李铁铮 张 皓 佫文华 猛 虎 孔志钢

1（北京市公安局大兴分局 北京 102600）

2（中交机电工程局有限公司 北京 100088）

3（农信银资金清算中心 北京 100029）

4（公安部第一研究所 北京 100044）

5（北京互联云时代科技有限公司 北京 100024）（blackbear008＠qq．com）

随着全球信息时代的到来，网络成为国家第五大主权空间，控制网络空间就可以控制国家的经济命脉、政治导向和社会稳定［1］．世界各国围绕网络空间发展权、主导权、控制权的竞争日趋激烈，网络空间正在加速演变为战略威慑与控制的新领域、意识形态斗争的新平台、维护经济社会稳定的新阵地、未来军事角逐的新战场．网络安全关乎国家安全，牵一发而动全身，其战略性、综合性、基础性地位作用日益凸显［2］．

我国作为发展中的网络大国，网络安全形势异常严峻．西方敌对势力一直妄图利用互联网“扳倒中国”，多年前有西方政要就声称“有了互联网，对付中国就有了办法”［3］，反共黑客团体也利用网络不断向我国经济、社会、文化等各领域信息系统发起渗透攻击．大量报道的网络安全事件、事故已表明，互联网已经成为意识形态斗争的最前沿、主战场，成为国家安全面临的“最大变量”，通过2017年5月发生的“永恒之蓝”安全漏洞事件可以看出，网络战争随时可能开打，因政务网站和政务平台的高战略价值、高传播效应，在网络战争中首当其冲．为此，笔者通过真实双向渗透攻击国内某省政务内外网数据交换平台为典型案例，讨论政务平台防护．

1 双向渗透攻击实验

2018年5月，笔者所在团队接到某省级政府职能部门（下称甲方）的“护网2018行动”渗透实验授权，在承建方（下称乙方）不知情的情况下，针对甲方的政务外网数据交换平台开展渗透测试，此项目为某部属全国试点项目．前期，团队所有渗透人员通过互联网对平台网络出口进行测试，在授权内的公网IP目标内只有一个家用路由器存在弱口令，可远程登录进行管理，从中可以看到若干Apple设备和其他办公设备．因为授权问题，没有对这些设备进行渗透．为此，渗透人员到甲方办公内网向互联网方向进行渗透，目标是在办公内网上访问互联网．

图1 国内某省数据交换平台渗透路线

1．1 平台渗透情况

1．1．1 办公内网区信息收集与边界设备攻击

通过甲方授权，笔者等渗透人员在甲方办公内网上开展工作，对指定IP段内的网络设备进行扫描与信息收集．通过团队多人1周的努力，利用“永恒之蓝”漏洞拿下10余台乙方运维人员的工作终端，同时在网络中发现1台FTP服务器存在匿名登录漏洞，共收集到数十GB的高价值信息，包括此项目方案书、各子系统维护手册、用户名和密码、甲乙双方的部分人员学历证书、照片、工作文档等信息，其中对渗透最有帮助的文件是系统平台架构图和平台内各运营、监控系统的运维手册．通过分析获取的信息，渗透人员首先对Ⅰ，Ⅱ区边界上的2个审核服务器进行了攻击，具体是通过此业务审核服务器上Web中间件的struts2远程执行（RCE）漏洞，上传了Linux SSH远程登录认证文件到?root?．ssh?authorized＿keys，使用了Linux SSH远程登录的密钥验证授权机制，拿到了此服务器的root远程权限，即操作系统shell脚本．从而发现此服务器只通过Web和软件过滤了Ⅰ区和Ⅱ区的业务逻辑流，并没有过滤两区间的网络数据流，笔者在此服务器进行相关软件部署和配置，可在Ⅰ区的主机上访问到Ⅱ区的网络，完全打通Ⅰ区和Ⅱ区纵深隔离［4］．

1．1．2 数据交换区信息收集

利用上面提到的业务审核服务器作为跳板，渗透人员对Ⅱ区内的几个IP段上的设备进行了扫描和信息收集，结合在FTP服务器里收集到的各种密码，利用1周时间暴力破解出了Ⅱ区50多台服务器的root，administrator密码，拿到了这些服务器的操作系统shell脚本．渗透人员在这50多台服务器上并没有找到对下一步渗透有帮助的高价值信息．通过几天的努力，渗透人员在对这些服务器进行了下一层网络设备的扫描和信息收集，发现与“应用服务器1”进行数据通信的网络设备在此平台运维管理系统中的设备对应，“应用服务器1”为渗透关键节点．但以此服务器为第2层跳板，继续密码暴力破解没有成功［5］．笔者与团队人员手工渗透同“应用服务器1”通信的Web服务器，发现“应用服务器2”的php代码存在本地文件包含LFI（local file include）攻击漏洞，即php著名的LFI漏洞，利用此漏洞，读取到了“应用服务器2”上的?etc?shadow文件 ，即Linux操作系统用于保存用户密码密文的文件，从中得到了root的密码hash值．在某部属研究所攻防实验室建立的hash密码破解平台帮助下，破解出root密码．直接利用此密码远程登录了“应用服务器2”［6］．

1．1．3 数据交换区的边界设备攻击

由于笔者与同事们在突破Ⅱ区与Ⅲ区的边界时，花费了大量的时间和精力，因此特意提出一节进行详细描述．渗透人员通过分析所有收集到的大量消息，决定集中渗透Ⅱ区和Ⅲ区边界上的SSL VPN网关．

通过又1周左右时间的努力，VPN的SSH和Web登录的密码暴力破解均没有成功．渗透团队在此期间专门大力研究了此品牌型号的VPN后发现，其Web管理页面存在越权访问漏洞．可以越权访问VPN后台管理页面，直接下载到了此款VPN的配置文件．从中，我们找到了配置文件里明文存储的管理员用户名和密码，登录VPN发现其具有执行OS命令的功能，因没有严格过滤用户提交的内容，存在Linux多命令执行漏洞［7］．使用第1步中的方法，直接通过root权限实现运程SSH免密码登录，并获取了VPN通道的操作系统shell脚本．

1．2 移动互联网区的设备渗透情况

因为授权时限问题及光单向传输设备的特点，团队最终只在VPN上看到了Ⅲ区流向Ⅱ区的网络流量，没有最终渗透到Ⅲ区的设备．

至此，渗透团队通过3周的努力，从甲方政务办公内网区渗透到了移动互联网区边界，一共获取了操作系统shell脚本和Web应用shell脚本近80个，高标准完成甲方要求，从软件漏洞修复、服务器加固、平台架构、设备安全配置等多方面，向甲方提出了高建设性、高价值建议．基于此次渗透任务情况，结合多年网络攻防、等级保护的工作经验，笔者以攻击者的角度谈谈政务平台的防护思路．

2 典型政务平台的防护思路

近年来，随着我国社会进步和网络技术水平提高，网络安全被提升到国家安全的高度，政务平台的安全直接关系到社会稳定．随着网络安全技术的高速发展，管理与技术已成为网络安全这架马车的2个车轮，但在政务平台防护工作中，管理不闭环、技术不到位的情况已经成为常态，管理与技术2个车轮大小不同，造成政务平台的网络安全防护工作在不同半径的圆上打转．结合第1节中所提到的数据交换平台的渗透内容，从管理和技术2个方面来阐述政务平台的防护思想．

2．1 安全闭环管理

安全管理应当形成有效的闭环，在具体的实现上可以分成以下步骤进行．

2．1．1 安全管理的技术支持

目前，各政务平台的主要负责人以70后、80后为主，这些部门领导在网络安全管理方面基本上是套用了普通政务管理的经验与作法，在网络安全管理方面找不到工作抓手．笔者在工作中听到最多的管理思路是“三分技术、七分管理”．造成的结果是技术部门的领导在政务平台安全管理方面找不到工作重点，没有较强的技术实力和可靠技术思路应对网络安全事件、事故，将安全管理工作“留于纸面”、“挂在墙面”，部分领导在工作过程中严重缺少网络安全思维和技术思维，出现乱指挥、乱管理情况．笔者也曾目睹相关领导无力应对Wanna Cry病毒暴发紧急事件，部分管理人员仅关注政务平台文档审核，不关心平台实际部署等情况．更有甚者，认为平台外包给乙方，乙方会做好相关安全工作，自己只要关心平台是否正常提供业务部门功能使用即可，网络安全与自己无关，这些管理方式严重威胁到政务平台安全，或者已经造成严重的安全事件、事故．

笔者认为，在网络安全形势日益严峻的今天，政务平台的安全管理工作应以毛泽东思想为指导，切实落实“党要指挥枪”、“枪杆子里面出政权”这2点，政务人员需要掌控对政务平台的安全管理，真实做到安全管理闭环．各类政务平台的主要负责人应参照ISC2的信息系统安全专家认证（certified information systems security professional，CISSP）认证考试中涵盖的10个考核方向，强化其所负责平台的安全管理工作，这10个考核方向包括信息安全治理与风险管理、访问控制、安全架构与设计、物理和环境安全、通信与网络安全、密码术、业务连续性与灾难恢复、法律法规、软件开发安全、安全运营［8］．政务平台的主要负责人应当有能力通过技术方法对技术报告、文档进行检查、核实，至少要有与技术人员进行语言沟通的能力．也许有读者认为这个要求太严格，但从震网病毒和WannaCry病毒等网络安全事件来看，我国的网络战争随时开打，那时这些政务平台的主要领导者将成为基层指挥员、首批防卫者、反击主力军．

2．1．2 安全管理讲究开放

由于政务平台的特殊性，渗透人员在测试此类信息系统时，常被平台主要负责人和平台承建方认为是没事找事，在给其工作成果、绩效做减法．笔者在渗透上述数据交换平台时，同样遇到乙方的不支持、不配合，想必其他渗透测试团队、安全研究团队都遇到过这种情况．

笔者认为，信息系统的安全管理需要开放的态度，政务平台的安全管理更加需要．政务平台已是政府相关单位管理社会、服务民生的平台，其重要性不必多说，单单从2016年美国大选期间的希拉里“邮件门”事件就不难看出网络安全的重要．前述的数据交换平台项目，甲乙方都认为平台很安全，有相关安全经验的读者可以看出，笔者所在团队仅仅使用了公开的漏洞就渗透到了平台Ⅱ区和Ⅲ区的边界，甲方和笔者都感到震惊．打铁还需自身硬，在网络安全领域，1名黑客击败1支完整安全技术团队的例子比比皆是，政务应用平台安全管理的“千里之堤”，完全有可能溃于1个不起眼的“蚁穴”．绝大部分安全渗透的目的是为了政务平台更加安全可靠，所以需要政务平台的主要负责人转变思想，以开放的态度看待各种网络安全测试，才能使政务平台更安全，最大程度抵御境外势力攻击．

2．2 技术防护工作

安全防护工作其实是一项很宽泛、很依靠责任心的技术工作，很难整体进行量化评估，需要技术人员针对自己实际工作需求，细化安全开发、安全运营、安全架构、设备安全配置等每一个安全选项．网络安全界有个共同认识，世界上的网站只有2种：一种是自身已经知道受到了黑客攻击的网站；另一种是已经受到黑客攻击却还不知道的网站［9］．因此，笔者结合上述对数据交换平台的渗透，谈谈对安全技术到位的理解．

2．2．1 技术防护手段是闭环管理的重要组成部分

管理和技术是网络安全这驾马车的2个车轮，管理需要艺术，技术需要完美主义，同样来不得半点马虎．没有技术支撑的管理工作就像把枪杆子给了别人，在网络安全工作中会受到各种限制．笔者在与上述数据交换平台的甲方沟通中发现，甲方更关心政务平台的功能与业务效果，忽视核心技术掌握和安全防范技术，这就需要甲乙双方的技术人员充分理解实际工作需求，或者由乙方引导甲方达成共同目标，使技术到位真正成为闭环管理里的组成部分，让甲乙双方更好地推动项目前进和网络安全发展．甲方正是因为存在技术短板，不能与乙方在平台的安全管理等方面有效沟通，从而造成管理不闭环，致使平台存在安全风险．

2．2．2 甲方工程技术人员是技术防护的关键

2000年以来，各政府部门都在进行科技信息化建设，大部分都建立了自己的科技信息化部门，以信息系统建设、运营为主要工作内容，同时，每年有大批“211”和“985”高校的毕业生走进政府部门，其中计算机专业和网络安全相关专业的毕业生不在少数，从网络安全角度出发，这些体制内的技术人员是宝贵的财富．通常政府部门的业务人员很难将业务需求100%地准确传递给承建公司，在此过程中，需要内部的专业技术人员将业务需要转化为开发人员能懂的语言和参数，从而将业务与承建企业连接起来．此时，体制内的技术人员就显得尤为关键，他们需要内懂业务、外懂技术，充分发挥关键的桥梁作用，将安全管理与安全技术相统一，提高双方沟通水平，相互促进，相互学习．笔者在渗透上述数据交换平台时，就是在甲方使用和维护的FTP服务器中找到了渗透平台关键的技术资料，成功渗透平台内关键网络边界设备．同时，由于此平台乙方在运营中，没有及时上报因渗透造成的设备非正常宕机，没有落实网络安全责任，没有及时发现、处置内网渗透行为，渗透测试人员才有机可乘．

2．3 技术防护工作的重要抓手

笔者在工作中，发现政务系统平台的负责人在开展网络安全防护工作时往往缺乏有效的抓手，难以有效开展网络安全防范工作．针对上述数据交换平台具体情况，笔者团队根据多年的工作实践，总结出6类管用的工作抓手．

2．3．1 重视网络安全人才专业技术培养

说到底，网络安全防护工作拼的是人才——网络人才．网络安全人才技术培养是一个需要长时间刻苦学习的艰难过程，是有专门的安全体系理论可参考学习的，比如注册云系统安全专家（CCSSP）、注册信息系统安全专家（CISSP）、数据库管理员（DBA）、渗透测试工程师（PTE）等网络安全认证课程．

2．3．2 加强网络安全设备的管理与使用

网络安全设备是必要的，但不是起决定作用的，安全是相对的、动态的、发展的．通过新闻媒体和网络安全通报，安全人员每天都能获得大量涉及网络安全的新闻和消息，需要针对平台情况及时更新网络设备配置，动态提升平台安全水平，不能迷信网络安全设备，不能想当然地、一味地通过购买设备达到安全需要．

2．3．3 加强代码方面的安全开发与安全审计

一般的软件开发公司没有专门的代码安全审计岗位或部门，常用方法是软件研发人员相互间的代码交叉审计，很难保证软件质量与强壮．为此，需要针对政务平台的关键服务、边界安全设备进行安全审计，复查关键代码，将可能存在漏洞的代码进行安全优化，不必要的代码或服务去掉，网站后台路径、管理员账号、密码等尽可能修改复杂一些，相关资料要严格保密［10］．同时注意关注编程语言、服务中间件的安全公告牌，国内外各安全团队发布的网络安全通报等，及时升级、更新、加固政务平台内的服务软件．

2．3．4 加强操作系统管理

及时更新、升级服务端和用户终端的操作系统，在日常运行中要特别注意账户权限的有限控制和登录审计，强制用户定期更改管理员密码，防范密码被暴力破解．

2．3．5 加装入侵检测系统和势态感知设备

按照国家电子政务外网管理中心《关于加快推进国家电子政务外网安全等级保护工作的通知》（政务外网〔2011〕15号）文件的相关要求，在关键节点安装入侵检测系统（IDS）设备或“网防G01”综合防护系统［11］，对数据交换平台实施保护，及时发现和处置网络攻击，防止有害信息传播，提高对网络攻击、病毒入侵、网络失窃密的防范能力，切实落实网络安全责任，有效提升平台网络安全．

2．3．6 及时达成各类安全整改目标

经常组织技术力量，对平台开展远程技术检测、渗透攻击测试，及时发现安全问题与隐患．同时积极与属地公安机关联系，按照公安机关等级保护检查与备案工作要求，对数据交换平台进行整改，及时达成整改目标［12］．

3 结束语

综上所述，政务平台的防护其实就是做到管理闭环、技术到位，管理与技术2个车轮以相同直径支持网络安全这架马车直线进行．网络安全的核心就是人才的比拼，政务平台的责任人需要加强网络安全技术学习和人才培养，同时需要以一种开放的态度看待网络渗透工作，渗透测试团队的主要目的是与授权方一同发现、解决网络安全问题，为政务平台的网络安全做加法．通过此次任务，渗透团队的小伙伴们收获很多，亲身经历了大纵深、多分区防御下的渗透过程，笔者也体验网络特种作战，为日后学习、研究找到了方向．

致谢特别感谢公安部第一研究所网络攻防实验室全体成员，在此次论文撰写过程中给予的无私帮助！