渗透测试行动后的漏洞加固修复方案

措施1:打开网络访问白名单,市场服务组通知所有VPN用户报告数据网络出口地址,数据网络组在VPN前的硬件防火墙上增加数据网络访问白名单,保障只有白名单内的用户能够24小时365天访问环境VPN。打开白名单后,监测组承担重点监测白名单打开前后访问用户的变化情况,市场服务组承担收集市场用户的信息反馈,保障白名单不影响正常业务。措施2:关联绑定VPN管理方。禁止对互联网开放VPN管理界面,将管理方用白名单关联绑定内部数据网络运输主机。数据网络组承担实施,运输维护组承担闭环验证。措施3:控制VPN访问权限测试环境负责人整理VPN访问后的数据网络访问权限,数据网络组承担实施,测试组承担闭环验证。措施4:加强边界流量监测,监测组承担,数据网络组合,将VPN访问的网络流量导入流量分析设备和形势感知系统,调整验证后进入日常监测。


措施5:准备紧急处理计划,紧急处理组承担完成24小时365天的环境VPN攻击场景的紧急处理计划,秘书处协助完成沙盘的推进。措施1:实施VPN特别检查,VPN系统负责人每天定期导出用户账户信息和日志,提交专家分析,重点关注用户数量的变化和异常操作日志。措施2:限制VPN开放时间,上交所公布的测试环境开放时间从早上9点到晚上6点。VPN系统负责人承担每天准时启动系统,在保障正常业务的同时,尽可能缩小攻击者还可以利用的时间窗口。措施3:及时安全升级补丁。


VPN系统负责人加强与制造商的联系,首先获得该品牌VPN系统的官方升级补丁。封闭补丁自动升级功能,所有补丁必须在测试环境中测试无异常后才能在生产环境中实施。


总的来说,为了更好地实现全天候测试环境VPN系统安全稳定运行的目标,上交所立足于现有人员和设备,充分调动内部资源,明确各方面的责任,从技术、管理、流程、应急各个维度,全面加强VPN系统。真真正正进入演习攻防环节后,侵害信息中心多次传来该品牌VPN存在0day脆弱性的消息,该VPN制造商在2周内发行2次官方补丁修复0day脆弱性。由于上交所的加强措施,全天候测试环境VPN系统正常稳定运行,没有发生网络安全事件,有力支持科学创业板股票减收、科学创业板指数、期权市双边报价、上海深港ETF等业务创新的全市场测试,在中国证券市场安全稳定中发挥了应有的作用。

分享: