貴陽實(shí)網(wǎng)攻防演練的啟示與思考

□ 陸寶華 錢曉斌

“沒有網(wǎng)絡(luò)安全就沒有國家安全”，我們的網(wǎng)絡(luò)安全保護(hù)工作已經(jīng)開展了20多年了，那么網(wǎng)絡(luò)安全的保護(hù)水平究竟怎么樣呢，貴陽市2016年和2017年開展了2次以實(shí)網(wǎng)為目標(biāo)的攻防演練，揭開了冰山的一角。從而不僅發(fā)現(xiàn)了網(wǎng)絡(luò)安全保護(hù)存在的薄弱環(huán)節(jié)，也帶給了我們?cè)S多啟示和思考。

某網(wǎng)站日語版面被黑客攻陷了半年之久，運(yùn)營者卻毫不知情；某郵件系統(tǒng)長期被攻擊者控制；某系統(tǒng)被黑客控制，并以此為跳板向境外傳輸數(shù)據(jù)……，這是筆者20余年網(wǎng)絡(luò)安全工作中所發(fā)現(xiàn)問題的冰山一角。“該花的錢都花了，該部署的安全設(shè)備都部署了，就應(yīng)該安全了”，持類似錯(cuò)誤觀念的網(wǎng)絡(luò)運(yùn)營者并不在少數(shù)。2016年3月，時(shí)任貴陽市委書記陳剛同志在調(diào)查研究的基礎(chǔ)上作出一個(gè)基本判斷：當(dāng)前網(wǎng)絡(luò)安全的狀況是“弱不禁風(fēng)，而感覺良好；重病纏身，而渾然不知”。基于此判斷，貴陽市于2016年12月組織開展了第一屆面向真實(shí)系統(tǒng)的“貴陽大數(shù)據(jù)與網(wǎng)絡(luò)安全攻防演練”。時(shí)至今日，貴陽實(shí)網(wǎng)攻防演練已經(jīng)舉辦了2屆。2017年12月，在第二屆“貴陽大數(shù)據(jù)與網(wǎng)絡(luò)安全攻防演練”的總結(jié)大會(huì)上，現(xiàn)任貴陽市委書記李再勇同志要求堅(jiān)持攻防演練常態(tài)化，并努力形成貴陽標(biāo)準(zhǔn)。2年來，貴陽實(shí)網(wǎng)攻防演練發(fā)現(xiàn)和解決了大量問題，同時(shí)也不斷面臨著新的挑戰(zhàn)。本文從實(shí)網(wǎng)演練策劃和組織者的角度提出一些思考，希望能對(duì)讀者有所啟示。

實(shí)網(wǎng)攻防演練的難點(diǎn)及其解決思路

面向真實(shí)系統(tǒng)的網(wǎng)絡(luò)攻防演練，其難點(diǎn)在于風(fēng)險(xiǎn)控制。概言之，面臨的主要風(fēng)險(xiǎn)點(diǎn)包括：由誤操作或違規(guī)操作導(dǎo)致被檢測(cè)方系統(tǒng)出現(xiàn)重大的安全事故；演練結(jié)束后未按要求撤出，繼續(xù)控制被檢測(cè)系統(tǒng)甚至竊取相關(guān)數(shù)據(jù)；演練期間，非參演單位或個(gè)人對(duì)參演系統(tǒng)開展攻擊行為；應(yīng)急預(yù)案設(shè)置不當(dāng)或未按應(yīng)急預(yù)案處置，導(dǎo)致被檢測(cè)系統(tǒng)出現(xiàn)重大安全事故；被檢測(cè)系統(tǒng)演練之前運(yùn)行狀態(tài)不正常，在未作標(biāo)識(shí)情況下參加演練，活動(dòng)結(jié)束后無法界定故障原因，導(dǎo)致責(zé)任糾紛；被檢測(cè)方在演練期間內(nèi)遭受損失，引發(fā)法律糾紛；被檢測(cè)方在演練結(jié)束后遭到入侵，導(dǎo)致?lián)p失，引起法律糾紛；其他未預(yù)料到的可能發(fā)生的安全事件。通過對(duì)上述風(fēng)險(xiǎn)點(diǎn)的分析，我們認(rèn)為核心的風(fēng)險(xiǎn)主要來源于2個(gè)方面：一是演練的攻擊團(tuán)隊(duì)的違規(guī)操作或誤操作，二是在演練期間渾水摸魚的非法入侵者。

對(duì)于第1類風(fēng)險(xiǎn)，用保密協(xié)議來約束是不能完全起到作用的，必須用技術(shù)手段進(jìn)行有效的控制。為了控制這類風(fēng)險(xiǎn)，演練的組織者設(shè)計(jì)了由總指揮系統(tǒng)、分光設(shè)備、安全網(wǎng)關(guān)、工單系統(tǒng)和毀傷評(píng)估系統(tǒng)構(gòu)成的風(fēng)險(xiǎn)管控平臺(tái)。所有演練行為都需要通過管控平臺(tái)實(shí)施，即每個(gè)發(fā)起攻擊的滲透人員都將攻擊目標(biāo)、任務(wù)、工具、方法等一系列“分解動(dòng)作”以工單的形式在總指揮系統(tǒng)報(bào)備，毀傷評(píng)估系統(tǒng)對(duì)擬實(shí)施行為進(jìn)行評(píng)估（包括智能評(píng)估和人工評(píng)估）后，由安全網(wǎng)關(guān)對(duì)攻擊行為進(jìn)行控制。同時(shí)，安全網(wǎng)關(guān)對(duì)全網(wǎng)流量進(jìn)行大數(shù)據(jù)分析，從中提取攻擊者行為數(shù)據(jù)，與工單進(jìn)行比較，發(fā)現(xiàn)嚴(yán)重不一致時(shí)會(huì)告警同時(shí)關(guān)閉該攻擊者的攻擊路徑。

對(duì)于第2類風(fēng)險(xiǎn)，演練的組織者會(huì)同貴州省公安廳、貴陽市公安局制定了3級(jí)應(yīng)急響應(yīng)機(jī)制。第1級(jí)是各被測(cè)試單位，他們組織相關(guān)的技術(shù)支持單位，對(duì)可能發(fā)生的安全事件制定預(yù)案，進(jìn)行響應(yīng)；第2級(jí)是由貴州省公安廳、貴陽市公安局組建的演練指揮部應(yīng)急響應(yīng)指揮組，組織相關(guān)的各技術(shù)支持隊(duì)伍和攻防隊(duì)伍實(shí)施應(yīng)急響應(yīng)；第3級(jí)是在發(fā)現(xiàn)更大規(guī)模的網(wǎng)絡(luò)攻擊時(shí)上報(bào)公安部，組織全國的力量進(jìn)行應(yīng)急響應(yīng)。

實(shí)網(wǎng)攻防演練發(fā)現(xiàn)的問題

一是網(wǎng)絡(luò)運(yùn)營者的安全意識(shí)亟待提高。對(duì)于決策者，普遍存在的問題是對(duì)網(wǎng)絡(luò)安全重視程度不夠，往往認(rèn)為所運(yùn)營的網(wǎng)絡(luò)系統(tǒng)沒有重要信息，被攻擊的可能性不大，因而忽視基本的網(wǎng)絡(luò)防護(hù)，甚至不設(shè)防。對(duì)于技術(shù)人員來說安全意識(shí)不強(qiáng)并伴隨著能力不足，甚至不具備基本的網(wǎng)絡(luò)安全常識(shí)，比如大量存在的弱口令問題。

二是網(wǎng)絡(luò)運(yùn)營者對(duì)供應(yīng)鏈把控不嚴(yán)。一些政府部門在網(wǎng)站開發(fā)建設(shè)前對(duì)開發(fā)商不作資質(zhì)審查，在建設(shè)過程中不提要求不作檢查；而開發(fā)商為了降低成本，使用同一個(gè)模板僅作簡單的處理，不考慮任何安全機(jī)制就將網(wǎng)站上線。

三是個(gè)別網(wǎng)絡(luò)運(yùn)營者諱疾忌醫(yī)、怕檢測(cè)，采用類似于“拔插頭”的方式消極抵抗。

四是相當(dāng)多的網(wǎng)絡(luò)運(yùn)營者只注意防外，而忽視防內(nèi)，或者認(rèn)為物理隔離就可以高枕無憂。

實(shí)網(wǎng)攻防演練的最終目的

實(shí)網(wǎng)攻防演練的最終目的在于“以攻促防”。在攻防演練過程中，攻擊者主要采用滲透性檢測(cè)方法，通過滲透性測(cè)試先于入侵者發(fā)現(xiàn)漏洞，盡可能減少入侵者的機(jī)會(huì)。通過2屆攻防演練這一價(jià)值已經(jīng)得到了證實(shí)。但是，滲透性測(cè)試不是萬能的，萬不能用滲透性測(cè)試替代其他的測(cè)評(píng)，如等級(jí)保護(hù)的測(cè)評(píng)工作。原因在于網(wǎng)絡(luò)攻擊利用的是若干個(gè)存在脆弱性的點(diǎn)，其面向的是一條“線”，而網(wǎng)絡(luò)防御者需要考慮的是全面的、縱深的系統(tǒng)性問題，其面向的是一個(gè)“面”。對(duì)滲透測(cè)試人員來說，利用某個(gè)漏洞獲取了系統(tǒng)的權(quán)力，他的任務(wù)就完成了。即便發(fā)現(xiàn)的漏洞得到了修補(bǔ)，也不意味著其他的漏洞不能再被利用了。因此，對(duì)于重要信息系統(tǒng)，按照等級(jí)保護(hù)的要求系統(tǒng)性地開展網(wǎng)絡(luò)安全建設(shè)工作是十分必要的。

等級(jí)保護(hù)是一個(gè)科學(xué)的體系，如果能嚴(yán)格地按照等級(jí)保護(hù)的要求來對(duì)系統(tǒng)進(jìn)行加固，那么被滲透的可能性也會(huì)減少很多。應(yīng)該看到，安全漏洞是無法窮盡的。目前，對(duì)漏洞的挖掘還大多是停留在軟件的錯(cuò)誤方面，對(duì)于硬件本身存在的漏洞和系統(tǒng)中可能存在的隱蔽信道問題，還沒有真正意義上的標(biāo)識(shí)，也沒有進(jìn)行過相應(yīng)的計(jì)算。單純地依靠及時(shí)發(fā)現(xiàn)漏洞來減少入侵者攻擊的思路需要調(diào)整。假定入侵者能發(fā)現(xiàn)漏洞，如何讓漏洞無法被利用，從而保護(hù)好系統(tǒng)的完整性，這種系統(tǒng)保護(hù)的思路是值得探討的。強(qiáng)制訪問控制能夠在一定程度上實(shí)現(xiàn)這樣的思想。沈昌祥院士的可信計(jì)算也可以從保護(hù)系統(tǒng)完整性的角度出發(fā)，來捍衛(wèi)系統(tǒng)，讓系統(tǒng)“帶著漏洞”安全地工作。

筆者的一個(gè)觀點(diǎn)是，安全的根本任務(wù)是要解決“正確的授權(quán)行為”問題。這一安全命題包含了3層意思：一是行為應(yīng)該是經(jīng)過授權(quán)的，二是這個(gè)授權(quán)應(yīng)該是正確的，三是這個(gè)正確的授權(quán)是有保障機(jī)制的，也就是說授權(quán)機(jī)制是不能被繞過或者其他方式導(dǎo)致的失效。針對(duì)正確授權(quán)不妨進(jìn)一步展開理解。首先，不會(huì)對(duì)其他主體的利益產(chǎn)生侵害的行為，不需要授權(quán)或者叫作缺省授權(quán)。其次，對(duì)可能導(dǎo)致對(duì)其他主體利益產(chǎn)生侵害的行為必須經(jīng)過授權(quán)。由于對(duì)主體利益的侵害實(shí)際上是通過對(duì)客體的侵害所導(dǎo)致的，因此正確的授權(quán)就是限制主體對(duì)客體的訪問。要確保這種限制的正確性：一是需要保證最小授權(quán)原則，也就是說，給定某個(gè)主體的權(quán)利剛好能滿足他完成相應(yīng)的任務(wù)，而且僅僅能滿足他完成任務(wù)；二是要保證給定的授權(quán)應(yīng)該與客體的保護(hù)需求（屬性）相匹配。這一點(diǎn)在目前的等級(jí)保護(hù)工作中多被忽視。這首先是國家標(biāo)準(zhǔn)《信息安全等級(jí)保護(hù)基本要求》（GB/T22239）中沒有給予明確說明所導(dǎo)致的，同時(shí)也與從事等級(jí)保護(hù)工作的相關(guān)人員對(duì)等級(jí)保護(hù)的原理沒有真正搞清楚有關(guān)。數(shù)據(jù)的安全屬性決定了整個(gè)系統(tǒng)的安全需求，并且必須由它作為依據(jù)來確定整體的保護(hù)策略，并用這個(gè)策略來指導(dǎo)系統(tǒng)的各個(gè)層面的防護(hù)。而這一點(diǎn)恰恰被忽略了許多年，這也是我們?cè)诎踩矫嫱度肱c實(shí)效不對(duì)等的原因之一。

總結(jié)和提高

貴陽市面向真實(shí)網(wǎng)絡(luò)開展攻防演練在國內(nèi)屬于首次。主辦方本著先行先試的精神，勇于開拓創(chuàng)新、不懼怕?lián)?zé)任，通過舉辦實(shí)網(wǎng)攻防演練發(fā)現(xiàn)和解決了大量現(xiàn)實(shí)存在的網(wǎng)絡(luò)安全問題，同時(shí)也對(duì)于國家網(wǎng)絡(luò)安全保護(hù)工作提供了大量可供參考和借鑒的經(jīng)驗(yàn)，意義重大、價(jià)值獨(dú)特，應(yīng)該持續(xù)堅(jiān)持、探索下去。但也不能過分夸大攻防演練的作用，甚至完全用攻防演練來取代其他測(cè)評(píng)方式。

貴陽的實(shí)網(wǎng)攻防演練已經(jīng)舉辦了2屆，取得了不少成果與經(jīng)驗(yàn)。但值得研究和提高的地方還有很多：一是攻防演練的對(duì)抗層級(jí)還未達(dá)到預(yù)期，戰(zhàn)略戰(zhàn)役戰(zhàn)術(shù)的分層調(diào)度與聯(lián)合作戰(zhàn)模式值得不斷探索；二是攻防演練過程中，防守團(tuán)隊(duì)能做的事情非常受限，因此攻方一直處于主動(dòng)地位，另外，團(tuán)隊(duì)之間的配合可以進(jìn)一步加強(qiáng)，以形成聯(lián)合作戰(zhàn)的模式，體現(xiàn)戰(zhàn)略、戰(zhàn)役、戰(zhàn)術(shù)思想；三是跨網(wǎng)攻擊還沒有形成，雖然我們常說物理隔離并不能保證不受攻擊，但是在我們檢測(cè)中還沒有利用社工、聲波、電網(wǎng)、無線感應(yīng)等方式實(shí)現(xiàn)跨網(wǎng)攻擊；四是在網(wǎng)絡(luò)上通過搭線進(jìn)行數(shù)據(jù)竊聽，或者重放攻擊等類型的測(cè)試也沒有開展；五是應(yīng)急響應(yīng)還沒有真正的開展起來。由于2次演練都沒有發(fā)生嚴(yán)重的安全事件，所以應(yīng)急響應(yīng)并沒有真正的開展。在后續(xù)的演練中應(yīng)考慮設(shè)計(jì)這樣的場(chǎng)景，檢驗(yàn)應(yīng)急響應(yīng)預(yù)案和執(zhí)行情況。