实战化安全防护体系建设的思考

在信息技术呈指数级快速发展的当下，网络空间已然成为国家主权延伸的 “新疆域”，网络安全也顺势上升至国家安全的战略高度。没有网络安全就没有国家安全，就没有经济社会的稳定运行，广大人民群众的利益亦难以得到切实保障。

当前，国家级、组织级的网络攻击活动呈现出愈发频繁的态势，攻击者所运用的手段和技术更是处于持续迭代升级的进程之中。从以往较为传统的渗透测试方式，逐步向更为隐蔽且复杂的钓鱼邮件、供应链攻击、安全设备 0Day 漏洞挖掘等方向转变。

与此同时，内存马、隐秘隧道、加密通信流量等技术的广泛应用，使得攻击行为如同隐匿于黑暗中的幽灵，更加难以被察觉和有效防范。在如此严峻的形势之下，构建实战化的安全防护体系已然刻不容缓，这绝非仅仅关乎企业的生存与发展，更是与国家和社会的稳定与安全紧密相连，犹如大厦之基石，不容有丝毫的动摇与忽视。

近年来，中国光大银行坚定不移地秉持“安全一体化”指导思想，从防御、检测、响应、预测这四个关键维度着手发力，持续不断强化网络安全建设工作，历经不懈努力，成功构建起了一套较为完善且行之有效的纵深防御体系。

本文将围绕边界防护、内部防护以及内外协同这几个至关重要的方面，分享光大银行在实践过程中所积累的经验以及深入的思考。

一、边界防护：筑牢安全的第一道防线

1.1互联网边界：主动收敛攻击面

在互联网边界防护这一关键领域，光大银行果断转变传统思维模式，尝试从攻击者的视角出发，精心建立起了全面且细致的暴露面排查和梳理机制。

需明确的是，攻击者在实施攻击行动时，仅需单点突破便可达成其恶意目的，而我们作为防守的一方，则必须站在全局的高度进行综合考量与谋划。

如今，攻击者所采用的资产收集手段日益多样化，已然从传统的较为单一的信息收集模式，进化为对企业进行全方位、深层次画像的信息收集方式。借助这一创新机制，我们能够及时且精准地发现各类对外暴露的资产，进而对未知、无人认领以及老旧系统展开全面且彻底的清理工作，如此一来，便能有效收敛攻击面，极大减少被攻击的风险点，为网络安全筑牢第一道坚实的防线。

与此同时，光大银行积极且高效地推进安全设备之间的联动协作进程。将 DDoS 检测系统、WAF（Web 应用防火墙）、流量分析检测系统等各类功能各异但又相辅相成的设备和系统有机联动起来，依据安全告警和情报等多源数据进行科学合理的风险评分。当告警源 IP 的风险分值达到预先设定的一定程度时，系统便会自动将其下发至相关设备进行精准封堵。

这一创新举措犹如为网络安全防护体系安装了一个智能且高效的 “大脑”，极大提高了安全监控处置效率，实现了对网络攻击的快速响应和精准拦截，让攻击者的恶意行为在第一时间便被扼杀在摇篮之中。

1.2总、分、三方边界：强化网络架构安全与策略管控

总、分、三方边界的网络架构通常呈现出较为复杂的状态，光大银行主要通过总行数据中心或分行与第三方单位进行互联。在这一关键边界处，精心部署了高性能的硬件防火墙，并且所有的数据交互均通过第三方网络服务域 DMZ 区的前置机进行中转。

为了进一步提升整体的安全性，在总行数据中心统一规划分行第三方 DMZ 网络区，集中部署前置机和安全监测系统，通过这种集中化、规范化的管理模式，有效提升安全防护的效率和效果。

在安全策略的制定与执行方面，采取源 / 目的地址转换技术，巧妙地隐藏行内服务器的真实地址，这一举措如同为服务器披上了一层隐形的 “铠甲”，有效防止攻击者通过直接获取服务器真实地址进行攻击。防火墙默认禁止双向所有访问，采用极为严格的白名单管控模式，精确到IP+端口级，从源头上杜绝了非法访问的可能性。

此外，精心部署蜜罐等诱捕系统，一旦发现恶意攻击行为，能够迅速采取隔离措施，如同在网络中设置了一道坚固的 “隔离墙”，阻断攻击路径，防止攻击蔓延至内部网络，最大程度地保护内部网络的安全与稳定。

二、内部防护：洞察异常，严防内部威胁

2.1基于关联分析的异常行为感知策略

攻击者在成功获取内网权限后，常常会巧妙利用加密流量建立隐蔽通信隧道，以此来逃避常规安全检测手段的敏锐监测。针对这一棘手问题，光大银行积极探索并建立了基于关联分析的异常行为感知策略。

具体来说，通过广泛采集多维度的数据，包括网络流量数据、主机操作数据、用户行为数据等，继而对这些来源广泛、格式各异的数据进行统一处理，成功消除数据格式和来源的差异，使其能够在同一平台上进行高效分析。

在此基础上，充分运用先进的技术手段和专业的知识经验，精心设计了一系列先进的安全检测模型，对网络流量和主机操作数据进行深度威胁挖掘和关联分析。通过对数据之间错综复杂的逻辑关系、微妙的行为模式等进行综合且精准的判断，能够如同在黑暗中点亮一盏明灯，精准发现内部异常行为，如恶意软件的传播、敏感数据的非法传输等。

这种基于大数据分析和智能算法的检测方式，大大提高了对内部威胁的检测能力，有效弥补了传统安全检测手段的不足与短板，为内部网络安全提供了更为可靠的保障。

2.2内部网络区域划分与访问控制

在内部网络区域划分这一重要工作中严格遵循 “就近防护” 等原则，对网络区域进行精心规划与布局，明确不同区域的安全级别和访问权限。

在开通防火墙访问策略时，坚决禁用高危端口，从源头上降低网络攻击的风险，如同为网络安全设置一道坚固的 “门禁”。同时，严格禁止生产区域与开发测试区域双向互访，避免因开发测试区域的安全漏洞导致生产区域受到牵连，有效防止了 “城门失火、殃及池鱼” 情况的发生。通过这种精细化的区域划分和访问控制措施，能够在网络内部构建起一道道坚固的 “防线”，有效限制攻击范围，降低安全事件造成的损失，确保内部网络的稳定运行和关键数据的安全。

三、内外协同：构建高效的安全防护网络

3.1分行网络安全架构与协同基础

我行下辖的分行均具备完善且成熟的网络安全架构，涵盖边界安全、内部安全、安全监控和日志记录、终端安全等多个重要方面。

这一全面且坚实的网络安全架构，为全行范围内的安全协同联动奠定了稳固的基础。在边界安全方面，分行与总行类似，精心部署了防火墙、入侵检测系统等专业设备，对外部网络访问进行严格管控，犹如在分行网络的边界筑起了一道坚固的 “城墙”；在内部安全方面，分行也积极建立了相应的异常行为监测和防范机制，全力保障内部网络的安全稳定运行，为分行的业务开展提供了可靠的网络环境；安全监控和日志记录系统则如同不知疲倦的 “卫士”，实时收集和分析各类安全事件信息，为安全决策提供准确、及时的数据支持；终端安全防护措施确保了员工使用终端设备的安全性，防止终端成为攻击的入口，从源头上杜绝了安全隐患的产生。

3.2常态化监控与情报共享协同

鉴于攻防对抗所呈现出的动态性和复杂性特征，常态化开展安全态势监控工作。通过建立安全态势感知平台，实时收集和分析来自全行各个层面的安全数据，其中包括网络流量、安全设备告警、漏洞信息等，从而全面、精准地掌握网络安全态势。

积极主动地与境内外分支机构、金融同业以及业内优秀的安全公司进行情报共享和协同联动。通过共享威胁情报，及时了解最新的攻击手段和趋势，如同在黑暗中拥有了一双敏锐的 “眼睛”，提前做好防范准备；在安全事件发生时，迅速协同各方力量，组成一支训练有素的 “联合部队”，共同开展应急处置工作，极大地提高事件处置效率，将安全事件所造成的损失降至最低。

3.3专项应急演练与处置机制优化

为切实保障安全防护体系的有效性和可靠性，我们持续开展专项应急演练。模拟各类可能出现的安全事件场景，如大规模 DDoS 攻击、数据泄露事件、恶意软件爆发等，通过这种实战化的演练方式，全面检验和提升全行各部门在应急响应过程中的协同配合能力、应急处置能力以及对安全预案的执行能力。

在演练过程中注重总结经验教训，针对演练中发现的问题和不足，及时对应急处置机制进行优化和完善，确保在实际安全事件发生时，能够迅速、有效地做出响应，如同训练有素的战士在战场上迅速出击，最大限度降低损失，为网络安全提供坚实可靠的保障。

实战化安全防护体系建设是一项长期而艰巨的系统工程，犹如一场没有硝烟的持久战，需要我们从边界防护、内部防护、内外协同等多个方面持续发力，不断优化和完善。

在这个充满挑战与机遇的过程中，我们要密切关注网络安全领域的新技术、新趋势，积极引入先进的安全理念和技术手段，不断提升安全防护能力。同时，我们还要高度重视人才培养和团队建设，打造一支具备专业知识和实战经验的网络安全队伍，为网络安全筑起坚不可摧的防线。

来源：光大银行

作者 ：刘奇志