□ 郝叶力

贵阳大数据与网络安全攻防演练是国内首次面向实网的安全攻防演练。2年来，这个演练作为贵阳市政府的一把手工程，始终以求真务实的精神搞安全，取得了意想不到的效果，可以称得上网络安全领域一个历史性的创举，具有里程碑的意义。

2017年的第二届贵阳大数据与网络安全攻防演练增加了针对关键信息基础设施的新科目，更具有“破冰”意义。贵阳的实网演练从2016年的先行先试，到2017年的再上台阶，获得了各界的广泛参与，政府的大力支持，树立了创新典范，增强了敢闯必胜的信心。

实网攻防演练能否取得成效，取决于三方（政府、检测、被测）的行为选择。相当于政府敢不敢挂牌担当开办医院，患者能不能敞开衣袖接受体检，医生有没有医德医术履职尽责，三者缺一不可。我从支撑演练的3个主体谈3点看法，分别是攻防演练的亮点、痛点和要点。

3个主体展现三大亮点

亮点之一：主办方将工控系统纳入演练范畴，努力管控风险，体现了贵阳市政府敢于担责、勇于探索的智慧和勇气。

工控系统维系国家关键基础设施正常运转，特别是涉及到水、电、油、气等关系国计民生的基础网络，属于国家战略资源。面对这样的重要信息系统，通常会存在“不敢试、不好试、不想试”的问题，但这些系统究竟存在多少安全风险，基本上处于没有底数的“两眼一抹黑”状态。贵阳市鼓起超常勇气，敢拿工控系统开练，调用南方电网、水务系统、有线电视等目标进行渗透测试，并协调公安部门专门制定风险控制方案，进行有效防控，对于行业具有引领示范作用。这相当于“第一次吃螃蟹”，具有“破冰”意义。

亮点之二：被测方经受了复检，验证了整改成效，体现了以攻促防、巩固成果、持续钉钉子的精神。

在第一届攻防演练时，采用主动曝光方式暴露安全问题，对管理运维方是一次安全体检。“狼在叼走孩子后”，有没有“亡羊补牢”，把自家围墙整改和加固，第2次正好通过100个目标复检，摸清了底数。总体看，第二届演练目标安全防护水平较第一届有了较大幅度的提升，大多数网站新增WAF（网站应用级入侵防御系统）、各类防御盾等软硬件设施后，能够实施灵敏反应、动态阻断，增加了攻击实施难度。第一届演练时，有的团队仅用半天时间就对部分目标一竿子插到底，如入无人之境。而在第二届演练时，被控制的内网数由59个下降至52个，被控内网主机由1 570台下降至1 368台。这些情况和数据都说明，经过去年攻防演练，被检的“病人”思想重视度提高了，整改加固措施奏效。

亮点之三：攻防团队潜心研究核心技术，灵活应用战法，体现了攻防对抗创新能力。

在与一线队伍的沟通交流中，我们欣喜地发现，比较之前的常规通用渗透测试技术，参加第二届攻防演练的大多数队伍在网络诊断过程中，技术深度得以加强，战法应用更得心应手，漏洞发现能力得到提升。在演练期间，共发现378个高危漏洞，攻陷112个网络目标，拿到网站最高权限达92个。令我们印象深刻的有以下7支团队：中科院信工所团队，使用软件逆向技术检测工控系统脆弱性，发现专用协议传输系统逻辑问题；另外，对微软组件服务进行深度二进制流量分析，获取了用户敏感信息。无声科技团队，细致分析目标拓扑结构和配置文件，抽丝剥茧，实现了对站库分离目标的有效突破。知道创宇团队，综合利用27个系统漏洞，在做深做透内网上下功夫，取得了良好成绩。贵大黔锋团队，巧妙利用多漏洞配合，实现多网跨站攻击。华为未然实验室团队，能曲径通幽，发现去年未检测出的“心脏滴血”漏洞，达成对政务管理平台全面控制。永信至诚团队，对物联网应用的机顶盒测试分析，准确定位点播链路，拿到了内网计费系统管理员权限。亨达团队，能从复杂网情入手，寻根问底，在开发人员代码共享平台找到敏感管理信息，实现目标内网全面控制，详尽掌握了470万客户数据和1万余名员工信息。

暴露的问题揭示痛点

痛点之一:在工控系统检测中，发生了3个没想到。

第1个没想到：电力仿真“有皮缺馅”。

南方电网系统仿真靶场“不尽如人意”。检测方本希望在仿真电网环境中，验证其业务系统的脆弱性，但仿真靶场只构建了电网网络拓扑的1，2，3区防御纵深，基本没有装载真实业务系统，相当于只有几道防火墙、网闸等安防设备的业务裸机。就好比检测方希望检查被测人的衣兜、裤兜、里兜、外兜，是不是有漏洞。结果被测方只穿了一件没有兜的白大褂。检测方的期望和被检方反差太大，捞不到干货，让检测方比较失望。这个问题说明工控系统检测的特殊性，以及主观客观原因，使得真实环境不能给、不好给、不想给的矛盾比较突出，这为我们今后如何建实靶标提供了借鉴。

第2个没想到：水务仿真“假戏真唱”。

贵阳水务仿真系统检测“差强人意”。按计划是提供“水务收费系统仿真靶场”参与测试，因此对拒绝服务攻击、数据库篡改等带有破坏性质的测试手段没作限制。但是攻击开始后，演练指挥部收到了真实水务调度系统的故障反馈，随即叫停了进一步检测行动。从这种结果可以推断，水务仿真系统很可能与真实业务系统进行了网络连接和数据交换，并不是单纯的仿真环境。这件事进一步说明，对工控系统而言，要想构建一个逼真的仿真靶场的确很难，实物半实物相结合可能更容易实现。

第3个没想到：“规则有漏导致错上加错”。

这是由第2个没想到引发的问题。因为按假靶子设计的攻击规则，是不能用于对真目标进行测试的。对于假靶子可以放开攻，但对实靶子却要有紧箍咒。所以，针对一个仿真靶场，万一与实网有某些联系，检测方应该遵循什么样的演练规则，对仿真靶标能不能进行破坏性的检测行为，这是没有明确的，出现了规则缺陷。通过这次探索，对工控系统如何检测，如何制定规则，防范风险，总结了教训。好在出现故障反应及时，有惊无险，从中获得了经验。

痛点之二:有些网络重有形产品防护，轻业务自身安全现象普遍，被1块石头绊倒了2次。

有的业务系统，在第1次演练中检出问题曾被通报，但没有重视整改，错误一犯再犯；部分单位发现问题后，购买安装安全产品就万事大吉了；更有甚者，存在勒索病毒使用的永恒之蓝漏洞，在相关部门三令五申强调打补丁情况下，仍置之不理，被攻击团队测出。此外，在个别网站服务器，还发现了2012年被放置的木马程序，仍存活在其中。由此可见，安全绝不是单一安全，而是系统的、多维的、全局的，涉及到人员思想意识、安全管理制度、内外软硬件防护等诸多方面。

痛点之三:重面子轻里子，人为设置障碍、掩盖问题现象仍然存在。

第一届演练中部分目标“拔插头”的情况，在第二届中仍然未被杜绝。部分单位在第1天被扫描后，直至演练结束还一直使用“封IP地址的方式进行消极抵抗，拒绝测试。还有的单位为了降低攻击风险，对网站业务功能（检索、发布等功能）进行了删减，“鸵鸟政策”不仅伤害了渗透检测团队的满腔热诚，也折射出扭曲的安全观和政绩观。

选好矛与盾把握未来演练的关键点

纵观2届演练活动的得与失，我们不仅收获了亮点，重要的是找到了痛点，知道了难点，取得了经验。下一步，如何寻求实网演练的可持续发展之道？主办方从策划的视角，有2个关键点值得研究：一是要选好盾，二是要用好矛。

第1个关键点是如何选择盾，解决“剃头挑子一头热”的问题。

2届实网演练发现，总有某些被测方用“断网、封IP”消极方式对抗检测，屡禁不止已成顽疾。要让未来的实网演练健康可持续发展，必须围绕贵阳大数据产业安全发展总目标寻找应对之策。一是要分层、分类、分级解决安全问题，而不是用一刀切、一把尺制定安全标准。要有针对性地选择关键、要害、高价值网络用户，充分调动运维主体的积极性，刚柔并济、激发内生动力，变“要我测”为“我要测”，引导攻防双方相向而行、良性互动。二是演练模式要多样化。时间上，从年度演练转向常态化；模式上，从比赛式转向研究式；方法上，从背靠背向面对面延伸。三是要刚柔相济，重点帮扶。在处理像货车帮这样影响大、涉面广，代表贵阳大数据产业名片的网站安全问题上，不要靠曝光、张榜解决问题，而是既要有力度，又要有温度，进行个性化检测 和柔性化帮扶，促其成为大数据产业安全发展之典范。

第2个关键点是如何用好矛，要解决军民融合的问题。

工控这类复杂特殊系统，对安全事故近乎零容忍，一般不能靠短期内的一次性攻防对抗解决问题，而是需要测试方和运维主体共同面对面研究安全检测方法，排除安全隐患。那么贵阳实网演练确实需要“绝对忠诚、绝对可靠、绝对纯洁”的特殊之矛。为国家关键基础设施安全提供战略支援利器，军队也更应养兵千日、用兵千日，履行使命。“兵是练出来的，不是看出来的”，贵阳首开了实网演练先河，也应该首开军民融合之路。国家关键基础设施网络保护，需要军队这样的“啄木鸟”；军队锤炼队伍、验证手段、提升能力也更需要贵阳这样绝佳的“磨刀石”。因此由军队机制化、常态化参加像贵阳这样实网演练，正是利国利军利民的最佳举措，也是军民融合落到实处的必然选择，应当成为未来让贵阳实网演练可持续发展的应有之意。