□ 郝葉力

貴陽大數據與網絡安全攻防演練是國內首次面向實網的安全攻防演練。2年來，這個演練作為貴陽市政府的一把手工程，始終以求真務實的精神搞安全，取得了意想不到的效果，可以稱得上網絡安全領域一個歷史性的創(chuàng)舉，具有里程碑的意義。

2017年的第二屆貴陽大數據與網絡安全攻防演練增加了針對關鍵信息基礎設施的新科目，更具有“破冰”意義。貴陽的實網演練從2016年的先行先試，到2017年的再上臺階，獲得了各界的廣泛參與，政府的大力支持，樹立了創(chuàng)新典范，增強了敢闖必勝的信心。

實網攻防演練能否取得成效，取決于三方（政府、檢測、被測）的行為選擇。相當于政府敢不敢掛牌擔當開辦醫(yī)院，患者能不能敞開衣袖接受體檢，醫(yī)生有沒有醫(yī)德醫(yī)術履職盡責，三者缺一不可。我從支撐演練的3個主體談3點看法，分別是攻防演練的亮點、痛點和要點。

3個主體展現三大亮點

亮點之一：主辦方將工控系統納入演練范疇，努力管控風險，體現了貴陽市政府敢于擔責、勇于探索的智慧和勇氣。

工控系統維系國家關鍵基礎設施正常運轉，特別是涉及到水、電、油、氣等關系國計民生的基礎網絡，屬于國家戰(zhàn)略資源。面對這樣的重要信息系統，通常會存在“不敢試、不好試、不想試”的問題，但這些系統究竟存在多少安全風險，基本上處于沒有底數的“兩眼一抹黑”狀態(tài)。貴陽市鼓起超常勇氣，敢拿工控系統開練，調用南方電網、水務系統、有線電視等目標進行滲透測試，并協調公安部門專門制定風險控制方案，進行有效防控，對于行業(yè)具有引領示范作用。這相當于“第一次吃螃蟹”，具有“破冰”意義。

亮點之二：被測方經受了復檢，驗證了整改成效，體現了以攻促防、鞏固成果、持續(xù)釘釘子的精神。

在第一屆攻防演練時，采用主動曝光方式暴露安全問題，對管理運維方是一次安全體檢?！袄窃诘鹱吆⒆雍蟆?，有沒有“亡羊補牢”，把自家圍墻整改和加固，第2次正好通過100個目標復檢，摸清了底數?？傮w看，第二屆演練目標安全防護水平較第一屆有了較大幅度的提升，大多數網站新增WAF（網站應用級入侵防御系統）、各類防御盾等軟硬件設施后，能夠實施靈敏反應、動態(tài)阻斷，增加了攻擊實施難度。第一屆演練時，有的團隊僅用半天時間就對部分目標一竿子插到底，如入無人之境。而在第二屆演練時，被控制的內網數由59個下降至52個，被控內網主機由1 570臺下降至1 368臺。這些情況和數據都說明，經過去年攻防演練，被檢的“病人”思想重視度提高了，整改加固措施奏效。

亮點之三：攻防團隊潛心研究核心技術，靈活應用戰(zhàn)法，體現了攻防對抗創(chuàng)新能力。

在與一線隊伍的溝通交流中，我們欣喜地發(fā)現，比較之前的常規(guī)通用滲透測試技術，參加第二屆攻防演練的大多數隊伍在網絡診斷過程中，技術深度得以加強，戰(zhàn)法應用更得心應手，漏洞發(fā)現能力得到提升。在演練期間，共發(fā)現378個高危漏洞，攻陷112個網絡目標，拿到網站最高權限達92個。令我們印象深刻的有以下7支團隊：中科院信工所團隊，使用軟件逆向技術檢測工控系統脆弱性，發(fā)現專用協議傳輸系統邏輯問題；另外，對微軟組件服務進行深度二進制流量分析，獲取了用戶敏感信息。無聲科技團隊，細致分析目標拓撲結構和配置文件，抽絲剝繭，實現了對站庫分離目標的有效突破。知道創(chuàng)宇團隊，綜合利用27個系統漏洞，在做深做透內網上下功夫，取得了良好成績。貴大黔鋒團隊，巧妙利用多漏洞配合，實現多網跨站攻擊。華為未然實驗室團隊，能曲徑通幽，發(fā)現去年未檢測出的“心臟滴血”漏洞，達成對政務管理平臺全面控制。永信至誠團隊，對物聯網應用的機頂盒測試分析，準確定位點播鏈路，拿到了內網計費系統管理員權限。亨達團隊，能從復雜網情入手，尋根問底，在開發(fā)人員代碼共享平臺找到敏感管理信息，實現目標內網全面控制，詳盡掌握了470萬客戶數據和1萬余名員工信息。

暴露的問題揭示痛點

痛點之一:在工控系統檢測中，發(fā)生了3個沒想到。

第1個沒想到：電力仿真“有皮缺餡”。

南方電網系統仿真靶場“不盡如人意”。檢測方本希望在仿真電網環(huán)境中，驗證其業(yè)務系統的脆弱性，但仿真靶場只構建了電網網絡拓撲的1，2，3區(qū)防御縱深，基本沒有裝載真實業(yè)務系統，相當于只有幾道防火墻、網閘等安防設備的業(yè)務裸機。就好比檢測方希望檢查被測人的衣兜、褲兜、里兜、外兜，是不是有漏洞。結果被測方只穿了一件沒有兜的白大褂。檢測方的期望和被檢方反差太大，撈不到干貨，讓檢測方比較失望。這個問題說明工控系統檢測的特殊性，以及主觀客觀原因，使得真實環(huán)境不能給、不好給、不想給的矛盾比較突出，這為我們今后如何建實靶標提供了借鑒。

第2個沒想到：水務仿真“假戲真唱”。

貴陽水務仿真系統檢測“差強人意”。按計劃是提供“水務收費系統仿真靶場”參與測試，因此對拒絕服務攻擊、數據庫篡改等帶有破壞性質的測試手段沒作限制。但是攻擊開始后，演練指揮部收到了真實水務調度系統的故障反饋，隨即叫停了進一步檢測行動。從這種結果可以推斷，水務仿真系統很可能與真實業(yè)務系統進行了網絡連接和數據交換，并不是單純的仿真環(huán)境。這件事進一步說明，對工控系統而言，要想構建一個逼真的仿真靶場的確很難，實物半實物相結合可能更容易實現。

第3個沒想到：“規(guī)則有漏導致錯上加錯”。

這是由第2個沒想到引發(fā)的問題。因為按假靶子設計的攻擊規(guī)則，是不能用于對真目標進行測試的。對于假靶子可以放開攻，但對實靶子卻要有緊箍咒。所以，針對一個仿真靶場，萬一與實網有某些聯系，檢測方應該遵循什么樣的演練規(guī)則，對仿真靶標能不能進行破壞性的檢測行為，這是沒有明確的，出現了規(guī)則缺陷。通過這次探索，對工控系統如何檢測，如何制定規(guī)則，防范風險，總結了教訓。好在出現故障反應及時，有驚無險，從中獲得了經驗。

痛點之二:有些網絡重有形產品防護，輕業(yè)務自身安全現象普遍，被1塊石頭絆倒了2次。

有的業(yè)務系統，在第1次演練中檢出問題曾被通報，但沒有重視整改，錯誤一犯再犯；部分單位發(fā)現問題后，購買安裝安全產品就萬事大吉了；更有甚者，存在勒索病毒使用的永恒之藍漏洞，在相關部門三令五申強調打補丁情況下，仍置之不理，被攻擊團隊測出。此外，在個別網站服務器，還發(fā)現了2012年被放置的木馬程序，仍存活在其中。由此可見，安全絕不是單一安全，而是系統的、多維的、全局的，涉及到人員思想意識、安全管理制度、內外軟硬件防護等諸多方面。

痛點之三:重面子輕里子，人為設置障礙、掩蓋問題現象仍然存在。

第一屆演練中部分目標“拔插頭”的情況，在第二屆中仍然未被杜絕。部分單位在第1天被掃描后，直至演練結束還一直使用“封IP地址的方式進行消極抵抗，拒絕測試。還有的單位為了降低攻擊風險，對網站業(yè)務功能（檢索、發(fā)布等功能）進行了刪減，“鴕鳥政策”不僅傷害了滲透檢測團隊的滿腔熱誠，也折射出扭曲的安全觀和政績觀。

選好矛與盾把握未來演練的關鍵點

縱觀2屆演練活動的得與失，我們不僅收獲了亮點，重要的是找到了痛點，知道了難點，取得了經驗。下一步，如何尋求實網演練的可持續(xù)發(fā)展之道？主辦方從策劃的視角，有2個關鍵點值得研究：一是要選好盾，二是要用好矛。

第1個關鍵點是如何選擇盾，解決“剃頭挑子一頭熱”的問題。

2屆實網演練發(fā)現，總有某些被測方用“斷網、封IP”消極方式對抗檢測，屢禁不止已成頑疾。要讓未來的實網演練健康可持續(xù)發(fā)展，必須圍繞貴陽大數據產業(yè)安全發(fā)展總目標尋找應對之策。一是要分層、分類、分級解決安全問題，而不是用一刀切、一把尺制定安全標準。要有針對性地選擇關鍵、要害、高價值網絡用戶，充分調動運維主體的積極性，剛柔并濟、激發(fā)內生動力，變“要我測”為“我要測”，引導攻防雙方相向而行、良性互動。二是演練模式要多樣化。時間上，從年度演練轉向常態(tài)化；模式上，從比賽式轉向研究式；方法上，從背靠背向面對面延伸。三是要剛柔相濟，重點幫扶。在處理像貨車幫這樣影響大、涉面廣，代表貴陽大數據產業(yè)名片的網站安全問題上，不要靠曝光、張榜解決問題，而是既要有力度，又要有溫度，進行個性化檢測 和柔性化幫扶，促其成為大數據產業(yè)安全發(fā)展之典范。

第2個關鍵點是如何用好矛，要解決軍民融合的問題。

工控這類復雜特殊系統，對安全事故近乎零容忍，一般不能靠短期內的一次性攻防對抗解決問題，而是需要測試方和運維主體共同面對面研究安全檢測方法，排除安全隱患。那么貴陽實網演練確實需要“絕對忠誠、絕對可靠、絕對純潔”的特殊之矛。為國家關鍵基礎設施安全提供戰(zhàn)略支援利器，軍隊也更應養(yǎng)兵千日、用兵千日，履行使命?！氨蔷毘鰜淼?，不是看出來的”，貴陽首開了實網演練先河，也應該首開軍民融合之路。國家關鍵基礎設施網絡保護，需要軍隊這樣的“啄木鳥”；軍隊錘煉隊伍、驗證手段、提升能力也更需要貴陽這樣絕佳的“磨刀石”。因此由軍隊機制化、常態(tài)化參加像貴陽這樣實網演練，正是利國利軍利民的最佳舉措，也是軍民融合落到實處的必然選擇，應當成為未來讓貴陽實網演練可持續(xù)發(fā)展的應有之意。