鐵路網絡安全攻防實戰演練研究

李向陽，譚 劍，馬曉雅

（中國鐵路信息科技集團有限公司 網信安全處，北京 100844）

《中華人民共和國網絡安全法》于2016年11月7日正式通過，并于2017年6月1日起施行，明確要求關鍵信息基礎設施的運營者需制定網絡安全事件應急預案，并定期進行網絡安全應急演練[1]。2016年，由國家相關部門牽頭組織、面向關鍵信息基礎設施運營方開展的全國大型攻防實戰演練活動正式開啟，參與者從最初僅幾家單位發展為百余家單位。攻防演練從內容和形式上也經歷了幾次優化迭代，演練頻次已趨于常態化，標志著我國網絡安全建設逐漸步入實戰化階段。

鐵路作為國家重要的交通設施和經濟發展的大動脈，其關鍵信息基礎設施和重要信息系統的安全運行至關重要[2]。為更好、更有效地應對有組織、持續性的網絡攻擊和威脅，需建設攻防兼備的網絡安全技戰隊伍，提升實戰化網絡安全保障能力。

本文介紹了攻防演練的定義，總結攻擊方常用的攻擊方法和防守方常用的防御方法，以及鐵路攻防演練的經驗，為提升鐵路安全防護能力提供參考。

1 攻防演練概述

1.1 攻防演練定義

一般情況下，攻防演練會設立攻擊方和防守方。攻防演練是指攻擊方在不影響企業正常業務系統運行的前提下，以獲取特定目標系統管理權限為目標，針對防守方從多角度、多方面進行的盡可能貼近真實的模擬攻擊入侵。防守方通過設備監測、日志及流量分析等手段，監測攻擊行為并進行處置，從而檢驗防守方的安全建設現狀，鍛煉應急響應能力。部分情況下會設立中立方（即裁判組），以確保攻擊方和防守方在遵守規則的前提下開展攻防演練。攻防演練組織架構如圖1所示。

圖1 攻防演練織架構

1.2 鐵路網絡攻防演練現狀

2018年起，中國國家鐵路集團有限公司（簡稱：國鐵集團）作為防守方參與由國家相關部門牽頭組織的網絡安全攻防實戰演練活動，逐漸建立了高效的上下聯動架構，指揮部為國鐵集團，工作組為國鐵集團所屬各單位。在此過程中，國鐵集團形成了完善的攻防演練工作機制：事先組織開展鐵路內部網絡安全攻防演練，提前摸底排查隱藏問題；建立了7×24 h現場值守工作機制，確保問題被及時發現、立即處置；堅持在演練結束后進行總結復盤，全面梳理薄弱面，及時完善應急預案。

國鐵集團各單位在實戰中逐步落實“三化六防”體系要求[3]，以“實戰化、體系化、常態化”為新理念，以“動態防御、主動防御、縱深防御、精準防護、整體防護、聯防聯控”為新舉措，發現并解決鐵路關鍵信息基礎設施和重要信息系統存在的突出問題，進一步完善鐵路網絡安全格局。

2 攻防演練常用方法

通過演練活動，攻擊方和防守方的技戰法都在相互博弈中日漸精進。2020年前，攻擊方的常規思路是以Web為入口，直接突破企業防線；2020年起，釣魚郵件、供應鏈、零日漏洞等多樣化攻擊手段層出不窮，推動防守方逐漸加強信息系統各組成部分的安全防護，包括應用、網絡邊界、網絡、操作系統、中間件等，以網絡邊界安全為中心，逐步向數據安全、云計算安全、應用安全等方向發展。

2.1 主要攻擊方法

2.1.1 Web應用攻擊

Web應用攻擊是最常見的攻擊手段之一。攻擊者只需從互聯網遠程對目標發起攻擊，就能達到獲取數據、執行命令、控制服務器等目的[4]。同時，Web應用攻擊方法也在不斷演化，攻擊面除了傳統的Web應用系統，還加入了移動端App，如微信公眾號等。攻擊手法除利用弱口令、文件上傳、結構化查詢語言（SQL，Structured Query Language）注入等常規漏洞外，反序列化代碼漏洞所占比重逐漸增大。該方法使攻擊者可在龐大的Web資產列表中迅速找到可突破的地方。

2.1.2 釣魚郵件攻擊

釣魚郵件攻擊指通過郵件、微信、電話等方式誘導防守方人員點擊惡意鏈接或打開惡意文檔，從而直接獲取辦公終端權限的攻擊方法，通常結合木馬免殺進行[5]。攻擊方人員收集防守方人員的聯系方式等信息，精心準備相應話術，誘導內部人員點擊，從而進入內部網絡進行橫向攻擊，獲取大量數據。目前，已出現針對特定防守方人員進行的釣魚攻擊，也稱為魚叉攻擊，此類攻擊目標性更強、話術更具有迷惑性，故目標上鉤的可能性更大。

2.1.3 供應鏈攻擊

供應鏈攻擊是指針對開發人員和供應商開展的攻擊，一個信息系統從開發到交付運行過程中，每個被忽視的安全細節都可能成為風險點。由于供應商給防守方進行軟件開發和系統運營維護等行為時均存在直接連通網絡的情況，攻擊者可從供應商入手，獲得源碼或挖掘零日漏洞，從而進行入侵，甚至可通過供應商直接連接至防守方的內部網絡。

2.1.4 內存馬攻擊

內存馬是無文件攻擊常用的一種方法[6]。傳統WebShell連接方式是通過某種漏洞，將惡意的腳本木馬文件上傳后，通過工具連接。近幾年防火墻、入侵檢測系統（IDS，Intrusion Detection System）、入侵防御系統（IPS，Intrusion Prevention System）、高級持續性威脅（APT，Advanced Persistent Threat）檢測、終端檢測和響應（EDR，Endpoint Detection and Response）系統等專業安全設備、系統被廣泛應用，傳統方式下的上傳WebShell或以文件形式駐留的后門易被專業安全防護設備捕獲、攔截，也易被殺毒軟件查殺。內存馬是無文件WebShell，在運行的服務中直接插入并執行WebShell，不存在實體文件，故給防守方檢測、攔截帶來巨大的難度。

2.1.5 零日漏洞攻擊

零日漏洞是指僅被某個機構或個人掌握、官方尚未發布修復措施的安全漏洞。因防守方尚未得知此漏洞的存在，未建立相應的防守規則和策略，利用零日漏洞攻擊通常具有較大的突發性、破壞性、致命性，成功率極高，且防守方不易監測，甚至直至漏洞公布之后才能發現被攻擊。當前，零日漏洞攻擊變得越來越頻繁。

2.2 主要防御方法

2.2.1 安全態勢感知

通過部署態勢感知系統，綜合全網流量數據、重要系統日志、各系統報警數據，開展全天候的網絡安全態勢監控，對內/外部安全態勢進行全局性的集中監測及分析[7]，及時感知、發現各種攻擊威脅與異常，進而對威脅相關的影響范圍、攻擊路徑、目的、手段進行快速判斷。

2.2.2 IPS監測和網絡流量監測

IPS監測是一種主動防御手段，對網絡攻擊行為進行實時入侵檢測，并實時進行監測策略優化。監控范圍通常覆蓋防守方互聯網、辦公網、生產網等重要網絡區域。

網絡流量監測指通過部署流量安全分析系統，利用鏡像將互聯網、辦公網、生產網等重要網絡區域的流量接入流量安全分析系統，并通過升級規則庫、本地策略優化等手段，有針對性地提升防守方對網絡攻擊行為的發現和預警能力。

2.2.3 流量攔截

流量攔截指安全設備在對網絡流量進行檢測時，發現流量中有攻擊行為后[8]，對攻擊行為進行的阻斷操作。一般的阻斷方式包括在網絡層發送傳輸控制協議傳輸控制協議（TCP，Transmission Control Protocol）的reset報文，在應用層發送HTTP的403/405狀態碼等。

2.2.4 主動防御

主動防御主要指防守方利用蜜罐誘捕攻擊方。蜜罐是一種在互聯網上精心布置的特定信息系統，以網絡服務或信息作為誘餌，誘使攻擊者開展攻擊。所有對蜜罐嘗試的行為都被視為可疑行為。防守方可提前預警、盡早處置并追蹤溯源。蜜罐主要包括仿真Web蜜罐、通用Web蜜罐、系統服務蜜罐和偽裝缺陷蜜罐等。

3 攻防演練經驗

在攻防演練的過程中，國鐵集團不斷優化防守方案、建立防守模型、總結實戰經驗。主要包括以下幾類重要的經驗。

3.1 加強員工網絡安全意識

在網絡實戰演練中，通過弱口令、釣魚攻擊、社會工程學、Wi-Fi入侵等攻擊成功的例子較多。為提高鐵路網絡安全防護能力，必須加強員工的網絡安全意識。日常工作中，員工須定期更新自己的終端設備密碼，增強密碼強度，杜絕弱口令[9]；使用郵件時，不輕易點開陌生郵件中的鏈接，不使用公共場所的網絡設備進行敏感操作，郵件中重要文件要做好防護；不輕易連接、使用免費Wi-Fi，及時關閉手機和電腦的無線局域網功能；對辦公區域的陌生面孔進行詢問，不隨意使用出現在自己身邊的陌生物品等[10]。

3.2 建立網絡資產臺賬并開展問題排查

鐵路系統網絡資產龐大，信息系統、設備數量巨大，面對復雜的網絡安全形式，建立網絡資產臺賬、針對不同資產逐步精細化管理非常必要。（1）在互聯網側對操作系統、應用、數據庫、虛擬專用網絡（VPN，Virtual Private Network）等資產要進行全面排查和安全評估，安全評估不達標的主機和應用須立即整改；（2）在鐵路內部網絡，針對信息系統、工控系統，以及托管在外的資產系統進行排查工作，明確資產歸屬和責任人；（3）對廢棄、無主、高危風險系統進行嚴格整改處理，對線上系統進行漏洞掃描，并及時修復高危漏洞；（4）有針對性地引入外部威脅情報庫，逐步實現威脅的定向清除。

3.3 構建聯防聯控機制

國鐵集團下屬單位眾多，攻擊者往往從鐵路站段、下屬公司等分支機構尋找突破口，進而層層突破，開展對國鐵集團的網絡攻擊。國鐵集團各單位和下屬機構間建立了高效的信息共享機制，建設專用溝通工具，實現一點發現、各單位快速反應的聯防聯控格局；在各層級的安全設備間共享威脅源，實現對威脅源的快速封禁。

3.4 收斂互聯網出口

對于火車站、貨運營業部等面向公眾的場所，須嚴格控制信息系統的部署范圍，切斷和鐵路生產業務無關的設備與鐵路內部網絡的連接。加強對售票機、取票機等面向公眾提供服務的設備設施的防護，杜絕網線、信號線無防護暴露在外的情況。對第三方機構的網絡接入，要部署防火墻、網閘、光閘等安全隔離措施，同時做好IP地址白名單的控制策略。加強供應鏈網絡安全管理，細致篩查為供應商、運營維護廠商開啟的VPN、遠程桌面、安全外殼協議（SSH，Secure Shell ）服務、系統特權賬號口令，全面清理遠程接入服務和賬號。

4 結束語

本文介紹了攻防演練定義、常見攻擊手段和防御手段，并對國鐵集團參與攻防演練的實戰經驗進行了梳理。經過網絡攻防實戰化演練，鐵路企業建立了聯防聯控機制，采取了主動防御措施，提升了鐵路網絡安全防護能力。未來，鐵路企業須繼續組織、參加攻防演練，持續完善鐵路網絡安全防御體系建設，提升鐵路網絡安全全方位防御能力。