动防御阻断，筑起网络安全纵深防御的第一道防线。

如图1所示，该架构虽为经典的传统数据中心网络安全边界防御体系架构，其通过较为合理的安全区域划分和精细化、多维度的安全检测，为数据中心的网络访问提供较为完善的边界安全纵深防御体系，网络入侵者必须突破层层堡垒才能接触到安全区域内的核心数据资产，攻击方的入侵难度和入侵成本将大幅度提高。当下行之有效的网络安全边界纵深防御体系仍然是金融企业线上业务运行所必须的基本网络安全防御手段，能有效降低金融企业内外部网络攻击带来的风险和损失。

近年来，国家网络安全政策、法律、标准和监管单位文件不断发布，金融企业的网络安全工作已经走向业务化，需要协同企业中不同部门和人共同参与。金融企业必须制定总体安全策略，这是一个企业级的网络安全总纲宪法，以此来层层落实网络安全管理、技术、运营体系。网络安全纵深防御体系是企业网络安全策略落地的具体抓手，不仅包含各类安全技术防御，同样涉及安全管理与运营。

网络安全工作的核心就是将总体安全策略拆解到具体安全管理要求，并通过安全技术能力实现技术要求，最终都融入对应到安全运营体系中。成熟的网络安全纵深防御体系是一个在企业安全策略驱动下，需要有效安全运营支撑的，层层落实、环环相扣的有机整体，如果每个环节没有很好的被落实，往往会出现管理目标落地难，纸上谈兵等问题，就会导致安全策略落地变形，总体安全策略目标实现大打折扣。

在安全运营的视角下，仅有网络边界的纵深防御能力是远远不够的，网络攻击者的攻击手段层出不穷，不能寄希望于网络边界防御所有可能的攻击。企业网络安全防护位置必须覆盖到终端、网络、边界和服务端/云端等各网络流量所经过的各环节，作为网络安全边界纵深防御架构的演进，构建一体化的网络安全纵深防御体系，金融企业还需要在以下几个方面进一步完善和增强。

在安全技术层面，除了在网络边界部署纵深防御措施外，服务器和终端（含PC和移动终端）作为最主要的计算端点，通常承载着金融企业的核心数据，是网络攻击的目标靶点。作为系统的最后一道防线，需要在终端部署网络准入、桌面终端安全管控和防病毒软件，在服务端部署安全基线、防病毒软件、端点检测与响应（EDR）软件、微隔离等安全措施；在服务端还有必要部署网络安全威胁感知系统、安全运营中心（SOC）与态势感知系统、威胁情报中心、APT攻击检测系统、蜜罐蜜网与溯源分析系统、堡垒机与特权账号管理、文件沙箱检测系统、数据防泄漏（DLP）系统、数据库安全与审计系统、用户行为审计系统、应用数据及API安全风险监测系统等。上述列举的多数安全系统可以和防火墙、WAF等安全网关设备联动，实现安全编排与自动化响应（SOAR）功能，达成网络攻击发现和阻断的全自动化目标。

在组织管理层面，要想网络安全纵深防御的技术体系真正发挥作用，最终都离不开人的使用，网络安全纵深防御体系最后也是最重要的一道防线，即网络安全组织体系建设。网络攻与防的较量归根结底是人的较量，金融企业应依托网络安全组织体系建立较为完善的网络安全运营机制，实现企业范围内网络安全管理和运营的全流程覆盖。

此外，金融企业的员工安全意识教育和网络安全攻防演习也是网络安全运营中的关键环节。虽然网络攻击手段层出不穷，但基于人的社会工程学攻击在网络攻击体系中仍占据重要地位，安全意识教育仍是提升员工安全意识最有效的手段。同时，在组织管理上，金融企业还需要注重打造一支协调有力、反应迅速、处置得当的网络安全团队，能在日常的渗透测试、安全攻防实战演习、安全事件应急处置等工作中，打磨并形成一整套适合企业自身的行之有效的网络安全运营机制，持续提高企业的网络安全运营水平。

网络安全纵深防御体系在本质上是多层次多维度的安全防御体系，金融企业在构建网络安全纵深防御体系后，针对安全威胁的检测深度和广度将得到全面提升，发现安全威胁的精确度和时效性也将得到显著提高，同时，网络攻击者的入侵难度和成本将大幅度提高，这就使得金融企业能有充足的时间进行应急响应和处置。

随着数字经济的不断发展，云计算、大数据、人工智能、区块链等新兴技术迅速发展，网络空间和现实物理空间的边界进一步消融，安全攻防双方的技术能力也在交叠上升，网络攻击、数据泄露、安全漏洞等安全问题呈现新的变化。为应对不断演变的网络安全问题，金融企业的网络安全纵深防御体系将亟待进一步演进。

一方面，正所谓未知攻焉知防，随着安全攻击新手段和新场景的出现，新的网络安全防御技术及工具也将不断涌现，这些都将持续充实与完善现有纵深防御体系，但再高级的纵深防御技术体系只有配合网络安全专家和持续改进的安全运营流程才能发挥最大的作用；另一方面，网络安全的本质是人与人的对抗，经过实战攻防对抗来精准挖掘网络安全纵深防御体系存在的潜在漏洞及威胁，能有效验证纵深防御体系是否健壮，促进纵深防御体系的持续改进，快速提升安全人员的安全能力。

此外，通过以攻击方视角执行的实战攻防，能够帮助金融企业找到防守方视角的缺失，进而全方位地提升企业网络安全能力，尤其是当攻击方是国家级背景的黑客组织时，对方会不断改变攻击技术与战术，只有经过实战检验才能筑牢金融企业的网络安全纵深防御体系。