紅藍對抗與安全督查融合探索

張啟芳，解梁軍，葛網華

（上海室電力公司電力科學研究院 上海 200237）

在當前復雜嚴峻的信息安全形勢，和新形勢下國家對網絡信息安全要求[1]，2014年公司《關于開展網絡安全攻防（紅藍）演習工作的緊急通知》實施為契機，基于多年信息安全督查實踐探索，在國網公司以及國網上海市電力公司對信息安全督查工作的指導下，圍繞“消除短板，以攻促防”的工作目標，積極開展紅藍對抗與信息安全督查整合實踐，配合國網公司開展信息安全防護演練，并檢驗本單位對網絡安全威脅的預警發現和應急處置機制和安全事件的分析研判和指揮協調能力，深化信息安全技術督查工作，督促國網上海市電力公司各基層單位落實各項信息安全管理要求和技術保障措施，提升信息安全防護水平，確保各基層單位做到信息安全“八不準”和“三個不發生”。在紅藍對抗促進信息安全督查[2]實踐過程中初步凝煉出的典型經驗有良好的推廣基礎。

1 紅藍對抗特色督查

按公司的總體安排，以“消除短板，以攻促防”為目標，于2014年11月19號由公司科技信通部牽頭成立了演練協調組，并負責本次演練工作的組織協調，開展了為期三天的演練。

電科院攻擊演練組（紅隊）制定了攻擊演練計劃以及演練科目的方案和腳本和開展全公司范圍攻擊滲透、漏洞挖掘、防護體系薄弱點分析定位，組織了自攻防演練和公司攻防二輪演習活動，同時開展了網絡安全攻防滲透攻擊和漏洞挖掘等科目的演習。

信通公司防御演練組（藍隊）制定了公司總體防御演練計劃以及演練科目的方案及腳本、針對攻擊情況的協同研判與處置指揮、信息系統安全策略合規審計、風險實時監測、惡意攻擊阻截和處置、應急保障以及防護體系薄弱環節分析和防護加固。

1.1 紅藍對抗特色督查的目標

本次對抗的目標是檢驗公司公司內關鍵信息系統應對網絡安全攻防的能力、信息安全基礎工作落實情況、信息安全技術隊伍滲透以及漏洞挖掘的技術能力、本單位對網絡安全威脅的預警發現和應急處置機制以及本單位對網絡安全事件的分析研判和指揮協調能力。深化信息安全技術督查工作，督促國網上海市電力公司各基層單位落實各項信息安全管理要求和技術保障措施，提升信息安全防護水平，確保各基層單位做到信息安全“八不準”和“三個不發生”。本次特色督查主對上海公司的部署在互連網上的業務信息系統進行了攻防演練工作。

1.2 紅藍對抗特色督查開展情況

2014年11月19日至11月21日，上海市電力公司組織開展了紅藍對抗特色督查[3]，檢查公司的危險點分析預控管理系統、供應商管理平臺、95598互動服務網站、門戶網站、電力市場交易系統等5個外網系統的信息安全防護情況。根據相關要求制定了信息系統紅藍對抗演練方案，以及演練的類型（攻擊演練和防御演練）、演練的科目（應用系攻擊、操作系統與數據庫攻擊、網絡服務與設備攻擊）、攻擊的方式以及演練覆蓋的范圍。

在本次對抗特色督查演練過程中，第一輪攻防演練進行了漏洞發現與利用、密碼口令破解等方面的攻擊演練；第二輪攻防演練在第一輪攻防演練基礎上，采用漏洞挖掘、暴力破解、遠程注入、IP欺騙、社會工程學、釣魚等工具與方法，對前期發現重大缺陷的單位以及可能存在重大隱患的單位和系統進行重點攻擊。

1.3 紅藍對抗特色督查流程

紅藍對抗特色督查分為紅隊和藍隊，紅隊進行攻擊、滲透、提權，藍隊進行防守、阻斷，具體流程圖見圖1。

圖1 紅藍對抗特色督查流程圖Fig.1 Red-blue against special inspection flow chart

2 紅藍對抗特色督查實施方法

本次紅藍對抗特色督查主要采用黑盒滲透測試方法，即根據藍隊提供的業務系統范圍，僅從系統對外連接進行滲透測試攻擊，檢測網絡協議、網絡服務、網絡設備、主機系統、應用系統等各種信息資產所存在的安全隱患和漏洞。

本次紅隊督查主要采取系統漏洞檢測、密碼破解等各類互聯網遠程攻擊、滲透手段，實戰演練互聯網、信息外網網絡服務與設備攻擊、操作系統與數據庫攻擊、應用系統攻擊等攻擊科目，通過判斷是否能夠獲取防守方系統、設備的漏洞和控制權，檢驗攻擊方的攻擊滲透以及漏洞挖掘能力。督查步 驟 首 先 采 用 使 用 nmap6.4、appsacn8.7、Acunetix Web Vulnerability Scanner 9、綠盟WEB應用漏洞掃描系統以及綠盟漏洞掃描系統等工具對所需測試的范圍進行信息和漏洞收集[4]；其次根據收集到信息和漏洞開展分析和測試。

藍隊防御演練組依據公司安全防護有關文件、標準和方案做好安全防護[5]，落實各項安全基礎工作，實戰演練安全自查和加固、漏洞修補等防御科目，檢驗防御方在面對網絡攻擊下的信息安全基礎防護能力，和現有的IPS等安全防護工具及相關技術手段對紅隊所發起的所有攻擊進行監控，攔截和處理。以及預警監測、應急處置等安全機制和預案，實戰演練入侵檢測和告警、應急處置等防御科目，檢驗防御方的預警發現、研判處置能力[6-8]。

3 紅藍對抗特色督查實施效果

本次紅藍對抗特色督查在可控的條件下，通過模擬各種真實的攻擊方法來檢查內外網各業務系統安全防護的有效性，具有較強的真實性和準確性，可以發現最突出地、更深層次地、復雜地的安全問題。

在本次攻防演練中利用漏洞掃描、密碼分析等工具與方法，對各單位部署在互聯網、信息外網的對外提供服務應用，包括：公司外網郵件系統、各單位門戶網站等，進行漏洞發現與利用、密碼口令破解等全面攻擊演練。在演練過程中及時發現并清除薄弱環節，檢驗了公司防御隊伍的補丁部署、安全加固、口令管理等基礎性防護的工作情況。

此次攻防演練采用可控制的、非破壞性性質的滲透測試督查，不會對被評估的系統造成嚴重的影響和留下未知的安全隱患。 紅隊在問題發現之后，快速整理專項演練中發現的信息安全問題與漏洞，綜合分析，形成問題清單，并發出了相應的整改要求，便于防御單位整改；藍隊依據相關要求進行及時整改，消除隱患。

本次演練讓功防單位更清楚認識到，對于演練活動中暴露出的管理和技術問題需從責任及機制落實的角度完善改進，要強化閉環管理，切實做到“三不放過”，不留死角，是對安全防護工作落實情況的重要舉措。雖然本次紅藍對抗特色督查工作時間有限，鍛煉了攻防隊伍，紅藍兩隊還是均從本次的督查中收益匪淺。

4 結束語

根據本次紅藍對抗特色督查結果，國網上海市電力公司領導高度重視此次特色督查工作，期間，公司領導分別就信息安全工作的重要性以及必要性作出了重要指示，并提到中央網絡安全和信息化領導小組成立的重要意義以及“沒有網絡安全就沒有國家安全”的指導思想和方針路線 ，并要求各基層單位通信信息工作分管領導把信息安全督查工作要求和會議精神傳達給每個員工。

通過紅藍對抗與安全督查的融合探索，我們總結出以下幾點典型經驗：

1）在本次紅藍對抗特色督查中，紅隊和藍隊均在可控的條件下，采用可控制的、非破壞性性質的滲透測試，不會對被評估的系統的正常運行造成影響和留下不可預知的安全隱患。

2）通過模擬各種真實的攻擊方法來督查內外網各業務系統安全防護的有效性，具有較強的真實性和準確性，可以發現最突出地、更深層次地、復雜地的安全問題。

3）紅隊通過完全模擬黑客攻擊的督查方法，在問題發現之后快速整理信息并發出了相應的整改要求，檢驗了公司網絡安全威脅的預警發現及應急處置機制的有效性，提高了公司信息安全督查技術隊伍的安全滲透以及漏洞挖掘等方面的技術能力。

4）該特色督查工作不僅驗證了業務系統安全防護機制和運維檢修機制，也大大提升了藍隊的信息安全預警和分析能力。也通過對網絡安全事件的分析研判，鍛煉了組織協調能力。

根據安全的周而復始性，今后除了加強日常監控外，提高安全意識，消除弱口令、運維和督查溝通以及紅藍對抗等督查工作也應繼續加大力度，保障業務持續有效的安全運行，做到進不來、拿不走、看不懂、改不了、跑不了的安全目標。

[1]李文武，游文霞，王先培.電力系統信息安全研究綜述[J].電力系統保護與控制，2011，39（10）:140-147.

[2]高鵬，范杰，郭騫.電力信息系統安全技術督查策略研究[C]//2012年電力通信管理暨智能電網通信技術論壇論文集，2012.

[3]王超，張涵，李群，等.智能電網信息安全技術督查常態化研究[J].電力信息化，2013，11（3）:21-24.

[4]王旭，陳濤，繆剛.漏洞掃描技術在電網信息安全中的作用與實踐[J].電力信息化，2011，9（2）:157-160.

[5]余勇，林為民.電力信息系統安全保障體系的研究[C]//2004年實際工程師大會電力和能源分會場論文集，2004.

[6]劉勁風，王述洋.電力系統信息安全關鍵技術的研究[J].森林工程，2007，23（4）:88-91.

[7]周亮，徐興坤，李佳瑋，等.智能用電融合通信信息安全關鍵技術研究[J].供用電，2014（8）:45-48.

[8]苑嘉航，李存斌.基于灰關聯和D-S證據理論電網企業信息安全風險評估[J].陜西電力，2014（2）:11-15.