文章总结： 本文系统阐述了金融企业技术防护体系，聚焦互联网应用、移动应用及企业内网三大场景。核心措施包括：互联网侧通过端口最小化、WAF/IDS部署及webshell监测抵御攻击；移动端采用代码混淆、数据加密和安全键盘保障全链路安全；内网则通过安全域划分、终端EDR管控和漏洞闭环管理守护核心数据，为金融安全建设提供了实操路径。 综合评分： 95 文章分类： 安全建设,WEB安全,内网渗透,移动安全,应用安全

金融企业安全建设（PART 3）：技术防护三重门——互联网、移动、内网安全筑牢防线

原创

耶度

野猪与安全

2025年12月19日 10:08 广东

点击蓝字 关注我们

技术是安全架构的 “硬支撑”

开篇衔接

在前两篇中，我们搭建了金融企业安全架构的核心框架，拆解了规划、合规、团队等 “软实力” 落地要点。但安全架构的最终落地，离不开技术防护的 “硬支撑”—— 无论是外部攻击者的网络渗透，还是内部终端的风险泄露，都需要通过精准的技术手段构建 “铜墙铁壁”。

今天，「金融企业安全建设」系列连载第三篇，正式进入安全技术专题第一部分：聚焦互联网应用、移动应用、企业内网三大核心场景，拆解每个场景的风险点与对应的技术防护方案，帮你理清金融企业技术防护的 “优先级” 与 “实操路径”。

1

互联网应用安全 —— 抵御外部攻击的 “前沿阵地”

金融企业的互联网应用（如网上银行、手机银行 Web 端、微信小程序）是外部攻击的主要入口，核心防护思路是 “严控端口、阻断攻击、实时监测”。

1. 端口管控：从源头减少攻击面

端口是攻击者入侵的 “突破口”，管控原则必须 “最小化开放”：

• 核心原则：DMZ 区（非军事区）仅开放 80（HTTP）、443（HTTPS）端口对外提供服务；所有对外访问权限需 “一对一开通”，禁止批量开放；
• 严禁开放端口：Telnet（23）、SSH（22）、RDP（3389）、FTP（21）、MSSQL（1433）、Redis（6379）等管理类、数据库类端口，绝对禁止直接暴露在互联网；
• 工具推荐：用 NMAP 等端口扫描工具定期排查，确认端口开放范围，及时封堵违规开放的端口。

2. WEB 应用安全：阻断注入、XSS 等典型攻击

WEB 应用是金融业务的核心载体，注入攻击、XSS、CSRF、配置漏洞等是高频风险，防护需 “多层联动”：

• 部署 WEB 应用防火墙（WAF）：作为第一道防线，拦截已知的恶意攻击请求（如 SQL 注入、XSS 脚本），同时支持自定义规则抵御业务逻辑类攻击；
• 叠加 IDS/IPS 防护：在 WAF 后端部署入侵检测（IDS）、入侵防御（IPS）系统，分析 WAF 筛选后的流量，发现 WAF 未识别的未知恶意行为；
• 定期漏洞扫描与渗透测试：每月开展自动化漏洞扫描，每季度组织内外部渗透测试，重点排查登录界面、交易流程、数据查询等核心模块，提前修复漏洞。

3. 系统安全：防范 webshell 植入与命令执行

攻击者突破 WEB 应用后，常通过上传 webshell 获取系统控制权，核心防护思路是 “多维度监测 webshell”：

• 常规加固基础：做好操作系统基线加固、Web 服务器（如 Nginx、Tomcat）加固，严格设置目录权限（如网站根目录仅开放读权限，禁止写权限）；

• webshell 检测方法：

• 文件层面：扫描文件内容中的恶意代码特征，监测异常文件变化（如非业务时段新增文件、文件属性篡改）；

• 流量层面：分析服务器对外的异常流量特征，识别 webshell 的通信行为；

• 行为层面：监控脚本执行的异常动作（如批量读取敏感文件、执行系统命令）。

4. 网络安全：监测反弹 shell 与内网渗透

攻击者进入系统后，常通过 “反弹 shell” 建立与外网的持久连接，防护需 “精准监测 + 蜜罐诱捕”：

• 监测主动外连行为：记录并分析服务器主动连接外网的连接，重点关注非业务相关的 IP 和端口，及时发现反弹 shell；
• 部署蜜罐补充监测：DMZ 区的内网流量通常难以全面镜像，可部署初级端口蜜罐（如模拟常用服务端口），诱捕攻击者的内网探测行为，提前预警渗透风险。

5. 业务安全：抵御逻辑类攻击

业务安全聚焦与业务逻辑相关的风险，如暴力破解、撞库、session 劫持等，防护需 “结合业务场景 + 智能分析”：

• 高频风险场景：登录界面（暴力破解、撞库）、找回密码功能（短信轰炸、身份伪造）、个人信息查看页面（session/cookie 劫持）；
• 核心防护方法：收集应用全量日志，结合机器学习算法与威胁情报，建立用户行为基线（如正常登录时间、地点、设备），识别异常行为（如同一 IP 短时间多次登录、异地登录）并触发拦截或二次验证。

2

移动应用安全 —— 守护移动端业务的 “核心载体”

随着手机银行、金融 APP 的普及，移动应用成为攻击新靶点，防护需覆盖 “开发、业务、数据” 全生命周期。

1. APP 开发安全：组件安全是基础

APP 开发阶段需规避组件安全风险，核心关注以下组件：

• Androidmanifest 配置安全、activity 组件、service 组件、provider 组件、broadcastreceiver 组件、webview 组件等；
• 注：开发阶段的组件安全是基础，若存在漏洞，后续加固难度极大，需在需求设计阶段明确安全要求。

2. APP 业务安全：从代码到数据全链路防护

业务安全是移动应用防护的核心，需解决反编译、数据泄露、身份伪造等问题：

• 代码安全：防反编译与调试：

• 代码混淆：使用 ProGuard 等工具对 Java 代码进行混淆，增加反编译难度；

• 加壳保护：对 dex 文件整体加壳，实现防调试、防 DUMP，可结合方法体抽离、so 加壳提升防护等级；

• 反调试机制：检测调试器、ROOT 环境、模拟器，发现异常环境即终止 APP 运行；

• 签名验证：在 Java 层、NDK 层、服务端三重验证 APP 签名，防止 APP 被篡改后重新打包。

• 数据安全：加密是核心：

• 敏感信息加密：用户身份证号、银行卡号等敏感信息，以及 APP 的密钥、配置信息，均需加密存储；

• 存储安全规范：

1. 避免用 base64 替代加密（base64 是编码，非加密）；
2. 生成随机数使用 SecureRandom 类，而非 Random 类；
3. 禁用 MD2、MD4、MD5、SHA-1 等弱哈希算法，优先使用 HMAC-SHA256；
4. 对称加密用 AES 替代 DES，非对称加密用 RSA（密钥长度≥512 位），并防范重放攻击；
5. 基于口令的加密（PBE）需加盐（盐值来自 SecureRandom），并指定迭代次数。

• 数据传输安全：严防 HTTPS 降级：

• 客户端与服务端通信强制使用 HTTPS，网站启用 “全站 HTTPS” 或 HSTS（HTTP Strict Transport Security）；

• 避免 SSL Strip 攻击（HTTPS 降级为 HTTP），确保所有资源均通过 HTTPS 加载。

3. 其他安全问题：细节处筑牢防线

• 安全输入键盘：在密码、验证码输入界面，使用随机数字布局的安全键盘，每次输入时布局变化，防范屏幕窃录与按键监听；需在用户体验与安全之间权衡（如小额交易可简化，大额交易强制启用）；
• 防截屏保护：Android 平台可通过添加 FLAG_SECURE flag 禁用截屏功能，防止敏感信息被截屏泄露；
• 防范钓鱼 APP：遵循 CNCERT 相关标准，严禁加固商对恶意 APP 进行加固，同时通过应用商店审核、官方渠道推广，引导用户下载正版 APP。

3

企业内网安全 —— 守住核心数据的 “最后防线”

内网是金融企业核心数据（如客户信息、交易数据、风控模型）的存储地，一旦被突破，损失不可估量，防护需 “分区隔离 + 全面管控”。

1. 安全域划分：按风险等级隔离

安全域是内网防护的基础，核心是 “相同安全需求的资源归为一区，实施统一防护策略”：

• 定义：同一安全域内的子网、主机、系统具有相同的安全保护需求，相互信任，共享相同的访问控制策略；
• 广义范畴：不仅包括网络区域，还涵盖主机系统、物理环境、人员组织、策略流程，需从全维度规划安全域（如核心业务域、办公域、DMZ 域、管理域）。

2. 终端安全：覆盖全生命周期管控

终端是内网安全的 “薄弱环节”，需覆盖资产管理、补丁、准入、防护等全领域：

• 核心管控措施：

• 操作系统基线配置，禁用不必要的服务和端口；

• 禁止应用程序从 U 盘、光盘自动启动，结合防病毒软件实时查杀；

• 外设管控：封禁无线、蓝牙等非必要外设，部署外连探测程序，检测非法外连行为；

• 部署 EDR（终端检测与响应）产品，结合沙箱、内部情报库，监测并响应终端异常行为；

• 敏感数据保护：部署文档加密、DLP（数据泄露防护）程序，防止敏感数据通过终端外泄。

3. 网络安全：多层隔离与异常监测

内网网络安全需 “隔离 + 监测” 双管齐下，防范横向渗透：

• 基础隔离措施：通过 VLAN、ACL、防火墙实现不同安全域之间的隔离，禁止跨域的不必要访问；

• 部署监测系统：

• 网络入侵检测系统、异常访问检测系统、隐蔽信道检测系统；

• 在 IDS/IPS 上监测异常 ICMP、DNS 协议包，监控数据包发送频率和异常包大小；

• 防火墙限制 DNS 请求仅允许访问外网指定的 DNS 服务器，防止 DNS 隧道攻击。

4. 重点应用安全：守护核心基础设施

内网中的活动目录、邮件系统、VPN、堡垒机等是核心基础设施，需重点防护：

• 活动目录：作为办公网核心，重点管控域管理员账号（如定期更换密码、开启多因素认证、限制登录权限），域管理员密码泄露将导致整个内网沦陷；

• 邮件系统：

• 入站邮件：拦截恶意 URL 和附件，防范钓鱼邮件；

• 出站邮件：部署 DLP 防护，防止敏感数据（如客户资料）通过邮件外泄；

• VPN：

• 防范弱口令、暴力猜解、心脏滴血等漏洞攻击；

• 建议默认停用 VPN 账号，用户需使用时联系后台人员核实身份后一键开启（需保障 7×24 小时后台值守）；

• 堡垒机：

• 防范客户端进程参数中的用户密码泄露，避免明文传输通信协议；

• 服务器密码加密存储，避免密钥写死在程序中，降低逆向破解风险。

5. 安全漏洞管理：闭环处置与 SDL 落地

漏洞是内网安全的 “定时炸弹”，管理需 “精准分级 + 快速修复”：

• 弱口令治理：

• 重点排查网络设备、终端、服务器的登录密码（如 Telnet、RDP、SSH），Web 应用内置密码（如 Tomcat 管理后台），服务配置密码（如 FTP、MySQL）；

• 禁用空口令、默认口令（admin、123456）、简单密码，推广复杂密码 + 定期更换机制；

• 漏洞分级处置：

• 按影响范围和危害等级分类：系统漏洞（主机层面）、常规应用漏洞（Web 层面）、业务逻辑漏洞；

• 处置优先级：暴露在互联网的漏洞＞内部核心系统漏洞（人力资源、OA、邮件）＞内部非核心系统漏洞；

• 借助漏洞管理系统实现 “发现 – 评估 – 修复 – 验证” 闭环；

• 安全开发生命周期（SDL）落地：

• 覆盖需求分析与设计、开发、测试、上线、运营全阶段；

• 破解 SDL 落地难点：加强安全意识教育、制定安全编码标准、在敏捷开发中嵌入轻量化安全测试，避免 “重功能、轻安全”。

数据安全与安全运营即将来袭！

连载预告

本篇我们搭建了金融企业技术防护的 “三重门”—— 互联网应用、移动应用、企业内网的核心防护体系。但技术防护的最终目标是 “保障数据安全”，而安全运营则是确保技术防护持续有效的关键。

下一篇（PART 4），我们将完成安全技术专题的收尾，聚焦数据安全、业务安全深化、安全运营三大核心内容：拆解金融数据的分类分级、加密传输、泄露防护方案，分享安全运营中心（SOC）的建设思路与应急响应流程，帮你实现 “技术防护 + 运营保障” 的全闭环。

你在金融企业技术防护落地过程中，遇到过哪些棘手问题（如 SDL 落地难、内网横向渗透监测难）？欢迎在评论区留言，我们将在后续文章中针对性解答！

查看原文：《金融企业安全建设（PART 3）：技术防护三重门——互联网、移动、内网安全筑牢防线》