基于B/S架構的電力信息安全攻防演練系統設計與實現

劉冬蘭，馬雷，劉新，張展，于灝，井俊雙

（1.國網山東省電力公司電力科學研究院，濟南250003；2.全球能源互聯網（山東）協同創新中心，濟南250003）

基于B/S架構的電力信息安全攻防演練系統設計與實現

劉冬蘭1，2，馬雷1，2，劉新1，2，張展1，2，于灝1，2，井俊雙1，2

（1.國網山東省電力公司電力科學研究院，濟南250003；2.全球能源互聯網（山東）協同創新中心，濟南250003）

隨著電力系統工作信息化的普及和信息系統的深化應用，信息安全已成為電網公司信息化工作的重要內容，在信息安全網絡戰的形勢下，電網安全防護面臨著更深層次的安全威脅。針對此問題，設計基于B/S架構的電力信息安全攻防演練比賽系統，構建多個實驗環境，配備攻防演練裝備，信息安全紅藍隊定期進行黑客奪旗戰、CTF競賽等多種形式的模擬演練，通過現場培訓與實操提高信息安全紅藍隊漏洞和隱患發現技能，進一步加強信息安全人員應對信息系統突發事件的處置能力，確保重要信息系統安全穩定運行。

網絡；信息安全；攻防演練；紅藍隊；奪旗

0　引言

隨著互聯網技術的飛速發展，電力系統工作信息化的普及以及各種網絡系統的深化應用，信息安全已成為關系到國家政治、國防、經濟、社會的重要問題，對培養具有網絡信息安全知識和應用技能的專業技術人才提出了更高要求，是企業信息化建設的基礎和保障，直接關系到企業安全和發展，成為電網公司信息化工作的重要內容。

目前，信息安全形勢日益嚴峻，“棱鏡門事件”、“斯諾登事件”、“心臟出血漏洞”均折射出國際信息安全形勢的嚴峻性，在信息安全網絡戰的形勢下，電網安全防護面臨著更深層次的威脅。網絡安全產品的日益增多和信息安全技術的不斷進步，使信息安全問題日益嚴重，病毒、木馬、黑客攻擊、網絡釣魚、DDOS等安全威脅層出不窮。另外，針對電力信息系統存在的漏洞，黑客可能會利用服務器系統存在弱口令和在服務器上植入病毒木馬文件等方法，竊取電力系統內的敏感信息或者篡改網站內容等。很多單位沒有建立模擬黑客攻擊的信息安全攻防演練平臺，信息安全防護方面較薄弱，惡意攻擊者可能利用系統漏洞登錄系統獲取敏感信息，導致電力系統的供電方案、保障方案、變電站建筑結構圖、電氣主接線圖、信息機房拓撲圖以及相關的敏感資料和信息等泄露。

針對存在的問題，設計基于B/S架構的電力信息安全攻防演練比賽系統，利用現有的服務器終端，通過對實驗環境組合，構建多個攻防演練實驗環境，主要以網絡攻擊步驟為線索介紹黑客攻擊各階段常用的攻擊方法和原理，涉及各類安全工具使用教學、網絡攻防、Web攻防、漏洞發掘和防護等各項內容，而且具體的攻擊方法針對現實的網絡環境和網絡服務。該平臺從實戰出發，幫助用戶循序漸進的掌握各種網絡偵破技術，可以近似真實地模擬各種網絡犯罪環境。信息安全紅藍隊定期進行黑客奪旗戰、CTF競賽等多種形式的模擬演練，通過現場培訓與實操提高信息安全紅藍隊漏洞和隱患發現技能，進一步加強信息安全人員應對信息系統突發事件的處置能力，確保重要信息系統安全穩定運行，防止造成重大損失和影響，提高電力系統網絡與信息系統應急保障能力。該系統在山東省電力公司信息安全紅藍隊培訓中取得了較好效果。

1　安全攻防實驗平臺基礎架構

信息安全攻防演練比賽系統平臺就是要解決網絡攻防課程的在線學習和攻防實驗操作環境方面的問題，一方面選擇了某些實驗內容并搭建適當的環境，對網絡攻防的課堂演示和課程相關的驗證性實驗提供特定場景；另一方面為網絡信息安全知識的應用提供了綜合演練實驗環境，支持網絡攻防對抗演練。同時，也需要解決平臺支撐服務器和實驗教學網絡自身的安全可靠性問題。

攻防演練比賽系統是軟硬件一體化的基礎平臺，采用高性能服務器和虛擬化技術，在預定義虛擬機模板基礎上，可以快速生成多達幾十個的虛擬機實例，支持多人并行進行學習和訓練，互不影響。通過內置的網絡和安全設備，如路由器、交換機、防火墻，可以快速構建復雜的網絡場景拓撲。如果想利用實驗室已有的網絡和安全設備，也可以通過外部接口對接。將提供演示學習的在線教學平臺服務器和攻擊實驗子網用防火墻進行隔離。

實驗平臺基礎架構包括服務器、防火墻、IDS、VPN等基礎網絡設備和安全設備調試區域，有教師機、學員機、仿真防火墻、在線教學平臺、實驗操作監控平臺、Windows測試區、Linux測試區、Windows攻擊平臺、Linux攻擊平臺、軟件逆向病毒分析平臺等。實驗采用了如圖1所示的網絡拓撲結構。

2　系統功能模塊

信息安全攻防演練比賽系統，包括實驗平臺基礎架構、實驗環境定制、應用場景定制模塊。在基礎平臺之上，安裝實驗環境，包括其他攻防方面的產品如蜜罐，漏掃，都可以安裝進來，可以構建加強的攻擊和防護系統，并且可以構建安全技術研究子系統、安全測試子系統、安全檢查評估子系統。系統功能模塊如圖2所示。

圖1　信息安全攻防實驗平臺基礎架構

圖2　信息安全攻防演練比賽系統功能模塊

實驗平臺是將虛擬化專用服務器、防火墻、IDS等網絡安全設備通過外部接口對接作為支撐，設計包含用戶管理、資源管理等功能的后臺管理系統。

實驗環境定制模塊，包含緩沖區溢出、Arp欺騙、釣魚、Webshell、漏洞掃描、DDOS攻擊、SQL注入、Web上傳、域名劫持、爆庫、CSRF、本地提權、木馬攻防、XSS、網絡滲透、Sniffer、掛馬、Cookie欺騙、手機入侵等實驗場景。可以定制綜合演練場景、蜜罐系統、惡意代碼分析、攻防知識庫、漏洞挖掘平臺等攻防演練場景。

應用場景定制模塊，可以定制WEB攻防、內網滲透、極光行動APT場景、RSA SecurID竊取攻擊、入侵審計、拒絕服務等演練場景。該應用場景主要用于電力信息安全培訓、信息安全攻防場景演練、行業化深度定制以及一些拓展應用。拓展應用涉及安全產品測試、安全技術研究以及安全評估檢查等內容。目前主要支持測試安全攻防類的檢查、監測、防護類安全產品有：下一代防火墻NGFW、統一威脅網關UTM、網閘、入侵監測產品IDS、入侵防護產品IPS、Web應用防火墻WAF、漏洞掃描軟件、安全配置檢查工具、未知威脅APT分析設備。

3　整體組織結構

平臺采用流行的網上教學平臺形式，使用瀏覽器/服務器（B/S）模式，瀏覽器作為客戶端，用ASP語言實現Web應用界面，SQL Server作為數據庫存儲管理信息的三層結構。該結構便于用戶界面的優化和演練內容的添加，適合網絡攻防的內容量大且不斷更新的特點。系統整體組織結構如圖3所示。

知識庫管理系統主要包括知識管理和內容瀏覽，主要是管理員有選擇地把信息安全攻防相關材料放置于服務器上，主要存儲電子教材、考題等信息。在線學習系統包括課程發布和在線學習，教師會不定期地在此系統中發布最新知識，學員可利用自己的時間自主學習，提高學員的學習積極主動性。攻防比賽系統包括知識競賽和攻防競賽，公司會不定期組織各單位信息安全專業人員參加競賽，用于選拔優秀人員成立信息安全紅藍隊，開展電力信息系統漏洞挖掘和隱患排查等工作。

攻防演練比賽系統精心選擇最具代表性的素材和經典案例作為實驗內容，在盡量簡潔的環境配置下，提供通用強的一般工具，在操作的步驟中體現網絡協議分析、操作系統原理和程序設計的基礎知識應用，使學生能夠加深了解相應網絡攻防技術的原理。同時，在內容上便于學員操作和理解掌握，為提高動手能力、激發興趣開展自主研究提供必要的基礎，并按照實驗順序在后續操作中提供較為復雜的提高性實驗工具。

圖3　信息安全攻防演練比賽系統整體組織結構

4　攻防演練系統應用

攻防比賽系統提供一個真實的網絡攻防環境，供單位進行網絡安全的攻擊、防御的實驗和學習，提高網絡攻防實戰能力。主要用于公司信息安全紅藍隊攻防演練培訓、信息安全技能競賽、信息安全專家人才選拔等。自系統建設以來，已多次用于山東省電力公司信息安全專業技術培訓和競賽選拔工作。攻防比賽系統登陸首頁主要包括選手登錄、信息修改、當前時間、考試選擇、考試建議、在線考試、比賽獎勵、規則介紹、組織單位、考試公告等功能，如圖4所示。

攻和防的能力是相互提高的，攻防實驗環境互相搭配組合，可使實驗內容更具針對性和現實性。在攻擊技術實驗中，針對攻擊的原理提出如何進行防護的問題，并設置了防護實驗內容。如對于緩沖區溢出、SQL注入和XSS攻擊，在自行實現具有漏洞的程序，并利用攻擊工具進行突破的同時，要求對相應的代碼進行安全性修改，達到防范攻擊的目的，實驗本身也達到了鍛煉安全編程的能力。另外，一些實驗環境本身就具有攻防兩方面的雙重意義，如網絡數據捕獲和分析，既是入侵檢測的基礎步驟，又是嗅探攻擊的手段。由此可知，攻和防的實驗已密不可分。

信息安全紅藍隊在模擬黑客攻擊時，“紅隊”作為進攻方，站在攻擊者的視角上觀察安全防護體系，挖掘特定對象的薄弱環節并通過模擬黑客入侵、病毒及惡意代碼、程序及代碼漏洞等方式發起攻擊；對信息安全實際防護的情況和有效性進行逆向檢驗，及時發現安全漏洞并督促整改。“藍隊”作為信息安全防護體系的守護者，發現基礎常規的信息安全漏洞并及時處置，并針對演練中紅隊的各類攻擊采取相應技術手段予以阻攔或消除，開展信息安全運維巡檢、安全監測、日常自查隱患、消除安全短板等工作，確保信息安全防護體系正常運轉，確保網絡及各類信息系統穩定運行。

攻防系統數據采集終端服務器實驗操作監控平臺對雙方的攻擊行為進行數據記錄，服務器上預先設定的程序會根據攻防情況在平臺上公布雙方的實時戰績，對有爭議的結果可在服務器上查詢所提交的數據記錄，根據雙方的數據進行攻擊效果評估，從而可判斷紅隊攻擊能力以及藍隊防護水平。

5　結語

信息安全攻防演練比賽系統作為網絡攻防課程的教學和實驗輔助環境，為電力系統信息安全專業人員提供學習和資源共享的平臺。通過精心設計實驗環境內容，以標靶系統的形式為攻防演練實驗操作提供了高效的環境，平臺的設計為知識競賽、人才選拔創造了有利條件，提供了良好的信息安全攻防比賽平臺，提升了信息安全紅藍隊漏洞和隱患發現技能。通過信息安全攻防演練系統的建設，進一步加強了信息安全紅藍隊隊伍建設，全面提升信息安全自主可控能力、安全監測能力、通報預警能力、應急處置能力、全過程管控能力五大能力水平。

［1］底曉強，張宇昕，趙建平.基于云計算和虛擬化的計算機網絡攻防實驗教學平臺建設探索［J］.實驗技術與管理，2015，32（4）：147-151.

［2］張海亮.基于RoR的互聯網信息安全攻防演練系統的設計與實現［J］.移動信息，2015（2）：66-67.

［3］陳威，王剛，陳樂然，等.網絡攻防技術與信息安全實驗室建設構想［J］.華北電力技術，2014（12）：55-59.

［4］謝慧，邵瑋，聶峰.基于B/S架構的遠程網絡攻防實驗室的研究與開發［J］.天津理工大學學報，2012，28（6）：44-47.

［5］趙威，王海泉，夏春和.面向網絡攻防演練的操作系統仿真模型研究與實現與實現［J］.計算機應用研究，2008，25（8）：2 451-2 453.

［6］尹中旭，朱俊虎，魏強，等.網絡攻防演練平臺的設計與實現［J］.計算機教育，2011（2）：108-112.

Design and Implementation of the Electric Power Network Attack and Defense Drilling System Based on B/S structure

LIU Donglan1，2，MA Lei1，2，LIU Xin1，2，ZHANG Zhan1，2，YU Hao1，2，JING Junshuang1，2
（1.State Grid Shandong Electric Power Research Institute，Jinan 250003，China；2.Collaborative Innovation Center of Global Energy Internet（Shandong），Jinan 250003，China）

With the popularity of electric power system information and the deepening application of the information system，information security has become an important content of State Grid.Under the situation of cyber warfare，the security protection of State Grid is facing with a deeper level security threats.In this paper，the problem of constructing the electric power network attack is explored，and a defense drilling system based on B/S structure has been put forward.This platform constructs multiple experimental environments，equipped with the offensive and defensive capabilities.Besides，information security professionals of red blue team hold matches regularly，such as capture the flag.Through simulation drilling，the emergency disposal ability of students can be greatly improved，in case to ensure the safe and stable operation of important information system.

network；information security；attack and defense drilling；red blue team；capture the flag

TP393.081

A

1007-9904（2015）10-0027-04

2015-08-12

劉冬蘭（1987），女，工程師，主要從事電力系統信息安全技術督查工作。