面向城市范圍真實網(wǎng)絡(luò)目標的攻防演練

李 俊

(貴州數(shù)安匯大數(shù)據(jù)產(chǎn)業(yè)發(fā)展有限公司 貴陽 550025)

(235819763@qq.com)

隨著信息技術(shù)的不斷發(fā)展，尤其是云計算、物聯(lián)網(wǎng)、人工智能等新興技術(shù)的快速發(fā)展，越來越多的數(shù)據(jù)資源匯聚在互聯(lián)網(wǎng)上，大數(shù)據(jù)正逐步成為國家重要的戰(zhàn)略資源[1].保障戰(zhàn)略資源效能最大化，更好地服務(wù)于國家政治、經(jīng)濟、軍事和民生福祉，安全是關(guān)鍵.大數(shù)據(jù)為經(jīng)濟社會發(fā)展注入新動能的同時，其安全關(guān)乎國計民生，安全問題也日益浮出水面.習近平總書記在2017年2月17日主持召開“國家安全工作座談會”時，著重強調(diào)了保障大數(shù)據(jù)安全的重要性，把大數(shù)據(jù)安全和關(guān)鍵信息基礎(chǔ)設(shè)施安全提到了同等高度[2].同年12月8日在“中共中央政治局第二次集體學(xué)習”會議上進一步強調(diào)要強化國家關(guān)鍵數(shù)據(jù)資源保護能力，增強數(shù)據(jù)安全預(yù)警和溯源能力[3]，足見大數(shù)據(jù)安全對國家的重要意義.

貴州省是全國首個大數(shù)據(jù)綜合試驗區(qū)，自2014年就開始在大數(shù)據(jù)領(lǐng)域先行先試.貴陽市作為貴州省省會，大力發(fā)展大數(shù)據(jù)產(chǎn)業(yè)，時至今日，貴陽的大數(shù)據(jù)產(chǎn)業(yè)發(fā)展已經(jīng)取得了舉世矚目的成績，“中國數(shù)谷”成為貴陽市一張嶄新靚麗的名片[4].安全與發(fā)展是一體之兩翼，驅(qū)動之雙輪，貴陽發(fā)展大數(shù)據(jù)產(chǎn)業(yè)的核心價值是數(shù)據(jù)集聚以及基于數(shù)據(jù)集聚所能產(chǎn)生的數(shù)據(jù)價值變現(xiàn)與輻射，大數(shù)據(jù)產(chǎn)業(yè)發(fā)展到一定階段，必然會帶來數(shù)據(jù)價值的安全保障問題，大數(shù)據(jù)安全成為大數(shù)據(jù)產(chǎn)業(yè)的生命線.大力發(fā)展大數(shù)據(jù)安全產(chǎn)業(yè)一方面能夠確保大數(shù)據(jù)產(chǎn)業(yè)造福社會、造福人民，使貴陽真正享受到大數(shù)據(jù)產(chǎn)業(yè)帶來的紅利；另一方面，大數(shù)據(jù)安全產(chǎn)業(yè)又能夠為大數(shù)據(jù)產(chǎn)業(yè)提供有力支撐，保障其健康有序的發(fā)展.

要發(fā)展安全產(chǎn)業(yè)，為大數(shù)據(jù)發(fā)展保駕護航，首先需要找準存在的安全問題.2016年，在公安部的大力支持和指導(dǎo)下，貴陽市委、市政府站在為國家網(wǎng)絡(luò)安全先行先試的立場上，以高度的責任意識和擔當啟動策劃“貴陽大數(shù)據(jù)及網(wǎng)絡(luò)安全攻防演練”活動，計劃連續(xù)3～5年，每年利用1周左右的時間，集中全國的優(yōu)秀攻防隊伍、領(lǐng)先安全廠商及相關(guān)資源，在貴陽經(jīng)濟技術(shù)開發(fā)區(qū)特定的環(huán)境內(nèi)，對貴陽地區(qū)乃至全國范圍的各類基于網(wǎng)絡(luò)與大數(shù)據(jù)應(yīng)用的目標展開攻擊與防護的應(yīng)急演練活動，最終在保障能力、安全人才、安全產(chǎn)業(yè)等多方面形成一系列實用價值高、示范意義大、影響輻射廣的運用成果.通過演練活動，快速發(fā)現(xiàn)存在的安全問題，不斷解決存在的問題，不斷推動大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展與運用[5].

1 貴陽演練模式與傳統(tǒng)安全演練的區(qū)別

傳統(tǒng)網(wǎng)絡(luò)安全演練一般采用虛擬仿真靶標進行，對于靶標而言，模擬程度越高所需成本越大，如果要對一個城市范圍內(nèi)上百個網(wǎng)絡(luò)目標建設(shè)高度仿真的虛擬靶標，其成本將難以承受；對于參與演練的隊伍而言，虛擬仿真靶標與真實業(yè)務(wù)系統(tǒng)始終存在差異[6].傳統(tǒng)網(wǎng)絡(luò)安全檢測也有使用黑客手段進行滲透測試的業(yè)務(wù)，但往往目標局限在特定的范圍內(nèi)，缺乏真實世界中黑客常常使用的跨站攻擊、旁路攻擊以及高級持續(xù)性攻擊等手段.此外，如何確保滲透測試行為不越界、不違法是個較為棘手的問題[7].

貴陽大數(shù)據(jù)及網(wǎng)絡(luò)安全攻防演練活動采取“實戰(zhàn)演練”的模式，搭建專用的實戰(zhàn)演練平臺，邀請國內(nèi)一流的數(shù)十支專業(yè)隊伍，在全程受控的條件下對城市范圍內(nèi)不同安全等級的真實網(wǎng)絡(luò)目標開展不同程度的滲透測試，同時獲得以下成果：

1) 發(fā)現(xiàn)問題.通過真刀真槍的實戰(zhàn)檢測，發(fā)現(xiàn)網(wǎng)站、大數(shù)據(jù)系統(tǒng)、云平臺、工控系統(tǒng)、關(guān)鍵信息基礎(chǔ)設(shè)施等信息系統(tǒng)實際的安全問題，尤其是傳統(tǒng)檢測手段難以發(fā)現(xiàn)的安全隱患，對防御水平進行驗證.同時，檢驗安全事件的發(fā)現(xiàn)能力和應(yīng)急處置能力，從實踐中檢驗相應(yīng)的安全理論與安全技術(shù)的正確性與適用性.

2) 鍛煉隊伍.對于滲透測試方，貴陽演練提供了大規(guī)模的真實網(wǎng)絡(luò)目標進行測試，是難得的實戰(zhàn)機會；對于目標單位和公安機關(guān)，演練也鍛煉了安全防護、應(yīng)急響應(yīng)、緊急處置等能力.

3) 意識警醒.信息系統(tǒng)的所屬單位對網(wǎng)絡(luò)安全，尤其是進入大數(shù)據(jù)時代后的網(wǎng)絡(luò)空間安全問題認識不足，缺乏安全意識，或者安全意識較為落后.通過貴陽演練，把安全問題以及可能造成的嚴重后果實際地展現(xiàn)出來，通過“觸目驚心”的結(jié)果促使各問題單位認識到安全問題的嚴重性和緊迫性，對安全水平提升起到推動作用.

4) 安全提升.貴陽演練不僅只是檢測，還包含由公安部門負責的針對發(fā)現(xiàn)問題的后續(xù)整改工作.通過后續(xù)整改，從主體責任、管理模式、資源投入、技術(shù)升級等多個方面對問題進行全面剖析和處理，切實提升安全防護水平.

5) 產(chǎn)業(yè)發(fā)展.安全問題的解決需要相應(yīng)的安全技術(shù)、產(chǎn)品和服務(wù).通過演練整改的契機，促進安全產(chǎn)業(yè)生態(tài)環(huán)境建設(shè)，從理論、技術(shù)、產(chǎn)品、應(yīng)用和服務(wù)等方面成體系化地實現(xiàn)供需增長和產(chǎn)業(yè)發(fā)展，吸引大數(shù)據(jù)安全產(chǎn)業(yè)企業(yè)的關(guān)注與投入，培養(yǎng)本地各層次安全人才，發(fā)展貴陽市大數(shù)據(jù)安全產(chǎn)業(yè).

2 攻防演練平臺架構(gòu)

貴陽演練平臺包括指揮系統(tǒng)、數(shù)據(jù)解析還原系統(tǒng)、毀傷評估系統(tǒng)等.

1) 演練平臺.其示意圖如圖1所示.

在圖1中，通常模式下，左側(cè)“被測目標區(qū)”為互聯(lián)網(wǎng)上的受測目標，右側(cè)“攻擊檢測區(qū)”為平臺內(nèi)發(fā)起滲透測試的攻擊方.當攻擊方準備發(fā)起某一項攻擊時，首先需要通過工單系統(tǒng)提交“攻擊工單申請”，其中包括目標地址、攻擊手段等信息.此工單申請經(jīng)由毀傷評估系統(tǒng)判斷通過后交由指揮系統(tǒng)處理，指揮系統(tǒng)控制安全網(wǎng)關(guān)使攻擊指令通過并發(fā)往受測目標.與此同時，攻擊指令的網(wǎng)絡(luò)流量將被數(shù)據(jù)解析還原系統(tǒng)完全地復(fù)制、分析并儲存，同時提交給上級監(jiān)管單位.

圖1 演練平臺示意圖

圖2 毀傷評估系統(tǒng)

在某些情況下，攻擊方與受測方位置可以互換，即從外部發(fā)起對演練平臺內(nèi)目標的攻擊測試.此時攻擊流量將通過數(shù)據(jù)解析還原系統(tǒng)進行分析并反饋至毀傷評估系統(tǒng)，再由毀傷評估系統(tǒng)控制網(wǎng)關(guān)，決定攻擊指令是否傳送至平臺內(nèi)目標.

2) 毀傷評估系統(tǒng).

圖2所示為毀傷評估系統(tǒng).當接收到攻擊指令后，毀傷自動評估工具將會調(diào)用“攻擊命令導(dǎo)致毀傷結(jié)果庫”和“被測目標基本信息庫”進行分析，如果毀傷結(jié)果超過被測目標所允許承受的程度，系統(tǒng)將自動否決本次攻擊行為并控制網(wǎng)關(guān)屏蔽相應(yīng)攻擊指令.如果攻擊指令不在“毀傷結(jié)果庫”之中，系統(tǒng)將會啟用“基于行為的攻擊分析庫”和“沙箱”對攻擊指令進行智能分析，得到攻擊指令可能造成的損毀程度.如果以上自動分析均無法得到，系統(tǒng)將啟動“人工毀傷評估系統(tǒng)”，由安全專家對攻擊指令進行人工分析，確保毀傷程度在可控范圍內(nèi).

3) 數(shù)據(jù)解析還原系統(tǒng).

圖3 數(shù)據(jù)解析還原系統(tǒng)

圖3所示為數(shù)據(jù)解析還原系統(tǒng).對經(jīng)過毀傷評估系統(tǒng)評估通過后的攻擊指令數(shù)據(jù)流量進行記錄和分析，同時對外部攻擊指令進行分析并將結(jié)果反饋到毀傷評估系統(tǒng).

3 演練組織架構(gòu)

1) 攻防演練指揮系統(tǒng).為了高效地指揮演練各項工作，成立演練指揮部.其中，由省市相關(guān)領(lǐng)導(dǎo)擔任指揮長，統(tǒng)籌各項工作開展.指揮長下設(shè)副指揮長、技術(shù)總顧問、現(xiàn)場技術(shù)總指揮，協(xié)助指揮長調(diào)度指揮部辦公室，協(xié)調(diào)相關(guān)資源和推動工作進程.指揮部辦公室下設(shè)9個工作組，具體負責相關(guān)工作的開展，如圖4所示：

圖4 演練指揮系統(tǒng)架構(gòu)示意圖

策劃組：負責演練技術(shù)方面的統(tǒng)籌策劃，指導(dǎo)演練方案的實施.

總評組：負責制定安全演練攻防能力與成果的評價標準與獎懲措施，對參賽各隊伍及相關(guān)人員進行考評.

技術(shù)組：負責演練過程中各項技術(shù)保障.

應(yīng)急響應(yīng)組：負責統(tǒng)籌、協(xié)調(diào)演練期間發(fā)生的突發(fā)事件的處置工作，及時控制和最大限度地降低信息安全突發(fā)事件的危害和影響；對檢測過程進行監(jiān)控，對未經(jīng)公安部門委托和審查備案的攻擊行為進行偵查打擊，負責攻防演練期間輿情監(jiān)控及引導(dǎo)，及時向上級反饋網(wǎng)絡(luò)輿情的有關(guān)問題.

綜合協(xié)調(diào)組：傳達落實指揮部下達的各項指令，負責統(tǒng)籌、協(xié)調(diào)演練期間的各項處置工作，協(xié)調(diào)各相關(guān)小組工作.

通信保障組：負責對攻防演練期間公用通信網(wǎng)、互聯(lián)網(wǎng)、專用通信網(wǎng)、互聯(lián)網(wǎng)域名和地址等資源進行分配，保障攻防隊伍、通信運營企業(yè)在攻防演練期間重點部位重要場所的通信暢通和通信安全.

電力保障組：負責攻防演練期間的供電保障，確?，F(xiàn)場電力的正常供應(yīng)，通信、網(wǎng)絡(luò)的穩(wěn)定運行，做好攻防演練期間對突發(fā)事件的電路安全保障工作.

宣傳組：負責制定宣傳計劃，利用傳統(tǒng)媒體和新媒體進行廣泛深層次的報道，擴大正面影響效應(yīng)，做好輿情掌控.

后勤保障組：負責活動場地、設(shè)備、交通、住宿、餐飲保障等演練活動的后勤保障工作.

2) 應(yīng)急處置流程.為了確保演練在安全可控的范圍內(nèi)進行，制訂完善的應(yīng)急處置流程，根據(jù)突發(fā)事件的性質(zhì)及具體情況采取不同措施進行響應(yīng).

當發(fā)生應(yīng)急事件時，監(jiān)測到報警后應(yīng)急響應(yīng)組將對事件嚴重程度進行劃分(4個級別)，對于一般程度事件由受測單位自行修復(fù)；較大程度事件由指揮部組織應(yīng)急力量協(xié)助受測單位修復(fù)；重大程度事件將組織省級應(yīng)急響應(yīng)力量進行處理；特別重大事件將發(fā)動全部力量進行處理，同時上報公安部，組織全國應(yīng)急力量緊急處置.同時，公安機關(guān)對安全事件立即調(diào)查取證，對違法行為進行追查打擊.處置完成后對結(jié)果進行確認，確認威脅事件處置完畢后即結(jié)束應(yīng)急處置流程，如圖5所示：

圖5 應(yīng)急響應(yīng)處置流程圖

4 演練取得的成效

2016年攻防演練集中了代表國內(nèi)一流水平的20支檢測隊伍和12支防守隊伍，5天時間內(nèi)通過多樣化的攻擊手段完成了1萬個網(wǎng)站的漏洞掃描和100個重點目標系統(tǒng)的攻防檢測，開展了電梯系統(tǒng)攻擊、戶外廣告大屏攻擊等熱點場景的網(wǎng)絡(luò)攻擊演示，形成了大量價值高、可利用的數(shù)據(jù)資源.演練結(jié)束后，貴陽市委、市政府以及公安部門召開專題會議，部署整改工作，為問題單位開出“通用藥方”和“專用藥方”，入駐企業(yè)積極參與整改工作提供產(chǎn)品和服務(wù)，圓滿完成整改任務(wù).

2017年攻防演練邀請了國內(nèi)一流的21支檢測隊伍和14支應(yīng)急響應(yīng)隊伍參加，組建了由被測目標單位安全運維機構(gòu)組成的36支防護隊伍.攻防演練活動用8天時間完成了1萬個網(wǎng)站的安全漏洞掃描、100個目標系統(tǒng)的安全整改復(fù)查、30個重點大數(shù)據(jù)目標系統(tǒng)的深度檢測、4個關(guān)鍵信息基礎(chǔ)設(shè)施的攻防對抗、10個省內(nèi)遠程目標與5個省外異地目標的安全檢測、6項安全熱點場景的演練拍攝，涵蓋貴陽市本地、省內(nèi)州市以及省外多個城市，涉及政府、金融、能源、教育、醫(yī)療、交通等多個行業(yè).演練內(nèi)容突出“城市網(wǎng)絡(luò)戰(zhàn)爭”的重點場景模擬，攻擊技術(shù)覆蓋了實施縱深攻擊的全部環(huán)節(jié)，取得了重大突破，體現(xiàn)了攻防對抗創(chuàng)新能力，在突破云防護、繞過防火墻、潛入復(fù)雜內(nèi)網(wǎng)等方面取得突破性進展.共發(fā)現(xiàn)378個高危漏洞，攻陷112個網(wǎng)絡(luò)目標，拿到網(wǎng)站最高權(quán)限達92個[8].

2次攻防演練驗證了貴陽城市網(wǎng)絡(luò)安全水平的整體提高.2016年攻防演練暴露出部分關(guān)系國家安全和民眾切身利益的信息系統(tǒng)存在嚴重安全隱患，經(jīng)過攻防演練的安全警醒和后續(xù)整改工作，2017年演練檢測結(jié)果顯示整體安全水平得到明顯提高.對1萬個網(wǎng)站的安全掃描顯示，存在中高危安全漏洞的網(wǎng)站占比由2016年的23%下降至19%;對100個重點目標的復(fù)查顯示，存在中高危安全漏洞的占比由2016年68%下降為29%，多數(shù)重點目標的網(wǎng)站部署了2016年整改提供的“通用藥方”，如云防護、WAF、終端安全等，對攻擊檢測行為反應(yīng)靈敏，可實施動態(tài)阻斷，整體安全防護能力明顯增強.

5 演練未來發(fā)展目標

貴陽大數(shù)據(jù)及網(wǎng)絡(luò)安全攻防演練已成功舉辦2次，受到專家和業(yè)內(nèi)人士的支持和肯定，取得良好的社會效益和產(chǎn)業(yè)聚集效果.今后，貴陽大數(shù)據(jù)及網(wǎng)絡(luò)安全攻防演練活動將不斷迭代升級，逐步形成一套科學(xué)可行的演練體系、操作流程、協(xié)作機制、平臺規(guī)范與評價指標，有效應(yīng)用于本區(qū)域大數(shù)據(jù)安全保障，持續(xù)提升綜合安全能力，并為大中城市有可能發(fā)生的大面積網(wǎng)絡(luò)攻擊事件摸索和積累應(yīng)對經(jīng)驗，進而為國家應(yīng)對網(wǎng)絡(luò)戰(zhàn)獲取和積累經(jīng)驗[9].

1) 常態(tài)化攻防演練.在現(xiàn)有年度性大規(guī)模演練基礎(chǔ)上，針對關(guān)鍵基礎(chǔ)設(shè)施等重要目標開展常態(tài)化、不定期的小規(guī)模演練，及時掌握重要目標安全防護水平.

2) 攻防演練“走出去”.2017年貴陽攻防演練已實現(xiàn)“走出去”突破，對貴州省外城市、地區(qū)的網(wǎng)絡(luò)目標成功實施遠程滲透測試，得到目標單位一致好評.未來，貴陽將面向全國開展合作，進一步向有需求的城市和地區(qū)提供攻防演練服務(wù).

3) 城市級網(wǎng)絡(luò)戰(zhàn)模擬.參考美國“網(wǎng)絡(luò)風暴”系列網(wǎng)絡(luò)安全演練活動，面對未來可能發(fā)生的大規(guī)模網(wǎng)絡(luò)攻擊事件展開模擬[10].測試相關(guān)政府部門、目標單位、安全廠商在面對極端網(wǎng)絡(luò)安全事件時的應(yīng)對處置能力，為大規(guī)模網(wǎng)絡(luò)安全攻防技術(shù)及理論研究提供支撐.

參考文獻

[1]懷進鵬. 大數(shù)據(jù)是國家戰(zhàn)略資源[J]. 中國經(jīng)濟和信息化, 2013 (8): 49-50

[2]薛濤. 習近平主持召開國家安全工作座談會[N/OL]. 新華社 (2017-02-17) [2018-04-15]. http://www.xinhuanet.com/politics/2017-02/17/c_1120486809.htm

[3]韓昊辰. 習近平主持中共中央政治局第二次集體學(xué)習[N/OL]. 新華社 (2017-12-09) [2018-04-15]. http://www.gov.cn/xinwen/2017-12/09/content_5245520.htm

[4]賈春娟. 貴陽: 正在崛起的“中國數(shù)谷”[J]. 人民文摘, 2015 (7): 12-14

[5]楊茜. 2016貴陽大數(shù)據(jù)與網(wǎng)絡(luò)安全攻防演練總結(jié)大會舉行[N/OL]. 中國新聞網(wǎng) (2016-12-29) [2018-04-15]. http://www.gz.chinanews.com/content/2016/12-29/70049.shtml

[6]程靜, 雷璟, 袁雪芬. 國家網(wǎng)絡(luò)靶場的建設(shè)與發(fā)展[J]. 中國電子科學(xué)研究院學(xué)報, 2014 (9): 446-452

[7]常艷, 王冠. 網(wǎng)絡(luò)安全滲透測試研究[J]. 信息網(wǎng)絡(luò)安全, 2012 (11): 3-4

[8]樊成瓊. 2017貴陽大數(shù)據(jù)及網(wǎng)絡(luò)安全攻防演練觀摩總結(jié)大會舉行[N/OL]. (2017-11-29) [2018-04-15]. http://www.gz.xinhuanet.com/2017-11/29/c_1122027443.htm

[9]王軍. 多維視野下的網(wǎng)絡(luò)戰(zhàn): 緣起、演進與應(yīng)對[J]. 世界經(jīng)濟與政治, 2012 (7): 80-98

[10]陳士林, 李淑華. 美國“網(wǎng)絡(luò)風暴”系列演習概況及特點分析[J]. 外軍信息戰(zhàn), 2012 (4): 38-40