劉冬蘭，馬雷，劉新，張展，于灝，井俊雙

（1.國網(wǎng)山東省電力公司電力科學(xué)研究院，濟(jì)南250003；2.全球能源互聯(lián)網(wǎng)（山東）協(xié)同創(chuàng)新中心，濟(jì)南250003）

基于B/S架構(gòu)的電力信息安全攻防演練系統(tǒng)設(shè)計與實現(xiàn)

劉冬蘭1，2，馬雷1，2，劉新1，2，張展1，2，于灝1，2，井俊雙1，2

（1.國網(wǎng)山東省電力公司電力科學(xué)研究院，濟(jì)南250003；2.全球能源互聯(lián)網(wǎng)（山東）協(xié)同創(chuàng)新中心，濟(jì)南250003）

隨著電力系統(tǒng)工作信息化的普及和信息系統(tǒng)的深化應(yīng)用，信息安全已成為電網(wǎng)公司信息化工作的重要內(nèi)容，在信息安全網(wǎng)絡(luò)戰(zhàn)的形勢下，電網(wǎng)安全防護(hù)面臨著更深層次的安全威脅。針對此問題，設(shè)計基于B/S架構(gòu)的電力信息安全攻防演練比賽系統(tǒng)，構(gòu)建多個實驗環(huán)境，配備攻防演練裝備，信息安全紅藍(lán)隊定期進(jìn)行黑客奪旗戰(zhàn)、CTF競賽等多種形式的模擬演練，通過現(xiàn)場培訓(xùn)與實操提高信息安全紅藍(lán)隊漏洞和隱患發(fā)現(xiàn)技能，進(jìn)一步加強(qiáng)信息安全人員應(yīng)對信息系統(tǒng)突發(fā)事件的處置能力，確保重要信息系統(tǒng)安全穩(wěn)定運行。

網(wǎng)絡(luò)；信息安全；攻防演練；紅藍(lán)隊；奪旗

0　引言

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，電力系統(tǒng)工作信息化的普及以及各種網(wǎng)絡(luò)系統(tǒng)的深化應(yīng)用，信息安全已成為關(guān)系到國家政治、國防、經(jīng)濟(jì)、社會的重要問題，對培養(yǎng)具有網(wǎng)絡(luò)信息安全知識和應(yīng)用技能的專業(yè)技術(shù)人才提出了更高要求，是企業(yè)信息化建設(shè)的基礎(chǔ)和保障，直接關(guān)系到企業(yè)安全和發(fā)展，成為電網(wǎng)公司信息化工作的重要內(nèi)容。

目前，信息安全形勢日益嚴(yán)峻，“棱鏡門事件”、“斯諾登事件”、“心臟出血漏洞”均折射出國際信息安全形勢的嚴(yán)峻性，在信息安全網(wǎng)絡(luò)戰(zhàn)的形勢下，電網(wǎng)安全防護(hù)面臨著更深層次的威脅。網(wǎng)絡(luò)安全產(chǎn)品的日益增多和信息安全技術(shù)的不斷進(jìn)步，使信息安全問題日益嚴(yán)重，病毒、木馬、黑客攻擊、網(wǎng)絡(luò)釣魚、DDOS等安全威脅層出不窮。另外，針對電力信息系統(tǒng)存在的漏洞，黑客可能會利用服務(wù)器系統(tǒng)存在弱口令和在服務(wù)器上植入病毒木馬文件等方法，竊取電力系統(tǒng)內(nèi)的敏感信息或者篡改網(wǎng)站內(nèi)容等。很多單位沒有建立模擬黑客攻擊的信息安全攻防演練平臺，信息安全防護(hù)方面較薄弱，惡意攻擊者可能利用系統(tǒng)漏洞登錄系統(tǒng)獲取敏感信息，導(dǎo)致電力系統(tǒng)的供電方案、保障方案、變電站建筑結(jié)構(gòu)圖、電氣主接線圖、信息機(jī)房拓?fù)鋱D以及相關(guān)的敏感資料和信息等泄露。

針對存在的問題，設(shè)計基于B/S架構(gòu)的電力信息安全攻防演練比賽系統(tǒng)，利用現(xiàn)有的服務(wù)器終端，通過對實驗環(huán)境組合，構(gòu)建多個攻防演練實驗環(huán)境，主要以網(wǎng)絡(luò)攻擊步驟為線索介紹黑客攻擊各階段常用的攻擊方法和原理，涉及各類安全工具使用教學(xué)、網(wǎng)絡(luò)攻防、Web攻防、漏洞發(fā)掘和防護(hù)等各項內(nèi)容，而且具體的攻擊方法針對現(xiàn)實的網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)服務(wù)。該平臺從實戰(zhàn)出發(fā)，幫助用戶循序漸進(jìn)的掌握各種網(wǎng)絡(luò)偵破技術(shù)，可以近似真實地模擬各種網(wǎng)絡(luò)犯罪環(huán)境。信息安全紅藍(lán)隊定期進(jìn)行黑客奪旗戰(zhàn)、CTF競賽等多種形式的模擬演練，通過現(xiàn)場培訓(xùn)與實操提高信息安全紅藍(lán)隊漏洞和隱患發(fā)現(xiàn)技能，進(jìn)一步加強(qiáng)信息安全人員應(yīng)對信息系統(tǒng)突發(fā)事件的處置能力，確保重要信息系統(tǒng)安全穩(wěn)定運行，防止造成重大損失和影響，提高電力系統(tǒng)網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)急保障能力。該系統(tǒng)在山東省電力公司信息安全紅藍(lán)隊培訓(xùn)中取得了較好效果。

1　安全攻防實驗平臺基礎(chǔ)架構(gòu)

信息安全攻防演練比賽系統(tǒng)平臺就是要解決網(wǎng)絡(luò)攻防課程的在線學(xué)習(xí)和攻防實驗操作環(huán)境方面的問題，一方面選擇了某些實驗內(nèi)容并搭建適當(dāng)?shù)沫h(huán)境，對網(wǎng)絡(luò)攻防的課堂演示和課程相關(guān)的驗證性實驗提供特定場景；另一方面為網(wǎng)絡(luò)信息安全知識的應(yīng)用提供了綜合演練實驗環(huán)境，支持網(wǎng)絡(luò)攻防對抗演練。同時，也需要解決平臺支撐服務(wù)器和實驗教學(xué)網(wǎng)絡(luò)自身的安全可靠性問題。

攻防演練比賽系統(tǒng)是軟硬件一體化的基礎(chǔ)平臺，采用高性能服務(wù)器和虛擬化技術(shù)，在預(yù)定義虛擬機(jī)模板基礎(chǔ)上，可以快速生成多達(dá)幾十個的虛擬機(jī)實例，支持多人并行進(jìn)行學(xué)習(xí)和訓(xùn)練，互不影響。通過內(nèi)置的網(wǎng)絡(luò)和安全設(shè)備，如路由器、交換機(jī)、防火墻，可以快速構(gòu)建復(fù)雜的網(wǎng)絡(luò)場景拓?fù)?。如果想利用實驗室已有的網(wǎng)絡(luò)和安全設(shè)備，也可以通過外部接口對接。將提供演示學(xué)習(xí)的在線教學(xué)平臺服務(wù)器和攻擊實驗子網(wǎng)用防火墻進(jìn)行隔離。

實驗平臺基礎(chǔ)架構(gòu)包括服務(wù)器、防火墻、IDS、VPN等基礎(chǔ)網(wǎng)絡(luò)設(shè)備和安全設(shè)備調(diào)試區(qū)域，有教師機(jī)、學(xué)員機(jī)、仿真防火墻、在線教學(xué)平臺、實驗操作監(jiān)控平臺、Windows測試區(qū)、Linux測試區(qū)、Windows攻擊平臺、Linux攻擊平臺、軟件逆向病毒分析平臺等。實驗采用了如圖1所示的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

2　系統(tǒng)功能模塊

信息安全攻防演練比賽系統(tǒng)，包括實驗平臺基礎(chǔ)架構(gòu)、實驗環(huán)境定制、應(yīng)用場景定制模塊。在基礎(chǔ)平臺之上，安裝實驗環(huán)境，包括其他攻防方面的產(chǎn)品如蜜罐，漏掃，都可以安裝進(jìn)來，可以構(gòu)建加強(qiáng)的攻擊和防護(hù)系統(tǒng)，并且可以構(gòu)建安全技術(shù)研究子系統(tǒng)、安全測試子系統(tǒng)、安全檢查評估子系統(tǒng)。系統(tǒng)功能模塊如圖2所示。

圖1　信息安全攻防實驗平臺基礎(chǔ)架構(gòu)

圖2　信息安全攻防演練比賽系統(tǒng)功能模塊

實驗平臺是將虛擬化專用服務(wù)器、防火墻、IDS等網(wǎng)絡(luò)安全設(shè)備通過外部接口對接作為支撐，設(shè)計包含用戶管理、資源管理等功能的后臺管理系統(tǒng)。

實驗環(huán)境定制模塊，包含緩沖區(qū)溢出、Arp欺騙、釣魚、Webshell、漏洞掃描、DDOS攻擊、SQL注入、Web上傳、域名劫持、爆庫、CSRF、本地提權(quán)、木馬攻防、XSS、網(wǎng)絡(luò)滲透、Sniffer、掛馬、Cookie欺騙、手機(jī)入侵等實驗場景。可以定制綜合演練場景、蜜罐系統(tǒng)、惡意代碼分析、攻防知識庫、漏洞挖掘平臺等攻防演練場景。

應(yīng)用場景定制模塊，可以定制WEB攻防、內(nèi)網(wǎng)滲透、極光行動APT場景、RSA SecurID竊取攻擊、入侵審計、拒絕服務(wù)等演練場景。該應(yīng)用場景主要用于電力信息安全培訓(xùn)、信息安全攻防場景演練、行業(yè)化深度定制以及一些拓展應(yīng)用。拓展應(yīng)用涉及安全產(chǎn)品測試、安全技術(shù)研究以及安全評估檢查等內(nèi)容。目前主要支持測試安全攻防類的檢查、監(jiān)測、防護(hù)類安全產(chǎn)品有：下一代防火墻NGFW、統(tǒng)一威脅網(wǎng)關(guān)UTM、網(wǎng)閘、入侵監(jiān)測產(chǎn)品IDS、入侵防護(hù)產(chǎn)品IPS、Web應(yīng)用防火墻WAF、漏洞掃描軟件、安全配置檢查工具、未知威脅APT分析設(shè)備。

3　整體組織結(jié)構(gòu)

平臺采用流行的網(wǎng)上教學(xué)平臺形式，使用瀏覽器/服務(wù)器（B/S）模式，瀏覽器作為客戶端，用ASP語言實現(xiàn)Web應(yīng)用界面，SQL Server作為數(shù)據(jù)庫存儲管理信息的三層結(jié)構(gòu)。該結(jié)構(gòu)便于用戶界面的優(yōu)化和演練內(nèi)容的添加，適合網(wǎng)絡(luò)攻防的內(nèi)容量大且不斷更新的特點。系統(tǒng)整體組織結(jié)構(gòu)如圖3所示。

知識庫管理系統(tǒng)主要包括知識管理和內(nèi)容瀏覽，主要是管理員有選擇地把信息安全攻防相關(guān)材料放置于服務(wù)器上，主要存儲電子教材、考題等信息。在線學(xué)習(xí)系統(tǒng)包括課程發(fā)布和在線學(xué)習(xí)，教師會不定期地在此系統(tǒng)中發(fā)布最新知識，學(xué)員可利用自己的時間自主學(xué)習(xí)，提高學(xué)員的學(xué)習(xí)積極主動性。攻防比賽系統(tǒng)包括知識競賽和攻防競賽，公司會不定期組織各單位信息安全專業(yè)人員參加競賽，用于選拔優(yōu)秀人員成立信息安全紅藍(lán)隊，開展電力信息系統(tǒng)漏洞挖掘和隱患排查等工作。

攻防演練比賽系統(tǒng)精心選擇最具代表性的素材和經(jīng)典案例作為實驗內(nèi)容，在盡量簡潔的環(huán)境配置下，提供通用強(qiáng)的一般工具，在操作的步驟中體現(xiàn)網(wǎng)絡(luò)協(xié)議分析、操作系統(tǒng)原理和程序設(shè)計的基礎(chǔ)知識應(yīng)用，使學(xué)生能夠加深了解相應(yīng)網(wǎng)絡(luò)攻防技術(shù)的原理。同時，在內(nèi)容上便于學(xué)員操作和理解掌握，為提高動手能力、激發(fā)興趣開展自主研究提供必要的基礎(chǔ)，并按照實驗順序在后續(xù)操作中提供較為復(fù)雜的提高性實驗工具。

圖3　信息安全攻防演練比賽系統(tǒng)整體組織結(jié)構(gòu)

4　攻防演練系統(tǒng)應(yīng)用

攻防比賽系統(tǒng)提供一個真實的網(wǎng)絡(luò)攻防環(huán)境，供單位進(jìn)行網(wǎng)絡(luò)安全的攻擊、防御的實驗和學(xué)習(xí)，提高網(wǎng)絡(luò)攻防實戰(zhàn)能力。主要用于公司信息安全紅藍(lán)隊攻防演練培訓(xùn)、信息安全技能競賽、信息安全專家人才選拔等。自系統(tǒng)建設(shè)以來，已多次用于山東省電力公司信息安全專業(yè)技術(shù)培訓(xùn)和競賽選拔工作。攻防比賽系統(tǒng)登陸首頁主要包括選手登錄、信息修改、當(dāng)前時間、考試選擇、考試建議、在線考試、比賽獎勵、規(guī)則介紹、組織單位、考試公告等功能，如圖4所示。

攻和防的能力是相互提高的，攻防實驗環(huán)境互相搭配組合，可使實驗內(nèi)容更具針對性和現(xiàn)實性。在攻擊技術(shù)實驗中，針對攻擊的原理提出如何進(jìn)行防護(hù)的問題，并設(shè)置了防護(hù)實驗內(nèi)容。如對于緩沖區(qū)溢出、SQL注入和XSS攻擊，在自行實現(xiàn)具有漏洞的程序，并利用攻擊工具進(jìn)行突破的同時，要求對相應(yīng)的代碼進(jìn)行安全性修改，達(dá)到防范攻擊的目的，實驗本身也達(dá)到了鍛煉安全編程的能力。另外，一些實驗環(huán)境本身就具有攻防兩方面的雙重意義，如網(wǎng)絡(luò)數(shù)據(jù)捕獲和分析，既是入侵檢測的基礎(chǔ)步驟，又是嗅探攻擊的手段。由此可知，攻和防的實驗已密不可分。

信息安全紅藍(lán)隊在模擬黑客攻擊時，“紅隊”作為進(jìn)攻方，站在攻擊者的視角上觀察安全防護(hù)體系，挖掘特定對象的薄弱環(huán)節(jié)并通過模擬黑客入侵、病毒及惡意代碼、程序及代碼漏洞等方式發(fā)起攻擊；對信息安全實際防護(hù)的情況和有效性進(jìn)行逆向檢驗，及時發(fā)現(xiàn)安全漏洞并督促整改?！八{(lán)隊”作為信息安全防護(hù)體系的守護(hù)者，發(fā)現(xiàn)基礎(chǔ)常規(guī)的信息安全漏洞并及時處置，并針對演練中紅隊的各類攻擊采取相應(yīng)技術(shù)手段予以阻攔或消除，開展信息安全運維巡檢、安全監(jiān)測、日常自查隱患、消除安全短板等工作，確保信息安全防護(hù)體系正常運轉(zhuǎn)，確保網(wǎng)絡(luò)及各類信息系統(tǒng)穩(wěn)定運行。

攻防系統(tǒng)數(shù)據(jù)采集終端服務(wù)器實驗操作監(jiān)控平臺對雙方的攻擊行為進(jìn)行數(shù)據(jù)記錄，服務(wù)器上預(yù)先設(shè)定的程序會根據(jù)攻防情況在平臺上公布雙方的實時戰(zhàn)績，對有爭議的結(jié)果可在服務(wù)器上查詢所提交的數(shù)據(jù)記錄，根據(jù)雙方的數(shù)據(jù)進(jìn)行攻擊效果評估，從而可判斷紅隊攻擊能力以及藍(lán)隊防護(hù)水平。

5　結(jié)語

信息安全攻防演練比賽系統(tǒng)作為網(wǎng)絡(luò)攻防課程的教學(xué)和實驗輔助環(huán)境，為電力系統(tǒng)信息安全專業(yè)人員提供學(xué)習(xí)和資源共享的平臺。通過精心設(shè)計實驗環(huán)境內(nèi)容，以標(biāo)靶系統(tǒng)的形式為攻防演練實驗操作提供了高效的環(huán)境，平臺的設(shè)計為知識競賽、人才選拔創(chuàng)造了有利條件，提供了良好的信息安全攻防比賽平臺，提升了信息安全紅藍(lán)隊漏洞和隱患發(fā)現(xiàn)技能。通過信息安全攻防演練系統(tǒng)的建設(shè)，進(jìn)一步加強(qiáng)了信息安全紅藍(lán)隊隊伍建設(shè)，全面提升信息安全自主可控能力、安全監(jiān)測能力、通報預(yù)警能力、應(yīng)急處置能力、全過程管控能力五大能力水平。

［1］底曉強(qiáng)，張宇昕，趙建平.基于云計算和虛擬化的計算機(jī)網(wǎng)絡(luò)攻防實驗教學(xué)平臺建設(shè)探索［J］.實驗技術(shù)與管理，2015，32（4）：147-151.

［2］張海亮.基于RoR的互聯(lián)網(wǎng)信息安全攻防演練系統(tǒng)的設(shè)計與實現(xiàn)［J］.移動信息，2015（2）：66-67.

［3］陳威，王剛，陳樂然，等.網(wǎng)絡(luò)攻防技術(shù)與信息安全實驗室建設(shè)構(gòu)想［J］.華北電力技術(shù)，2014（12）：55-59.

［4］謝慧，邵瑋，聶峰.基于B/S架構(gòu)的遠(yuǎn)程網(wǎng)絡(luò)攻防實驗室的研究與開發(fā)［J］.天津理工大學(xué)學(xué)報，2012，28（6）：44-47.

［5］趙威，王海泉，夏春和.面向網(wǎng)絡(luò)攻防演練的操作系統(tǒng)仿真模型研究與實現(xiàn)與實現(xiàn)［J］.計算機(jī)應(yīng)用研究，2008，25（8）：2 451-2 453.

［6］尹中旭，朱俊虎，魏強(qiáng)，等.網(wǎng)絡(luò)攻防演練平臺的設(shè)計與實現(xiàn)［J］.計算機(jī)教育，2011（2）：108-112.

Design and Implementation of the Electric Power Network Attack and Defense Drilling System Based on B/S structure

LIU Donglan1，2，MA Lei1，2，LIU Xin1，2，ZHANG Zhan1，2，YU Hao1，2，JING Junshuang1，2
（1.State Grid Shandong Electric Power Research Institute，Jinan 250003，China；2.Collaborative Innovation Center of Global Energy Internet（Shandong），Jinan 250003，China）

With the popularity of electric power system information and the deepening application of the information system，information security has become an important content of State Grid.Under the situation of cyber warfare，the security protection of State Grid is facing with a deeper level security threats.In this paper，the problem of constructing the electric power network attack is explored，and a defense drilling system based on B/S structure has been put forward.This platform constructs multiple experimental environments，equipped with the offensive and defensive capabilities.Besides，information security professionals of red blue team hold matches regularly，such as capture the flag.Through simulation drilling，the emergency disposal ability of students can be greatly improved，in case to ensure the safe and stable operation of important information system.

network；information security；attack and defense drilling；red blue team；capture the flag

TP393.081

A

1007-9904（2015）10-0027-04

2015-08-12

劉冬蘭（1987），女，工程師，主要從事電力系統(tǒng)信息安全技術(shù)督查工作。