数字化转型时代下，证券行业Web应用安全走向新路线｜证券行业专刊2·安全村

数字化正在加剧证券业面临的网络安全风险

我国证券行业近年来不断推动数字化转型，积极利用金融科技普惠广大投资者，持续拓展传统证券投资业务的场景边界。具体来看，证券行业对内广泛应用OA系统、邮件系统、远程接入系统等提高信息基础设施运营效率，对外则依托Web应用、APP应用和小程序等多样化形态，组合成立体的服务矩阵，为客户提供开户交易、资产管理以及股票基金投资等各类金融业务。在数字化重塑证券业服务流程和服务模式的同时，证券行业的数字资产规模也呈指数级扩张态势，随着各类线上业务的暴露面不断扩大，所面临的威胁也日益增加，数字化转型过程带来价值的同时，也显著加剧了安全风险。

证券行业的金融属性，导致其天然受到各类威胁主体的关注，日常除了面临大量扫描外，还可能遭遇APT组织攻击，再加上监管层面严格的合规要求，券商必然要重点考虑Web应用的安全防护问题，并且还要高度关注防护覆盖率和策略有效性等运营指。业务驱动的安全防护需求，加之行业监管压力的持续提升，以及不断演化的攻击技术与内外部对抗环境，给证券业机构的Web应用防护带来了诸多安全建设挑战。

起伏流量下，证券业对WAF的需求持续升维

安全建设不能脱离组织机构的业务发展阶段和业务特性，各行各业在构建与完善安全体系时均参照此原则，证券行业也不例外。例如，在实际安全建设过程中，银行业机构需要保障24小时不间断的实时交易业务，而保险业机则构需要格外注重保单信息的数据安全。分析券商的业务则不难发现，证券业机构需要高度关注在股票交易高峰时段的业务稳定性和业务延迟大小。

对证券行业而言，Web安全防护的重要性不言而喻，但由于股市存在行情难以预测，开户/交易等业务的高峰期不固定等特性，难以事先预估防护资源的冗余状况，所以如何保证Web应用可用，又兼顾到Web应用安全防护的实际效果，成为目前证券行业面临的主要难题之一。

面对当前的证券投资业务特点与外部网络攻击演进趋势，证券业机构在实践Web安全防护方案时需要兼顾多方面因素，充分考量业务、安全与合规的平衡点。例如：

• 早上开市或发生金融事件时，导致大量突发交易行为，让网络使用率急剧上升。需要充分评估WAF类设备的稳定性与可用性，避免对业务产生影响。

• 面对复杂业务场景和大流量环境，须提高检测效率、降低延迟，有效应对突发大流量带来的WAF性能挑战。

• 自从棱镜门后，安全产品国产化成为大势所趋，WAF产品需适配国产化硬件和操作系统、支持国密算法，同时符合等级保护要求，满足等级保护测评等合规需求。

整体而言，在Web应用安全防护实践过程中，硬件形态仍然是证券行业的主流方案。硬件方案在实施落地过程中，需要考虑多方面的因素，既需要从业务可用角度出发，也要从基础架构特点出发，综合选择最优的解决方案。

就方案设计而言，需要兼顾到如下维度：

• 高可用性问题，从产品层面和方案层面考量，是否具备充分的高可用架构与能力，如何最大化保障业务在极端情况下的正常可用

• 不同基础架构环境下的流量处理机制，由于秉承不同的建设发展理念，证券行业金融科技的应用也呈现出差异化特点，基础架构的建设过程与现状往往存在较大的区别，因此需要适配合适的web流量处理模式

• 国产化适配问题，业内主流的通用标品已经应用多年，但是在国产化的软硬件适配才刚刚起步，尚未呈现规模应用的局面，因此如何在可控节奏内逐步完成全面国产化，需要合理开展长期规划

对于上述证券行业高度关注的Web应用防护建设难点，从兼顾业务稳定和攻防对抗的实践角度出发，有如下设计理念可供借鉴。

采用多级熔断高可用机制，保障业务连续性

基于业务稳定性考量，推荐建立攻击检测熔断、新建连接追踪熔断、数据包处理熔断、硬件自动ByPass四个级别的保障机制。若Web防护产品采用上述特有的熔断机制，可以实现在复杂网络环境下感知丢包率和时延等影响业务正常访问的关键指标，以及自动执行熔断措施，从而更好的应对检测服务问题和流量处理问题，确保业务平稳运行。

引入新一代WAF流量处理模式，提升效能，提供双重保障

1、流量转发环节：需保证流量高效、稳定的被转发到检测模块。在此环节，针对不同的部署模式，流量转发实现的方式需有所不同，可根据证券客户不同场景进行灵活适配，以发挥WAF最佳的流量转发能力。

2、检测引擎环节：推荐Web防护产品的检测模块参考NGINX的高性能模型，采用全异步I/O模型与多进程并发模型，避免线程同步及上下文切换时带来的性能消耗。同时，更进一步可基于NGINX模型和处理流程进行优化，保证高性能的流量处理能力，实现流量的快速检测。

规避基于已知特征检测的天然缺陷，引入语义分析和自学习能力

语义分析和自学习能力的引入可以带来诸多优势，传统的Web应用防护主要基于已知特征检测，而正则表达式受限于文法级别，难以应对0day漏洞攻击和Nday漏洞的变异攻击，语义分析的引入则可以更好地理解请求的含义和识别攻击，从而有效规避特征规则的天然缺陷。

同时，引入自学习能力还可以在不断迭代模型的过程中，逐渐提高识别准确性，建立业务访问的基线。总体来看，新技术的综合应用，可以显著提升Web应用防护产品的检测能力、自适应能力和可靠性，具备更强的攻防对抗能力。

全面国产化适配，满足“国芯国魂”的安全自主可控要求

Web应用防护产品需完成国产化适配，如适配银河麒麟、中标麒麟、海光、统信UOS、中科方德等国产软硬件生态，取得兼容认证证明，且适配范围需要涵盖ARM及X86两种架构。此外，考虑到涉密场景的需求，需通过硬件和软件两种方式支持SM2、SM3、SM4三种国密算法，全力保障重要系统密码应用安全，增强信息系统的“安全可控”能力。

选择灵活可扩展的接入模式，满足不同基础架构的高可用需求

传统IT基础架构仍承载着证券行业的大部分核心业务，但云化以及云原生改造的步伐也越来越快，所以除了充分考虑传统云下环境的防护外，也可以前瞻性关注云上场景的应用防护。

云下场景：通常采用透明桥/代理双机HA模式接入证券客户现有网络，透明模式具备多级熔断机制，可充分保障极端场景下的业务可用性，且在不改变网络架构的前提下实现了物理串联，能有效检测、拦截Web应用层的攻击。

云上场景：Web防护产品需要实现与云环境高度耦合，推荐以容器化软件集群反向代理模式部署，当业务迎来高峰时其检测节点可天然弹性扩展，支持和业务系统统一同运维编排，从而提升工作效率，降低管理成本。

融合语义分析和业务智能学习，综合防护能力升维

以“智能语义分析算法”解决Web攻击识别问题，结合学习模型，不断强化分析能力，通过对Web请求 和返回内容进行多层深入解析(词法分析、语法分析、语义分析和威胁模型匹配四步)，使WAF具备高检出、低误报的出色检测能力。

基于机器学习的业务建模思路，采用动态基线和预测分析技术分析异常访问行为，精准识别操作正常但请求异常的攻击行为，可为目前难以覆盖的场景问题带来不同视角的解决思路和方法，提高产品的综合防护能力。

针对证券行业日常运维WAF过程中遇到的常见问题，整理了部分内容，供参考：

Q：部署WAF接入流量之后，每天产生大量告警，担心存在大量误报影响业务怎么办？

A：

首先，Web防护类产品，采用不同的攻击检测原理，其检测能力存在较大差异。就目前来看，经过多年的金融行业实践验证，语义分析是当下最为合适的检测方式，能兼顾误报与漏报，找到最佳平衡点。

其次，WAF产生误报主要有两个原因，一是业务请求里面的某些字符串恰好匹配到了WAF的正则规则，产生告警，二是业务开发不规范，直接传递代码片段，产生告警，这一类多见于内网业务，以及一些API接口。针对不同的原因，需要采取不同的调优策略，如针对关键字去编写正则规则（或关停一些规则），或者针对不规范的业务接口，编写接口的加白规则等，有条件的用户甚至可推动业务整改，符合开发规范的业务一般不会引起二类告警。

最后，WAF的部署上线与开启拦截过程，本质上是一个特定场景的运营，要找到防护策略强度与业务稳定运行的平衡点，不太可能依靠产品默认的能力就轻松实现这一目标。因此，通常用户会设定一段时间（如2周～1个月），逐步进行观察与优化，直至将风险降到最低。这一阶段会高度依赖供应商的技术能力、服务能力和攻防经验。

Q：0day漏洞爆发日渐频繁，怎么样确保WAF能及时升级防护策略，应对高危0day漏洞？

A：不同0day漏洞的技术原理差别较大，部分0day漏洞在爆发时，语义分析类WAF可直接防护，无需升级，而其他类型的0day漏洞防护策略升级，则高度依赖供应商的技术服务能力，需要供应商及时提供策略升级固件来实现防护。

Q：WAF是否仅适用于边界防护，内网各区域还有无必要部署WAF，扩大覆盖面？

A：从攻防对抗的视角来看，边界防护总是存在被突破的可能，仅在边界部署WAF是无法充分实现攻防场景下的Web应用安全防护目标的，为了尽可能提升针对Web应用的检测和防护能力，全网的WAF覆盖率是个很关键的指标，在理想情况下，实现全面覆盖WAF，可有效应对内网横向渗透，外联/互联区域攻击等场景。当然，不同券商机构所处的阶段不一样，安全建设目标不一样，全面覆盖不一定要当下立即实现，可通过长期规划，逐步推进。

Q：当前安全技术体系中已经部署了WAF，也上线了全流量检测类产品，发现全流量产生的告警多于WAF，怎么看待两者的检测能力差异？

A：两个产品品类的定位和应用场景不太一样，所提供的价值也有差异，因此不太建议从单一的检测能力维度进行对比。全流量作为旁路部署的产品，理论上对业务不产生影响，所以其安全策略会更宽松一些，告警会更加激进，而通常WAF作为串接部署类产品（物理或者逻辑），为避免影响业务，对告警的准确性要求更高，因此告警会偏向于谨慎。

Q：当前阶段，理想状态下WAF应用到何种程度才算最大化发挥了WAF的价值？

A：首先是WAF的运行状态，需要清晰梳理出网站资产，并且确保实现基本的策略调优，开启拦截模式，实现基本的检测与防护；其次是WAF自身的自动化流程构建，如自动化统计高频发起高危攻击的IP地址，加入黑名单进行封禁，或者自动统计高频访问某些业务接口的IP，自动进行限制或者封禁等；最后是WAF在整个安全技术体系中发挥的价值，是否嵌入到整个安全运营体系，为SOC类平台提供高价值日志，并且通过SOAR编排，作为自动化流程中的节点发挥作用。

Q：放眼1～3年的未来，随着基础架构的不断演进，在应用朝着云原生方向的规模化改造背景下，WAF是否能跟上技术革新的节奏？

A：安全产品的云化改造成本，与安全产品自身所采用的技术架构息息相关。如果WAF产品在开发时就基于容器化架构来实现产品功能，那么适配云原生平台的成本就会较低，相应的适配速度就会更快，目前已经有部分在k8s环境成功部署和应用的实践，从结果来看，云原生环境下的WAF平台，除了能充分适配容器环境外，还能利用k8s的编排能力，实现检测pod的自动扩容，较好应对大流量突发的场景。