劉冬蘭，馬雷，劉新，張展，于灝，井俊雙

（1.國(guó)網(wǎng)山東省電力公司電力科學(xué)研究院，濟(jì)南250003；2.全球能源互聯(lián)網(wǎng)（山東）協(xié)同創(chuàng)新中心，濟(jì)南250003）

基于B/S架構(gòu)的電力信息安全攻防演練系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

劉冬蘭1，2，馬雷1，2，劉新1，2，張展1，2，于灝1，2，井俊雙1，2

（1.國(guó)網(wǎng)山東省電力公司電力科學(xué)研究院，濟(jì)南250003；2.全球能源互聯(lián)網(wǎng)（山東）協(xié)同創(chuàng)新中心，濟(jì)南250003）

隨著電力系統(tǒng)工作信息化的普及和信息系統(tǒng)的深化應(yīng)用，信息安全已成為電網(wǎng)公司信息化工作的重要內(nèi)容，在信息安全網(wǎng)絡(luò)戰(zhàn)的形勢(shì)下，電網(wǎng)安全防護(hù)面臨著更深層次的安全威脅。針對(duì)此問(wèn)題，設(shè)計(jì)基于B/S架構(gòu)的電力信息安全攻防演練比賽系統(tǒng)，構(gòu)建多個(gè)實(shí)驗(yàn)環(huán)境，配備攻防演練裝備，信息安全紅藍(lán)隊(duì)定期進(jìn)行黑客奪旗戰(zhàn)、CTF競(jìng)賽等多種形式的模擬演練，通過(guò)現(xiàn)場(chǎng)培訓(xùn)與實(shí)操提高信息安全紅藍(lán)隊(duì)漏洞和隱患發(fā)現(xiàn)技能，進(jìn)一步加強(qiáng)信息安全人員應(yīng)對(duì)信息系統(tǒng)突發(fā)事件的處置能力，確保重要信息系統(tǒng)安全穩(wěn)定運(yùn)行。

網(wǎng)絡(luò)；信息安全；攻防演練；紅藍(lán)隊(duì)；奪旗

0　引言

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，電力系統(tǒng)工作信息化的普及以及各種網(wǎng)絡(luò)系統(tǒng)的深化應(yīng)用，信息安全已成為關(guān)系到國(guó)家政治、國(guó)防、經(jīng)濟(jì)、社會(huì)的重要問(wèn)題，對(duì)培養(yǎng)具有網(wǎng)絡(luò)信息安全知識(shí)和應(yīng)用技能的專業(yè)技術(shù)人才提出了更高要求，是企業(yè)信息化建設(shè)的基礎(chǔ)和保障，直接關(guān)系到企業(yè)安全和發(fā)展，成為電網(wǎng)公司信息化工作的重要內(nèi)容。

目前，信息安全形勢(shì)日益嚴(yán)峻，“棱鏡門事件”、“斯諾登事件”、“心臟出血漏洞”均折射出國(guó)際信息安全形勢(shì)的嚴(yán)峻性，在信息安全網(wǎng)絡(luò)戰(zhàn)的形勢(shì)下，電網(wǎng)安全防護(hù)面臨著更深層次的威脅。網(wǎng)絡(luò)安全產(chǎn)品的日益增多和信息安全技術(shù)的不斷進(jìn)步，使信息安全問(wèn)題日益嚴(yán)重，病毒、木馬、黑客攻擊、網(wǎng)絡(luò)釣魚、DDOS等安全威脅層出不窮。另外，針對(duì)電力信息系統(tǒng)存在的漏洞，黑客可能會(huì)利用服務(wù)器系統(tǒng)存在弱口令和在服務(wù)器上植入病毒木馬文件等方法，竊取電力系統(tǒng)內(nèi)的敏感信息或者篡改網(wǎng)站內(nèi)容等。很多單位沒(méi)有建立模擬黑客攻擊的信息安全攻防演練平臺(tái)，信息安全防護(hù)方面較薄弱，惡意攻擊者可能利用系統(tǒng)漏洞登錄系統(tǒng)獲取敏感信息，導(dǎo)致電力系統(tǒng)的供電方案、保障方案、變電站建筑結(jié)構(gòu)圖、電氣主接線圖、信息機(jī)房拓?fù)鋱D以及相關(guān)的敏感資料和信息等泄露。

針對(duì)存在的問(wèn)題，設(shè)計(jì)基于B/S架構(gòu)的電力信息安全攻防演練比賽系統(tǒng)，利用現(xiàn)有的服務(wù)器終端，通過(guò)對(duì)實(shí)驗(yàn)環(huán)境組合，構(gòu)建多個(gè)攻防演練實(shí)驗(yàn)環(huán)境，主要以網(wǎng)絡(luò)攻擊步驟為線索介紹黑客攻擊各階段常用的攻擊方法和原理，涉及各類安全工具使用教學(xué)、網(wǎng)絡(luò)攻防、Web攻防、漏洞發(fā)掘和防護(hù)等各項(xiàng)內(nèi)容，而且具體的攻擊方法針對(duì)現(xiàn)實(shí)的網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)服務(wù)。該平臺(tái)從實(shí)戰(zhàn)出發(fā)，幫助用戶循序漸進(jìn)的掌握各種網(wǎng)絡(luò)偵破技術(shù)，可以近似真實(shí)地模擬各種網(wǎng)絡(luò)犯罪環(huán)境。信息安全紅藍(lán)隊(duì)定期進(jìn)行黑客奪旗戰(zhàn)、CTF競(jìng)賽等多種形式的模擬演練，通過(guò)現(xiàn)場(chǎng)培訓(xùn)與實(shí)操提高信息安全紅藍(lán)隊(duì)漏洞和隱患發(fā)現(xiàn)技能，進(jìn)一步加強(qiáng)信息安全人員應(yīng)對(duì)信息系統(tǒng)突發(fā)事件的處置能力，確保重要信息系統(tǒng)安全穩(wěn)定運(yùn)行，防止造成重大損失和影響，提高電力系統(tǒng)網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)急保障能力。該系統(tǒng)在山東省電力公司信息安全紅藍(lán)隊(duì)培訓(xùn)中取得了較好效果。

1　安全攻防實(shí)驗(yàn)平臺(tái)基礎(chǔ)架構(gòu)

信息安全攻防演練比賽系統(tǒng)平臺(tái)就是要解決網(wǎng)絡(luò)攻防課程的在線學(xué)習(xí)和攻防實(shí)驗(yàn)操作環(huán)境方面的問(wèn)題，一方面選擇了某些實(shí)驗(yàn)內(nèi)容并搭建適當(dāng)?shù)沫h(huán)境，對(duì)網(wǎng)絡(luò)攻防的課堂演示和課程相關(guān)的驗(yàn)證性實(shí)驗(yàn)提供特定場(chǎng)景；另一方面為網(wǎng)絡(luò)信息安全知識(shí)的應(yīng)用提供了綜合演練實(shí)驗(yàn)環(huán)境，支持網(wǎng)絡(luò)攻防對(duì)抗演練。同時(shí)，也需要解決平臺(tái)支撐服務(wù)器和實(shí)驗(yàn)教學(xué)網(wǎng)絡(luò)自身的安全可靠性問(wèn)題。

攻防演練比賽系統(tǒng)是軟硬件一體化的基礎(chǔ)平臺(tái)，采用高性能服務(wù)器和虛擬化技術(shù)，在預(yù)定義虛擬機(jī)模板基礎(chǔ)上，可以快速生成多達(dá)幾十個(gè)的虛擬機(jī)實(shí)例，支持多人并行進(jìn)行學(xué)習(xí)和訓(xùn)練，互不影響。通過(guò)內(nèi)置的網(wǎng)絡(luò)和安全設(shè)備，如路由器、交換機(jī)、防火墻，可以快速構(gòu)建復(fù)雜的網(wǎng)絡(luò)場(chǎng)景拓?fù)?。如果想利用?shí)驗(yàn)室已有的網(wǎng)絡(luò)和安全設(shè)備，也可以通過(guò)外部接口對(duì)接。將提供演示學(xué)習(xí)的在線教學(xué)平臺(tái)服務(wù)器和攻擊實(shí)驗(yàn)子網(wǎng)用防火墻進(jìn)行隔離。

實(shí)驗(yàn)平臺(tái)基礎(chǔ)架構(gòu)包括服務(wù)器、防火墻、IDS、VPN等基礎(chǔ)網(wǎng)絡(luò)設(shè)備和安全設(shè)備調(diào)試區(qū)域，有教師機(jī)、學(xué)員機(jī)、仿真防火墻、在線教學(xué)平臺(tái)、實(shí)驗(yàn)操作監(jiān)控平臺(tái)、Windows測(cè)試區(qū)、Linux測(cè)試區(qū)、Windows攻擊平臺(tái)、Linux攻擊平臺(tái)、軟件逆向病毒分析平臺(tái)等。實(shí)驗(yàn)采用了如圖1所示的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

2　系統(tǒng)功能模塊

信息安全攻防演練比賽系統(tǒng)，包括實(shí)驗(yàn)平臺(tái)基礎(chǔ)架構(gòu)、實(shí)驗(yàn)環(huán)境定制、應(yīng)用場(chǎng)景定制模塊。在基礎(chǔ)平臺(tái)之上，安裝實(shí)驗(yàn)環(huán)境，包括其他攻防方面的產(chǎn)品如蜜罐，漏掃，都可以安裝進(jìn)來(lái)，可以構(gòu)建加強(qiáng)的攻擊和防護(hù)系統(tǒng)，并且可以構(gòu)建安全技術(shù)研究子系統(tǒng)、安全測(cè)試子系統(tǒng)、安全檢查評(píng)估子系統(tǒng)。系統(tǒng)功能模塊如圖2所示。

圖1　信息安全攻防實(shí)驗(yàn)平臺(tái)基礎(chǔ)架構(gòu)

圖2　信息安全攻防演練比賽系統(tǒng)功能模塊

實(shí)驗(yàn)平臺(tái)是將虛擬化專用服務(wù)器、防火墻、IDS等網(wǎng)絡(luò)安全設(shè)備通過(guò)外部接口對(duì)接作為支撐，設(shè)計(jì)包含用戶管理、資源管理等功能的后臺(tái)管理系統(tǒng)。

實(shí)驗(yàn)環(huán)境定制模塊，包含緩沖區(qū)溢出、Arp欺騙、釣魚、Webshell、漏洞掃描、DDOS攻擊、SQL注入、Web上傳、域名劫持、爆庫(kù)、CSRF、本地提權(quán)、木馬攻防、XSS、網(wǎng)絡(luò)滲透、Sniffer、掛馬、Cookie欺騙、手機(jī)入侵等實(shí)驗(yàn)場(chǎng)景。可以定制綜合演練場(chǎng)景、蜜罐系統(tǒng)、惡意代碼分析、攻防知識(shí)庫(kù)、漏洞挖掘平臺(tái)等攻防演練場(chǎng)景。

應(yīng)用場(chǎng)景定制模塊，可以定制WEB攻防、內(nèi)網(wǎng)滲透、極光行動(dòng)APT場(chǎng)景、RSA SecurID竊取攻擊、入侵審計(jì)、拒絕服務(wù)等演練場(chǎng)景。該應(yīng)用場(chǎng)景主要用于電力信息安全培訓(xùn)、信息安全攻防場(chǎng)景演練、行業(yè)化深度定制以及一些拓展應(yīng)用。拓展應(yīng)用涉及安全產(chǎn)品測(cè)試、安全技術(shù)研究以及安全評(píng)估檢查等內(nèi)容。目前主要支持測(cè)試安全攻防類的檢查、監(jiān)測(cè)、防護(hù)類安全產(chǎn)品有：下一代防火墻NGFW、統(tǒng)一威脅網(wǎng)關(guān)UTM、網(wǎng)閘、入侵監(jiān)測(cè)產(chǎn)品IDS、入侵防護(hù)產(chǎn)品IPS、Web應(yīng)用防火墻WAF、漏洞掃描軟件、安全配置檢查工具、未知威脅APT分析設(shè)備。

3　整體組織結(jié)構(gòu)

平臺(tái)采用流行的網(wǎng)上教學(xué)平臺(tái)形式，使用瀏覽器/服務(wù)器（B/S）模式，瀏覽器作為客戶端，用ASP語(yǔ)言實(shí)現(xiàn)Web應(yīng)用界面，SQL Server作為數(shù)據(jù)庫(kù)存儲(chǔ)管理信息的三層結(jié)構(gòu)。該結(jié)構(gòu)便于用戶界面的優(yōu)化和演練內(nèi)容的添加，適合網(wǎng)絡(luò)攻防的內(nèi)容量大且不斷更新的特點(diǎn)。系統(tǒng)整體組織結(jié)構(gòu)如圖3所示。

知識(shí)庫(kù)管理系統(tǒng)主要包括知識(shí)管理和內(nèi)容瀏覽，主要是管理員有選擇地把信息安全攻防相關(guān)材料放置于服務(wù)器上，主要存儲(chǔ)電子教材、考題等信息。在線學(xué)習(xí)系統(tǒng)包括課程發(fā)布和在線學(xué)習(xí)，教師會(huì)不定期地在此系統(tǒng)中發(fā)布最新知識(shí)，學(xué)員可利用自己的時(shí)間自主學(xué)習(xí)，提高學(xué)員的學(xué)習(xí)積極主動(dòng)性。攻防比賽系統(tǒng)包括知識(shí)競(jìng)賽和攻防競(jìng)賽，公司會(huì)不定期組織各單位信息安全專業(yè)人員參加競(jìng)賽，用于選拔優(yōu)秀人員成立信息安全紅藍(lán)隊(duì)，開展電力信息系統(tǒng)漏洞挖掘和隱患排查等工作。

攻防演練比賽系統(tǒng)精心選擇最具代表性的素材和經(jīng)典案例作為實(shí)驗(yàn)內(nèi)容，在盡量簡(jiǎn)潔的環(huán)境配置下，提供通用強(qiáng)的一般工具，在操作的步驟中體現(xiàn)網(wǎng)絡(luò)協(xié)議分析、操作系統(tǒng)原理和程序設(shè)計(jì)的基礎(chǔ)知識(shí)應(yīng)用，使學(xué)生能夠加深了解相應(yīng)網(wǎng)絡(luò)攻防技術(shù)的原理。同時(shí)，在內(nèi)容上便于學(xué)員操作和理解掌握，為提高動(dòng)手能力、激發(fā)興趣開展自主研究提供必要的基礎(chǔ)，并按照實(shí)驗(yàn)順序在后續(xù)操作中提供較為復(fù)雜的提高性實(shí)驗(yàn)工具。

圖3　信息安全攻防演練比賽系統(tǒng)整體組織結(jié)構(gòu)

4　攻防演練系統(tǒng)應(yīng)用

攻防比賽系統(tǒng)提供一個(gè)真實(shí)的網(wǎng)絡(luò)攻防環(huán)境，供單位進(jìn)行網(wǎng)絡(luò)安全的攻擊、防御的實(shí)驗(yàn)和學(xué)習(xí)，提高網(wǎng)絡(luò)攻防實(shí)戰(zhàn)能力。主要用于公司信息安全紅藍(lán)隊(duì)攻防演練培訓(xùn)、信息安全技能競(jìng)賽、信息安全專家人才選拔等。自系統(tǒng)建設(shè)以來(lái)，已多次用于山東省電力公司信息安全專業(yè)技術(shù)培訓(xùn)和競(jìng)賽選拔工作。攻防比賽系統(tǒng)登陸首頁(yè)主要包括選手登錄、信息修改、當(dāng)前時(shí)間、考試選擇、考試建議、在線考試、比賽獎(jiǎng)勵(lì)、規(guī)則介紹、組織單位、考試公告等功能，如圖4所示。

攻和防的能力是相互提高的，攻防實(shí)驗(yàn)環(huán)境互相搭配組合，可使實(shí)驗(yàn)內(nèi)容更具針對(duì)性和現(xiàn)實(shí)性。在攻擊技術(shù)實(shí)驗(yàn)中，針對(duì)攻擊的原理提出如何進(jìn)行防護(hù)的問(wèn)題，并設(shè)置了防護(hù)實(shí)驗(yàn)內(nèi)容。如對(duì)于緩沖區(qū)溢出、SQL注入和XSS攻擊，在自行實(shí)現(xiàn)具有漏洞的程序，并利用攻擊工具進(jìn)行突破的同時(shí)，要求對(duì)相應(yīng)的代碼進(jìn)行安全性修改，達(dá)到防范攻擊的目的，實(shí)驗(yàn)本身也達(dá)到了鍛煉安全編程的能力。另外，一些實(shí)驗(yàn)環(huán)境本身就具有攻防兩方面的雙重意義，如網(wǎng)絡(luò)數(shù)據(jù)捕獲和分析，既是入侵檢測(cè)的基礎(chǔ)步驟，又是嗅探攻擊的手段。由此可知，攻和防的實(shí)驗(yàn)已密不可分。

信息安全紅藍(lán)隊(duì)在模擬黑客攻擊時(shí)，“紅隊(duì)”作為進(jìn)攻方，站在攻擊者的視角上觀察安全防護(hù)體系，挖掘特定對(duì)象的薄弱環(huán)節(jié)并通過(guò)模擬黑客入侵、病毒及惡意代碼、程序及代碼漏洞等方式發(fā)起攻擊；對(duì)信息安全實(shí)際防護(hù)的情況和有效性進(jìn)行逆向檢驗(yàn)，及時(shí)發(fā)現(xiàn)安全漏洞并督促整改?！八{(lán)隊(duì)”作為信息安全防護(hù)體系的守護(hù)者，發(fā)現(xiàn)基礎(chǔ)常規(guī)的信息安全漏洞并及時(shí)處置，并針對(duì)演練中紅隊(duì)的各類攻擊采取相應(yīng)技術(shù)手段予以阻攔或消除，開展信息安全運(yùn)維巡檢、安全監(jiān)測(cè)、日常自查隱患、消除安全短板等工作，確保信息安全防護(hù)體系正常運(yùn)轉(zhuǎn)，確保網(wǎng)絡(luò)及各類信息系統(tǒng)穩(wěn)定運(yùn)行。

攻防系統(tǒng)數(shù)據(jù)采集終端服務(wù)器實(shí)驗(yàn)操作監(jiān)控平臺(tái)對(duì)雙方的攻擊行為進(jìn)行數(shù)據(jù)記錄，服務(wù)器上預(yù)先設(shè)定的程序會(huì)根據(jù)攻防情況在平臺(tái)上公布雙方的實(shí)時(shí)戰(zhàn)績(jī)，對(duì)有爭(zhēng)議的結(jié)果可在服務(wù)器上查詢所提交的數(shù)據(jù)記錄，根據(jù)雙方的數(shù)據(jù)進(jìn)行攻擊效果評(píng)估，從而可判斷紅隊(duì)攻擊能力以及藍(lán)隊(duì)防護(hù)水平。

5　結(jié)語(yǔ)

信息安全攻防演練比賽系統(tǒng)作為網(wǎng)絡(luò)攻防課程的教學(xué)和實(shí)驗(yàn)輔助環(huán)境，為電力系統(tǒng)信息安全專業(yè)人員提供學(xué)習(xí)和資源共享的平臺(tái)。通過(guò)精心設(shè)計(jì)實(shí)驗(yàn)環(huán)境內(nèi)容，以標(biāo)靶系統(tǒng)的形式為攻防演練實(shí)驗(yàn)操作提供了高效的環(huán)境，平臺(tái)的設(shè)計(jì)為知識(shí)競(jìng)賽、人才選拔創(chuàng)造了有利條件，提供了良好的信息安全攻防比賽平臺(tái)，提升了信息安全紅藍(lán)隊(duì)漏洞和隱患發(fā)現(xiàn)技能。通過(guò)信息安全攻防演練系統(tǒng)的建設(shè)，進(jìn)一步加強(qiáng)了信息安全紅藍(lán)隊(duì)隊(duì)伍建設(shè)，全面提升信息安全自主可控能力、安全監(jiān)測(cè)能力、通報(bào)預(yù)警能力、應(yīng)急處置能力、全過(guò)程管控能力五大能力水平。

［1］底曉強(qiáng)，張宇昕，趙建平.基于云計(jì)算和虛擬化的計(jì)算機(jī)網(wǎng)絡(luò)攻防實(shí)驗(yàn)教學(xué)平臺(tái)建設(shè)探索［J］.實(shí)驗(yàn)技術(shù)與管理，2015，32（4）：147-151.

［2］張海亮.基于RoR的互聯(lián)網(wǎng)信息安全攻防演練系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)［J］.移動(dòng)信息，2015（2）：66-67.

［3］陳威，王剛，陳樂(lè)然，等.網(wǎng)絡(luò)攻防技術(shù)與信息安全實(shí)驗(yàn)室建設(shè)構(gòu)想［J］.華北電力技術(shù)，2014（12）：55-59.

［4］謝慧，邵瑋，聶峰.基于B/S架構(gòu)的遠(yuǎn)程網(wǎng)絡(luò)攻防實(shí)驗(yàn)室的研究與開發(fā)［J］.天津理工大學(xué)學(xué)報(bào)，2012，28（6）：44-47.

［5］趙威，王海泉，夏春和.面向網(wǎng)絡(luò)攻防演練的操作系統(tǒng)仿真模型研究與實(shí)現(xiàn)與實(shí)現(xiàn)［J］.計(jì)算機(jī)應(yīng)用研究，2008，25（8）：2 451-2 453.

［6］尹中旭，朱俊虎，魏強(qiáng)，等.網(wǎng)絡(luò)攻防演練平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)［J］.計(jì)算機(jī)教育，2011（2）：108-112.

Design and Implementation of the Electric Power Network Attack and Defense Drilling System Based on B/S structure

LIU Donglan1，2，MA Lei1，2，LIU Xin1，2，ZHANG Zhan1，2，YU Hao1，2，JING Junshuang1，2
（1.State Grid Shandong Electric Power Research Institute，Jinan 250003，China；2.Collaborative Innovation Center of Global Energy Internet（Shandong），Jinan 250003，China）

With the popularity of electric power system information and the deepening application of the information system，information security has become an important content of State Grid.Under the situation of cyber warfare，the security protection of State Grid is facing with a deeper level security threats.In this paper，the problem of constructing the electric power network attack is explored，and a defense drilling system based on B/S structure has been put forward.This platform constructs multiple experimental environments，equipped with the offensive and defensive capabilities.Besides，information security professionals of red blue team hold matches regularly，such as capture the flag.Through simulation drilling，the emergency disposal ability of students can be greatly improved，in case to ensure the safe and stable operation of important information system.

network；information security；attack and defense drilling；red blue team；capture the flag

TP393.081

A

1007-9904（2015）10-0027-04

2015-08-12

劉冬蘭（1987），女，工程師，主要從事電力系統(tǒng)信息安全技術(shù)督查工作。