渤海证券基于互联网环境的漏洞主动防护方案探索与实践

来源：中国金融电脑

作者：渤海证券股份有限公司信息技术总部刘洋

伴随互联网业务的蓬勃发展，证券行业成为黑客进行网络攻击的重要目标之一，网络攻击的形式也变得愈发多样且复杂。网络攻击如同悬于行业之上的达摩克利斯之剑，为行业机构的信息安全带来严峻挑战。在这些攻击方式中，漏洞攻击尤为棘手，它们瞄准系统、应用或网络中的安全缺口，悄无声息地渗透，窃取敏感数据、篡改关键信息或制造混乱。面对当前紧迫的安全局势，渤海证券股份有限公司（以下简称“渤海证券”）积极投身于网络安全防护的探索与实践之中，经过不懈努力，成功验证并构建了基于互联网环境、覆盖多网络分区的漏洞主动防护方案。该方案能够迅速识别潜在的漏洞攻击、漏洞扫描等行为，并对其进行有效的阻断防御。该方案的创新实践为证券行业的安全发展提供了新的防护路径以及可借鉴的安全防护案例。

一、漏洞安全防护面临的挑战

1.漏洞频现难修复，持续应对显无力

随着技术的不断迭代，新的网络及系统漏洞不断涌现，且更新速度之快令人咋舌。机构在应对这些漏洞时，往往陷入“疲于奔命”的境地，难以有效应对，导致漏洞修复工作难以持续。

2.应对被动缺前瞻，布局缺失陷困境

面对层出不穷的漏洞威胁，证券行业多采取被动修复的策略，即发现漏洞后进行修补，缺乏主动防御和前瞻性布局的能力。这种“亡羊补牢”的方式难以从根本上解决网络安全问题。

3.修复困难周期长，闭环管理效率低

在漏洞修复过程中，机构面临诸多困难：一是老旧系统无补丁支持，二是新漏洞爆发初期官方补丁更新不及时，三是重要业务系统补丁安装造成的稳定性、可靠性、兼容性等问题，四是漏洞的整体修复过程需经历测试、验证、正式变更等多个环节，导致修复难度大、闭环周期长。这些修复问题给证券行业网络安全带来巨大隐患。

4.0day漏洞防护弱，安全防线待加固

0day漏洞是指尚未被公开或未被修复的漏洞，黑客常利用此类漏洞进行定点攻击。证券行业在0day漏洞防护方面能力较弱，难以有效抵御此类攻击。

二、渤海证券创新实践：基于互联网环境的漏洞主动防护方案

渤海证券联合青藤云安全共同探索并成功实践了基于互联网环境的漏洞主动防护方案（如图1所示），该方案依托流量行为分析技术，结合漏洞攻击行为屏蔽技术，可即时监控并拦截非法的漏洞扫描与攻击,使漏洞探测和利用行为失效,从而有效规避系统漏洞风险。同时，该方案能够自动适应并生成有针对性的漏洞屏蔽策略，确保防护的精确性与有效性。

图1 基于互联网环境的漏洞主动防护方案架构

1.方案具体措施

一是旁路部署漏洞无效化组网设备。方案将漏洞无效化组网设备旁路部署于数据中心网络，无需改动现网架构即可上线启用。此组设备可对接多个独立互联网业务接入区，实现单组设备保障多个网络区域的安全防护目标，有效促进了成本节约与效率提升。

二是在线实时分析并阻断漏洞扫描行为。方案将各独立网络分区互联网流量镜像至漏洞无效化组网设备，并进行实时在线分析。利用内置的漏洞攻击分析模型和处置机制，向黑客及内网可信主机即时发送模拟阻断报文双向RST包，对非法漏洞扫描行为进行阻断，使其无法获取业务系统未修复的漏洞信息，从而有效防御黑客恶意攻击。

三是自适应生成漏洞屏蔽策略。方案可对接自有漏洞扫描设备，并根据定期的漏洞扫描报告自适应生成漏洞屏蔽策略，以安全漏洞为视角，设计出最佳漏洞闭环处理方法，依据此方法，可精确应对互联网漏洞攻击，并实现漏洞全生命周期的闭环管理。