貴陽實網攻防演練的啟示與思考

□ 陸寶華 錢曉斌

“沒有網絡安全就沒有國家安全”，我們的網絡安全保護工作已經開展了20多年了，那么網絡安全的保護水平究竟怎么樣呢，貴陽市2016年和2017年開展了2次以實網為目標的攻防演練，揭開了冰山的一角。從而不僅發現了網絡安全保護存在的薄弱環節，也帶給了我們許多啟示和思考。

某網站日語版面被黑客攻陷了半年之久，運營者卻毫不知情；某郵件系統長期被攻擊者控制；某系統被黑客控制，并以此為跳板向境外傳輸數據……，這是筆者20余年網絡安全工作中所發現問題的冰山一角。“該花的錢都花了，該部署的安全設備都部署了，就應該安全了”，持類似錯誤觀念的網絡運營者并不在少數。2016年3月，時任貴陽市委書記陳剛同志在調查研究的基礎上作出一個基本判斷：當前網絡安全的狀況是“弱不禁風，而感覺良好；重病纏身，而渾然不知”。基于此判斷，貴陽市于2016年12月組織開展了第一屆面向真實系統的“貴陽大數據與網絡安全攻防演練”。時至今日，貴陽實網攻防演練已經舉辦了2屆。2017年12月，在第二屆“貴陽大數據與網絡安全攻防演練”的總結大會上，現任貴陽市委書記李再勇同志要求堅持攻防演練常態化，并努力形成貴陽標準。2年來，貴陽實網攻防演練發現和解決了大量問題，同時也不斷面臨著新的挑戰。本文從實網演練策劃和組織者的角度提出一些思考，希望能對讀者有所啟示。

實網攻防演練的難點及其解決思路

面向真實系統的網絡攻防演練，其難點在于風險控制。概言之，面臨的主要風險點包括：由誤操作或違規操作導致被檢測方系統出現重大的安全事故；演練結束后未按要求撤出，繼續控制被檢測系統甚至竊取相關數據；演練期間，非參演單位或個人對參演系統開展攻擊行為；應急預案設置不當或未按應急預案處置，導致被檢測系統出現重大安全事故；被檢測系統演練之前運行狀態不正常，在未作標識情況下參加演練，活動結束后無法界定故障原因，導致責任糾紛；被檢測方在演練期間內遭受損失，引發法律糾紛；被檢測方在演練結束后遭到入侵，導致損失，引起法律糾紛；其他未預料到的可能發生的安全事件。通過對上述風險點的分析，我們認為核心的風險主要來源于2個方面：一是演練的攻擊團隊的違規操作或誤操作，二是在演練期間渾水摸魚的非法入侵者。

對于第1類風險，用保密協議來約束是不能完全起到作用的，必須用技術手段進行有效的控制。為了控制這類風險，演練的組織者設計了由總指揮系統、分光設備、安全網關、工單系統和毀傷評估系統構成的風險管控平臺。所有演練行為都需要通過管控平臺實施，即每個發起攻擊的滲透人員都將攻擊目標、任務、工具、方法等一系列“分解動作”以工單的形式在總指揮系統報備，毀傷評估系統對擬實施行為進行評估（包括智能評估和人工評估）后，由安全網關對攻擊行為進行控制。同時，安全網關對全網流量進行大數據分析，從中提取攻擊者行為數據，與工單進行比較，發現嚴重不一致時會告警同時關閉該攻擊者的攻擊路徑。

對于第2類風險，演練的組織者會同貴州省公安廳、貴陽市公安局制定了3級應急響應機制。第1級是各被測試單位，他們組織相關的技術支持單位，對可能發生的安全事件制定預案，進行響應；第2級是由貴州省公安廳、貴陽市公安局組建的演練指揮部應急響應指揮組，組織相關的各技術支持隊伍和攻防隊伍實施應急響應；第3級是在發現更大規模的網絡攻擊時上報公安部，組織全國的力量進行應急響應。

實網攻防演練發現的問題

一是網絡運營者的安全意識亟待提高。對于決策者，普遍存在的問題是對網絡安全重視程度不夠，往往認為所運營的網絡系統沒有重要信息，被攻擊的可能性不大，因而忽視基本的網絡防護，甚至不設防。對于技術人員來說安全意識不強并伴隨著能力不足，甚至不具備基本的網絡安全常識，比如大量存在的弱口令問題。

二是網絡運營者對供應鏈把控不嚴。一些政府部門在網站開發建設前對開發商不作資質審查，在建設過程中不提要求不作檢查；而開發商為了降低成本，使用同一個模板僅作簡單的處理，不考慮任何安全機制就將網站上線。

三是個別網絡運營者諱疾忌醫、怕檢測，采用類似于“拔插頭”的方式消極抵抗。

四是相當多的網絡運營者只注意防外，而忽視防內，或者認為物理隔離就可以高枕無憂。

實網攻防演練的最終目的

實網攻防演練的最終目的在于“以攻促防”。在攻防演練過程中，攻擊者主要采用滲透性檢測方法，通過滲透性測試先于入侵者發現漏洞，盡可能減少入侵者的機會。通過2屆攻防演練這一價值已經得到了證實。但是，滲透性測試不是萬能的，萬不能用滲透性測試替代其他的測評，如等級保護的測評工作。原因在于網絡攻擊利用的是若干個存在脆弱性的點，其面向的是一條“線”，而網絡防御者需要考慮的是全面的、縱深的系統性問題，其面向的是一個“面”。對滲透測試人員來說，利用某個漏洞獲取了系統的權力，他的任務就完成了。即便發現的漏洞得到了修補，也不意味著其他的漏洞不能再被利用了。因此，對于重要信息系統，按照等級保護的要求系統性地開展網絡安全建設工作是十分必要的。

等級保護是一個科學的體系，如果能嚴格地按照等級保護的要求來對系統進行加固，那么被滲透的可能性也會減少很多。應該看到，安全漏洞是無法窮盡的。目前，對漏洞的挖掘還大多是停留在軟件的錯誤方面，對于硬件本身存在的漏洞和系統中可能存在的隱蔽信道問題，還沒有真正意義上的標識，也沒有進行過相應的計算。單純地依靠及時發現漏洞來減少入侵者攻擊的思路需要調整。假定入侵者能發現漏洞，如何讓漏洞無法被利用，從而保護好系統的完整性，這種系統保護的思路是值得探討的。強制訪問控制能夠在一定程度上實現這樣的思想。沈昌祥院士的可信計算也可以從保護系統完整性的角度出發，來捍衛系統，讓系統“帶著漏洞”安全地工作。

筆者的一個觀點是，安全的根本任務是要解決“正確的授權行為”問題。這一安全命題包含了3層意思：一是行為應該是經過授權的，二是這個授權應該是正確的，三是這個正確的授權是有保障機制的，也就是說授權機制是不能被繞過或者其他方式導致的失效。針對正確授權不妨進一步展開理解。首先，不會對其他主體的利益產生侵害的行為，不需要授權或者叫作缺省授權。其次，對可能導致對其他主體利益產生侵害的行為必須經過授權。由于對主體利益的侵害實際上是通過對客體的侵害所導致的，因此正確的授權就是限制主體對客體的訪問。要確保這種限制的正確性：一是需要保證最小授權原則，也就是說，給定某個主體的權利剛好能滿足他完成相應的任務，而且僅僅能滿足他完成任務；二是要保證給定的授權應該與客體的保護需求（屬性）相匹配。這一點在目前的等級保護工作中多被忽視。這首先是國家標準《信息安全等級保護基本要求》（GB/T22239）中沒有給予明確說明所導致的，同時也與從事等級保護工作的相關人員對等級保護的原理沒有真正搞清楚有關。數據的安全屬性決定了整個系統的安全需求，并且必須由它作為依據來確定整體的保護策略，并用這個策略來指導系統的各個層面的防護。而這一點恰恰被忽略了許多年，這也是我們在安全方面投入與實效不對等的原因之一。

總結和提高

貴陽市面向真實網絡開展攻防演練在國內屬于首次。主辦方本著先行先試的精神，勇于開拓創新、不懼怕擔責任，通過舉辦實網攻防演練發現和解決了大量現實存在的網絡安全問題，同時也對于國家網絡安全保護工作提供了大量可供參考和借鑒的經驗，意義重大、價值獨特，應該持續堅持、探索下去。但也不能過分夸大攻防演練的作用，甚至完全用攻防演練來取代其他測評方式。

貴陽的實網攻防演練已經舉辦了2屆，取得了不少成果與經驗。但值得研究和提高的地方還有很多：一是攻防演練的對抗層級還未達到預期，戰略戰役戰術的分層調度與聯合作戰模式值得不斷探索；二是攻防演練過程中，防守團隊能做的事情非常受限，因此攻方一直處于主動地位，另外，團隊之間的配合可以進一步加強，以形成聯合作戰的模式，體現戰略、戰役、戰術思想；三是跨網攻擊還沒有形成，雖然我們常說物理隔離并不能保證不受攻擊，但是在我們檢測中還沒有利用社工、聲波、電網、無線感應等方式實現跨網攻擊；四是在網絡上通過搭線進行數據竊聽，或者重放攻擊等類型的測試也沒有開展；五是應急響應還沒有真正的開展起來。由于2次演練都沒有發生嚴重的安全事件，所以應急響應并沒有真正的開展。在后續的演練中應考慮設計這樣的場景，檢驗應急響應預案和執行情況。