網(wǎng)絡(luò)安全攻防演練的亮點、痛點和要點
——對貴陽大數(shù)據(jù)與網(wǎng)絡(luò)安全攻防演練的點評

□ 郝葉力

貴陽大數(shù)據(jù)與網(wǎng)絡(luò)安全攻防演練是國內(nèi)首次面向?qū)嵕W(wǎng)的安全攻防演練。2年來，這個演練作為貴陽市政府的一把手工程，始終以求真務(wù)實的精神搞安全，取得了意想不到的效果，可以稱得上網(wǎng)絡(luò)安全領(lǐng)域一個歷史性的創(chuàng)舉，具有里程碑的意義。

2017年的第二屆貴陽大數(shù)據(jù)與網(wǎng)絡(luò)安全攻防演練增加了針對關(guān)鍵信息基礎(chǔ)設(shè)施的新科目，更具有“破冰”意義。貴陽的實網(wǎng)演練從2016年的先行先試，到2017年的再上臺階，獲得了各界的廣泛參與，政府的大力支持，樹立了創(chuàng)新典范，增強了敢闖必勝的信心。

實網(wǎng)攻防演練能否取得成效，取決于三方（政府、檢測、被測）的行為選擇。相當(dāng)于政府敢不敢掛牌擔(dān)當(dāng)開辦醫(yī)院，患者能不能敞開衣袖接受體檢，醫(yī)生有沒有醫(yī)德醫(yī)術(shù)履職盡責(zé)，三者缺一不可。我從支撐演練的3個主體談3點看法，分別是攻防演練的亮點、痛點和要點。

3個主體展現(xiàn)三大亮點

亮點之一：主辦方將工控系統(tǒng)納入演練范疇，努力管控風(fēng)險，體現(xiàn)了貴陽市政府敢于擔(dān)責(zé)、勇于探索的智慧和勇氣。

工控系統(tǒng)維系國家關(guān)鍵基礎(chǔ)設(shè)施正常運轉(zhuǎn)，特別是涉及到水、電、油、氣等關(guān)系國計民生的基礎(chǔ)網(wǎng)絡(luò)，屬于國家戰(zhàn)略資源。面對這樣的重要信息系統(tǒng)，通常會存在“不敢試、不好試、不想試”的問題，但這些系統(tǒng)究竟存在多少安全風(fēng)險，基本上處于沒有底數(shù)的“兩眼一抹黑”狀態(tài)。貴陽市鼓起超常勇氣，敢拿工控系統(tǒng)開練，調(diào)用南方電網(wǎng)、水務(wù)系統(tǒng)、有線電視等目標(biāo)進行滲透測試，并協(xié)調(diào)公安部門專門制定風(fēng)險控制方案，進行有效防控，對于行業(yè)具有引領(lǐng)示范作用。這相當(dāng)于“第一次吃螃蟹”，具有“破冰”意義。

亮點之二：被測方經(jīng)受了復(fù)檢，驗證了整改成效，體現(xiàn)了以攻促防、鞏固成果、持續(xù)釘釘子的精神。

在第一屆攻防演練時，采用主動曝光方式暴露安全問題，對管理運維方是一次安全體檢?！袄窃诘鹱吆⒆雍蟆保袥]有“亡羊補牢”，把自家圍墻整改和加固，第2次正好通過100個目標(biāo)復(fù)檢，摸清了底數(shù)?？傮w看，第二屆演練目標(biāo)安全防護水平較第一屆有了較大幅度的提升，大多數(shù)網(wǎng)站新增WAF（網(wǎng)站應(yīng)用級入侵防御系統(tǒng)）、各類防御盾等軟硬件設(shè)施后，能夠?qū)嵤╈`敏反應(yīng)、動態(tài)阻斷，增加了攻擊實施難度。第一屆演練時，有的團隊僅用半天時間就對部分目標(biāo)一竿子插到底，如入無人之境。而在第二屆演練時，被控制的內(nèi)網(wǎng)數(shù)由59個下降至52個，被控內(nèi)網(wǎng)主機由1 570臺下降至1 368臺。這些情況和數(shù)據(jù)都說明，經(jīng)過去年攻防演練，被檢的“病人”思想重視度提高了，整改加固措施奏效。

亮點之三：攻防團隊潛心研究核心技術(shù)，靈活應(yīng)用戰(zhàn)法，體現(xiàn)了攻防對抗創(chuàng)新能力。

在與一線隊伍的溝通交流中，我們欣喜地發(fā)現(xiàn)，比較之前的常規(guī)通用滲透測試技術(shù)，參加第二屆攻防演練的大多數(shù)隊伍在網(wǎng)絡(luò)診斷過程中，技術(shù)深度得以加強，戰(zhàn)法應(yīng)用更得心應(yīng)手，漏洞發(fā)現(xiàn)能力得到提升。在演練期間，共發(fā)現(xiàn)378個高危漏洞，攻陷112個網(wǎng)絡(luò)目標(biāo)，拿到網(wǎng)站最高權(quán)限達92個。令我們印象深刻的有以下7支團隊：中科院信工所團隊，使用軟件逆向技術(shù)檢測工控系統(tǒng)脆弱性，發(fā)現(xiàn)專用協(xié)議傳輸系統(tǒng)邏輯問題；另外，對微軟組件服務(wù)進行深度二進制流量分析，獲取了用戶敏感信息。無聲科技團隊，細致分析目標(biāo)拓撲結(jié)構(gòu)和配置文件，抽絲剝繭，實現(xiàn)了對站庫分離目標(biāo)的有效突破。知道創(chuàng)宇團隊，綜合利用27個系統(tǒng)漏洞，在做深做透內(nèi)網(wǎng)上下功夫，取得了良好成績。貴大黔鋒團隊，巧妙利用多漏洞配合，實現(xiàn)多網(wǎng)跨站攻擊。華為未然實驗室團隊，能曲徑通幽，發(fā)現(xiàn)去年未檢測出的“心臟滴血”漏洞，達成對政務(wù)管理平臺全面控制。永信至誠團隊，對物聯(lián)網(wǎng)應(yīng)用的機頂盒測試分析，準(zhǔn)確定位點播鏈路，拿到了內(nèi)網(wǎng)計費系統(tǒng)管理員權(quán)限。亨達團隊，能從復(fù)雜網(wǎng)情入手，尋根問底，在開發(fā)人員代碼共享平臺找到敏感管理信息，實現(xiàn)目標(biāo)內(nèi)網(wǎng)全面控制，詳盡掌握了470萬客戶數(shù)據(jù)和1萬余名員工信息。

暴露的問題揭示痛點

痛點之一:在工控系統(tǒng)檢測中，發(fā)生了3個沒想到。

第1個沒想到：電力仿真“有皮缺餡”。

南方電網(wǎng)系統(tǒng)仿真靶場“不盡如人意”。檢測方本希望在仿真電網(wǎng)環(huán)境中，驗證其業(yè)務(wù)系統(tǒng)的脆弱性，但仿真靶場只構(gòu)建了電網(wǎng)網(wǎng)絡(luò)拓撲的1，2，3區(qū)防御縱深，基本沒有裝載真實業(yè)務(wù)系統(tǒng)，相當(dāng)于只有幾道防火墻、網(wǎng)閘等安防設(shè)備的業(yè)務(wù)裸機。就好比檢測方希望檢查被測人的衣兜、褲兜、里兜、外兜，是不是有漏洞。結(jié)果被測方只穿了一件沒有兜的白大褂。檢測方的期望和被檢方反差太大，撈不到干貨，讓檢測方比較失望。這個問題說明工控系統(tǒng)檢測的特殊性，以及主觀客觀原因，使得真實環(huán)境不能給、不好給、不想給的矛盾比較突出，這為我們今后如何建實靶標(biāo)提供了借鑒。

第2個沒想到：水務(wù)仿真“假戲真唱”。

貴陽水務(wù)仿真系統(tǒng)檢測“差強人意”。按計劃是提供“水務(wù)收費系統(tǒng)仿真靶場”參與測試，因此對拒絕服務(wù)攻擊、數(shù)據(jù)庫篡改等帶有破壞性質(zhì)的測試手段沒作限制。但是攻擊開始后，演練指揮部收到了真實水務(wù)調(diào)度系統(tǒng)的故障反饋，隨即叫停了進一步檢測行動。從這種結(jié)果可以推斷，水務(wù)仿真系統(tǒng)很可能與真實業(yè)務(wù)系統(tǒng)進行了網(wǎng)絡(luò)連接和數(shù)據(jù)交換，并不是單純的仿真環(huán)境。這件事進一步說明，對工控系統(tǒng)而言，要想構(gòu)建一個逼真的仿真靶場的確很難，實物半實物相結(jié)合可能更容易實現(xiàn)。

第3個沒想到：“規(guī)則有漏導(dǎo)致錯上加錯”。

這是由第2個沒想到引發(fā)的問題。因為按假靶子設(shè)計的攻擊規(guī)則，是不能用于對真目標(biāo)進行測試的。對于假靶子可以放開攻，但對實靶子卻要有緊箍咒。所以，針對一個仿真靶場，萬一與實網(wǎng)有某些聯(lián)系，檢測方應(yīng)該遵循什么樣的演練規(guī)則，對仿真靶標(biāo)能不能進行破壞性的檢測行為，這是沒有明確的，出現(xiàn)了規(guī)則缺陷。通過這次探索，對工控系統(tǒng)如何檢測，如何制定規(guī)則，防范風(fēng)險，總結(jié)了教訓(xùn)。好在出現(xiàn)故障反應(yīng)及時，有驚無險，從中獲得了經(jīng)驗。

痛點之二:有些網(wǎng)絡(luò)重有形產(chǎn)品防護，輕業(yè)務(wù)自身安全現(xiàn)象普遍，被1塊石頭絆倒了2次。

有的業(yè)務(wù)系統(tǒng)，在第1次演練中檢出問題曾被通報，但沒有重視整改，錯誤一犯再犯；部分單位發(fā)現(xiàn)問題后，購買安裝安全產(chǎn)品就萬事大吉了；更有甚者，存在勒索病毒使用的永恒之藍漏洞，在相關(guān)部門三令五申強調(diào)打補丁情況下，仍置之不理，被攻擊團隊測出。此外，在個別網(wǎng)站服務(wù)器，還發(fā)現(xiàn)了2012年被放置的木馬程序，仍存活在其中。由此可見，安全絕不是單一安全，而是系統(tǒng)的、多維的、全局的，涉及到人員思想意識、安全管理制度、內(nèi)外軟硬件防護等諸多方面。

痛點之三:重面子輕里子，人為設(shè)置障礙、掩蓋問題現(xiàn)象仍然存在。

第一屆演練中部分目標(biāo)“拔插頭”的情況，在第二屆中仍然未被杜絕。部分單位在第1天被掃描后，直至演練結(jié)束還一直使用“封IP地址的方式進行消極抵抗，拒絕測試。還有的單位為了降低攻擊風(fēng)險，對網(wǎng)站業(yè)務(wù)功能（檢索、發(fā)布等功能）進行了刪減，“鴕鳥政策”不僅傷害了滲透檢測團隊的滿腔熱誠，也折射出扭曲的安全觀和政績觀。

選好矛與盾把握未來演練的關(guān)鍵點

縱觀2屆演練活動的得與失，我們不僅收獲了亮點，重要的是找到了痛點，知道了難點，取得了經(jīng)驗。下一步，如何尋求實網(wǎng)演練的可持續(xù)發(fā)展之道？主辦方從策劃的視角，有2個關(guān)鍵點值得研究：一是要選好盾，二是要用好矛。

第1個關(guān)鍵點是如何選擇盾，解決“剃頭挑子一頭熱”的問題。

2屆實網(wǎng)演練發(fā)現(xiàn)，總有某些被測方用“斷網(wǎng)、封IP”消極方式對抗檢測，屢禁不止已成頑疾。要讓未來的實網(wǎng)演練健康可持續(xù)發(fā)展，必須圍繞貴陽大數(shù)據(jù)產(chǎn)業(yè)安全發(fā)展總目標(biāo)尋找應(yīng)對之策。一是要分層、分類、分級解決安全問題，而不是用一刀切、一把尺制定安全標(biāo)準(zhǔn)。要有針對性地選擇關(guān)鍵、要害、高價值網(wǎng)絡(luò)用戶，充分調(diào)動運維主體的積極性，剛?cè)岵⒓ぐl(fā)內(nèi)生動力，變“要我測”為“我要測”，引導(dǎo)攻防雙方相向而行、良性互動。二是演練模式要多樣化。時間上，從年度演練轉(zhuǎn)向常態(tài)化；模式上，從比賽式轉(zhuǎn)向研究式；方法上，從背靠背向面對面延伸。三是要剛?cè)嵯酀攸c幫扶。在處理像貨車幫這樣影響大、涉面廣，代表貴陽大數(shù)據(jù)產(chǎn)業(yè)名片的網(wǎng)站安全問題上，不要靠曝光、張榜解決問題，而是既要有力度，又要有溫度，進行個性化檢測 和柔性化幫扶，促其成為大數(shù)據(jù)產(chǎn)業(yè)安全發(fā)展之典范。

第2個關(guān)鍵點是如何用好矛，要解決軍民融合的問題。

工控這類復(fù)雜特殊系統(tǒng)，對安全事故近乎零容忍，一般不能靠短期內(nèi)的一次性攻防對抗解決問題，而是需要測試方和運維主體共同面對面研究安全檢測方法，排除安全隱患。那么貴陽實網(wǎng)演練確實需要“絕對忠誠、絕對可靠、絕對純潔”的特殊之矛。為國家關(guān)鍵基礎(chǔ)設(shè)施安全提供戰(zhàn)略支援利器，軍隊也更應(yīng)養(yǎng)兵千日、用兵千日，履行使命?！氨蔷毘鰜淼?，不是看出來的”，貴陽首開了實網(wǎng)演練先河，也應(yīng)該首開軍民融合之路。國家關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)保護，需要軍隊這樣的“啄木鳥”；軍隊錘煉隊伍、驗證手段、提升能力也更需要貴陽這樣絕佳的“磨刀石”。因此由軍隊機制化、常態(tài)化參加像貴陽這樣實網(wǎng)演練，正是利國利軍利民的最佳舉措，也是軍民融合落到實處的必然選擇，應(yīng)當(dāng)成為未來讓貴陽實網(wǎng)演練可持續(xù)發(fā)展的應(yīng)有之意。