证券公司互联网终端一体化安全实践探索｜证券行业专刊3·安全村

摘要：在证券公司数字化转型背景下，数据价值持续凸显，技术应用日趋多样，互联网终端作为数据与业务的关键载体以及网络安全的第一道防线，其安全防护能力至关重要。本文针对证券公司互联网终端安全管理面临的共性挑战，提出并探索了一种针对互联网终端的“一体化安全”实践方案，采用模块化方式将多种终端安全能力进行有效集成联动，并通过集中的管理平台实现统一管控，实践表明，本方案可有效提升证券公司终端安全管理和运营水平。

关键词：证券公司、终端安全、安全运营、一体化安全、模块化、统一管控。

1、前言

近年来，网络攻击手段日益复杂和多样化，直接连接互联网的互联网终端（以下简称终端）成为了网络攻击的首要目标和重要跳板。攻击者愈发善于利用终端的漏洞和弱点来达到其非法目的，他们常通过恶意软件、钓鱼邮件、社交工程等方式入侵终端。一旦终端被攻破，攻击者能够获取用户的敏感信息，如账号口令、金融交易数据等，造成严重的隐私泄露和财产损失。不仅如此，攻击者还能借助被控制的终端作为跳板，进一步渗透到企业的内部网络，对关键基础设施和重要数据发起攻击，窃取企业的商业机密，或者对企业的业务系统进行破坏，导致业务中断和巨大的经济损失，企业的网络和信息安全面临巨大威胁。

随着数字化转型的深入，证券行业在网络安全基础防护能力和安全体系建设方面已具成效。但随着业务的快速发展，证券公司的终端使用愈发普及且和业务紧密相连，终端安全不仅关乎证券公司的个人数据隐私，更直接影响着企业的核心资产和运营安全。大量敏感的金融数据、客户信息以及交易记录都存储和流转于各类终端设备中，这些终端包括台式机、笔记本电脑、平板电脑、移动展业终端等多样化的设备形态，庞大而复杂的终端环境为证券公司的网络和信息安全管理带来了巨大压力。由于终端使用的环境复杂，证券公司面临日益严峻的终端安全形势，传统的终端安全单点功能模式已难以满足的当前的安全需求，亟需构建一套全面、高效、易用的一体化终端安全解决方案。“一体化”即采用一体化集中管控设计思路，通过整合多种安全功能模块，将防病毒、终端检测响应（EDR）、补丁管理、软件管理、桌面管控、网络准入、数据防泄露等安全能力有机结合，实现平台、功能和管理一体化，大幅度降低终端安全管理体系建设和运营的复杂性，便于进行一致的安全策略部署和按需灵活安全能力扩展，为终端提供全方位和立体化的安全防护，有效降低终端安全管理成本，进而能更好地应对不断变化的网络安全威胁。

本文将在分析证券公司面临的终端安全挑战的基础上，介绍一种终端一体化安全管理的建设方案，并探讨和总结该方案的实践价值。通过本文的探索，希望能为证券行业提供一种新的终端安全管理思路，为证券行业的健康发展保驾护航。

2、证券公司面临的终端安全挑战

当前证券公司面临多维度的终端安全挑战，不仅涉及技术层面，还包括管理、人力资源等多个方面。本章节通过阐述这些安全挑战（如下图1），为后续探讨终端一体化安全解决方案奠定基础。

图1 证券公司面临的终端安全挑战

2.1终端环境呈现高度复杂性和多样性

证券公司IT环境通常包含多种类型的终端，如交易终端、办公电脑、移动设备等，不同设备的特性和用途又要求采取差异化的安全策略，这种多样性显著提高了管理的复杂度。且这些终端往往存储和处理大量高度敏感的信息，包括客户资料、交易数据、内部文件等，这些高价值数据使得终端成为攻击者的首选目标。此外，终端用户的安全意识参差不齐，易受社会工程学攻击的影响，如钓鱼邮件、近源攻击等。用户的不当操作可能导致严重的安全事故，这种人为因素的不确定性进一步增加了终端安全管理的难度。

2.2终端安全与合规面临着巨大的挑战

随着物理边界的消失，终端可能分布在任何物理位置上，这种分散性使得设备的统一管理和安全策略的一致性执行变得困难，对不合规行为的判断和管控也难以统一。在复杂的网络环境中，证券公司的终端面临多重安全挑战，如终端漏洞、各类病毒威胁、终端软件正版化问题等，同时也缺乏针对各类终端的统一安全管控和审计手段。此外，在终端的信创替代过程中，不但要考虑现在及未来的信创终端特点，还需要兼顾Windows终端与信创终端长期共存的合规和管控要求等，终端的统一安全纳管变得更加困难。

2.3终端安全运营人员短缺问题突出

当前证券公司的终端数量众多、应用庞杂，导致对终端安全运营人员的需求也越来越大。然而，终端安全运营人员多数身兼数职，这种多任务并行的工作模式不仅导致工作效率下降，还容易出现疏漏。随着新型攻击手段不断出现，终端安全运营人员需要持续学习和更新技能，这对已经人手不足的团队造成了额外的压力。人才短缺不仅影响了日常终端安全运营的质量，还制约了证券公司应对复杂安全威胁的能力。

2.4终端安全防护产品的零碎化严重

为应对各种安全威胁，证券公司往往部署了多种安全产品，这些产品通常来自不同厂商，整合难度大，导致了"信息孤岛"问题。各个安全产品独立运行，难以对各种安全数据进行有效整合、分析和处置，这削弱了安全态势感知能力。并且多个终端类安全防护措施意味着需要同时运维多个终端安全平台，带来了管理难度以及运维工作量。此外多个安全产品同时运行在同一个终端上，可能会影响终端的性能，且不同品牌产品之间易引发冲突，进而影响工作效率。

2.5新兴技术的应用带来了新的挑战

随着证券业务向云端迁移，传统的基于边界的安全模型面临挑战，需要新的安全策略来保护云端的终端访问。移动设备和远程办公的普及，使得终端设备经常在不受信任的网络环境中使用，增加了数据泄露的风险。同时，物联网设备（如移动展业终端）的引入扩大了潜在的攻击面，这些设备往往缺乏足够的安全防护措施。这些新兴技术的应用虽然提高了业务效率，但也给终端安全管理带来了前所未有的挑战。

综上所述，证券公司在终端安全方面面临的挑战是多方面的、复杂的，要有效应对这些挑战，需要一个全面、集成的安全解决方案。传统的单点防护措施已无法满足当前证券公司的安全需求，建立一个一体化的终端安全防护体系成为当务之急。这不仅需要技术层面的创新，更需要管理理念的转变，将终端安全视为一个整体，从终端管理、漏洞防护、行为监控、数据保护等多个维度构建立体化的安全防线，为证券公司的健康发展提供强有力的安全保障。

3、终端一体化安全管理的能力建设

面对终端安全的多重挑战，传统的分散式、单点化的安全措施已难以应对证券公司的终端安全管理需求。本章节将介绍一种终端一体化安全实践方案（以下简称本方案），通过全局视角和集中化的统管方式对全网终端进行安全运营管理工作。该一体化方案集多种终端安全功能于一体，并与防火墙、上网行为管理、安全DNS、态势感知等功能联动，构建了统一的终端一体化安全方案，同时涵盖Windows终端、MAC终端与信创终端的一致性安全管理（如下图2）。

图2 终端一体化安全实践方案

3.1防病毒

防病毒是终端安全的基础。本方案的防病毒模块采用客户端、管理中心、云端病毒库相结合的工作模式，在终端构建三道防线（实时防护、主动防御、病毒扫描），通过综合本地、云、机器学习三种查杀引擎，对病毒及恶意代码从进入网络、终端落地、运行时等生命周期的不同阶段进行多层过滤、查杀和防护。终端一体化安全管理平台通过防病毒管理中心自定义查杀策略，形成动静结合的多层次、全生命周期的病毒防御体系。此外，针对终端环境的多样性，老旧、低配置的终端，本方案还同时可以启用轻量化的防病毒模式。

3.2终端检测响应（EDR）

EDR是在防病毒基础上的扩展和补充，从主机、网络、用户、文件等维度来评估网络中存在的未知风险，以行为为核心，利用威胁情报，缩短威胁从发现到处置的时间，有效降低业务损失，增加可见性，提升整体安全能力。在防病毒的基础上，本方案的EDR可进一步提供以下安全能力：（1）终端数据采集：采集终端安全行为数据，全面覆盖高级威胁在终端上的蛛丝马迹。（2）异常行为检测：检测终端异常行为，根据威胁行为模型对检测到的可疑行为发出告警，为进一步分析提供决策依据。（3）威胁情报融合：实时接受大数据威胁情报，对内部的日志数据进行准确的检测，快速定位威胁风险进行排查。（4）快速威胁响应：针对高级威胁事件提供快速的响应手段，并可联合防病毒系统，针对不同类型的风险进行对应的威胁遏制和修复。

3.3漏洞补丁管理

为了高效实现漏洞和补丁管理，本方案涵盖漏洞扫描、基线扫描、风险评估、补丁分发和修复验证的全流程自动化，覆盖公司内部各类终端，解决多网络环境下的补丁下载与安全更新问题。同时，根据各类业务特点、补丁重要性、紧迫性，自定义设置修复节奏，确保补丁安装的高效合规，避免影响关键业务，防止终端由于漏洞问题遭至攻击、破坏、数据窃取，提高整体终端安全。此外，对于WinXP/Win7等官方已经无法提供补丁的操作系统或软件，通过虚拟热补丁的形式，在不修改程序原始文件的前提下，针对漏洞进行修复。

3.4软件管理

针对未知源可能带来的软件安全隐患，本方案简化软件使用的维护操作，软件管理模块提供本地软件库和云中心软件库，为员工终端提供软件下载安装的正规渠道，软件管理员通过软件管理模块实现对终端软件的生命周期管理。基于软件管理模块的相关规则设定，可避免未知源下载可能给终端带来的安全风险，实现终端软件的来源可信，管控统一。此外，软件管理模块还可以为终端提供一体化的软件正版化管理功能，可实现自动统计终端上所有软件的资产台账，有效禁止未授权软件的安装，同时支持在线分配正版软件授权、批量卸载未授权软件等功能，从而提升终端软件的正版化管理效率，减少证券公司由于使用盗版软件带来的安全、合规风险。

3.5统一桌面管控

本方案具备统一的终端桌面管控能力，集中整合了桌面管理和弹窗管理等功能，提供了集中的策略制定和执行能力，可以根据不同部门和角色的需求，灵活配置终端的安全策略（如下表1）。

表1 终端桌面管控平台功能模块

3.6网络准入控制

图3 终端网络准入控制流程

本方案集成网络准入控制功能，支持多种方式实现终端接入管控（如上图3）：（1）在终端接入交换机支持802.1x的环境下，采用标准802.1x准入认证方式；（2）在终端接入交换机不支持802.1x的环境下，通过一体化安全agent客户端与上网行为管理设备联动，自动封禁未认证终端的的互联网访问，有效防控近源攻击、远控木马等恶意行为。基于终端一体化安全管理平台，网络准入模块与安全模块可实现有效联动：通过合规检查策略监测终端的防病毒更新、补丁更新等安全状态，在检测到安全异常时，联动准入机制将问题终端自动隔离出网，待安全问题修复完成后方可恢复正常网络访问。由此，在实现准入控制的同时，也构建了一道从终端到网络的多层安全防护体系，同时也防止终端一体化安全agent的违规卸载，确保终端始终处于可信且受控状态。

3.7数据泄露防护

本方案通过在终端集成DLP模块，实现对终端数据的全方位防护。在具体实施中，DLP模块利用深度内容分析技术，精准识别终端上的敏感数据分布，重点保护终端本地存储、外设接入、剪贴板复制、文件外发等关键数据流转场景。同时，根据证券行业数据分类分级标准，预置客户信息、交易数据、研究报告等多维度的敏感数据识别规则，显著提升识别准确率。为确保全公司终端DLP防护策略的一致性，终端一体化安全管理平台统一配置敏感数据识别规则，自动下发到各终端执行。为实现全方位保护，本方案还整合了安全水印技术，在终端截屏、打印、拍照等环节植入可追溯的数字水印，一旦发生数据泄露事件，可快速定位泄密源头。通过这些措施，本方案实现了终端敏感数据的全生命周期防护，有效提升证券公司的数据安全防护能力。

3.8零信任

本方案通过将零信任与终端安全深度融合，构建了基于终端整体安全状态的动态访问控制体系。零信任模块可通过防病毒模块的病毒查杀结果、EDR模块的异常行为检测、补丁管理模块的漏洞修复状态等多维度信息，全面评估终端的安全状况，结合用户属性、环境属性、行为属性、终端属性、应用属性等因素，对用户访问行为进行持续性的评估与验证。当发现终端存在病毒感染、异常行为、系统漏洞等安全风险时，零信任模块可立即收缩或撤销相应权限，确保业务系统和数据的安全访问。通过终端安全与零信任的深度融合，不仅减少了agent数量，简化运维管理工作，还实现了终端风险与访问控制的联动响应，同时支持单点登录，提升了用户体验，使终端安全防护能力与访问控制权限有机统一，能够为证券公司提供更加精准和动态的安全防护能力。

3.9与外部系统联动

本方案通过终端一体化安全管理平台与多种网络安全设备联动，包括防火墙、上网行为管理、安全DNS、态势感知平台等，在多种终端安全场景下，实现多维数据分析和协同处置，构成了“云+端+边界”的终端安全整体防御体系。联动效果如下图5所示：

图5 终端安全与外部系统联动

（1）与防火墙联动

当终端发现木马行为时，首先由客户端进行查杀，然后将查杀数据上报至终端一体化安全管理平台，最后通过联动模块向防火墙下发木马回连IP封堵策略，从而更有效地避免恶意程序违规外联。

（2）与上网行为管理联动

当终端安全模块或威胁情报发现恶意URL访问时，可通过联动上网行为管理设备进行精细化的URL访问封堵。上网行为管理还可拦截非法代理软件和证券交易软件，有效防范证券公司终端的网络“翻墙”和从业人员违规炒股行为。

（3）与安全DNS联动

终端统一配置安全DNS服务，当发现恶意DNS域名请求时，通过网络准入模块，自动将对应终端隔离出网，确保蠕虫、勒索等恶意软件无法横向蔓延，避免造成更大范围的网络安全威胁。

（4）与态势感知联动

基于网络流量分析和EDR能力，当态势感知平台发现恶意访问时，可通向终端下发联动处理策略，包括终端进程终止、文件删除、终端隔离等，实现端网协同风险处置；同时，终端EDR模块可将该恶意访问对应的进程等信息返回给态势感知平台，提升安全运营分析及展示效果。

3.10一体化安全管理平台

为了有效纳管上述所有终端安全功能模块，本方案涵盖一套集中管理的终端一体化安全管理平台（如下图6），实现终端安全一体化运营。该平台基于对终端安全状况的数字化指标定义，结合云端平台能力，在发现终端安全威胁后，快速推送威胁告警和处置建议，并以可视化手段全面展示终端安全运营效果，为证券公司提供全面的终端安全态势感知和决策支持。

图6 终端一体化安全管理平台可视化效果

4、终端一体化安全管理的实践价值

上述一体化终端安全实践方案，不仅从技术层面提供了全面的解决方案，还优化了管理流程，为证券公司构建了一个全面、高效、易管理的终端安全体系，使证券公司可以更加有效地应对当前面临的各种安全挑战，同时为未来的安全需求预留了足够的扩展空间。本章节将简要阐述本方案的一些实践价值。

4.1统一管控终端安全能力

针对终端环境的高度复杂性和多样性挑战，本方案构建了统一的终端一体化安全管理平台。该平台可对不同类型的终端设备进行集中配置和管理，通过部署安全监测模块持续追踪终端活动，在发现异常时及时发出预警并采取隔离措施。同时，平台加强了终端网络准入控制、数据安全防护与泄露溯源能力，有效降低了终端安全风险。通过统一管控，显著加强了终端安全的管理能力。

4.2提升终端安全合规水平

本方案通过多维度的安全管控措施，全面提升终端安全合规水平。平台实时监测和盘点软硬件资产，统一制定并下发安全策略；采用智能补丁管理技术，及时发现并修复漏洞；部署实时病毒防护体系并定期更新病毒库，有效拦截病毒威胁；通过软件管控策略和软件市场，监督终端软件合规使用，提升软件正版化管理效率。针对信创终端环境，平台还可制定专项安全管理策略，从而全面保障各类终端环境的网络安全和合规运营。

4.3提升终端安全运营效率

为解决终端安全运营人员短缺的问题，本方案实现了对大量终端和应用的统一高效管控。平台通过综合多种终端安全模块，可自动关联识别和预警安全事件，降低人工分析难度；通过与外部系统联动，建立自动化事件响应处置机制，提高了安全事件处置效率；通过优化工作流程和任务分配，使安全运营人员能够专注于核心任务。这些措施不仅减轻了终端安全运营人员的工作负担，还可显著提升证券公司整体安全运营效率和质量。

4.4整合终端多维安全能力

针对终端安全防护产品碎片化的问题，本方案实现了安全能力的全面整合。平台集中收集、分析和处理安全数据，增强态势感知能力；采用一体化终端防护策略，减少对多个agent的依赖；在统一平台整合各类安全功能，避免终端上的冲突和性能损耗。特别是在高频交易等对性能要求较高的业务场景中，本方案可在保障安全的同时确保业务效率，实现安全与性能的最优平衡。

4.5全方位应对安全新挑战

为应对新兴技术应用带来的安全挑战，本方案构建了基于零信任的安全架构，对每次访问请求进行动态身份验证和授权。平台集成了多因素身份认证机制，有效降低未授权访问风险。此外，平台建立了完善的终端设备分类管理机制，针对不同类型设备实施差异化安全策略。这些措施构建起全方位的终端安全防护体系，有效保障了证券业务的安全运行。

5、总结与展望

5.1总结

本文提出的证券公司互联网终端一体化安全实践方案，针对当前证券公司终端安全防护面临的挑战，构建了全方位、立体化的终端安全防护体系，能够有效提升证券公司终端安全防护能力，保障业务安全稳定运行，具有重要的现实意义。

本方案能够有效解决传统终端安全防护体系存在的诸多问题：一是平台化建设打破了终端安全产品各自为政的局面，实现对终端资产、安全策略、安全事件、安全日志的集中管理，提高终端安全管理效率，降低终端安全管理成本；二是多维度安全防护建设能够有效整合多种终端安全功能模块，构建全方位、立体化的终端安全防护体系，消除安全盲区，提升终端安全防护的整体效能；三是安全运营能力建设有效提升了安全团队的专业技能和实战经验，提升终端安全运营效率和安全事件响应速度。

为确保上述方案有效落地，证券公司应当结合自身实际情况，制定科学合理的建设规划，分阶段、分步骤地渐进式推进实施。

5.2展望