□ 陆宝华 钱晓斌

“没有网络安全就没有国家安全”，我们的网络安全保护工作已经开展了20多年了，那么网络安全的保护水平究竟怎么样呢，贵阳市2016年和2017年开展了2次以实网为目标的攻防演练，揭开了冰山的一角。从而不仅发现了网络安全保护存在的薄弱环节，也带给了我们许多启示和思考。

某网站日语版面被黑客攻陷了半年之久，运营者却毫不知情；某邮件系统长期被攻击者控制；某系统被黑客控制，并以此为跳板向境外传输数据……，这是笔者20余年网络安全工作中所发现问题的冰山一角。“该花的钱都花了，该部署的安全设备都部署了，就应该安全了”，持类似错误观念的网络运营者并不在少数。2016年3月，时任贵阳市委书记陈刚同志在调查研究的基础上作出一个基本判断：当前网络安全的状况是“弱不禁风，而感觉良好；重病缠身，而浑然不知”。基于此判断，贵阳市于2016年12月组织开展了第一届面向真实系统的“贵阳大数据与网络安全攻防演练”。时至今日，贵阳实网攻防演练已经举办了2届。2017年12月，在第二届“贵阳大数据与网络安全攻防演练”的总结大会上，现任贵阳市委书记李再勇同志要求坚持攻防演练常态化，并努力形成贵阳标准。2年来，贵阳实网攻防演练发现和解决了大量问题，同时也不断面临着新的挑战。本文从实网演练策划和组织者的角度提出一些思考，希望能对读者有所启示。

实网攻防演练的难点及其解决思路

面向真实系统的网络攻防演练，其难点在于风险控制。概言之，面临的主要风险点包括：由误操作或违规操作导致被检测方系统出现重大的安全事故；演练结束后未按要求撤出，继续控制被检测系统甚至窃取相关数据；演练期间，非参演单位或个人对参演系统开展攻击行为；应急预案设置不当或未按应急预案处置，导致被检测系统出现重大安全事故；被检测系统演练之前运行状态不正常，在未作标识情况下参加演练，活动结束后无法界定故障原因，导致责任纠纷；被检测方在演练期间内遭受损失，引发法律纠纷；被检测方在演练结束后遭到入侵，导致损失，引起法律纠纷；其他未预料到的可能发生的安全事件。通过对上述风险点的分析，我们认为核心的风险主要来源于2个方面：一是演练的攻击团队的违规操作或误操作，二是在演练期间浑水摸鱼的非法入侵者。

对于第1类风险，用保密协议来约束是不能完全起到作用的，必须用技术手段进行有效的控制。为了控制这类风险，演练的组织者设计了由总指挥系统、分光设备、安全网关、工单系统和毁伤评估系统构成的风险管控平台。所有演练行为都需要通过管控平台实施，即每个发起攻击的渗透人员都将攻击目标、任务、工具、方法等一系列“分解动作”以工单的形式在总指挥系统报备，毁伤评估系统对拟实施行为进行评估（包括智能评估和人工评估）后，由安全网关对攻击行为进行控制。同时，安全网关对全网流量进行大数据分析，从中提取攻击者行为数据，与工单进行比较，发现严重不一致时会告警同时关闭该攻击者的攻击路径。

对于第2类风险，演练的组织者会同贵州省公安厅、贵阳市公安局制定了3级应急响应机制。第1级是各被测试单位，他们组织相关的技术支持单位，对可能发生的安全事件制定预案，进行响应；第2级是由贵州省公安厅、贵阳市公安局组建的演练指挥部应急响应指挥组，组织相关的各技术支持队伍和攻防队伍实施应急响应；第3级是在发现更大规模的网络攻击时上报公安部，组织全国的力量进行应急响应。

实网攻防演练发现的问题

一是网络运营者的安全意识亟待提高。对于决策者，普遍存在的问题是对网络安全重视程度不够，往往认为所运营的网络系统没有重要信息，被攻击的可能性不大，因而忽视基本的网络防护，甚至不设防。对于技术人员来说安全意识不强并伴随着能力不足，甚至不具备基本的网络安全常识，比如大量存在的弱口令问题。

二是网络运营者对供应链把控不严。一些政府部门在网站开发建设前对开发商不作资质审查，在建设过程中不提要求不作检查；而开发商为了降低成本，使用同一个模板仅作简单的处理，不考虑任何安全机制就将网站上线。

三是个别网络运营者讳疾忌医、怕检测，采用类似于“拔插头”的方式消极抵抗。

四是相当多的网络运营者只注意防外，而忽视防内，或者认为物理隔离就可以高枕无忧。

实网攻防演练的最终目的

实网攻防演练的最终目的在于“以攻促防”。在攻防演练过程中，攻击者主要采用渗透性检测方法，通过渗透性测试先于入侵者发现漏洞，尽可能减少入侵者的机会。通过2届攻防演练这一价值已经得到了证实。但是，渗透性测试不是万能的，万不能用渗透性测试替代其他的测评，如等级保护的测评工作。原因在于网络攻击利用的是若干个存在脆弱性的点，其面向的是一条“线”，而网络防御者需要考虑的是全面的、纵深的系统性问题，其面向的是一个“面”。对渗透测试人员来说，利用某个漏洞获取了系统的权力，他的任务就完成了。即便发现的漏洞得到了修补，也不意味着其他的漏洞不能再被利用了。因此，对于重要信息系统，按照等级保护的要求系统性地开展网络安全建设工作是十分必要的。

等级保护是一个科学的体系，如果能严格地按照等级保护的要求来对系统进行加固，那么被渗透的可能性也会减少很多。应该看到，安全漏洞是无法穷尽的。目前，对漏洞的挖掘还大多是停留在软件的错误方面，对于硬件本身存在的漏洞和系统中可能存在的隐蔽信道问题，还没有真正意义上的标识，也没有进行过相应的计算。单纯地依靠及时发现漏洞来减少入侵者攻击的思路需要调整。假定入侵者能发现漏洞，如何让漏洞无法被利用，从而保护好系统的完整性，这种系统保护的思路是值得探讨的。强制访问控制能够在一定程度上实现这样的思想。沈昌祥院士的可信计算也可以从保护系统完整性的角度出发，来捍卫系统，让系统“带着漏洞”安全地工作。

笔者的一个观点是，安全的根本任务是要解决“正确的授权行为”问题。这一安全命题包含了3层意思：一是行为应该是经过授权的，二是这个授权应该是正确的，三是这个正确的授权是有保障机制的，也就是说授权机制是不能被绕过或者其他方式导致的失效。针对正确授权不妨进一步展开理解。首先，不会对其他主体的利益产生侵害的行为，不需要授权或者叫作缺省授权。其次，对可能导致对其他主体利益产生侵害的行为必须经过授权。由于对主体利益的侵害实际上是通过对客体的侵害所导致的，因此正确的授权就是限制主体对客体的访问。要确保这种限制的正确性：一是需要保证最小授权原则，也就是说，给定某个主体的权利刚好能满足他完成相应的任务，而且仅仅能满足他完成任务；二是要保证给定的授权应该与客体的保护需求（属性）相匹配。这一点在目前的等级保护工作中多被忽视。这首先是国家标准《信息安全等级保护基本要求》（GB/T22239）中没有给予明确说明所导致的，同时也与从事等级保护工作的相关人员对等级保护的原理没有真正搞清楚有关。数据的安全属性决定了整个系统的安全需求，并且必须由它作为依据来确定整体的保护策略，并用这个策略来指导系统的各个层面的防护。而这一点恰恰被忽略了许多年，这也是我们在安全方面投入与实效不对等的原因之一。

总结和提高

贵阳市面向真实网络开展攻防演练在国内属于首次。主办方本着先行先试的精神，勇于开拓创新、不惧怕担责任，通过举办实网攻防演练发现和解决了大量现实存在的网络安全问题，同时也对于国家网络安全保护工作提供了大量可供参考和借鉴的经验，意义重大、价值独特，应该持续坚持、探索下去。但也不能过分夸大攻防演练的作用，甚至完全用攻防演练来取代其他测评方式。

贵阳的实网攻防演练已经举办了2届，取得了不少成果与经验。但值得研究和提高的地方还有很多：一是攻防演练的对抗层级还未达到预期，战略战役战术的分层调度与联合作战模式值得不断探索；二是攻防演练过程中，防守团队能做的事情非常受限，因此攻方一直处于主动地位，另外，团队之间的配合可以进一步加强，以形成联合作战的模式，体现战略、战役、战术思想；三是跨网攻击还没有形成，虽然我们常说物理隔离并不能保证不受攻击，但是在我们检测中还没有利用社工、声波、电网、无线感应等方式实现跨网攻击；四是在网络上通过搭线进行数据窃听，或者重放攻击等类型的测试也没有开展；五是应急响应还没有真正的开展起来。由于2次演练都没有发生严重的安全事件，所以应急响应并没有真正的开展。在后续的演练中应考虑设计这样的场景，检验应急响应预案和执行情况。