张启芳，解梁军，葛网华

（上海室电力公司电力科学研究院 上海 200237）

在当前复杂严峻的信息安全形势，和新形势下国家对网络信息安全要求[1]，2014年公司《关于开展网络安全攻防（红蓝）演习工作的紧急通知》实施为契机，基于多年信息安全督查实践探索，在国网公司以及国网上海市电力公司对信息安全督查工作的指导下，围绕“消除短板，以攻促防”的工作目标，积极开展红蓝对抗与信息安全督查整合实践，配合国网公司开展信息安全防护演练，并检验本单位对网络安全威胁的预警发现和应急处置机制和安全事件的分析研判和指挥协调能力，深化信息安全技术督查工作，督促国网上海市电力公司各基层单位落实各项信息安全管理要求和技术保障措施，提升信息安全防护水平，确保各基层单位做到信息安全“八不准”和“三个不发生”。在红蓝对抗促进信息安全督查[2]实践过程中初步凝炼出的典型经验有良好的推广基础。

1 红蓝对抗特色督查

按公司的总体安排，以“消除短板，以攻促防”为目标，于2014年11月19号由公司科技信通部牵头成立了演练协调组，并负责本次演练工作的组织协调，开展了为期三天的演练。

电科院攻击演练组（红队）制定了攻击演练计划以及演练科目的方案和脚本和开展全公司范围攻击渗透、漏洞挖掘、防护体系薄弱点分析定位，组织了自攻防演练和公司攻防二轮演习活动，同时开展了网络安全攻防渗透攻击和漏洞挖掘等科目的演习。

信通公司防御演练组（蓝队）制定了公司总体防御演练计划以及演练科目的方案及脚本、针对攻击情况的协同研判与处置指挥、信息系统安全策略合规审计、风险实时监测、恶意攻击阻截和处置、应急保障以及防护体系薄弱环节分析和防护加固。

1.1 红蓝对抗特色督查的目标

本次对抗的目标是检验公司公司内关键信息系统应对网络安全攻防的能力、信息安全基础工作落实情况、信息安全技术队伍渗透以及漏洞挖掘的技术能力、本单位对网络安全威胁的预警发现和应急处置机制以及本单位对网络安全事件的分析研判和指挥协调能力。深化信息安全技术督查工作，督促国网上海市电力公司各基层单位落实各项信息安全管理要求和技术保障措施，提升信息安全防护水平，确保各基层单位做到信息安全“八不准”和“三个不发生”。本次特色督查主对上海公司的部署在互连网上的业务信息系统进行了攻防演练工作。

1.2 红蓝对抗特色督查开展情况

2014年11月19日至11月21日，上海市电力公司组织开展了红蓝对抗特色督查[3]，检查公司的危险点分析预控管理系统、供应商管理平台、95598互动服务网站、门户网站、电力市场交易系统等5个外网系统的信息安全防护情况。根据相关要求制定了信息系统红蓝对抗演练方案，以及演练的类型（攻击演练和防御演练）、演练的科目（应用系攻击、操作系统与数据库攻击、网络服务与设备攻击）、攻击的方式以及演练覆盖的范围。

在本次对抗特色督查演练过程中，第一轮攻防演练进行了漏洞发现与利用、密码口令破解等方面的攻击演练；第二轮攻防演练在第一轮攻防演练基础上，采用漏洞挖掘、暴力破解、远程注入、IP欺骗、社会工程学、钓鱼等工具与方法，对前期发现重大缺陷的单位以及可能存在重大隐患的单位和系统进行重点攻击。

1.3 红蓝对抗特色督查流程

红蓝对抗特色督查分为红队和蓝队，红队进行攻击、渗透、提权，蓝队进行防守、阻断，具体流程图见图1。

图1 红蓝对抗特色督查流程图Fig.1 Red-blue against special inspection flow chart

2 红蓝对抗特色督查实施方法

本次红蓝对抗特色督查主要采用黑盒渗透测试方法，即根据蓝队提供的业务系统范围，仅从系统对外连接进行渗透测试攻击，检测网络协议、网络服务、网络设备、主机系统、应用系统等各种信息资产所存在的安全隐患和漏洞。

本次红队督查主要采取系统漏洞检测、密码破解等各类互联网远程攻击、渗透手段，实战演练互联网、信息外网网络服务与设备攻击、操作系统与数据库攻击、应用系统攻击等攻击科目，通过判断是否能够获取防守方系统、设备的漏洞和控制权，检验攻击方的攻击渗透以及漏洞挖掘能力。督查步 骤 首 先 采 用 使 用 nmap6.4、appsacn8.7、Acunetix Web Vulnerability Scanner 9、绿盟WEB应用漏洞扫描系统以及绿盟漏洞扫描系统等工具对所需测试的范围进行信息和漏洞收集[4]；其次根据收集到信息和漏洞开展分析和测试。

蓝队防御演练组依据公司安全防护有关文件、标准和方案做好安全防护[5]，落实各项安全基础工作，实战演练安全自查和加固、漏洞修补等防御科目，检验防御方在面对网络攻击下的信息安全基础防护能力，和现有的IPS等安全防护工具及相关技术手段对红队所发起的所有攻击进行监控，拦截和处理。以及预警监测、应急处置等安全机制和预案，实战演练入侵检测和告警、应急处置等防御科目，检验防御方的预警发现、研判处置能力[6-8]。

3 红蓝对抗特色督查实施效果

本次红蓝对抗特色督查在可控的条件下，通过模拟各种真实的攻击方法来检查内外网各业务系统安全防护的有效性，具有较强的真实性和准确性，可以发现最突出地、更深层次地、复杂地的安全问题。

在本次攻防演练中利用漏洞扫描、密码分析等工具与方法，对各单位部署在互联网、信息外网的对外提供服务应用，包括：公司外网邮件系统、各单位门户网站等，进行漏洞发现与利用、密码口令破解等全面攻击演练。在演练过程中及时发现并清除薄弱环节，检验了公司防御队伍的补丁部署、安全加固、口令管理等基础性防护的工作情况。

此次攻防演练采用可控制的、非破坏性性质的渗透测试督查，不会对被评估的系统造成严重的影响和留下未知的安全隐患。 红队在问题发现之后，快速整理专项演练中发现的信息安全问题与漏洞，综合分析，形成问题清单，并发出了相应的整改要求，便于防御单位整改；蓝队依据相关要求进行及时整改，消除隐患。

本次演练让功防单位更清楚认识到，对于演练活动中暴露出的管理和技术问题需从责任及机制落实的角度完善改进，要强化闭环管理，切实做到“三不放过”，不留死角，是对安全防护工作落实情况的重要举措。虽然本次红蓝对抗特色督查工作时间有限，锻炼了攻防队伍，红蓝两队还是均从本次的督查中收益匪浅。

4 结束语

根据本次红蓝对抗特色督查结果，国网上海市电力公司领导高度重视此次特色督查工作，期间，公司领导分别就信息安全工作的重要性以及必要性作出了重要指示，并提到中央网络安全和信息化领导小组成立的重要意义以及“没有网络安全就没有国家安全”的指导思想和方针路线 ，并要求各基层单位通信信息工作分管领导把信息安全督查工作要求和会议精神传达给每个员工。

通过红蓝对抗与安全督查的融合探索，我们总结出以下几点典型经验：

1）在本次红蓝对抗特色督查中，红队和蓝队均在可控的条件下，采用可控制的、非破坏性性质的渗透测试，不会对被评估的系统的正常运行造成影响和留下不可预知的安全隐患。

2）通过模拟各种真实的攻击方法来督查内外网各业务系统安全防护的有效性，具有较强的真实性和准确性，可以发现最突出地、更深层次地、复杂地的安全问题。

3）红队通过完全模拟黑客攻击的督查方法，在问题发现之后快速整理信息并发出了相应的整改要求，检验了公司网络安全威胁的预警发现及应急处置机制的有效性，提高了公司信息安全督查技术队伍的安全渗透以及漏洞挖掘等方面的技术能力。

4）该特色督查工作不仅验证了业务系统安全防护机制和运维检修机制，也大大提升了蓝队的信息安全预警和分析能力。也通过对网络安全事件的分析研判，锻炼了组织协调能力。

根据安全的周而复始性，今后除了加强日常监控外，提高安全意识，消除弱口令、运维和督查沟通以及红蓝对抗等督查工作也应继续加大力度，保障业务持续有效的安全运行，做到进不来、拿不走、看不懂、改不了、跑不了的安全目标。

[1]李文武，游文霞，王先培.电力系统信息安全研究综述[J].电力系统保护与控制，2011，39（10）:140-147.

[2]高鹏，范杰，郭骞.电力信息系统安全技术督查策略研究[C]//2012年电力通信管理暨智能电网通信技术论坛论文集，2012.

[3]王超，张涵，李群，等.智能电网信息安全技术督查常态化研究[J].电力信息化，2013，11（3）:21-24.

[4]王旭，陈涛，缪刚.漏洞扫描技术在电网信息安全中的作用与实践[J].电力信息化，2011，9（2）:157-160.

[5]余勇，林为民.电力信息系统安全保障体系的研究[C]//2004年实际工程师大会电力和能源分会场论文集，2004.

[6]刘劲风，王述洋.电力系统信息安全关键技术的研究[J].森林工程，2007，23（4）:88-91.

[7]周亮，徐兴坤，李佳玮，等.智能用电融合通信信息安全关键技术研究[J].供用电，2014（8）:45-48.

[8]苑嘉航，李存斌.基于灰关联和D-S证据理论电网企业信息安全风险评估[J].陕西电力，2014（2）:11-15.