新安全形势下证券行业的应用防护新思路

　　1.互联网安全新态势

　　近年来新兴技术孕育出了各种创新的金融服务模式，推动着金融业务的变革和数字化转型的不断加速。然而，多元的应用形态也给金融机构带来了更多的业务与数据安全风险，金融机构必须快速升级自身的安全理念和防护手段，以应对撞库、盗用账户、信息泄漏、交易欺诈等安全威胁与挑战。黑产工具也在不断升级，团队分工指派更明确了。

　　1)自动化工具威胁

金融行业的网络架构普遍较为复杂，互联网入口较多、业务对接渠道较为丰富，增添了暴露面，直接增加了安全风险系数。0day漏洞、低门槛的Bots工具在24小时全天候自动发起攻击的严峻态势，低廉的成本、高效的运行速度、可定制可移植等优势之下，也成了恶意攻击者的主要嗅探手段，通过启动大量的工具或脚本进行无差别的扫描嗅探，然后等待工具带来的自动化响应，并再通过手工发起指向性攻击。

自动化工具的涉猎范围已经大大扩增了，早期的主机漏扫、应用漏洞扫描等，现在已经大大蔓延开来，暴力破解、批量注册、短信轰炸、虚假交易、中间人攻击、网络爬虫等等一系列的攻击，都是基于工具来实现的，由此可见，防止自动化工具攻击威胁已经是迫在眉睫的安全建设方向。

　　2)安全攻防活动

另一方面，随着护网覆盖范围越来越大，攻防演练活动氛围愈发浓烈。虽说安全从业者的安全技能也逐步增强，安全防范意识已深入基层，但就现状下安全保障工作压力日渐增加。如果仍将防护重心放在现场值守，“人防”难以常态化、人力成本高、负荷过大的缺点便显露无疑。因此从“人防”到“技防”的重要性逐渐体现出来了。解救安全从业者，可以有更多的时间投入安全研究，为企业乃至行业创造价值。

3)法律法规与行业合规

随着《网络安全法》、《等保2.0》等法律法规相继推出，2021年也是重量级的一年，9月《数据安全法》的出台施行，同年11月《个人信息保护法》也相继出台，国家对数据安全上升到空前的重视。

　　金融行业响应了国家的号召，《金融数据安全分级指南》、《数据声明周期安全规范》、《个人金融信息保护技术规范》等一系列配套的安全标准陆续出台。企业需要加强数据安全保护措施，铺开数据安全系统建设工作，在开展数据处理活动中应加强风险监测，修复安全缺陷，并且记录数据安全事件全过程，必要时需要提供明细证据记录。《等保2.0》中提到在新应用的网络安全防护中，系统防御应由被动防御变成主动防御。主动防御的安全建设，迈出了新应用安全建设的新步伐。

　　2.行业发展与业务新形态

　　1)行业发展

伴随着中国市场经济体系的日趋完善、对外开放程度的不断深化，国内证券行业也经历了从无到有、不断壮大、不断规范的过程。当前围绕促进实体经济发展、激发市场创新活力、拓展市场广度深度、扩大市场双向开放等政策的积极引导下，证券行业面临巨大的发展机遇。

发展通常都伴随着竞争，银行、保险、基金、信托公司利用其客户、渠道等方面的优势逐步进入以资产管理等为主的相关业务领域。此外，互联网金融的渗入一方面将快速打破过去证券公司的渠道覆盖和区域优势， 另一方面也将推动包括经纪业务、 资产管理业务、 投资银行业务、 研究业务的交叉服务和产品合，促使证券行业的竞争日趋激烈，或逐渐形成新的竞争格局。

多层次资本市场建设的持续推进以及证券业的改革、创新和发展，证券公司的经营范围和业务空间大大拓展，新业务、新产品层出不穷。在经营传统业务的基础上，证券公司逐步开展融资融券、做市业务、私募投资基金业务、并购融资等资本投资和资本中介业务，这将带来业务模式、盈利模式和收入结构的转型升级，开创传统业务和创新业务协同发展的新局面。

而互联网金融的出现，改变了传统金融行业的经营理念，近年来，证券行业积极推进“互联网+”战略，把自有业务推到了外网。一方面，多项支持政策出台为互联网证券营造了良好的发展环境;另一方面，证券公司继续推进传统业务的互联网改造，通过线上投资顾问、账户体系、组织架构、跨界合作等多维创新加快了互联网证券尤其是移动证券的发展步伐。同时，其他互联网机构也在加紧发展证券业务链，互联网发展进入深度融合阶段。

2)业务新形态

随着我国证券行业创新的逐步深化及与国际接轨，证券行业改革的步伐不断加快，我国将迎来网上证券业务全面发展的新时期。互联网技术的发展使得证券交易服务对物理空间场所的依赖越来越低，用户更倾向于随时随地通过终端设备，自助式地获取海量资讯，并在任何物理空间场所完成交易。

如今互联网已深入到生活的每个角落，而在证券行业中，最终用户的行为方式和生活模式被推动发生重大变革。用户规模快速扩大，用户访问网络频率加大，在线时长也在提高。最终，网民正倾向于借助移动通讯技术和终端设备，通过在线，经由互联网获取信息、购买产品和接受服务。而我们将“互联网证券”的概念界定为证券业务交易各方通过互联网和移动互联网渠道，以不依赖于物理空间的电子交易方式进行的证券交易方式。它不仅仅是证券局部业务单元和产品销售活动的互联网电子化，更是证券经营主体、证券业务流程和商业模式的全方位在线化。借助支付牌照和类似银行账户一样的综合账户体系，帮助客户自由支付，使客户的资金在移动终端上实现跨行业、跨品类的配置;在这个基础上，券商可颠覆传统业务模式，进一步通过网络实现证券基础业务的自助化和自动化。

当下，渠道分销也是热门话题，例如:抖音、小程序直播、节日营销活动等，证券互联网趋势下，券商也可以借助各种移动社交工具开展在线化和碎片化营销;通过使用高效的客户管理系统，更加重视用户个性化营销和数据挖掘，建立细化到账户级别的营销模式，提高营销信息的准确率和针对性。

未来，传统行业及企业的生存发展将取决于自身的“互联网化”，没有“互联网化”的企业甚至可能不能再称之为企业。在早些年互联网是一个相对独立的行业，电商渠道的壮大，以及营销环节的融合，与传统行业产生了松散或局部的耦合关系。但这一状态正在发生改变，“紧耦合”甚至是规则，模式上的颠覆和替代效应正上演。无疑，互联网将改造和重构传统产业，证券行业也不列外，适应瞬息万变的市场才是存活法则。

　　3.主防护结合,安全建设新思路

　　1)不断更新的技术体系

业务在发展，企业的网络架构也不断的在更新迭代，早前单数据中心已经基本被淘汰。高质量的业务连续性要求、高标准的SLA、高效率的网络链路已是建设数据中心的基本要求。大型企业的建设思路，基本靠拢两地三中心、主备数据中心、双活数据中心等等，这些基础架构的巨变，为用户提供了不间断式的线上应用服务，大大提升了用户体验。

信息化技术发展不断持续，网站应用的规模也在不断扩张，早前的垂直应用架构已无法应对，从单体架构，到集群部署方式，到垂直架构，到分布式集群架构，到微服务架构，架构变得愈发复杂。企业的架构是顺应着业务、数据体量而发生变化的，需要选择一个最合适企业的架构。

当然，信息化技术的更新和发展在攻击者视角也同样适用。随着信息安全技术的进步与安全意识的提升，企业已经能够有效地对抗各类已知的安全威胁。然而黑客攻击的手法也在快速演进，利用未知漏洞的攻击行为和模拟合法操作的自动化攻击已成为主要的新兴安全威胁。面对这些前所未见的威胁，传统的安全防护技术几乎束手无策。传统的安全技术不论是基于签名或规则，都需要对已知的恶意行为或请求进行分析，撰写攻击特征签名或行为规则。对于未知的攻击行为，传统的安全技术必须等待签名或规则的更新才能有效防御，因而出现防御空窗期。然而那些模拟合法操作的自动化攻击，由于不具恶意攻击特征，因此可以有效躲避签名与规则的侦测，这无疑是当前信息安全防御体系的重大缺口。

此外，基于身份认证的安全机制，由于用户习惯在不同系统使用相同的用户名和密码，导致只要互联网上有系统用户名和密码被泄露，攻击者就可以通过“撞库”等攻击手法轻而易举的获得其他系统的账号和密码，从而侵入其它系统。上述的安全态势演变已经让当前的安全防护技术显得捉襟见肘，然而更严峻的挑战是黑客在攻击过程中，使用各类的自动化攻击技术，不但可以在短时间内攻占大量的系统或进行大规模的交易欺诈，也可以长期潜伏在企业信息系统中，持续窃取企业敏感信息，这对企业的信息安全来说是一个空前的挑战。

2)动态防护结合稳态防护

传统的安全防护手段，使用常见的数据中心安全产品，例如：WAF、IDS、IPS、NG-FW等，都是基于规则库、特征库来定义攻击特征的一种安全设备，由于安全设备较早的就已经出现在企业的安全建设架构当中，产品技术已经非常成熟，可以称之为稳态防护产品。这类产品的对于规则库、特征库的迭代已成一定的体量，可以拦截常见的SQL注入、XSS注入、文件上传、Webshell等OWASP TOP10常见恶意攻击，效果比较突出。如若不具备这些恶意攻击的特征所发起的网站请求，如入无人之地，一路绿灯通行，直达服务器。针对这类攻击则需要通过其他技术手段来补足。

动态安全防护系统以一系列“动态”技术为核心，提供应用和业务层面的威胁感知和主动式防御，对黑客和不法分子隐蔽自己，甄别伪装和假冒正常行为的已知和未知自动化攻击，提供企业和个人安全的业务服务，保护企业和个人数据;同时，其“动态验证”技术，可以有效识别客户端是“工具还是人”，针对模拟合法操作的工具行为进行阻拦或者软拦截，为企业建立新的动态安全防护能力，补充主动式防护建设要求。

动态防护系统设计技术，是通过对网页代码的持续动态变化，实现对网页敏感内容的隐藏，防止攻击者对网页代码进行深入分析。另外通过核心技术对工具的识别，再结合用户行为分析，实现对各种自动化攻击的拦截。动态技术其根本的原理就是判定是“人”的操作还是“工具”操作，识别拦截工具请求动态技术并不依赖“访问频率”，“集中的IP来源”来判断是否为工具。动态技术不管这个工具是什么名字，在业务逻辑的哪个环节，模拟了哪类浏览器、是否不断更换工具和改变IP，只要被识别为“工具”，即可将主动触发软拦截。

经过大量的理论和实战得出，在企业中结合动态防护和稳态防护两者防护能力下，企业在对抗恶意攻击者发起的攻击，还是非常有效的。自动化工具攻击，可以通过动态防护技术能力，进行“围剿”;而手动渗透攻击可以利用业内成熟度较高的WAF来进行抗衡。

企业安全架构建设的道路坎坷，不乏会遇到各种棘手的事件，静下心来，换位思考，开拓思路，行业内外安全技术思路调研，并在各个不同阶段结合企业自身情况进行量身定制才是通向安全之路。

　　作者介绍：刘嵩，网络安全总监。有着20 余年信息安全研究的工作者。