虚拟机专网(以下简称“VPN”)、因特网业务系统、外网邮件系统、外网计算机系统等已成为外部防御网络安全的重点。尤其是VPN系统,由于它可以直接穿透企业内部和外部网络的边界,因此成为防御的重点。在“网络安全攻防演习2020”行动中,上海证券交易所(以下简称“上交所”)结合自身演练的经验教训和安全专家的评估建议,对VPN系统进行了全面梳理和强化。演练攻防阶段,上交所VPN系统既能抵御外部攻击,又能保证相关业务正常运行。
全时测试环境VPN是上交所VPN的重要组成部分。该公司的主要业务包括:报价,综合类,港股通,期权,固收等,每周一至周五对市场开放。VPN现在有268个用户,当中包括116个证券公司,150多个基金,期货,保险,资管,开发商和其他重要证券市场参与者。上交所除了担负了大量的常规测试任务外,还将根据业务技术创新的需要,在特定环境下发布专项测试。这种VPN市场知名度大,检测任务重,终将成为网络安全攻防的重点。
本VPN系统在上交所3月底、6月初组织的第一轮和第二轮内部网络攻防演练中几度崩溃:
三月二十日,某攻击队利用定制的密码字典在上交所公开的外部技术支持邮箱中实施密码爆破,获得了密码。再一次尝试用这个用户名密码,撞库登陆上交所的一个私人网盘。尽管这个网盘有手机验证码保护,但是由于这个网盘的验证码尝试没有逻辑漏洞的次数限制,大约10分钟后就成功登录。黑客小组检索该用户的网盘,获得了大量的敏感信息,当中包括500多个VPN帐号和明文密码,从而成功进入上交所的全天候测试环境。
三月五日,某攻击队在上交所对外技术服务台QQ群内实施鱼叉式钓鱼攻击,对客户服务人员进行攻击,并向其发送伪装成EXCEL表格文件的恶意木马。此客户服务中心未起疑心,点开木马文件造成其外网电脑被指控。调查组检索后发现,客户服务中心工作人员在其电脑硬盘上违规保存了大量敏感信息,包括对430个VPN账号的全天候检测和明文密码。全天测试环境再次完全失守。