24小时365天的测试环境VPN在2次内部训练中被攻击,所有市场参加者2次被迫更换密码,不能引起上交所的重视。反省,两次攻击成功的直接原因是员工非法保存明确的密码文件泄露信息,但原VPN系统只以账户密码为认证方式,显然也是陷落的重要因素。为此,6月下旬上交所开始了24小时测试环境VPN系统的提升改造。经过并行处理检测,6月24日全市场切换到了新的主流品牌SSLVPN。新的VPN支持双要素认证,能够结合用户的手机号码提高安全性。
6月30日,上交所开始了第三次内部网络攻防训练。提升后24小时测试环境VPN经得起考验。在第三次训练中,攻击队获得了个别人的VPN账户密码,但是因为没能突破手机的绑定机制,所以最终没能进入网络。
提升后的新VPN系统,其安全防护能力旧系统明显提高。但是,8月下旬从威胁信息中心突然传来了这个品牌VPN系统的源代码泄露,能够在网上下载的消息。收到该信息后,上交所立即组织专家深入分析。深入分析后,分析上交所VPN系统的安全形势分析非常严重。源代码泄露代表着将来几个星期攻击队将通过代码安全审计,能够挖掘好几个VPN系统的0day漏洞。这一些漏洞在演习攻防阶段发挥了类似核武器的效果,很可能一击致命,对上交所造成了巨大威胁。
由于业务需求,上交所应保障24小时测试环境VPN系统安全比较稳定运行,为金融市场业务革新和技术发展提供比较稳定的测试平台。此外,此时更换其他厂家的VPN产品,时间已经来不及了。
狭窄的路遇到勇者获胜。8月末,上交所召集了内外运输维护、网络和安全专家,24小时对环境VPN系统进行了特别的安全评价。专家团明确提出了多项VPN系统加固措施,上交所更进一步溶解为具体工作任务,包括工作台帐目跟踪执行。