典型政務應用平臺安全防護思路研究

李鐵錚 張 皓 佫文華 猛 虎 孔志鋼

1（北京市公安局大興分局 北京 102600）

2（中交機電工程局有限公司 北京 100088）

3（農信銀資金清算中心 北京 100029）

4（公安部第一研究所 北京 100044）

5（北京互聯(lián)云時代科技有限公司 北京 100024）（blackbear008＠qq．com）

隨著全球信息時代的到來，網(wǎng)絡成為國家第五大主權空間，控制網(wǎng)絡空間就可以控制國家的經(jīng)濟命脈、政治導向和社會穩(wěn)定［1］．世界各國圍繞網(wǎng)絡空間發(fā)展權、主導權、控制權的競爭日趨激烈，網(wǎng)絡空間正在加速演變?yōu)閼?zhàn)略威懾與控制的新領域、意識形態(tài)斗爭的新平臺、維護經(jīng)濟社會穩(wěn)定的新陣地、未來軍事角逐的新戰(zhàn)場．網(wǎng)絡安全關乎國家安全，牽一發(fā)而動全身，其戰(zhàn)略性、綜合性、基礎性地位作用日益凸顯［2］．

我國作為發(fā)展中的網(wǎng)絡大國，網(wǎng)絡安全形勢異常嚴峻．西方敵對勢力一直妄圖利用互聯(lián)網(wǎng)“扳倒中國”，多年前有西方政要就聲稱“有了互聯(lián)網(wǎng)，對付中國就有了辦法”［3］，反共黑客團體也利用網(wǎng)絡不斷向我國經(jīng)濟、社會、文化等各領域信息系統(tǒng)發(fā)起滲透攻擊．大量報道的網(wǎng)絡安全事件、事故已表明，互聯(lián)網(wǎng)已經(jīng)成為意識形態(tài)斗爭的最前沿、主戰(zhàn)場，成為國家安全面臨的“最大變量”，通過2017年5月發(fā)生的“永恒之藍”安全漏洞事件可以看出，網(wǎng)絡戰(zhàn)爭隨時可能開打，因政務網(wǎng)站和政務平臺的高戰(zhàn)略價值、高傳播效應，在網(wǎng)絡戰(zhàn)爭中首當其沖．為此，筆者通過真實雙向滲透攻擊國內某省政務內外網(wǎng)數(shù)據(jù)交換平臺為典型案例，討論政務平臺防護．

1 雙向滲透攻擊實驗

2018年5月，筆者所在團隊接到某省級政府職能部門（下稱甲方）的“護網(wǎng)2018行動”滲透實驗授權，在承建方（下稱乙方）不知情的情況下，針對甲方的政務外網(wǎng)數(shù)據(jù)交換平臺開展?jié)B透測試，此項目為某部屬全國試點項目．前期，團隊所有滲透人員通過互聯(lián)網(wǎng)對平臺網(wǎng)絡出口進行測試，在授權內的公網(wǎng)IP目標內只有一個家用路由器存在弱口令，可遠程登錄進行管理，從中可以看到若干Apple設備和其他辦公設備．因為授權問題，沒有對這些設備進行滲透．為此，滲透人員到甲方辦公內網(wǎng)向互聯(lián)網(wǎng)方向進行滲透，目標是在辦公內網(wǎng)上訪問互聯(lián)網(wǎng)．

圖1 國內某省數(shù)據(jù)交換平臺滲透路線

1．1 平臺滲透情況

1．1．1 辦公內網(wǎng)區(qū)信息收集與邊界設備攻擊

通過甲方授權，筆者等滲透人員在甲方辦公內網(wǎng)上開展工作，對指定IP段內的網(wǎng)絡設備進行掃描與信息收集．通過團隊多人1周的努力，利用“永恒之藍”漏洞拿下10余臺乙方運維人員的工作終端，同時在網(wǎng)絡中發(fā)現(xiàn)1臺FTP服務器存在匿名登錄漏洞，共收集到數(shù)十GB的高價值信息，包括此項目方案書、各子系統(tǒng)維護手冊、用戶名和密碼、甲乙雙方的部分人員學歷證書、照片、工作文檔等信息，其中對滲透最有幫助的文件是系統(tǒng)平臺架構圖和平臺內各運營、監(jiān)控系統(tǒng)的運維手冊．通過分析獲取的信息，滲透人員首先對Ⅰ，Ⅱ區(qū)邊界上的2個審核服務器進行了攻擊，具體是通過此業(yè)務審核服務器上Web中間件的struts2遠程執(zhí)行（RCE）漏洞，上傳了Linux SSH遠程登錄認證文件到?root?．ssh?authorized＿keys，使用了Linux SSH遠程登錄的密鑰驗證授權機制，拿到了此服務器的root遠程權限，即操作系統(tǒng)shell腳本．從而發(fā)現(xiàn)此服務器只通過Web和軟件過濾了Ⅰ區(qū)和Ⅱ區(qū)的業(yè)務邏輯流，并沒有過濾兩區(qū)間的網(wǎng)絡數(shù)據(jù)流，筆者在此服務器進行相關軟件部署和配置，可在Ⅰ區(qū)的主機上訪問到Ⅱ區(qū)的網(wǎng)絡，完全打通Ⅰ區(qū)和Ⅱ區(qū)縱深隔離［4］．

1．1．2 數(shù)據(jù)交換區(qū)信息收集

利用上面提到的業(yè)務審核服務器作為跳板，滲透人員對Ⅱ區(qū)內的幾個IP段上的設備進行了掃描和信息收集，結合在FTP服務器里收集到的各種密碼，利用1周時間暴力破解出了Ⅱ區(qū)50多臺服務器的root，administrator密碼，拿到了這些服務器的操作系統(tǒng)shell腳本．滲透人員在這50多臺服務器上并沒有找到對下一步滲透有幫助的高價值信息．通過幾天的努力，滲透人員在對這些服務器進行了下一層網(wǎng)絡設備的掃描和信息收集，發(fā)現(xiàn)與“應用服務器1”進行數(shù)據(jù)通信的網(wǎng)絡設備在此平臺運維管理系統(tǒng)中的設備對應，“應用服務器1”為滲透關鍵節(jié)點．但以此服務器為第2層跳板，繼續(xù)密碼暴力破解沒有成功［5］．筆者與團隊人員手工滲透同“應用服務器1”通信的Web服務器，發(fā)現(xiàn)“應用服務器2”的php代碼存在本地文件包含LFI（local file include）攻擊漏洞，即php著名的LFI漏洞，利用此漏洞，讀取到了“應用服務器2”上的?etc?shadow文件 ，即Linux操作系統(tǒng)用于保存用戶密碼密文的文件，從中得到了root的密碼hash值．在某部屬研究所攻防實驗室建立的hash密碼破解平臺幫助下，破解出root密碼．直接利用此密碼遠程登錄了“應用服務器2”［6］．

1．1．3 數(shù)據(jù)交換區(qū)的邊界設備攻擊

由于筆者與同事們在突破Ⅱ區(qū)與Ⅲ區(qū)的邊界時，花費了大量的時間和精力，因此特意提出一節(jié)進行詳細描述．滲透人員通過分析所有收集到的大量消息，決定集中滲透Ⅱ區(qū)和Ⅲ區(qū)邊界上的SSL VPN網(wǎng)關．

通過又1周左右時間的努力，VPN的SSH和Web登錄的密碼暴力破解均沒有成功．滲透團隊在此期間專門大力研究了此品牌型號的VPN后發(fā)現(xiàn)，其Web管理頁面存在越權訪問漏洞．可以越權訪問VPN后臺管理頁面，直接下載到了此款VPN的配置文件．從中，我們找到了配置文件里明文存儲的管理員用戶名和密碼，登錄VPN發(fā)現(xiàn)其具有執(zhí)行OS命令的功能，因沒有嚴格過濾用戶提交的內容，存在Linux多命令執(zhí)行漏洞［7］．使用第1步中的方法，直接通過root權限實現(xiàn)運程SSH免密碼登錄，并獲取了VPN通道的操作系統(tǒng)shell腳本．

1．2 移動互聯(lián)網(wǎng)區(qū)的設備滲透情況

因為授權時限問題及光單向傳輸設備的特點，團隊最終只在VPN上看到了Ⅲ區(qū)流向Ⅱ區(qū)的網(wǎng)絡流量，沒有最終滲透到Ⅲ區(qū)的設備．

至此，滲透團隊通過3周的努力，從甲方政務辦公內網(wǎng)區(qū)滲透到了移動互聯(lián)網(wǎng)區(qū)邊界，一共獲取了操作系統(tǒng)shell腳本和Web應用shell腳本近80個，高標準完成甲方要求，從軟件漏洞修復、服務器加固、平臺架構、設備安全配置等多方面，向甲方提出了高建設性、高價值建議．基于此次滲透任務情況，結合多年網(wǎng)絡攻防、等級保護的工作經(jīng)驗，筆者以攻擊者的角度談談政務平臺的防護思路．

2 典型政務平臺的防護思路

近年來，隨著我國社會進步和網(wǎng)絡技術水平提高，網(wǎng)絡安全被提升到國家安全的高度，政務平臺的安全直接關系到社會穩(wěn)定．隨著網(wǎng)絡安全技術的高速發(fā)展，管理與技術已成為網(wǎng)絡安全這架馬車的2個車輪，但在政務平臺防護工作中，管理不閉環(huán)、技術不到位的情況已經(jīng)成為常態(tài)，管理與技術2個車輪大小不同，造成政務平臺的網(wǎng)絡安全防護工作在不同半徑的圓上打轉．結合第1節(jié)中所提到的數(shù)據(jù)交換平臺的滲透內容，從管理和技術2個方面來闡述政務平臺的防護思想．

2．1 安全閉環(huán)管理

安全管理應當形成有效的閉環(huán)，在具體的實現(xiàn)上可以分成以下步驟進行．

2．1．1 安全管理的技術支持

目前，各政務平臺的主要負責人以70后、80后為主，這些部門領導在網(wǎng)絡安全管理方面基本上是套用了普通政務管理的經(jīng)驗與作法，在網(wǎng)絡安全管理方面找不到工作抓手．筆者在工作中聽到最多的管理思路是“三分技術、七分管理”．造成的結果是技術部門的領導在政務平臺安全管理方面找不到工作重點，沒有較強的技術實力和可靠技術思路應對網(wǎng)絡安全事件、事故，將安全管理工作“留于紙面”、“掛在墻面”，部分領導在工作過程中嚴重缺少網(wǎng)絡安全思維和技術思維，出現(xiàn)亂指揮、亂管理情況．筆者也曾目睹相關領導無力應對Wanna Cry病毒暴發(fā)緊急事件，部分管理人員僅關注政務平臺文檔審核，不關心平臺實際部署等情況．更有甚者，認為平臺外包給乙方，乙方會做好相關安全工作，自己只要關心平臺是否正常提供業(yè)務部門功能使用即可，網(wǎng)絡安全與自己無關，這些管理方式嚴重威脅到政務平臺安全，或者已經(jīng)造成嚴重的安全事件、事故．

筆者認為，在網(wǎng)絡安全形勢日益嚴峻的今天，政務平臺的安全管理工作應以毛澤東思想為指導，切實落實“黨要指揮槍”、“槍桿子里面出政權”這2點，政務人員需要掌控對政務平臺的安全管理，真實做到安全管理閉環(huán)．各類政務平臺的主要負責人應參照ISC2的信息系統(tǒng)安全專家認證（certified information systems security professional，CISSP）認證考試中涵蓋的10個考核方向，強化其所負責平臺的安全管理工作，這10個考核方向包括信息安全治理與風險管理、訪問控制、安全架構與設計、物理和環(huán)境安全、通信與網(wǎng)絡安全、密碼術、業(yè)務連續(xù)性與災難恢復、法律法規(guī)、軟件開發(fā)安全、安全運營［8］．政務平臺的主要負責人應當有能力通過技術方法對技術報告、文檔進行檢查、核實，至少要有與技術人員進行語言溝通的能力．也許有讀者認為這個要求太嚴格，但從震網(wǎng)病毒和WannaCry病毒等網(wǎng)絡安全事件來看，我國的網(wǎng)絡戰(zhàn)爭隨時開打，那時這些政務平臺的主要領導者將成為基層指揮員、首批防衛(wèi)者、反擊主力軍．

2．1．2 安全管理講究開放

由于政務平臺的特殊性，滲透人員在測試此類信息系統(tǒng)時，常被平臺主要負責人和平臺承建方認為是沒事找事，在給其工作成果、績效做減法．筆者在滲透上述數(shù)據(jù)交換平臺時，同樣遇到乙方的不支持、不配合，想必其他滲透測試團隊、安全研究團隊都遇到過這種情況．

筆者認為，信息系統(tǒng)的安全管理需要開放的態(tài)度，政務平臺的安全管理更加需要．政務平臺已是政府相關單位管理社會、服務民生的平臺，其重要性不必多說，單單從2016年美國大選期間的希拉里“郵件門”事件就不難看出網(wǎng)絡安全的重要．前述的數(shù)據(jù)交換平臺項目，甲乙方都認為平臺很安全，有相關安全經(jīng)驗的讀者可以看出，筆者所在團隊僅僅使用了公開的漏洞就滲透到了平臺Ⅱ區(qū)和Ⅲ區(qū)的邊界，甲方和筆者都感到震驚．打鐵還需自身硬，在網(wǎng)絡安全領域，1名黑客擊敗1支完整安全技術團隊的例子比比皆是，政務應用平臺安全管理的“千里之堤”，完全有可能潰于1個不起眼的“蟻穴”．絕大部分安全滲透的目的是為了政務平臺更加安全可靠，所以需要政務平臺的主要負責人轉變思想，以開放的態(tài)度看待各種網(wǎng)絡安全測試，才能使政務平臺更安全，最大程度抵御境外勢力攻擊．

2．2 技術防護工作

安全防護工作其實是一項很寬泛、很依靠責任心的技術工作，很難整體進行量化評估，需要技術人員針對自己實際工作需求，細化安全開發(fā)、安全運營、安全架構、設備安全配置等每一個安全選項．網(wǎng)絡安全界有個共同認識，世界上的網(wǎng)站只有2種：一種是自身已經(jīng)知道受到了黑客攻擊的網(wǎng)站；另一種是已經(jīng)受到黑客攻擊卻還不知道的網(wǎng)站［9］．因此，筆者結合上述對數(shù)據(jù)交換平臺的滲透，談談對安全技術到位的理解．

2．2．1 技術防護手段是閉環(huán)管理的重要組成部分

管理和技術是網(wǎng)絡安全這駕馬車的2個車輪，管理需要藝術，技術需要完美主義，同樣來不得半點馬虎．沒有技術支撐的管理工作就像把槍桿子給了別人，在網(wǎng)絡安全工作中會受到各種限制．筆者在與上述數(shù)據(jù)交換平臺的甲方溝通中發(fā)現(xiàn)，甲方更關心政務平臺的功能與業(yè)務效果，忽視核心技術掌握和安全防范技術，這就需要甲乙雙方的技術人員充分理解實際工作需求，或者由乙方引導甲方達成共同目標，使技術到位真正成為閉環(huán)管理里的組成部分，讓甲乙雙方更好地推動項目前進和網(wǎng)絡安全發(fā)展．甲方正是因為存在技術短板，不能與乙方在平臺的安全管理等方面有效溝通，從而造成管理不閉環(huán)，致使平臺存在安全風險．

2．2．2 甲方工程技術人員是技術防護的關鍵

2000年以來，各政府部門都在進行科技信息化建設，大部分都建立了自己的科技信息化部門，以信息系統(tǒng)建設、運營為主要工作內容，同時，每年有大批“211”和“985”高校的畢業(yè)生走進政府部門，其中計算機專業(yè)和網(wǎng)絡安全相關專業(yè)的畢業(yè)生不在少數(shù)，從網(wǎng)絡安全角度出發(fā)，這些體制內的技術人員是寶貴的財富．通常政府部門的業(yè)務人員很難將業(yè)務需求100%地準確傳遞給承建公司，在此過程中，需要內部的專業(yè)技術人員將業(yè)務需要轉化為開發(fā)人員能懂的語言和參數(shù)，從而將業(yè)務與承建企業(yè)連接起來．此時，體制內的技術人員就顯得尤為關鍵，他們需要內懂業(yè)務、外懂技術，充分發(fā)揮關鍵的橋梁作用，將安全管理與安全技術相統(tǒng)一，提高雙方溝通水平，相互促進，相互學習．筆者在滲透上述數(shù)據(jù)交換平臺時，就是在甲方使用和維護的FTP服務器中找到了滲透平臺關鍵的技術資料，成功滲透平臺內關鍵網(wǎng)絡邊界設備．同時，由于此平臺乙方在運營中，沒有及時上報因滲透造成的設備非正常宕機，沒有落實網(wǎng)絡安全責任，沒有及時發(fā)現(xiàn)、處置內網(wǎng)滲透行為，滲透測試人員才有機可乘．

2．3 技術防護工作的重要抓手

筆者在工作中，發(fā)現(xiàn)政務系統(tǒng)平臺的負責人在開展網(wǎng)絡安全防護工作時往往缺乏有效的抓手，難以有效開展網(wǎng)絡安全防范工作．針對上述數(shù)據(jù)交換平臺具體情況，筆者團隊根據(jù)多年的工作實踐，總結出6類管用的工作抓手．

2．3．1 重視網(wǎng)絡安全人才專業(yè)技術培養(yǎng)

說到底，網(wǎng)絡安全防護工作拼的是人才——網(wǎng)絡人才．網(wǎng)絡安全人才技術培養(yǎng)是一個需要長時間刻苦學習的艱難過程，是有專門的安全體系理論可參考學習的，比如注冊云系統(tǒng)安全專家（CCSSP）、注冊信息系統(tǒng)安全專家（CISSP）、數(shù)據(jù)庫管理員（DBA）、滲透測試工程師（PTE）等網(wǎng)絡安全認證課程．

2．3．2 加強網(wǎng)絡安全設備的管理與使用

網(wǎng)絡安全設備是必要的，但不是起決定作用的，安全是相對的、動態(tài)的、發(fā)展的．通過新聞媒體和網(wǎng)絡安全通報，安全人員每天都能獲得大量涉及網(wǎng)絡安全的新聞和消息，需要針對平臺情況及時更新網(wǎng)絡設備配置，動態(tài)提升平臺安全水平，不能迷信網(wǎng)絡安全設備，不能想當然地、一味地通過購買設備達到安全需要．

2．3．3 加強代碼方面的安全開發(fā)與安全審計

一般的軟件開發(fā)公司沒有專門的代碼安全審計崗位或部門，常用方法是軟件研發(fā)人員相互間的代碼交叉審計，很難保證軟件質量與強壯．為此，需要針對政務平臺的關鍵服務、邊界安全設備進行安全審計，復查關鍵代碼，將可能存在漏洞的代碼進行安全優(yōu)化，不必要的代碼或服務去掉，網(wǎng)站后臺路徑、管理員賬號、密碼等盡可能修改復雜一些，相關資料要嚴格保密［10］．同時注意關注編程語言、服務中間件的安全公告牌，國內外各安全團隊發(fā)布的網(wǎng)絡安全通報等，及時升級、更新、加固政務平臺內的服務軟件．

2．3．4 加強操作系統(tǒng)管理

及時更新、升級服務端和用戶終端的操作系統(tǒng)，在日常運行中要特別注意賬戶權限的有限控制和登錄審計，強制用戶定期更改管理員密碼，防范密碼被暴力破解．

2．3．5 加裝入侵檢測系統(tǒng)和勢態(tài)感知設備

按照國家電子政務外網(wǎng)管理中心《關于加快推進國家電子政務外網(wǎng)安全等級保護工作的通知》（政務外網(wǎng)〔2011〕15號）文件的相關要求，在關鍵節(jié)點安裝入侵檢測系統(tǒng)（IDS）設備或“網(wǎng)防G01”綜合防護系統(tǒng)［11］，對數(shù)據(jù)交換平臺實施保護，及時發(fā)現(xiàn)和處置網(wǎng)絡攻擊，防止有害信息傳播，提高對網(wǎng)絡攻擊、病毒入侵、網(wǎng)絡失竊密的防范能力，切實落實網(wǎng)絡安全責任，有效提升平臺網(wǎng)絡安全．

2．3．6 及時達成各類安全整改目標

經(jīng)常組織技術力量，對平臺開展遠程技術檢測、滲透攻擊測試，及時發(fā)現(xiàn)安全問題與隱患．同時積極與屬地公安機關聯(lián)系，按照公安機關等級保護檢查與備案工作要求，對數(shù)據(jù)交換平臺進行整改，及時達成整改目標［12］．

3 結束語

綜上所述，政務平臺的防護其實就是做到管理閉環(huán)、技術到位，管理與技術2個車輪以相同直徑支持網(wǎng)絡安全這架馬車直線進行．網(wǎng)絡安全的核心就是人才的比拼，政務平臺的責任人需要加強網(wǎng)絡安全技術學習和人才培養(yǎng)，同時需要以一種開放的態(tài)度看待網(wǎng)絡滲透工作，滲透測試團隊的主要目的是與授權方一同發(fā)現(xiàn)、解決網(wǎng)絡安全問題，為政務平臺的網(wǎng)絡安全做加法．通過此次任務，滲透團隊的小伙伴們收獲很多，親身經(jīng)歷了大縱深、多分區(qū)防御下的滲透過程，筆者也體驗網(wǎng)絡特種作戰(zhàn)，為日后學習、研究找到了方向．

致謝特別感謝公安部第一研究所網(wǎng)絡攻防實驗室全體成員，在此次論文撰寫過程中給予的無私幫助！