紅藍(lán)對抗與安全督查融合探索

張啟芳，解梁軍，葛網(wǎng)華

（上海室電力公司電力科學(xué)研究院 上海 200237）

在當(dāng)前復(fù)雜嚴(yán)峻的信息安全形勢，和新形勢下國家對網(wǎng)絡(luò)信息安全要求[1]，2014年公司《關(guān)于開展網(wǎng)絡(luò)安全攻防（紅藍(lán)）演習(xí)工作的緊急通知》實(shí)施為契機(jī)，基于多年信息安全督查實(shí)踐探索，在國網(wǎng)公司以及國網(wǎng)上海市電力公司對信息安全督查工作的指導(dǎo)下，圍繞“消除短板，以攻促防”的工作目標(biāo)，積極開展紅藍(lán)對抗與信息安全督查整合實(shí)踐，配合國網(wǎng)公司開展信息安全防護(hù)演練，并檢驗(yàn)本單位對網(wǎng)絡(luò)安全威脅的預(yù)警發(fā)現(xiàn)和應(yīng)急處置機(jī)制和安全事件的分析研判和指揮協(xié)調(diào)能力，深化信息安全技術(shù)督查工作，督促國網(wǎng)上海市電力公司各基層單位落實(shí)各項信息安全管理要求和技術(shù)保障措施，提升信息安全防護(hù)水平，確保各基層單位做到信息安全“八不準(zhǔn)”和“三個不發(fā)生”。在紅藍(lán)對抗促進(jìn)信息安全督查[2]實(shí)踐過程中初步凝煉出的典型經(jīng)驗(yàn)有良好的推廣基礎(chǔ)。

1 紅藍(lán)對抗特色督查

按公司的總體安排，以“消除短板，以攻促防”為目標(biāo)，于2014年11月19號由公司科技信通部牽頭成立了演練協(xié)調(diào)組，并負(fù)責(zé)本次演練工作的組織協(xié)調(diào)，開展了為期三天的演練。

電科院攻擊演練組（紅隊）制定了攻擊演練計劃以及演練科目的方案和腳本和開展全公司范圍攻擊滲透、漏洞挖掘、防護(hù)體系薄弱點(diǎn)分析定位，組織了自攻防演練和公司攻防二輪演習(xí)活動，同時開展了網(wǎng)絡(luò)安全攻防滲透攻擊和漏洞挖掘等科目的演習(xí)。

信通公司防御演練組（藍(lán)隊）制定了公司總體防御演練計劃以及演練科目的方案及腳本、針對攻擊情況的協(xié)同研判與處置指揮、信息系統(tǒng)安全策略合規(guī)審計、風(fēng)險實(shí)時監(jiān)測、惡意攻擊阻截和處置、應(yīng)急保障以及防護(hù)體系薄弱環(huán)節(jié)分析和防護(hù)加固。

1.1 紅藍(lán)對抗特色督查的目標(biāo)

本次對抗的目標(biāo)是檢驗(yàn)公司公司內(nèi)關(guān)鍵信息系統(tǒng)應(yīng)對網(wǎng)絡(luò)安全攻防的能力、信息安全基礎(chǔ)工作落實(shí)情況、信息安全技術(shù)隊伍滲透以及漏洞挖掘的技術(shù)能力、本單位對網(wǎng)絡(luò)安全威脅的預(yù)警發(fā)現(xiàn)和應(yīng)急處置機(jī)制以及本單位對網(wǎng)絡(luò)安全事件的分析研判和指揮協(xié)調(diào)能力。深化信息安全技術(shù)督查工作，督促國網(wǎng)上海市電力公司各基層單位落實(shí)各項信息安全管理要求和技術(shù)保障措施，提升信息安全防護(hù)水平，確保各基層單位做到信息安全“八不準(zhǔn)”和“三個不發(fā)生”。本次特色督查主對上海公司的部署在互連網(wǎng)上的業(yè)務(wù)信息系統(tǒng)進(jìn)行了攻防演練工作。

1.2 紅藍(lán)對抗特色督查開展情況

2014年11月19日至11月21日，上海市電力公司組織開展了紅藍(lán)對抗特色督查[3]，檢查公司的危險點(diǎn)分析預(yù)控管理系統(tǒng)、供應(yīng)商管理平臺、95598互動服務(wù)網(wǎng)站、門戶網(wǎng)站、電力市場交易系統(tǒng)等5個外網(wǎng)系統(tǒng)的信息安全防護(hù)情況。根據(jù)相關(guān)要求制定了信息系統(tǒng)紅藍(lán)對抗演練方案，以及演練的類型（攻擊演練和防御演練）、演練的科目（應(yīng)用系攻擊、操作系統(tǒng)與數(shù)據(jù)庫攻擊、網(wǎng)絡(luò)服務(wù)與設(shè)備攻擊）、攻擊的方式以及演練覆蓋的范圍。

在本次對抗特色督查演練過程中，第一輪攻防演練進(jìn)行了漏洞發(fā)現(xiàn)與利用、密碼口令破解等方面的攻擊演練；第二輪攻防演練在第一輪攻防演練基礎(chǔ)上，采用漏洞挖掘、暴力破解、遠(yuǎn)程注入、IP欺騙、社會工程學(xué)、釣魚等工具與方法，對前期發(fā)現(xiàn)重大缺陷的單位以及可能存在重大隱患的單位和系統(tǒng)進(jìn)行重點(diǎn)攻擊。

1.3 紅藍(lán)對抗特色督查流程

紅藍(lán)對抗特色督查分為紅隊和藍(lán)隊，紅隊進(jìn)行攻擊、滲透、提權(quán)，藍(lán)隊進(jìn)行防守、阻斷，具體流程圖見圖1。

圖1 紅藍(lán)對抗特色督查流程圖Fig.1 Red-blue against special inspection flow chart

2 紅藍(lán)對抗特色督查實(shí)施方法

本次紅藍(lán)對抗特色督查主要采用黑盒滲透測試方法，即根據(jù)藍(lán)隊提供的業(yè)務(wù)系統(tǒng)范圍，僅從系統(tǒng)對外連接進(jìn)行滲透測試攻擊，檢測網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)等各種信息資產(chǎn)所存在的安全隱患和漏洞。

本次紅隊督查主要采取系統(tǒng)漏洞檢測、密碼破解等各類互聯(lián)網(wǎng)遠(yuǎn)程攻擊、滲透手段，實(shí)戰(zhàn)演練互聯(lián)網(wǎng)、信息外網(wǎng)網(wǎng)絡(luò)服務(wù)與設(shè)備攻擊、操作系統(tǒng)與數(shù)據(jù)庫攻擊、應(yīng)用系統(tǒng)攻擊等攻擊科目，通過判斷是否能夠獲取防守方系統(tǒng)、設(shè)備的漏洞和控制權(quán)，檢驗(yàn)攻擊方的攻擊滲透以及漏洞挖掘能力。督查步 驟 首 先 采 用 使 用 nmap6.4、appsacn8.7、Acunetix Web Vulnerability Scanner 9、綠盟WEB應(yīng)用漏洞掃描系統(tǒng)以及綠盟漏洞掃描系統(tǒng)等工具對所需測試的范圍進(jìn)行信息和漏洞收集[4]；其次根據(jù)收集到信息和漏洞開展分析和測試。

藍(lán)隊防御演練組依據(jù)公司安全防護(hù)有關(guān)文件、標(biāo)準(zhǔn)和方案做好安全防護(hù)[5]，落實(shí)各項安全基礎(chǔ)工作，實(shí)戰(zhàn)演練安全自查和加固、漏洞修補(bǔ)等防御科目，檢驗(yàn)防御方在面對網(wǎng)絡(luò)攻擊下的信息安全基礎(chǔ)防護(hù)能力，和現(xiàn)有的IPS等安全防護(hù)工具及相關(guān)技術(shù)手段對紅隊所發(fā)起的所有攻擊進(jìn)行監(jiān)控，攔截和處理。以及預(yù)警監(jiān)測、應(yīng)急處置等安全機(jī)制和預(yù)案，實(shí)戰(zhàn)演練入侵檢測和告警、應(yīng)急處置等防御科目，檢驗(yàn)防御方的預(yù)警發(fā)現(xiàn)、研判處置能力[6-8]。

3 紅藍(lán)對抗特色督查實(shí)施效果

本次紅藍(lán)對抗特色督查在可控的條件下，通過模擬各種真實(shí)的攻擊方法來檢查內(nèi)外網(wǎng)各業(yè)務(wù)系統(tǒng)安全防護(hù)的有效性，具有較強(qiáng)的真實(shí)性和準(zhǔn)確性，可以發(fā)現(xiàn)最突出地、更深層次地、復(fù)雜地的安全問題。

在本次攻防演練中利用漏洞掃描、密碼分析等工具與方法，對各單位部署在互聯(lián)網(wǎng)、信息外網(wǎng)的對外提供服務(wù)應(yīng)用，包括：公司外網(wǎng)郵件系統(tǒng)、各單位門戶網(wǎng)站等，進(jìn)行漏洞發(fā)現(xiàn)與利用、密碼口令破解等全面攻擊演練。在演練過程中及時發(fā)現(xiàn)并清除薄弱環(huán)節(jié)，檢驗(yàn)了公司防御隊伍的補(bǔ)丁部署、安全加固、口令管理等基礎(chǔ)性防護(hù)的工作情況。

此次攻防演練采用可控制的、非破壞性性質(zhì)的滲透測試督查，不會對被評估的系統(tǒng)造成嚴(yán)重的影響和留下未知的安全隱患。 紅隊在問題發(fā)現(xiàn)之后，快速整理專項演練中發(fā)現(xiàn)的信息安全問題與漏洞，綜合分析，形成問題清單，并發(fā)出了相應(yīng)的整改要求，便于防御單位整改；藍(lán)隊依據(jù)相關(guān)要求進(jìn)行及時整改，消除隱患。

本次演練讓功防單位更清楚認(rèn)識到，對于演練活動中暴露出的管理和技術(shù)問題需從責(zé)任及機(jī)制落實(shí)的角度完善改進(jìn)，要強(qiáng)化閉環(huán)管理，切實(shí)做到“三不放過”，不留死角，是對安全防護(hù)工作落實(shí)情況的重要舉措。雖然本次紅藍(lán)對抗特色督查工作時間有限，鍛煉了攻防隊伍，紅藍(lán)兩隊還是均從本次的督查中收益匪淺。

4 結(jié)束語

根據(jù)本次紅藍(lán)對抗特色督查結(jié)果，國網(wǎng)上海市電力公司領(lǐng)導(dǎo)高度重視此次特色督查工作，期間，公司領(lǐng)導(dǎo)分別就信息安全工作的重要性以及必要性作出了重要指示，并提到中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立的重要意義以及“沒有網(wǎng)絡(luò)安全就沒有國家安全”的指導(dǎo)思想和方針路線 ，并要求各基層單位通信信息工作分管領(lǐng)導(dǎo)把信息安全督查工作要求和會議精神傳達(dá)給每個員工。

通過紅藍(lán)對抗與安全督查的融合探索，我們總結(jié)出以下幾點(diǎn)典型經(jīng)驗(yàn)：

1）在本次紅藍(lán)對抗特色督查中，紅隊和藍(lán)隊均在可控的條件下，采用可控制的、非破壞性性質(zhì)的滲透測試，不會對被評估的系統(tǒng)的正常運(yùn)行造成影響和留下不可預(yù)知的安全隱患。

2）通過模擬各種真實(shí)的攻擊方法來督查內(nèi)外網(wǎng)各業(yè)務(wù)系統(tǒng)安全防護(hù)的有效性，具有較強(qiáng)的真實(shí)性和準(zhǔn)確性，可以發(fā)現(xiàn)最突出地、更深層次地、復(fù)雜地的安全問題。

3）紅隊通過完全模擬黑客攻擊的督查方法，在問題發(fā)現(xiàn)之后快速整理信息并發(fā)出了相應(yīng)的整改要求，檢驗(yàn)了公司網(wǎng)絡(luò)安全威脅的預(yù)警發(fā)現(xiàn)及應(yīng)急處置機(jī)制的有效性，提高了公司信息安全督查技術(shù)隊伍的安全滲透以及漏洞挖掘等方面的技術(shù)能力。

4）該特色督查工作不僅驗(yàn)證了業(yè)務(wù)系統(tǒng)安全防護(hù)機(jī)制和運(yùn)維檢修機(jī)制，也大大提升了藍(lán)隊的信息安全預(yù)警和分析能力。也通過對網(wǎng)絡(luò)安全事件的分析研判，鍛煉了組織協(xié)調(diào)能力。

根據(jù)安全的周而復(fù)始性，今后除了加強(qiáng)日常監(jiān)控外，提高安全意識，消除弱口令、運(yùn)維和督查溝通以及紅藍(lán)對抗等督查工作也應(yīng)繼續(xù)加大力度，保障業(yè)務(wù)持續(xù)有效的安全運(yùn)行，做到進(jìn)不來、拿不走、看不懂、改不了、跑不了的安全目標(biāo)。

[1]李文武，游文霞，王先培.電力系統(tǒng)信息安全研究綜述[J].電力系統(tǒng)保護(hù)與控制，2011，39（10）:140-147.

[2]高鵬，范杰，郭騫.電力信息系統(tǒng)安全技術(shù)督查策略研究[C]//2012年電力通信管理暨智能電網(wǎng)通信技術(shù)論壇論文集，2012.

[3]王超，張涵，李群，等.智能電網(wǎng)信息安全技術(shù)督查常態(tài)化研究[J].電力信息化，2013，11（3）:21-24.

[4]王旭，陳濤，繆剛.漏洞掃描技術(shù)在電網(wǎng)信息安全中的作用與實(shí)踐[J].電力信息化，2011，9（2）:157-160.

[5]余勇，林為民.電力信息系統(tǒng)安全保障體系的研究[C]//2004年實(shí)際工程師大會電力和能源分會場論文集，2004.

[6]劉勁風(fēng)，王述洋.電力系統(tǒng)信息安全關(guān)鍵技術(shù)的研究[J].森林工程，2007，23（4）:88-91.

[7]周亮，徐興坤，李佳瑋，等.智能用電融合通信信息安全關(guān)鍵技術(shù)研究[J].供用電，2014（8）:45-48.

[8]苑嘉航，李存斌.基于灰關(guān)聯(lián)和D-S證據(jù)理論電網(wǎng)企業(yè)信息安全風(fēng)險評估[J].陜西電力，2014（2）:11-15.