证券类金融企业网络安全建设方法与思路

防火墙策略分析

防火墙策略分析需安全工程师对已导出的防火墙策略进行阅读，通过与网络管理员、防火墙厂商工程师交流，理解策略含义。之后，通过与网络拓扑结合分析，找出存在安全风险的配置策略并提出整改建议。分析过程遵循如下原则：

◆ 防火墙策略设置应遵循“最小化”原则，根据系统内外部互联的实际需求，建立细化到源/目的IP、端口、承载信息、信息敏感性等内容在内的网络连接信息表，并据此配置防火墙策略，禁止出现非业务需要的大段IP、连续端口开放的策略。

◆ 原则上不允许提交策略的业务服务占用小于1024的常用端口；所有没有明确允许的访问都应该禁止。

◆ 在不影响防火墙策略执行效果的情况下，应将针对所有用户（源为any）的策略设置为较高优先级; 将匹配度更高的策略优先级次之; 将拒绝的策略设置为比允许的策略更高的优先级 。

◆ 原则上防火墙策略中不应出现允许远程登录及数据库管理的相关策略。对于特殊需求的，可设置点对点访问控制策略。

◆ 原则上互联网用户只能访问外联DMZ区域的设备，不允许存在互联网用户直接能问到内部核心服务器区域的访问权限。

◆ 防火墙策略的最后应有一条拒绝所有(deny all)的策略。对于需要自行配置deny all的策略的防火墙,在最后添加 deny TCP any any。

网络设备自身配置参数检查

从整体网络安全的角度对现有的网络安全策略进行全局性的评估，主要包括：

◆ 对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。应强制对只支持telnet的设备进行淘汰，在支持SSH设备上运行版本升级，如OPENSSH组件建议升级到v7.0。同时，禁用已证实弱算法组合，如停用基于MD5的HMAC算法、blowfish-cbc、cast128- cbc等。

◆ 定期对网络设备的配置文件进行备份。

◆ 对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。

◆ 应对网络设备的管理员登录地址进行限制。

◆ 应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。

◆ 应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、注入式攻击、IP碎片攻击和网络蠕虫攻击等。

运营商流量清洗

国内各运营商陆续提供网内DDoS流量清洗增值服务，可有效应对大流量DDoS类型攻击。如广东电信流量清洗系统利用旁路部署技术，集中部署在省干网，并结合攻击检测系统，及时发现背景流量中各种类型的攻击流量，迅速对攻击流量进行过滤或旁路，保证正常流量的通过，有效地提供DDoS检测防护服务。

本地防护平台

通过在企业网络互联网边界部署DDoS专用防护系统，可有效应对小流量DDoS类型攻击。在未达到攻击规模之前，可以对流量进行分析，并统计背景流量状态，事前调整防护策略提高准确性，提升攻击事件发生时的防护水平。同时，作为运营商流量清洗的备份措施。

入侵防护检测

• 基于特征分析的专家系统

特征分析主要检测各类已知攻击，在全盘了解攻击特征后，制作出相应的攻击特征过滤器，对网络中传输的数据包进行高速匹配，确保能够准确、快速地检测到此类攻击。

• 协议异常检测

协议异常最为重要的作用是检测特定应用执行缺陷（如：应用缓冲区溢出异常），或者违反特定协议规定的异常（如：RFC异常），从而发现未知的溢出攻击、零日攻击以及拒绝服务攻击。

• 流量异常检测

流量异常检测主要通过学习和调整特定网络环境下的“正常流量”值，来发现非预期的异常流量。如果实际网络流量统计结果与基准达到一定的偏离，则产生警报。

威胁风险分析

威胁情报，是资产威胁或危害的基于证据的知识，包括上下文，机制，指标，意义和应对建议，可为主体提供如何响应威胁或危害的决策。

证券类金融企业对外服务的重要系统以交易WEB平台和交易APP为主，通过收集威胁情报，掌握国内外已发生的特定信息安全事件所利用的已知漏洞是否与企业交易WEB平台存在的漏洞或交易APP某项业务流程缺陷有关联，从而提出漏洞缺陷修补优先级。威胁风险分析过程需要将信息资产、存在漏洞信息、威胁信息综合分析，得出风险高低结果，提供安全团队决策。

绿盟提供威胁情报平台NTI，可从绿盟云推送相关威胁情报至企业本地，支撑企业威胁风险分析 。

多种应用层及文件层解码

从高级可持续威胁的攻击路径上分析，绝大多数的攻击来自与Web冲浪，钓鱼邮件以及文件共享，基于此监测系统提供以上相关的应用协议的解码还原能力，具体包括：HTTP、SMTP、POP3、IMAP、FTP。

为了更精确的检测威胁，监控系统考虑到高级可持续威胁的攻击特点，对关键文件类型进行完整的文件还原解析，系统支持了以下的文件解码：

• Office类：Word、Excel、PowerPoint…

• Adobe类：.swf、.pdf…

• 不同的压缩格式：.zip、.rar、.gz、.tar、.7z，.bz…

智能ShellCode检测

恶意攻击软件中具体的攻击功能实现是一段攻击者精心构造的可执行代码，即ShellCode。一般是开启Shell、下载并执行攻击程序、添加系统账户等。由于通常攻击程序中一定会包含ShellCode，所以可以检测是否存在ShellCode作为监测恶意软件的依据。这种检测技术不依赖与特定的攻击样本或者漏洞利用方式，可以有效的检测已知、未知威胁。

需要注意的是由于传统的ShellCode检测已经被业界一些厂商使用，因此攻击者在构造ShellCode时，往往会使用一些变形技术来规避。主要手段就是对相应的功能字段进行编码，达到攻击客户端时，解码字段首先运行，对编码后的功能字段进行解码，然后跳到解码后的功能字段执行。这样的情况下，简单的匹配相关的攻击功能字段就无法发现相关威胁了。

系统在传统ShellCode检测基础上，增加了文件解码功能，通过对不同文件格式的解码，还原出攻击功能字段，从而在新的情势下，依然可以检测出已知、未知威胁。在系统中，此方式作为沙箱检测的有益补充，使系统具备更强的检测能力，提升攻击检测率。

网络架构分析

网络架构分析是通过对用户评估范围内网络建设规范性、网络边界安全性、网络通信安全、整体网络架构合理性，及网络安全管理等方面进行现状分析，差缺补漏，并提出网络改造方案。

网络架构分析主要工作内容说明如下：

1)     网络建设的规范性：网络安全规划、设备命名规范性、网络架构安全性；

2)     网络的可靠性：网络设备和链路冗余、设备选型及可扩展性；

3)     网络边界安全：防火墙策略、网络设备的ACL、VLAN（二层ACL）等；

4)     网络协议分析：路由、交换、组播 、IPv4等协议；

5)     网络通信安全：通信监控、通信加密、VPN分析等；

6)     设备自身安全：口令、设备版本、系统漏洞、服务、端口等；

7)     网络安全管理：客户端远程登陆协议、日志审计、设备身份验证等。

拒绝服务攻击防护

证券类金融企业购买运营商的流量清洗服务，在运营商网间解决大流量的DDoS攻击。在互联网出口处部署绿盟抗拒绝服务系统，解决运营商服务无法处置的多重复杂的DDoS 脉冲攻击，并在运营商服务失效时，提供防护备份措施。

同时，通过本地部署防护系统，在未达到攻击规模之前，可以对流量进行分析，并统计背景流量状态，事前调整防护策略提高准确性，提升攻击事件发生时的防护水平。

网络入侵防护

在互联网出口位置部署具备检测和实施阻断能力的防护设备如IPS，对网络流量特征进行实时检测和阻断。同时，由安全团队组织开展威胁风险分析，针对已部署网络入侵防护设备的日志、告警信息，开展日志分析，提供整体信息安全形势综合分析报告，初期以人工分析为主，随着安全建设深入，逐步提升自动化分析比例和人机学习技术的应用，提升防护效率，提高网络入侵防护水平。

APT识别与防护

笔者建议开展针对APT攻击行为的安全检测、监控与防护、安全意识培训三项内容。

● 安全检测

使用具备检测此类特定攻击能力的安全扫描设备对全网IT网资产（主要是服务器和PC终端）进行全网安全风险和漏洞扫描。考虑到攻击者主要针对证券行业进行定向攻击，不排除重新感染的可能性。因此，建议用户持续对发现的后门相关的扫描结果进行关注，定期更新扫描设备插件并执行扫描作业。

● 监控与防护

◆ 在业务网段部署安全审计设备，对数据库查询、FTP传输、网络登录等网络行为进行安全审计，及时发现恶意查询、匿名登录等网络异常行为；

◆ 考虑到该后门以及类似攻击变种多样，建议部署具备流量还原能力的威胁分析系统，并对主要通讯协议和主要文件类型进行检测覆盖。 

● 安全意识培训

面向全员／特定岗位／管理层进行持续的安全培训，告知其日常安全注意事项、操作规范、安全事件预警原则等必要信息，改善工作习惯，提升安全意识，持续增强企业安全防护能力。