面向城市范圍真實網絡目標的攻防演練

李 俊

(貴州數安匯大數據產業(yè)發(fā)展有限公司 貴陽 550025)

(235819763@qq.com)

隨著信息技術的不斷發(fā)展，尤其是云計算、物聯網、人工智能等新興技術的快速發(fā)展，越來越多的數據資源匯聚在互聯網上，大數據正逐步成為國家重要的戰(zhàn)略資源[1].保障戰(zhàn)略資源效能最大化，更好地服務于國家政治、經濟、軍事和民生福祉，安全是關鍵.大數據為經濟社會發(fā)展注入新動能的同時，其安全關乎國計民生，安全問題也日益浮出水面.習近平總書記在2017年2月17日主持召開“國家安全工作座談會”時，著重強調了保障大數據安全的重要性，把大數據安全和關鍵信息基礎設施安全提到了同等高度[2].同年12月8日在“中共中央政治局第二次集體學習”會議上進一步強調要強化國家關鍵數據資源保護能力，增強數據安全預警和溯源能力[3]，足見大數據安全對國家的重要意義.

貴州省是全國首個大數據綜合試驗區(qū)，自2014年就開始在大數據領域先行先試.貴陽市作為貴州省省會，大力發(fā)展大數據產業(yè)，時至今日，貴陽的大數據產業(yè)發(fā)展已經取得了舉世矚目的成績，“中國數谷”成為貴陽市一張嶄新靚麗的名片[4].安全與發(fā)展是一體之兩翼，驅動之雙輪，貴陽發(fā)展大數據產業(yè)的核心價值是數據集聚以及基于數據集聚所能產生的數據價值變現與輻射，大數據產業(yè)發(fā)展到一定階段，必然會帶來數據價值的安全保障問題，大數據安全成為大數據產業(yè)的生命線.大力發(fā)展大數據安全產業(yè)一方面能夠確保大數據產業(yè)造福社會、造福人民，使貴陽真正享受到大數據產業(yè)帶來的紅利；另一方面，大數據安全產業(yè)又能夠為大數據產業(yè)提供有力支撐，保障其健康有序的發(fā)展.

要發(fā)展安全產業(yè)，為大數據發(fā)展保駕護航，首先需要找準存在的安全問題.2016年，在公安部的大力支持和指導下，貴陽市委、市政府站在為國家網絡安全先行先試的立場上，以高度的責任意識和擔當啟動策劃“貴陽大數據及網絡安全攻防演練”活動，計劃連續(xù)3～5年，每年利用1周左右的時間，集中全國的優(yōu)秀攻防隊伍、領先安全廠商及相關資源，在貴陽經濟技術開發(fā)區(qū)特定的環(huán)境內，對貴陽地區(qū)乃至全國范圍的各類基于網絡與大數據應用的目標展開攻擊與防護的應急演練活動，最終在保障能力、安全人才、安全產業(yè)等多方面形成一系列實用價值高、示范意義大、影響輻射廣的運用成果.通過演練活動，快速發(fā)現存在的安全問題，不斷解決存在的問題，不斷推動大數據產業(yè)的發(fā)展與運用[5].

1 貴陽演練模式與傳統(tǒng)安全演練的區(qū)別

傳統(tǒng)網絡安全演練一般采用虛擬仿真靶標進行，對于靶標而言，模擬程度越高所需成本越大，如果要對一個城市范圍內上百個網絡目標建設高度仿真的虛擬靶標，其成本將難以承受；對于參與演練的隊伍而言，虛擬仿真靶標與真實業(yè)務系統(tǒng)始終存在差異[6].傳統(tǒng)網絡安全檢測也有使用黑客手段進行滲透測試的業(yè)務，但往往目標局限在特定的范圍內，缺乏真實世界中黑客常常使用的跨站攻擊、旁路攻擊以及高級持續(xù)性攻擊等手段.此外，如何確保滲透測試行為不越界、不違法是個較為棘手的問題[7].

貴陽大數據及網絡安全攻防演練活動采取“實戰(zhàn)演練”的模式，搭建專用的實戰(zhàn)演練平臺，邀請國內一流的數十支專業(yè)隊伍，在全程受控的條件下對城市范圍內不同安全等級的真實網絡目標開展不同程度的滲透測試，同時獲得以下成果：

1) 發(fā)現問題.通過真刀真槍的實戰(zhàn)檢測，發(fā)現網站、大數據系統(tǒng)、云平臺、工控系統(tǒng)、關鍵信息基礎設施等信息系統(tǒng)實際的安全問題，尤其是傳統(tǒng)檢測手段難以發(fā)現的安全隱患，對防御水平進行驗證.同時，檢驗安全事件的發(fā)現能力和應急處置能力，從實踐中檢驗相應的安全理論與安全技術的正確性與適用性.

2) 鍛煉隊伍.對于滲透測試方，貴陽演練提供了大規(guī)模的真實網絡目標進行測試，是難得的實戰(zhàn)機會；對于目標單位和公安機關，演練也鍛煉了安全防護、應急響應、緊急處置等能力.

3) 意識警醒.信息系統(tǒng)的所屬單位對網絡安全，尤其是進入大數據時代后的網絡空間安全問題認識不足，缺乏安全意識，或者安全意識較為落后.通過貴陽演練，把安全問題以及可能造成的嚴重后果實際地展現出來，通過“觸目驚心”的結果促使各問題單位認識到安全問題的嚴重性和緊迫性，對安全水平提升起到推動作用.

4) 安全提升.貴陽演練不僅只是檢測，還包含由公安部門負責的針對發(fā)現問題的后續(xù)整改工作.通過后續(xù)整改，從主體責任、管理模式、資源投入、技術升級等多個方面對問題進行全面剖析和處理，切實提升安全防護水平.

5) 產業(yè)發(fā)展.安全問題的解決需要相應的安全技術、產品和服務.通過演練整改的契機，促進安全產業(yè)生態(tài)環(huán)境建設，從理論、技術、產品、應用和服務等方面成體系化地實現供需增長和產業(yè)發(fā)展，吸引大數據安全產業(yè)企業(yè)的關注與投入，培養(yǎng)本地各層次安全人才，發(fā)展貴陽市大數據安全產業(yè).

2 攻防演練平臺架構

貴陽演練平臺包括指揮系統(tǒng)、數據解析還原系統(tǒng)、毀傷評估系統(tǒng)等.

1) 演練平臺.其示意圖如圖1所示.

在圖1中，通常模式下，左側“被測目標區(qū)”為互聯網上的受測目標，右側“攻擊檢測區(qū)”為平臺內發(fā)起滲透測試的攻擊方.當攻擊方準備發(fā)起某一項攻擊時，首先需要通過工單系統(tǒng)提交“攻擊工單申請”，其中包括目標地址、攻擊手段等信息.此工單申請經由毀傷評估系統(tǒng)判斷通過后交由指揮系統(tǒng)處理，指揮系統(tǒng)控制安全網關使攻擊指令通過并發(fā)往受測目標.與此同時，攻擊指令的網絡流量將被數據解析還原系統(tǒng)完全地復制、分析并儲存，同時提交給上級監(jiān)管單位.

圖1 演練平臺示意圖

圖2 毀傷評估系統(tǒng)

在某些情況下，攻擊方與受測方位置可以互換，即從外部發(fā)起對演練平臺內目標的攻擊測試.此時攻擊流量將通過數據解析還原系統(tǒng)進行分析并反饋至毀傷評估系統(tǒng)，再由毀傷評估系統(tǒng)控制網關，決定攻擊指令是否傳送至平臺內目標.

2) 毀傷評估系統(tǒng).

圖2所示為毀傷評估系統(tǒng).當接收到攻擊指令后，毀傷自動評估工具將會調用“攻擊命令導致毀傷結果庫”和“被測目標基本信息庫”進行分析，如果毀傷結果超過被測目標所允許承受的程度，系統(tǒng)將自動否決本次攻擊行為并控制網關屏蔽相應攻擊指令.如果攻擊指令不在“毀傷結果庫”之中，系統(tǒng)將會啟用“基于行為的攻擊分析庫”和“沙箱”對攻擊指令進行智能分析，得到攻擊指令可能造成的損毀程度.如果以上自動分析均無法得到，系統(tǒng)將啟動“人工毀傷評估系統(tǒng)”，由安全專家對攻擊指令進行人工分析，確保毀傷程度在可控范圍內.

3) 數據解析還原系統(tǒng).

圖3 數據解析還原系統(tǒng)

圖3所示為數據解析還原系統(tǒng).對經過毀傷評估系統(tǒng)評估通過后的攻擊指令數據流量進行記錄和分析，同時對外部攻擊指令進行分析并將結果反饋到毀傷評估系統(tǒng).

3 演練組織架構

1) 攻防演練指揮系統(tǒng).為了高效地指揮演練各項工作，成立演練指揮部.其中，由省市相關領導擔任指揮長，統(tǒng)籌各項工作開展.指揮長下設副指揮長、技術總顧問、現場技術總指揮，協助指揮長調度指揮部辦公室，協調相關資源和推動工作進程.指揮部辦公室下設9個工作組，具體負責相關工作的開展，如圖4所示：

圖4 演練指揮系統(tǒng)架構示意圖

策劃組：負責演練技術方面的統(tǒng)籌策劃，指導演練方案的實施.

總評組：負責制定安全演練攻防能力與成果的評價標準與獎懲措施，對參賽各隊伍及相關人員進行考評.

技術組：負責演練過程中各項技術保障.

應急響應組：負責統(tǒng)籌、協調演練期間發(fā)生的突發(fā)事件的處置工作，及時控制和最大限度地降低信息安全突發(fā)事件的危害和影響；對檢測過程進行監(jiān)控，對未經公安部門委托和審查備案的攻擊行為進行偵查打擊，負責攻防演練期間輿情監(jiān)控及引導，及時向上級反饋網絡輿情的有關問題.

綜合協調組：傳達落實指揮部下達的各項指令，負責統(tǒng)籌、協調演練期間的各項處置工作，協調各相關小組工作.

通信保障組：負責對攻防演練期間公用通信網、互聯網、專用通信網、互聯網域名和地址等資源進行分配，保障攻防隊伍、通信運營企業(yè)在攻防演練期間重點部位重要場所的通信暢通和通信安全.

電力保障組：負責攻防演練期間的供電保障，確保現場電力的正常供應，通信、網絡的穩(wěn)定運行，做好攻防演練期間對突發(fā)事件的電路安全保障工作.

宣傳組：負責制定宣傳計劃，利用傳統(tǒng)媒體和新媒體進行廣泛深層次的報道，擴大正面影響效應，做好輿情掌控.

后勤保障組：負責活動場地、設備、交通、住宿、餐飲保障等演練活動的后勤保障工作.

2) 應急處置流程.為了確保演練在安全可控的范圍內進行，制訂完善的應急處置流程，根據突發(fā)事件的性質及具體情況采取不同措施進行響應.

當發(fā)生應急事件時，監(jiān)測到報警后應急響應組將對事件嚴重程度進行劃分(4個級別)，對于一般程度事件由受測單位自行修復；較大程度事件由指揮部組織應急力量協助受測單位修復；重大程度事件將組織省級應急響應力量進行處理；特別重大事件將發(fā)動全部力量進行處理，同時上報公安部，組織全國應急力量緊急處置.同時，公安機關對安全事件立即調查取證，對違法行為進行追查打擊.處置完成后對結果進行確認，確認威脅事件處置完畢后即結束應急處置流程，如圖5所示：

圖5 應急響應處置流程圖

4 演練取得的成效

2016年攻防演練集中了代表國內一流水平的20支檢測隊伍和12支防守隊伍，5天時間內通過多樣化的攻擊手段完成了1萬個網站的漏洞掃描和100個重點目標系統(tǒng)的攻防檢測，開展了電梯系統(tǒng)攻擊、戶外廣告大屏攻擊等熱點場景的網絡攻擊演示，形成了大量價值高、可利用的數據資源.演練結束后，貴陽市委、市政府以及公安部門召開專題會議，部署整改工作，為問題單位開出“通用藥方”和“專用藥方”，入駐企業(yè)積極參與整改工作提供產品和服務，圓滿完成整改任務.

2017年攻防演練邀請了國內一流的21支檢測隊伍和14支應急響應隊伍參加，組建了由被測目標單位安全運維機構組成的36支防護隊伍.攻防演練活動用8天時間完成了1萬個網站的安全漏洞掃描、100個目標系統(tǒng)的安全整改復查、30個重點大數據目標系統(tǒng)的深度檢測、4個關鍵信息基礎設施的攻防對抗、10個省內遠程目標與5個省外異地目標的安全檢測、6項安全熱點場景的演練拍攝，涵蓋貴陽市本地、省內州市以及省外多個城市，涉及政府、金融、能源、教育、醫(yī)療、交通等多個行業(yè).演練內容突出“城市網絡戰(zhàn)爭”的重點場景模擬，攻擊技術覆蓋了實施縱深攻擊的全部環(huán)節(jié)，取得了重大突破，體現了攻防對抗創(chuàng)新能力，在突破云防護、繞過防火墻、潛入復雜內網等方面取得突破性進展.共發(fā)現378個高危漏洞，攻陷112個網絡目標，拿到網站最高權限達92個[8].

2次攻防演練驗證了貴陽城市網絡安全水平的整體提高.2016年攻防演練暴露出部分關系國家安全和民眾切身利益的信息系統(tǒng)存在嚴重安全隱患，經過攻防演練的安全警醒和后續(xù)整改工作，2017年演練檢測結果顯示整體安全水平得到明顯提高.對1萬個網站的安全掃描顯示，存在中高危安全漏洞的網站占比由2016年的23%下降至19%;對100個重點目標的復查顯示，存在中高危安全漏洞的占比由2016年68%下降為29%，多數重點目標的網站部署了2016年整改提供的“通用藥方”，如云防護、WAF、終端安全等，對攻擊檢測行為反應靈敏，可實施動態(tài)阻斷，整體安全防護能力明顯增強.

5 演練未來發(fā)展目標

貴陽大數據及網絡安全攻防演練已成功舉辦2次，受到專家和業(yè)內人士的支持和肯定，取得良好的社會效益和產業(yè)聚集效果.今后，貴陽大數據及網絡安全攻防演練活動將不斷迭代升級，逐步形成一套科學可行的演練體系、操作流程、協作機制、平臺規(guī)范與評價指標，有效應用于本區(qū)域大數據安全保障，持續(xù)提升綜合安全能力，并為大中城市有可能發(fā)生的大面積網絡攻擊事件摸索和積累應對經驗，進而為國家應對網絡戰(zhàn)獲取和積累經驗[9].

1) 常態(tài)化攻防演練.在現有年度性大規(guī)模演練基礎上，針對關鍵基礎設施等重要目標開展常態(tài)化、不定期的小規(guī)模演練，及時掌握重要目標安全防護水平.

2) 攻防演練“走出去”.2017年貴陽攻防演練已實現“走出去”突破，對貴州省外城市、地區(qū)的網絡目標成功實施遠程滲透測試，得到目標單位一致好評.未來，貴陽將面向全國開展合作，進一步向有需求的城市和地區(qū)提供攻防演練服務.

3) 城市級網絡戰(zhàn)模擬.參考美國“網絡風暴”系列網絡安全演練活動，面對未來可能發(fā)生的大規(guī)模網絡攻擊事件展開模擬[10].測試相關政府部門、目標單位、安全廠商在面對極端網絡安全事件時的應對處置能力，為大規(guī)模網絡安全攻防技術及理論研究提供支撐.

參考文獻

[1]懷進鵬. 大數據是國家戰(zhàn)略資源[J]. 中國經濟和信息化, 2013 (8): 49-50

[2]薛濤. 習近平主持召開國家安全工作座談會[N/OL]. 新華社 (2017-02-17) [2018-04-15]. http://www.xinhuanet.com/politics/2017-02/17/c_1120486809.htm

[3]韓昊辰. 習近平主持中共中央政治局第二次集體學習[N/OL]. 新華社 (2017-12-09) [2018-04-15]. http://www.gov.cn/xinwen/2017-12/09/content_5245520.htm

[4]賈春娟. 貴陽: 正在崛起的“中國數谷”[J]. 人民文摘, 2015 (7): 12-14

[5]楊茜. 2016貴陽大數據與網絡安全攻防演練總結大會舉行[N/OL]. 中國新聞網 (2016-12-29) [2018-04-15]. http://www.gz.chinanews.com/content/2016/12-29/70049.shtml

[6]程靜, 雷璟, 袁雪芬. 國家網絡靶場的建設與發(fā)展[J]. 中國電子科學研究院學報, 2014 (9): 446-452

[7]常艷, 王冠. 網絡安全滲透測試研究[J]. 信息網絡安全, 2012 (11): 3-4

[8]樊成瓊. 2017貴陽大數據及網絡安全攻防演練觀摩總結大會舉行[N/OL]. (2017-11-29) [2018-04-15]. http://www.gz.xinhuanet.com/2017-11/29/c_1122027443.htm

[9]王軍. 多維視野下的網絡戰(zhàn): 緣起、演進與應對[J]. 世界經濟與政治, 2012 (7): 80-98

[10]陳士林, 李淑華. 美國“網絡風暴”系列演習概況及特點分析[J]. 外軍信息戰(zhàn), 2012 (4): 38-40