□ 郝葉力

貴陽(yáng)大數(shù)據(jù)與網(wǎng)絡(luò)安全攻防演練是國(guó)內(nèi)首次面向?qū)嵕W(wǎng)的安全攻防演練。2年來(lái)，這個(gè)演練作為貴陽(yáng)市政府的一把手工程，始終以求真務(wù)實(shí)的精神搞安全，取得了意想不到的效果，可以稱得上網(wǎng)絡(luò)安全領(lǐng)域一個(gè)歷史性的創(chuàng)舉，具有里程碑的意義。

2017年的第二屆貴陽(yáng)大數(shù)據(jù)與網(wǎng)絡(luò)安全攻防演練增加了針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的新科目，更具有“破冰”意義。貴陽(yáng)的實(shí)網(wǎng)演練從2016年的先行先試，到2017年的再上臺(tái)階，獲得了各界的廣泛參與，政府的大力支持，樹立了創(chuàng)新典范，增強(qiáng)了敢闖必勝的信心。

實(shí)網(wǎng)攻防演練能否取得成效，取決于三方（政府、檢測(cè)、被測(cè)）的行為選擇。相當(dāng)于政府敢不敢掛牌擔(dān)當(dāng)開辦醫(yī)院，患者能不能敞開衣袖接受體檢，醫(yī)生有沒有醫(yī)德醫(yī)術(shù)履職盡責(zé)，三者缺一不可。我從支撐演練的3個(gè)主體談3點(diǎn)看法，分別是攻防演練的亮點(diǎn)、痛點(diǎn)和要點(diǎn)。

3個(gè)主體展現(xiàn)三大亮點(diǎn)

亮點(diǎn)之一：主辦方將工控系統(tǒng)納入演練范疇，努力管控風(fēng)險(xiǎn)，體現(xiàn)了貴陽(yáng)市政府敢于擔(dān)責(zé)、勇于探索的智慧和勇氣。

工控系統(tǒng)維系國(guó)家關(guān)鍵基礎(chǔ)設(shè)施正常運(yùn)轉(zhuǎn)，特別是涉及到水、電、油、氣等關(guān)系國(guó)計(jì)民生的基礎(chǔ)網(wǎng)絡(luò)，屬于國(guó)家戰(zhàn)略資源。面對(duì)這樣的重要信息系統(tǒng)，通常會(huì)存在“不敢試、不好試、不想試”的問(wèn)題，但這些系統(tǒng)究竟存在多少安全風(fēng)險(xiǎn)，基本上處于沒有底數(shù)的“兩眼一抹黑”狀態(tài)。貴陽(yáng)市鼓起超常勇氣，敢拿工控系統(tǒng)開練，調(diào)用南方電網(wǎng)、水務(wù)系統(tǒng)、有線電視等目標(biāo)進(jìn)行滲透測(cè)試，并協(xié)調(diào)公安部門專門制定風(fēng)險(xiǎn)控制方案，進(jìn)行有效防控，對(duì)于行業(yè)具有引領(lǐng)示范作用。這相當(dāng)于“第一次吃螃蟹”，具有“破冰”意義。

亮點(diǎn)之二：被測(cè)方經(jīng)受了復(fù)檢，驗(yàn)證了整改成效，體現(xiàn)了以攻促防、鞏固成果、持續(xù)釘釘子的精神。

在第一屆攻防演練時(shí)，采用主動(dòng)曝光方式暴露安全問(wèn)題，對(duì)管理運(yùn)維方是一次安全體檢?！袄窃诘鹱吆⒆雍蟆?，有沒有“亡羊補(bǔ)牢”，把自家圍墻整改和加固，第2次正好通過(guò)100個(gè)目標(biāo)復(fù)檢，摸清了底數(shù)?？傮w看，第二屆演練目標(biāo)安全防護(hù)水平較第一屆有了較大幅度的提升，大多數(shù)網(wǎng)站新增WAF（網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng)）、各類防御盾等軟硬件設(shè)施后，能夠?qū)嵤╈`敏反應(yīng)、動(dòng)態(tài)阻斷，增加了攻擊實(shí)施難度。第一屆演練時(shí)，有的團(tuán)隊(duì)僅用半天時(shí)間就對(duì)部分目標(biāo)一竿子插到底，如入無(wú)人之境。而在第二屆演練時(shí)，被控制的內(nèi)網(wǎng)數(shù)由59個(gè)下降至52個(gè)，被控內(nèi)網(wǎng)主機(jī)由1 570臺(tái)下降至1 368臺(tái)。這些情況和數(shù)據(jù)都說(shuō)明，經(jīng)過(guò)去年攻防演練，被檢的“病人”思想重視度提高了，整改加固措施奏效。

亮點(diǎn)之三：攻防團(tuán)隊(duì)潛心研究核心技術(shù)，靈活應(yīng)用戰(zhàn)法，體現(xiàn)了攻防對(duì)抗創(chuàng)新能力。

在與一線隊(duì)伍的溝通交流中，我們欣喜地發(fā)現(xiàn)，比較之前的常規(guī)通用滲透測(cè)試技術(shù)，參加第二屆攻防演練的大多數(shù)隊(duì)伍在網(wǎng)絡(luò)診斷過(guò)程中，技術(shù)深度得以加強(qiáng)，戰(zhàn)法應(yīng)用更得心應(yīng)手，漏洞發(fā)現(xiàn)能力得到提升。在演練期間，共發(fā)現(xiàn)378個(gè)高危漏洞，攻陷112個(gè)網(wǎng)絡(luò)目標(biāo)，拿到網(wǎng)站最高權(quán)限達(dá)92個(gè)。令我們印象深刻的有以下7支團(tuán)隊(duì)：中科院信工所團(tuán)隊(duì)，使用軟件逆向技術(shù)檢測(cè)工控系統(tǒng)脆弱性，發(fā)現(xiàn)專用協(xié)議傳輸系統(tǒng)邏輯問(wèn)題；另外，對(duì)微軟組件服務(wù)進(jìn)行深度二進(jìn)制流量分析，獲取了用戶敏感信息。無(wú)聲科技團(tuán)隊(duì)，細(xì)致分析目標(biāo)拓?fù)浣Y(jié)構(gòu)和配置文件，抽絲剝繭，實(shí)現(xiàn)了對(duì)站庫(kù)分離目標(biāo)的有效突破。知道創(chuàng)宇團(tuán)隊(duì)，綜合利用27個(gè)系統(tǒng)漏洞，在做深做透內(nèi)網(wǎng)上下功夫，取得了良好成績(jī)。貴大黔鋒團(tuán)隊(duì)，巧妙利用多漏洞配合，實(shí)現(xiàn)多網(wǎng)跨站攻擊。華為未然實(shí)驗(yàn)室團(tuán)隊(duì)，能曲徑通幽，發(fā)現(xiàn)去年未檢測(cè)出的“心臟滴血”漏洞，達(dá)成對(duì)政務(wù)管理平臺(tái)全面控制。永信至誠(chéng)團(tuán)隊(duì)，對(duì)物聯(lián)網(wǎng)應(yīng)用的機(jī)頂盒測(cè)試分析，準(zhǔn)確定位點(diǎn)播鏈路，拿到了內(nèi)網(wǎng)計(jì)費(fèi)系統(tǒng)管理員權(quán)限。亨達(dá)團(tuán)隊(duì)，能從復(fù)雜網(wǎng)情入手，尋根問(wèn)底，在開發(fā)人員代碼共享平臺(tái)找到敏感管理信息，實(shí)現(xiàn)目標(biāo)內(nèi)網(wǎng)全面控制，詳盡掌握了470萬(wàn)客戶數(shù)據(jù)和1萬(wàn)余名員工信息。

暴露的問(wèn)題揭示痛點(diǎn)

痛點(diǎn)之一:在工控系統(tǒng)檢測(cè)中，發(fā)生了3個(gè)沒想到。

第1個(gè)沒想到：電力仿真“有皮缺餡”。

南方電網(wǎng)系統(tǒng)仿真靶場(chǎng)“不盡如人意”。檢測(cè)方本希望在仿真電網(wǎng)環(huán)境中，驗(yàn)證其業(yè)務(wù)系統(tǒng)的脆弱性，但仿真靶場(chǎng)只構(gòu)建了電網(wǎng)網(wǎng)絡(luò)拓?fù)涞?，2，3區(qū)防御縱深，基本沒有裝載真實(shí)業(yè)務(wù)系統(tǒng)，相當(dāng)于只有幾道防火墻、網(wǎng)閘等安防設(shè)備的業(yè)務(wù)裸機(jī)。就好比檢測(cè)方希望檢查被測(cè)人的衣兜、褲兜、里兜、外兜，是不是有漏洞。結(jié)果被測(cè)方只穿了一件沒有兜的白大褂。檢測(cè)方的期望和被檢方反差太大，撈不到干貨，讓檢測(cè)方比較失望。這個(gè)問(wèn)題說(shuō)明工控系統(tǒng)檢測(cè)的特殊性，以及主觀客觀原因，使得真實(shí)環(huán)境不能給、不好給、不想給的矛盾比較突出，這為我們今后如何建實(shí)靶標(biāo)提供了借鑒。

第2個(gè)沒想到：水務(wù)仿真“假戲真唱”。

貴陽(yáng)水務(wù)仿真系統(tǒng)檢測(cè)“差強(qiáng)人意”。按計(jì)劃是提供“水務(wù)收費(fèi)系統(tǒng)仿真靶場(chǎng)”參與測(cè)試，因此對(duì)拒絕服務(wù)攻擊、數(shù)據(jù)庫(kù)篡改等帶有破壞性質(zhì)的測(cè)試手段沒作限制。但是攻擊開始后，演練指揮部收到了真實(shí)水務(wù)調(diào)度系統(tǒng)的故障反饋，隨即叫停了進(jìn)一步檢測(cè)行動(dòng)。從這種結(jié)果可以推斷，水務(wù)仿真系統(tǒng)很可能與真實(shí)業(yè)務(wù)系統(tǒng)進(jìn)行了網(wǎng)絡(luò)連接和數(shù)據(jù)交換，并不是單純的仿真環(huán)境。這件事進(jìn)一步說(shuō)明，對(duì)工控系統(tǒng)而言，要想構(gòu)建一個(gè)逼真的仿真靶場(chǎng)的確很難，實(shí)物半實(shí)物相結(jié)合可能更容易實(shí)現(xiàn)。

第3個(gè)沒想到：“規(guī)則有漏導(dǎo)致錯(cuò)上加錯(cuò)”。

這是由第2個(gè)沒想到引發(fā)的問(wèn)題。因?yàn)榘醇侔凶釉O(shè)計(jì)的攻擊規(guī)則，是不能用于對(duì)真目標(biāo)進(jìn)行測(cè)試的。對(duì)于假靶子可以放開攻，但對(duì)實(shí)靶子卻要有緊箍咒。所以，針對(duì)一個(gè)仿真靶場(chǎng)，萬(wàn)一與實(shí)網(wǎng)有某些聯(lián)系，檢測(cè)方應(yīng)該遵循什么樣的演練規(guī)則，對(duì)仿真靶標(biāo)能不能進(jìn)行破壞性的檢測(cè)行為，這是沒有明確的，出現(xiàn)了規(guī)則缺陷。通過(guò)這次探索，對(duì)工控系統(tǒng)如何檢測(cè)，如何制定規(guī)則，防范風(fēng)險(xiǎn)，總結(jié)了教訓(xùn)。好在出現(xiàn)故障反應(yīng)及時(shí)，有驚無(wú)險(xiǎn)，從中獲得了經(jīng)驗(yàn)。

痛點(diǎn)之二:有些網(wǎng)絡(luò)重有形產(chǎn)品防護(hù)，輕業(yè)務(wù)自身安全現(xiàn)象普遍，被1塊石頭絆倒了2次。

有的業(yè)務(wù)系統(tǒng)，在第1次演練中檢出問(wèn)題曾被通報(bào)，但沒有重視整改，錯(cuò)誤一犯再犯；部分單位發(fā)現(xiàn)問(wèn)題后，購(gòu)買安裝安全產(chǎn)品就萬(wàn)事大吉了；更有甚者，存在勒索病毒使用的永恒之藍(lán)漏洞，在相關(guān)部門三令五申強(qiáng)調(diào)打補(bǔ)丁情況下，仍置之不理，被攻擊團(tuán)隊(duì)測(cè)出。此外，在個(gè)別網(wǎng)站服務(wù)器，還發(fā)現(xiàn)了2012年被放置的木馬程序，仍存活在其中。由此可見，安全絕不是單一安全，而是系統(tǒng)的、多維的、全局的，涉及到人員思想意識(shí)、安全管理制度、內(nèi)外軟硬件防護(hù)等諸多方面。

痛點(diǎn)之三:重面子輕里子，人為設(shè)置障礙、掩蓋問(wèn)題現(xiàn)象仍然存在。

第一屆演練中部分目標(biāo)“拔插頭”的情況，在第二屆中仍然未被杜絕。部分單位在第1天被掃描后，直至演練結(jié)束還一直使用“封IP地址的方式進(jìn)行消極抵抗，拒絕測(cè)試。還有的單位為了降低攻擊風(fēng)險(xiǎn)，對(duì)網(wǎng)站業(yè)務(wù)功能（檢索、發(fā)布等功能）進(jìn)行了刪減，“鴕鳥政策”不僅傷害了滲透檢測(cè)團(tuán)隊(duì)的滿腔熱誠(chéng)，也折射出扭曲的安全觀和政績(jī)觀。

選好矛與盾把握未來(lái)演練的關(guān)鍵點(diǎn)

縱觀2屆演練活動(dòng)的得與失，我們不僅收獲了亮點(diǎn)，重要的是找到了痛點(diǎn)，知道了難點(diǎn)，取得了經(jīng)驗(yàn)。下一步，如何尋求實(shí)網(wǎng)演練的可持續(xù)發(fā)展之道？主辦方從策劃的視角，有2個(gè)關(guān)鍵點(diǎn)值得研究：一是要選好盾，二是要用好矛。

第1個(gè)關(guān)鍵點(diǎn)是如何選擇盾，解決“剃頭挑子一頭熱”的問(wèn)題。

2屆實(shí)網(wǎng)演練發(fā)現(xiàn)，總有某些被測(cè)方用“斷網(wǎng)、封IP”消極方式對(duì)抗檢測(cè)，屢禁不止已成頑疾。要讓未來(lái)的實(shí)網(wǎng)演練健康可持續(xù)發(fā)展，必須圍繞貴陽(yáng)大數(shù)據(jù)產(chǎn)業(yè)安全發(fā)展總目標(biāo)尋找應(yīng)對(duì)之策。一是要分層、分類、分級(jí)解決安全問(wèn)題，而不是用一刀切、一把尺制定安全標(biāo)準(zhǔn)。要有針對(duì)性地選擇關(guān)鍵、要害、高價(jià)值網(wǎng)絡(luò)用戶，充分調(diào)動(dòng)運(yùn)維主體的積極性，剛?cè)岵?jì)、激發(fā)內(nèi)生動(dòng)力，變“要我測(cè)”為“我要測(cè)”，引導(dǎo)攻防雙方相向而行、良性互動(dòng)。二是演練模式要多樣化。時(shí)間上，從年度演練轉(zhuǎn)向常態(tài)化；模式上，從比賽式轉(zhuǎn)向研究式；方法上，從背靠背向面對(duì)面延伸。三是要?jiǎng)側(cè)嵯酀?jì)，重點(diǎn)幫扶。在處理像貨車幫這樣影響大、涉面廣，代表貴陽(yáng)大數(shù)據(jù)產(chǎn)業(yè)名片的網(wǎng)站安全問(wèn)題上，不要靠曝光、張榜解決問(wèn)題，而是既要有力度，又要有溫度，進(jìn)行個(gè)性化檢測(cè) 和柔性化幫扶，促其成為大數(shù)據(jù)產(chǎn)業(yè)安全發(fā)展之典范。

第2個(gè)關(guān)鍵點(diǎn)是如何用好矛，要解決軍民融合的問(wèn)題。

工控這類復(fù)雜特殊系統(tǒng)，對(duì)安全事故近乎零容忍，一般不能靠短期內(nèi)的一次性攻防對(duì)抗解決問(wèn)題，而是需要測(cè)試方和運(yùn)維主體共同面對(duì)面研究安全檢測(cè)方法，排除安全隱患。那么貴陽(yáng)實(shí)網(wǎng)演練確實(shí)需要“絕對(duì)忠誠(chéng)、絕對(duì)可靠、絕對(duì)純潔”的特殊之矛。為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施安全提供戰(zhàn)略支援利器，軍隊(duì)也更應(yīng)養(yǎng)兵千日、用兵千日，履行使命。“兵是練出來(lái)的，不是看出來(lái)的”，貴陽(yáng)首開了實(shí)網(wǎng)演練先河，也應(yīng)該首開軍民融合之路。國(guó)家關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)保護(hù)，需要軍隊(duì)這樣的“啄木鳥”；軍隊(duì)錘煉隊(duì)伍、驗(yàn)證手段、提升能力也更需要貴陽(yáng)這樣絕佳的“磨刀石”。因此由軍隊(duì)機(jī)制化、常態(tài)化參加像貴陽(yáng)這樣實(shí)網(wǎng)演練，正是利國(guó)利軍利民的最佳舉措，也是軍民融合落到實(shí)處的必然選擇，應(yīng)當(dāng)成為未來(lái)讓貴陽(yáng)實(shí)網(wǎng)演練可持續(xù)發(fā)展的應(yīng)有之意。