面向城市范圍真實網絡目標的攻防演練

李 俊

(貴州數安匯大數據產業發展有限公司 貴陽 550025)

(235819763@qq.com)

隨著信息技術的不斷發展，尤其是云計算、物聯網、人工智能等新興技術的快速發展，越來越多的數據資源匯聚在互聯網上，大數據正逐步成為國家重要的戰略資源[1].保障戰略資源效能最大化，更好地服務于國家政治、經濟、軍事和民生福祉，安全是關鍵.大數據為經濟社會發展注入新動能的同時，其安全關乎國計民生，安全問題也日益浮出水面.習近平總書記在2017年2月17日主持召開“國家安全工作座談會”時，著重強調了保障大數據安全的重要性，把大數據安全和關鍵信息基礎設施安全提到了同等高度[2].同年12月8日在“中共中央政治局第二次集體學習”會議上進一步強調要強化國家關鍵數據資源保護能力，增強數據安全預警和溯源能力[3]，足見大數據安全對國家的重要意義.

貴州省是全國首個大數據綜合試驗區，自2014年就開始在大數據領域先行先試.貴陽市作為貴州省省會，大力發展大數據產業，時至今日，貴陽的大數據產業發展已經取得了舉世矚目的成績，“中國數谷”成為貴陽市一張嶄新靚麗的名片[4].安全與發展是一體之兩翼，驅動之雙輪，貴陽發展大數據產業的核心價值是數據集聚以及基于數據集聚所能產生的數據價值變現與輻射，大數據產業發展到一定階段，必然會帶來數據價值的安全保障問題，大數據安全成為大數據產業的生命線.大力發展大數據安全產業一方面能夠確保大數據產業造福社會、造福人民，使貴陽真正享受到大數據產業帶來的紅利；另一方面，大數據安全產業又能夠為大數據產業提供有力支撐，保障其健康有序的發展.

要發展安全產業，為大數據發展保駕護航，首先需要找準存在的安全問題.2016年，在公安部的大力支持和指導下，貴陽市委、市政府站在為國家網絡安全先行先試的立場上，以高度的責任意識和擔當啟動策劃“貴陽大數據及網絡安全攻防演練”活動，計劃連續3～5年，每年利用1周左右的時間，集中全國的優秀攻防隊伍、領先安全廠商及相關資源，在貴陽經濟技術開發區特定的環境內，對貴陽地區乃至全國范圍的各類基于網絡與大數據應用的目標展開攻擊與防護的應急演練活動，最終在保障能力、安全人才、安全產業等多方面形成一系列實用價值高、示范意義大、影響輻射廣的運用成果.通過演練活動，快速發現存在的安全問題，不斷解決存在的問題，不斷推動大數據產業的發展與運用[5].

1 貴陽演練模式與傳統安全演練的區別

傳統網絡安全演練一般采用虛擬仿真靶標進行，對于靶標而言，模擬程度越高所需成本越大，如果要對一個城市范圍內上百個網絡目標建設高度仿真的虛擬靶標，其成本將難以承受；對于參與演練的隊伍而言，虛擬仿真靶標與真實業務系統始終存在差異[6].傳統網絡安全檢測也有使用黑客手段進行滲透測試的業務，但往往目標局限在特定的范圍內，缺乏真實世界中黑客常常使用的跨站攻擊、旁路攻擊以及高級持續性攻擊等手段.此外，如何確保滲透測試行為不越界、不違法是個較為棘手的問題[7].

貴陽大數據及網絡安全攻防演練活動采取“實戰演練”的模式，搭建專用的實戰演練平臺，邀請國內一流的數十支專業隊伍，在全程受控的條件下對城市范圍內不同安全等級的真實網絡目標開展不同程度的滲透測試，同時獲得以下成果：

1) 發現問題.通過真刀真槍的實戰檢測，發現網站、大數據系統、云平臺、工控系統、關鍵信息基礎設施等信息系統實際的安全問題，尤其是傳統檢測手段難以發現的安全隱患，對防御水平進行驗證.同時，檢驗安全事件的發現能力和應急處置能力，從實踐中檢驗相應的安全理論與安全技術的正確性與適用性.

2) 鍛煉隊伍.對于滲透測試方，貴陽演練提供了大規模的真實網絡目標進行測試，是難得的實戰機會；對于目標單位和公安機關，演練也鍛煉了安全防護、應急響應、緊急處置等能力.

3) 意識警醒.信息系統的所屬單位對網絡安全，尤其是進入大數據時代后的網絡空間安全問題認識不足，缺乏安全意識，或者安全意識較為落后.通過貴陽演練，把安全問題以及可能造成的嚴重后果實際地展現出來，通過“觸目驚心”的結果促使各問題單位認識到安全問題的嚴重性和緊迫性，對安全水平提升起到推動作用.

4) 安全提升.貴陽演練不僅只是檢測，還包含由公安部門負責的針對發現問題的后續整改工作.通過后續整改，從主體責任、管理模式、資源投入、技術升級等多個方面對問題進行全面剖析和處理，切實提升安全防護水平.

5) 產業發展.安全問題的解決需要相應的安全技術、產品和服務.通過演練整改的契機，促進安全產業生態環境建設，從理論、技術、產品、應用和服務等方面成體系化地實現供需增長和產業發展，吸引大數據安全產業企業的關注與投入，培養本地各層次安全人才，發展貴陽市大數據安全產業.

2 攻防演練平臺架構

貴陽演練平臺包括指揮系統、數據解析還原系統、毀傷評估系統等.

1) 演練平臺.其示意圖如圖1所示.

在圖1中，通常模式下，左側“被測目標區”為互聯網上的受測目標，右側“攻擊檢測區”為平臺內發起滲透測試的攻擊方.當攻擊方準備發起某一項攻擊時，首先需要通過工單系統提交“攻擊工單申請”，其中包括目標地址、攻擊手段等信息.此工單申請經由毀傷評估系統判斷通過后交由指揮系統處理，指揮系統控制安全網關使攻擊指令通過并發往受測目標.與此同時，攻擊指令的網絡流量將被數據解析還原系統完全地復制、分析并儲存，同時提交給上級監管單位.

圖1 演練平臺示意圖

圖2 毀傷評估系統

在某些情況下，攻擊方與受測方位置可以互換，即從外部發起對演練平臺內目標的攻擊測試.此時攻擊流量將通過數據解析還原系統進行分析并反饋至毀傷評估系統，再由毀傷評估系統控制網關，決定攻擊指令是否傳送至平臺內目標.

2) 毀傷評估系統.

圖2所示為毀傷評估系統.當接收到攻擊指令后，毀傷自動評估工具將會調用“攻擊命令導致毀傷結果庫”和“被測目標基本信息庫”進行分析，如果毀傷結果超過被測目標所允許承受的程度，系統將自動否決本次攻擊行為并控制網關屏蔽相應攻擊指令.如果攻擊指令不在“毀傷結果庫”之中，系統將會啟用“基于行為的攻擊分析庫”和“沙箱”對攻擊指令進行智能分析，得到攻擊指令可能造成的損毀程度.如果以上自動分析均無法得到，系統將啟動“人工毀傷評估系統”，由安全專家對攻擊指令進行人工分析，確保毀傷程度在可控范圍內.

3) 數據解析還原系統.

圖3 數據解析還原系統

圖3所示為數據解析還原系統.對經過毀傷評估系統評估通過后的攻擊指令數據流量進行記錄和分析，同時對外部攻擊指令進行分析并將結果反饋到毀傷評估系統.

3 演練組織架構

1) 攻防演練指揮系統.為了高效地指揮演練各項工作，成立演練指揮部.其中，由省市相關領導擔任指揮長，統籌各項工作開展.指揮長下設副指揮長、技術總顧問、現場技術總指揮，協助指揮長調度指揮部辦公室，協調相關資源和推動工作進程.指揮部辦公室下設9個工作組，具體負責相關工作的開展，如圖4所示：

圖4 演練指揮系統架構示意圖

策劃組：負責演練技術方面的統籌策劃，指導演練方案的實施.

總評組：負責制定安全演練攻防能力與成果的評價標準與獎懲措施，對參賽各隊伍及相關人員進行考評.

技術組：負責演練過程中各項技術保障.

應急響應組：負責統籌、協調演練期間發生的突發事件的處置工作，及時控制和最大限度地降低信息安全突發事件的危害和影響；對檢測過程進行監控，對未經公安部門委托和審查備案的攻擊行為進行偵查打擊，負責攻防演練期間輿情監控及引導，及時向上級反饋網絡輿情的有關問題.

綜合協調組：傳達落實指揮部下達的各項指令，負責統籌、協調演練期間的各項處置工作，協調各相關小組工作.

通信保障組：負責對攻防演練期間公用通信網、互聯網、專用通信網、互聯網域名和地址等資源進行分配，保障攻防隊伍、通信運營企業在攻防演練期間重點部位重要場所的通信暢通和通信安全.

電力保障組：負責攻防演練期間的供電保障，確保現場電力的正常供應，通信、網絡的穩定運行，做好攻防演練期間對突發事件的電路安全保障工作.

宣傳組：負責制定宣傳計劃，利用傳統媒體和新媒體進行廣泛深層次的報道，擴大正面影響效應，做好輿情掌控.

后勤保障組：負責活動場地、設備、交通、住宿、餐飲保障等演練活動的后勤保障工作.

2) 應急處置流程.為了確保演練在安全可控的范圍內進行，制訂完善的應急處置流程，根據突發事件的性質及具體情況采取不同措施進行響應.

當發生應急事件時，監測到報警后應急響應組將對事件嚴重程度進行劃分(4個級別)，對于一般程度事件由受測單位自行修復；較大程度事件由指揮部組織應急力量協助受測單位修復；重大程度事件將組織省級應急響應力量進行處理；特別重大事件將發動全部力量進行處理，同時上報公安部，組織全國應急力量緊急處置.同時，公安機關對安全事件立即調查取證，對違法行為進行追查打擊.處置完成后對結果進行確認，確認威脅事件處置完畢后即結束應急處置流程，如圖5所示：

圖5 應急響應處置流程圖

4 演練取得的成效

2016年攻防演練集中了代表國內一流水平的20支檢測隊伍和12支防守隊伍，5天時間內通過多樣化的攻擊手段完成了1萬個網站的漏洞掃描和100個重點目標系統的攻防檢測，開展了電梯系統攻擊、戶外廣告大屏攻擊等熱點場景的網絡攻擊演示，形成了大量價值高、可利用的數據資源.演練結束后，貴陽市委、市政府以及公安部門召開專題會議，部署整改工作，為問題單位開出“通用藥方”和“專用藥方”，入駐企業積極參與整改工作提供產品和服務，圓滿完成整改任務.

2017年攻防演練邀請了國內一流的21支檢測隊伍和14支應急響應隊伍參加，組建了由被測目標單位安全運維機構組成的36支防護隊伍.攻防演練活動用8天時間完成了1萬個網站的安全漏洞掃描、100個目標系統的安全整改復查、30個重點大數據目標系統的深度檢測、4個關鍵信息基礎設施的攻防對抗、10個省內遠程目標與5個省外異地目標的安全檢測、6項安全熱點場景的演練拍攝，涵蓋貴陽市本地、省內州市以及省外多個城市，涉及政府、金融、能源、教育、醫療、交通等多個行業.演練內容突出“城市網絡戰爭”的重點場景模擬，攻擊技術覆蓋了實施縱深攻擊的全部環節，取得了重大突破，體現了攻防對抗創新能力，在突破云防護、繞過防火墻、潛入復雜內網等方面取得突破性進展.共發現378個高危漏洞，攻陷112個網絡目標，拿到網站最高權限達92個[8].

2次攻防演練驗證了貴陽城市網絡安全水平的整體提高.2016年攻防演練暴露出部分關系國家安全和民眾切身利益的信息系統存在嚴重安全隱患，經過攻防演練的安全警醒和后續整改工作，2017年演練檢測結果顯示整體安全水平得到明顯提高.對1萬個網站的安全掃描顯示，存在中高危安全漏洞的網站占比由2016年的23%下降至19%;對100個重點目標的復查顯示，存在中高危安全漏洞的占比由2016年68%下降為29%，多數重點目標的網站部署了2016年整改提供的“通用藥方”，如云防護、WAF、終端安全等，對攻擊檢測行為反應靈敏，可實施動態阻斷，整體安全防護能力明顯增強.

5 演練未來發展目標

貴陽大數據及網絡安全攻防演練已成功舉辦2次，受到專家和業內人士的支持和肯定，取得良好的社會效益和產業聚集效果.今后，貴陽大數據及網絡安全攻防演練活動將不斷迭代升級，逐步形成一套科學可行的演練體系、操作流程、協作機制、平臺規范與評價指標，有效應用于本區域大數據安全保障，持續提升綜合安全能力，并為大中城市有可能發生的大面積網絡攻擊事件摸索和積累應對經驗，進而為國家應對網絡戰獲取和積累經驗[9].

1) 常態化攻防演練.在現有年度性大規模演練基礎上，針對關鍵基礎設施等重要目標開展常態化、不定期的小規模演練，及時掌握重要目標安全防護水平.

2) 攻防演練“走出去”.2017年貴陽攻防演練已實現“走出去”突破，對貴州省外城市、地區的網絡目標成功實施遠程滲透測試，得到目標單位一致好評.未來，貴陽將面向全國開展合作，進一步向有需求的城市和地區提供攻防演練服務.

3) 城市級網絡戰模擬.參考美國“網絡風暴”系列網絡安全演練活動，面對未來可能發生的大規模網絡攻擊事件展開模擬[10].測試相關政府部門、目標單位、安全廠商在面對極端網絡安全事件時的應對處置能力，為大規模網絡安全攻防技術及理論研究提供支撐.

參考文獻

[1]懷進鵬. 大數據是國家戰略資源[J]. 中國經濟和信息化, 2013 (8): 49-50

[2]薛濤. 習近平主持召開國家安全工作座談會[N/OL]. 新華社 (2017-02-17) [2018-04-15]. http://www.xinhuanet.com/politics/2017-02/17/c_1120486809.htm

[3]韓昊辰. 習近平主持中共中央政治局第二次集體學習[N/OL]. 新華社 (2017-12-09) [2018-04-15]. http://www.gov.cn/xinwen/2017-12/09/content_5245520.htm

[4]賈春娟. 貴陽: 正在崛起的“中國數谷”[J]. 人民文摘, 2015 (7): 12-14

[5]楊茜. 2016貴陽大數據與網絡安全攻防演練總結大會舉行[N/OL]. 中國新聞網 (2016-12-29) [2018-04-15]. http://www.gz.chinanews.com/content/2016/12-29/70049.shtml

[6]程靜, 雷璟, 袁雪芬. 國家網絡靶場的建設與發展[J]. 中國電子科學研究院學報, 2014 (9): 446-452

[7]常艷, 王冠. 網絡安全滲透測試研究[J]. 信息網絡安全, 2012 (11): 3-4

[8]樊成瓊. 2017貴陽大數據及網絡安全攻防演練觀摩總結大會舉行[N/OL]. (2017-11-29) [2018-04-15]. http://www.gz.xinhuanet.com/2017-11/29/c_1122027443.htm

[9]王軍. 多維視野下的網絡戰: 緣起、演進與應對[J]. 世界經濟與政治, 2012 (7): 80-98

[10]陳士林, 李淑華. 美國“網絡風暴”系列演習概況及特點分析[J]. 外軍信息戰, 2012 (4): 38-40