一.背景与需求

近年来，随着互联网金融快速发展、数字化转型进程加速、新冠病毒疫情导致的远程办公需求持续增大，银行网络信息系统愈发开放，面临的网络安全形势愈加严峻。随着网络攻击破坏活动不断增多，破坏力和影响力不断增强，传统安全防护设备无法有效发现和阻止特种木马、0day漏洞、APT等攻击。建立企业网络安全纵深防御体系正是解决某些单点防御措施失效后，通过其他防御措施发现并弥补，达到更加系统、积极的防护战略。另外，随着安全设备的不断增加，如何联动各个安全设备，实现自动化分析和自动化拦截也是网络安全防御体系建设需要重点解决的问题。因此网络安全纵深防御体系建设是一个需要长期不断优化、不断完善的系统工程。

二.银行网络安全纵深防御体系解决方案

一般来说，纵深防护体系由外而内包括边界安全、内网安全、主机安全、异常行为感知几个层面，再通过综合态势感知平台实现智能联动。

（一）边界安全感知和防御

金融行业网络系统较为复杂，有较多的互联网应用，较多的合作第三方，边界安全承受着直接的互联网攻击和供应链攻击，是网络攻击的第一道防线，具有极其重要的防御地位。边界安全重点做好互联网应用攻击防御、外联区边界防御和邮件安全防御。

1.互联网应用攻击防御。大多数攻击者利用应用漏洞达到植入隧道程序、获取系统控制权限等目的。因补丁开发受诸多因素影响，漏洞修复可能需要较长时间，在这期间，应用的漏洞暴露于攻击者面前，安全风险极高。在互联网边界部署网络防火墙、入侵检测、应用级防火墙等安全设备，同时结合攻击行为特征进行威胁评分，当威胁评分达到预设阈值，联动防火墙自动执行阻断命令。

2.外联区边界安全。外联区是与第三方单位连接的前置区，容易受到供应链攻击，因此，这个区域的安全防护要求等同互联网边界。一是建立与外部单位白名单或者专网业务互访。二是外联区部署应用防火墙、入侵特征检测、全流量检测、防病毒和主机防护，及时发现及拦截供应链攻击。

3.邮件边界安全。目前大型企业普遍自建邮件系统，邮件攻击利用员工安全意识不强等弱点，对企业安全造成严重威胁。因此，邮件边界防控首先应收缩邮件系统暴露面，仅开放必要的端口及服务，隔绝网络攻击扫描和账号密码探测。同时，部署邮件安全网关与邮件深度检测，通过拦截域名仿冒邮件、过滤信誉差的邮件、建立发件人黑名单、自定义高风险邮件关键字等，实现对钓鱼邮件的精准拦截。

（二）内网安全感知和防御

内网安全是在边界防御失效后，通过内网流量感知、内网蜜罐等措施感知内网入侵和横向攻击行为。

1.内网流量感知通过在内网网络区域间部署流量入侵检测，采集网络区域边界流量数据，关联分析请求包内容，实现内网流量深度挖掘，感知内网横向攻击渗透行为和威胁。

2.内网蜜罐通过在各网段部署蜜罐，并在不同区域根据面临威胁的高低调整蜜罐部署密度，提升内网感知能力。在传统端口蜜罐的基础上，可形成多层次的蜜网，如Web站点仿真蜜罐、域名蜜罐、集权系统蜜罐等。通过攻击捕获模块和特征提取模块形成日志聚合与攻击画像，针对性地采取更高效的防御措施。

（三）主机安全感知和防御

主机安全防御是网络安全攻防的最后一公里，主机安全防护的构建主要通过在主机层部署各种安全防护措施，如入侵检测、防病毒，主机行为监控等。

1.主机入侵检测通过部署主机安全防护设备，实现实时监控主机上的异常登录行为，木马后门、高危操作、内存马检测等。

2.主机防病毒。对所有Windows、Linux服务器部署防病毒软件，启用实时扫描策略，当文件被接收、打开、下载、复制或修改时，防病毒软件对该文件进行扫描，避免服务器受到病毒、木马等威胁。

3.主机行为监控。对主机异常行为进行监控，主要是监控主机异常高危操作命令和主机白名单jsp文件监控。主机操作命令监控针对攻击者获取主机权限后，手工删除历史操作命令、清除遗留痕迹等动作，通过日志输出等方式解决攻击者删除本地历史操作命令的问题。主机白名单jsp文件监控实现攻击感知，即系统一旦出现新增jsp文件即刻告警，安全人员立即确认是否为正常变更操作还是被上传Webshell，从而建立感知0day Webshell攻击能力。

（四）异常行为感知和防御

异常行为防线主要用户防范攻击者绕过边界防护，到达服务器的异常操作。如：主动外连互联网，内网横向渗透等。这些攻击行为与服务器正常操作行为混杂在一起，具有很高的隐蔽性和破坏性。异常行为感知防线通过综合运用系统状态监控、机器学习等技术手段构建模型场景，关联分析各类安全设备监控信息、威胁情报和应用系统日志的历史数据，提取服务器日常运维行为特征，建立服务器行为基线，包括互联网外连、内网互访，进程运行基线组，设置异常行为判别策略。甄别明显偏离日常基线的异常行为，对具有异常行为的IP地址实施访问限制或阻断。

（五）综合态势感知平台

面对安全设备种类繁多，策略管控不统一，每天产生数以亿计的海量日志数据无法被有效收集、整理并加以利用，无法分析识别并防御隐藏在其中的安全威胁，综合态势感知平台通过对告警进行集中收集、安全分析及智能关联，实现安全设备从分散孤立防御转变为集中联动防御。主要包括建立跨设备多维度告警分析模型，根据攻击源、攻击危害程度、攻击目标重要性等维度进行加权评分；与服务器设备、应用及系统对接，实现安全分析、风险评估、攻击拦截自动化；与外部威胁情报平台对接，实现威胁情报实时查询；与各网络安全设备对接，实现对外部恶意攻击威胁进行主动防御。

三.结束语

随着网络安全攻防技术的不断演化，网络安全纵深防御体系也要与时俱进，借助大数据、智能分析等技术，不断提升精准防御能力，才能应对复杂多变的网络攻击。

作者介绍

严文彬&邱红丽，广发银行信息安全运营团队负责人、专家。

关于 大湾区金融安全专刊

大湾区专刊集合了全国数十家金融和科技机构的网络安全工作经验总结，内容涉及防护体系、资产管理、研发安全、攻防演练、安全运营、数据安全、业务安全七大主题方向，希望能为从业者提供网络安全防护方面的整体思路，向行业传播可持续金融创新和实践经验，为推动可持续金融生态发展汇聚智慧与力量。

原文始发于微信公众号（SecUN安全村）：银行网络安全纵深防御体系解决方案｜大湾区金融安全专刊·安全村