当前位置：首页 > news >正文

渤海证券基于互联网环境的漏洞主动防护方案探索与实践

news 2026/2/10 22:55:01

来源：中国金融电脑

作者：渤海证券股份有限公司信息技术总部刘洋

伴随互联网业务的蓬勃发展，证券行业成为黑客进行网络攻击的重要目标之一，网络攻击的形式也变得愈发多样且复杂。网络攻击如同悬于行业之上的达摩克利斯之剑，为行业机构的信息安全带来严峻挑战。在这些攻击方式中，漏洞攻击尤为棘手，它们瞄准系统、应用或网络中的安全缺口，悄无声息地渗透，窃取敏感数据、篡改关键信息或制造混乱。面对当前紧迫的安全局势，渤海证券股份有限公司（以下简称“渤海证券”）积极投身于网络安全防护的探索与实践之中，经过不懈努力，成功验证并构建了基于互联网环境、覆盖多网络分区的漏洞主动防护方案。该方案能够迅速识别潜在的漏洞攻击、漏洞扫描等行为，并对其进行有效的阻断防御。该方案的创新实践为证券行业的安全发展提供了新的防护路径以及可借鉴的安全防护案例。

一、漏洞安全防护面临的挑战

1.漏洞频现难修复，持续应对显无力

随着技术的不断迭代，新的网络及系统漏洞不断涌现，且更新速度之快令人咋舌。机构在应对这些漏洞时，往往陷入“疲于奔命”的境地，难以有效应对，导致漏洞修复工作难以持续。

2.应对被动缺前瞻，布局缺失陷困境

面对层出不穷的漏洞威胁，证券行业多采取被动修复的策略，即发现漏洞后进行修补，缺乏主动防御和前瞻性布局的能力。这种“亡羊补牢”的方式难以从根本上解决网络安全问题。

3.修复困难周期长，闭环管理效率低

在漏洞修复过程中，机构面临诸多困难：一是老旧系统无补丁支持，二是新漏洞爆发初期官方补丁更新不及时，三是重要业务系统补丁安装造成的稳定性、可靠性、兼容性等问题，四是漏洞的整体修复过程需经历测试、验证、正式变更等多个环节，导致修复难度大、闭环周期长。这些修复问题给证券行业网络安全带来巨大隐患。

4.0day漏洞防护弱，安全防线待加固

0day漏洞是指尚未被公开或未被修复的漏洞，黑客常利用此类漏洞进行定点攻击。证券行业在0day漏洞防护方面能力较弱，难以有效抵御此类攻击。

二、渤海证券创新实践：基于互联网环境的漏洞主动防护方案

渤海证券联合青藤云安全共同探索并成功实践了基于互联网环境的漏洞主动防护方案（如图1所示），该方案依托流量行为分析技术，结合漏洞攻击行为屏蔽技术，可即时监控并拦截非法的漏洞扫描与攻击,使漏洞探测和利用行为失效,从而有效规避系统漏洞风险。同时，该方案能够自动适应并生成有针对性的漏洞屏蔽策略，确保防护的精确性与有效性。

图1 基于互联网环境的漏洞主动防护方案架构

1.方案具体措施

一是旁路部署漏洞无效化组网设备。方案将漏洞无效化组网设备旁路部署于数据中心网络，无需改动现网架构即可上线启用。此组设备可对接多个独立互联网业务接入区，实现单组设备保障多个网络区域的安全防护目标，有效促进了成本节约与效率提升。

二是在线实时分析并阻断漏洞扫描行为。方案将各独立网络分区互联网流量镜像至漏洞无效化组网设备，并进行实时在线分析。利用内置的漏洞攻击分析模型和处置机制，向黑客及内网可信主机即时发送模拟阻断报文双向RST包，对非法漏洞扫描行为进行阻断，使其无法获取业务系统未修复的漏洞信息，从而有效防御黑客恶意攻击。

三是自适应生成漏洞屏蔽策略。方案可对接自有漏洞扫描设备，并根据定期的漏洞扫描报告自适应生成漏洞屏蔽策略，以安全漏洞为视角，设计出最佳漏洞闭环处理方法，依据此方法，可精确应对互联网漏洞攻击，并实现漏洞全生命周期的闭环管理。

2.方案亮点

一是迅速部署上线，力促降本增效双赢。方案采取旁路部署方式，实现防护系统的迅速、安全上线。在架构设计层面，革新传统一对一模式，创造性验证并实施一对多模式，即单组设备覆盖多个网络分区，显著提升防护效率，同时大幅降低设备购置及后续维护成本。

二是转被动为主动，升级防御强化安全。方案实现从被动防御到主动防御的转变，将攻击行为阻挡在互联网接入的首道防线内，全面提升漏洞防护级别。

三是根除漏洞利用，确保修复周期安全。方案为漏洞修复提供充分测试与系统验证时间，从发现到修复，全程无风险敞口。

四是严防0day攻击，筑牢安全坚固防线。方案旨在从根本上遏制非法漏洞扫描行为，有效抵御黑客借助互联网漏洞扫描工具，探测证券机构0day漏洞，以便实施精准的网络攻击行为。

五是协同快速响应，高效协作提升效能。方案可与现有安全运营平台和防护设备进行有效结合，实现自动化检测及协同响应处置，从而提升企业整体的安全防护效能，确保网络安全响应更加迅速且高效。

六是应用场景丰富，适配需求无缝对接。方案可扩展至内网网络区域间防护、等级保护测评安全防护、各类监管防护等场景，全面精准满足企业不同层面的安全需求。

七是防护成效斐然，漏洞实现无效化处理。方案成功上线以来，防护效果已充分展现，实现了对已知高危中危漏洞的即时无效化处理，从根本上切断了黑客利用漏洞进行非法入侵的渠道。

通过基于互联网环境的漏洞主动防护方案的创新实践，渤海证券不仅验证了漏洞主动防御的可行性，还全面提升了自身的网络安全防护能力。展望未来，渤海证券将继续致力于网络安全技术的探索与实践，并期望能够为证券行业的网络安全建设提供有益参考和借鉴。

渤海证券基于互联网环境的漏洞主动防护方案探索与实践

一、漏洞安全防护面临的挑战

二、渤海证券创新实践：基于互联网环境的漏洞主动防护方案

1.方案具体措施

2.方案亮点

相关文章：

渤海证券基于互联网环境的漏洞主动防护方案探索与实践

用Go语言重写Linux系统命令 -- nc简化版

面试复盘 part 02·1202-1207 日

Linux评估网络性能

实战ansible-playbook(四) -文件操作重定向/追加

简单题：1.两数之和

RTCMultiConnection 跨域问题解决

23种设计模式之解释器模式

Postgresql内核源码分析-表数据膨胀是怎么回事

github使用SSH进行克隆仓库

【Linux系统】 Linux内核与UNIX设计哲学的结合

以太网PHY_RGMII通信（基于RTL8211）--FPGA学习笔记22

PowerShell 脚本实战：解决 GitLab 仓库文件批量重命名难题

数据分析及应用：滴滴出行打车日志数据分析

Odoo ：一款免费且开源的食品生鲜领域ERP管理系统

请求路径中缺少必需的路径变量[xxxId]

【在Linux世界中追寻伟大的One Piece】HTTP cookie

COLA学习之DDD各种术语分析（一）

Pygments：高效的语法高亮工具

算法-字符串-43.字符串相乘

Nuxt.js 中的路由配置详解

从零实现STL哈希容器：unordered_map/unordered_set封装详解

《基于Apache Flink的流处理》笔记

Linux 内存管理实战精讲：核心原理与面试常考点全解析

脑机新手指南（七）：OpenBCI_GUI：从环境搭建到数据可视化（上）

从“安全密码”到测试体系：Gitee Test 赋能关键领域软件质量保障

libfmt: 现代C++的格式化工具库介绍与酷炫功能

nnUNet V2修改网络——暴力替换网络为UNet++

Linux-进程间的通信

PydanticAI快速入门示例