魔高一尺，道高一丈：上交所VPN攻防札记

本文选自《交易技术前沿》总第四十二期文章（2020年12月）

谢毅 / 上海证券交易所 yxie@sse.com.cn

相晓辉 / 上海证券交易所 xhxiang@sse.com.cn

虚拟专用网络(以下简称“VPN”)系统、互联网业务系统、外网邮件系统、外网电脑系统一直是网络安全外部边界防御的重点。特别是VPN系统，由于其可直接穿透企业的内外网边界，更是防守的重中之重。上海证券交易所（以下简称“上交所”）在“网络安全攻防演习2020”行动中，结合内部演练经验教训和安全专家评估建议，对VPN系统进行了全面梳理和加固。演习攻防阶段，上交所VPN系统在抵御外部攻击的同时，也保障了相关业务的正常运作。

一、群魔乱舞

全天候测试环境VPN是上交所最重要的VPN系统。它涵盖竞价、综业、港股通、期权、固收五大核心业务，每周一到周五向市场开放。目前该VPN共365家用户，包括115家证券公司，200余家基金、期货、保险、资管、开发商等重要证券市场参与者。除承担大量常规测试任务外，上交所还会根据业务技术创新的需要，在该环境发布专项测试。该VPN市场影响大，测试任务重，势必会成为网络安全攻防的焦点。

在上交所3月底、6月初组织的第一、二轮内部互联网攻防演练中，该VPN系统几度沦陷：

3月20日，某攻击队使用定制密码字典对上交所公示的对外技术支持邮箱实施密码爆破，成功获得密码。攻击队再尝试使用该用户名密码，撞库登录上交所某私有网盘。虽然该网盘有手机验证码保护，但由于该网盘存在验证码尝试无次数限制逻辑漏洞，爆破约10分钟后成功登录。攻击队检索该用户网盘，获取到大量敏感信息，包括全天候测试环境500多个VPN账号和明文密码，以此成功进入上交所全天候测试环境。

6月5日，某攻击队埋伏在上交所对外技术服务台QQ群内,针对上交所客服人员实施鱼叉式钓鱼攻击，向其发送了伪装成EXCEL表格文件的恶意木马。该客服未起疑心，点击木马文件导致其外网电脑被控。攻击队检索后发现，客服人员在其电脑硬盘上违规保存了大量敏感信息，包括全天候测试环境430个VPN账号和明文密码。全天候测试环境再次全面失守。

二、道心惟微

全天候测试环境VPN两次内部演练中均被攻陷，所有市场参与者两次被迫更换密码，这不能不引起上交所的重视。反思下来，两次攻击成功的直接原因固然是有员工违规保存明文密码文件导致信息泄露，但原VPN系统仅用账号加密码作为认证方式，显然也是导致失陷的重要因素。因此，6月中旬上交所启动了全天候测试环境VPN系统的升级改造。经并行测试，于6月24日全市场切换到了新的某主流品牌SSL VPN。新VPN支持双因素认证，可绑定用户手机号来增强安全性。

6月30日上交所启动了第三轮内部互联网攻防演练。升级后的全天候测试环境VPN经受住了考验。第三轮演练中，虽有攻击队获取到个别人的VPN账号密码，但未能攻破手机绑定机制，因此最终未能进入内网。

三、魔高一尺

升级后的新VPN系统，其安全防护能力比起老系统确有显著提升。然而，8月下旬从威胁情报中心却又忽然传来消息：该品牌VPN系统源代码已泄露，互联网上已可下载。

收到该情报后，上交所立刻组织专家分析。分析后判断上交所VPN系统的安全形势非常严峻。源代码泄露，意味着未来几周攻击队通过代码安全审计，可以挖掘出多个针对该VPN系统的0day漏洞。这些漏洞在演习攻防阶段投放出来，可起到类似核武器的效果，很可能一击致命，对上交所构成极大威胁。

由于业务需要，上交所必须保障全天候测试环境VPN系统的安全稳定运行，为证券市场业务创新和技术发展提供稳定的测试平台。另外，此时若要更换其他厂商VPN产品，在时间上已来不及。

四、道高一丈

狭路相逢勇者胜。8月底上交所召集所内外运维、网络和安全专家，对全天候测试环境VPN系统进行了专项安全评估。专家组提出了多项VPN系统加固措施建议，上交所进一步分解为具体的工作任务，纳入工作台账跟踪落实。

（一）准备阶段加固措施

措施1：开启互联网访问白名单

市场服务组负责通知所有VPN用户上报其互联网出口地址，网络组负责在VPN前的防火墙增加互联网访问白名单,确保只有白名单内用户才能接入全天候测试环境VPN。

开启白名单后，监测组负责重点监测白名单开启前后接入用户的变化情况，市场服务组负责收集市场用户反馈，确保白名单不会影响正常业务。

措施2：绑定VPN管理端

禁止对互联网开放VPN管理界面，将管理端使用白名单绑定内网运维主机。网络组负责实施，运维组负责闭环验证。

措施3：控制VPN接入权限

测试环境责任人负责梳理VPN接入后的内网访问权限，网络组负责实施，测试组负责闭环验证。

措施4：加强边界流量监测

监测组负责，网络组配合，把VPN接入后的网络流量导入到流量分析设备和态势感知系统，调试验证后纳入日常监测。

措施5：准备应急处置预案

应急处置组负责完成全天候环境VPN被攻击场景的应急处置预案，秘书处配合完成沙盘推演。

（二）演习攻防阶段加固措施

措施1：实施VPN专项检查

VPN系统责任人负责每日定时导出用户账号信息和日志并提交专家分析，重点关注用户数量变化及异常操作日志。

措施2：限制VPN开放时间

上交所公示的测试环境开放时间是早九点到晚六点。VPN系统责任人负责每日准时启停系统，保障正常业务的同时尽量缩小攻击者可利用的时间窗口。

措施3：及时稳妥升级补丁

VPN系统责任人负责加强与厂商联系，第一时间获取该品牌VPN系统官方升级补丁。关闭补丁自动升级功能，所有补丁必须先在测试环境测试无异常才能在生产环境实施。

综上，为实现全天候测试环境VPN系统安全稳定运行的目标，上交所立足于现有人员和设备，充分调动内部资源，明确各方职责，从技术、管理、流程、应急各个维度，对VPN系统进行了全方位的安全加固。

真正进入演习攻防阶段后，威胁情报中心多次传来该品牌VPN存在0day漏洞的消息，该VPN厂商两周内两次下发官方补丁对0day漏洞进行修补。得益于上交所的加固措施，全天候测试环境VPN系统保持了正常稳定运行，没有发生任何网络安全事件，有力地支持了科创板股份减持、科创板指数、期权做市双边报价、跨沪深港ETF等业务创新的全市场测试，为我国证券市场安全稳定发挥了应有的作用。

声明：本文来自上交所技术服务，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。