实战案例｜天幕助力老牌券商夯实安全运营中心，打赢重保攻坚战

“不能影响可用性。”

“‘稳’字当先。”

这是在回答“金融行业在安全建设上尤其需要注意什么内容”这个问题时，任职于某证券企业安全部门的两位资深专家脱口而出的答案。

客户名片

某知名老牌证券厂商，迄今已有20多年历史。经营业务涵盖证券经纪、证券承销与保荐、证券自营、证券投资基金托管业务和基金服务业务、创业投资业务、股权投资等。

该企业长期以来一直注重数字化建设，在技术投入、应用上有诸多开创性举措，多次获得由权威机构颁发的金融科技类奖项及数字化转型优秀案例。在安全建设上，有精细化的安全运营理念和体系、完善的DevSecOps流程，“非一蹴而就，通常随着技术发展以及业务具体需求不断演变”，在这样的安全建设理念下，该安全团队也在随着攻防态势的变化、技术趋势的变化持续升级安全防护手段。

客户业务诉求

客户所属券商行业，其业务系统是所有IT系统中对于稳定性、连续性要求最高的交易类系统，在新IT产品/方案引入过程中，需要进行严格的产品选型、技术评估和灰度测试，以免引入风险和不可控的因素。

在国庆节重保关头，该企业面临更严格的监管压力和更猛烈的攻击态势，其安全运营中心已有多年建设实践，但在恶意流量入侵的阻断上仍然存在需要改造的痛点：

现有产品在策略下发时可能影响业务连续性

1、该企业现行的恶意流量阻断主要是基于防火墙、IPS方案，这类轨迹系统采取的是串行处理的方式，在阻断策略下发时有可能造成系统故障或者网络中断；

2、此外，超大流量下的串行处理对设备的性能是巨大的挑战，可能由于单机性能瓶颈造成整个业务故障。

新方案引入需尽少改造业务系统

1、新的技术方案引入的过程中，一旦涉及事件闭环管理和处置自动化功能，就会涉及与现有其它产品的对接，包括但不限于与安全处置工具的对接、实现攻击阻断能力、流程平台对接、实现事件管理中内部协同流程。

2、新的产品引入需要满足几个点：能兼容已有产品，尽可能少地免改造部署，但又能实现高精准度的恶意流量阻断。

解决方案

针对该券商企业的核心痛点，腾讯安全NDR天幕安全治理平台提供了无需改动业务逻辑的情况下，实现旁路部署的方式：

1、能够在不影响业务的前提下，无变更、无侵入地对4层的请求进行ACL管控；

2、各核心组件API化，方便客户集成到原有系统中，实现产品之间的联动和部分自动化处理；

3、实现秒级实时阻断，准确率达到99.99%。

客户评价

“我们核心的诉求是在互联网侧快速阻断外部的攻击。在产品引入中，我们比较关心两个核心因素：一个是能够快速跟进和处置攻击，另一个是避免部署时引入其他风险。‘天幕’最大一个好处是旁路部署，在封禁IP的时候相对来说没有什么可用性风险；另一个优点是比较灵活，一些接口、API的调用，能基于我们已有的产品去做一些联动的封禁、自动化的封禁场景。

我们原本已经有基于防火墙这类轨迹系统的恶意流量阻断能力，缺陷是串行的方式在策略下发时有可能会影响业务，但我们在重保场景或者业务敏感时期是不允许对业务系统作改动的，这就造成了安全和业务之间的冲突，而‘天幕’很好地解决了这个问题。”

——该券商企业安全团队

NDR天幕安全治理平台

（NDR天幕安全治理平台）

腾讯NDR天幕安全治理平台是一款依靠旁路部署实现旁路阻断核IP封禁的设备，同时可提供阻断API与检测平台进行自动化联动，实现安全威胁的闭环处置，帮助客户在不影响业务的情况下实现快速封禁和阻断。

产品特色/优势：

旁路部署

通过旁路方式，提供双向流量逐包检测和IP封禁能力，解决数据中心的协同防御和安全治理问题。

大数据实时处理分析

以AI、威胁情报、计算三大核心能力驱动，通过旁路部署方式，无变更无侵入地对网络四层会话进行实时阻断。

高阻断率

基于内核协议栈定制研发（腾讯专利），阻断成功率99.99%。