李向阳，谭 剑，马晓雅

（中国铁路信息科技集团有限公司 网信安全处，北京 100844）

《中华人民共和国网络安全法》于2016年11月7日正式通过，并于2017年6月1日起施行，明确要求关键信息基础设施的运营者需制定网络安全事件应急预案，并定期进行网络安全应急演练[1]。2016年，由国家相关部门牵头组织、面向关键信息基础设施运营方开展的全国大型攻防实战演练活动正式开启，参与者从最初仅几家单位发展为百余家单位。攻防演练从内容和形式上也经历了几次优化迭代，演练频次已趋于常态化，标志着我国网络安全建设逐渐步入实战化阶段。

铁路作为国家重要的交通设施和经济发展的大动脉，其关键信息基础设施和重要信息系统的安全运行至关重要[2]。为更好、更有效地应对有组织、持续性的网络攻击和威胁，需建设攻防兼备的网络安全技战队伍，提升实战化网络安全保障能力。

本文介绍了攻防演练的定义，总结攻击方常用的攻击方法和防守方常用的防御方法，以及铁路攻防演练的经验，为提升铁路安全防护能力提供参考。

1 攻防演练概述

1.1 攻防演练定义

一般情况下，攻防演练会设立攻击方和防守方。攻防演练是指攻击方在不影响企业正常业务系统运行的前提下，以获取特定目标系统管理权限为目标，针对防守方从多角度、多方面进行的尽可能贴近真实的模拟攻击入侵。防守方通过设备监测、日志及流量分析等手段，监测攻击行为并进行处置，从而检验防守方的安全建设现状，锻炼应急响应能力。部分情况下会设立中立方（即裁判组），以确保攻击方和防守方在遵守规则的前提下开展攻防演练。攻防演练组织架构如图1所示。

图1 攻防演练织架构

1.2 铁路网络攻防演练现状

2018年起，中国国家铁路集团有限公司（简称：国铁集团）作为防守方参与由国家相关部门牵头组织的网络安全攻防实战演练活动，逐渐建立了高效的上下联动架构，指挥部为国铁集团，工作组为国铁集团所属各单位。在此过程中，国铁集团形成了完善的攻防演练工作机制：事先组织开展铁路内部网络安全攻防演练，提前摸底排查隐藏问题；建立了7×24 h现场值守工作机制，确保问题被及时发现、立即处置；坚持在演练结束后进行总结复盘，全面梳理薄弱面，及时完善应急预案。

国铁集团各单位在实战中逐步落实“三化六防”体系要求[3]，以“实战化、体系化、常态化”为新理念，以“动态防御、主动防御、纵深防御、精准防护、整体防护、联防联控”为新举措，发现并解决铁路关键信息基础设施和重要信息系统存在的突出问题，进一步完善铁路网络安全格局。

2 攻防演练常用方法

通过演练活动，攻击方和防守方的技战法都在相互博弈中日渐精进。2020年前，攻击方的常规思路是以Web为入口，直接突破企业防线；2020年起，钓鱼邮件、供应链、零日漏洞等多样化攻击手段层出不穷，推动防守方逐渐加强信息系统各组成部分的安全防护，包括应用、网络边界、网络、操作系统、中间件等，以网络边界安全为中心，逐步向数据安全、云计算安全、应用安全等方向发展。

2.1 主要攻击方法

2.1.1 Web应用攻击

Web应用攻击是最常见的攻击手段之一。攻击者只需从互联网远程对目标发起攻击，就能达到获取数据、执行命令、控制服务器等目的[4]。同时，Web应用攻击方法也在不断演化，攻击面除了传统的Web应用系统，还加入了移动端App，如微信公众号等。攻击手法除利用弱口令、文件上传、结构化查询语言（SQL，Structured Query Language）注入等常规漏洞外，反序列化代码漏洞所占比重逐渐增大。该方法使攻击者可在庞大的Web资产列表中迅速找到可突破的地方。

2.1.2 钓鱼邮件攻击

钓鱼邮件攻击指通过邮件、微信、电话等方式诱导防守方人员点击恶意链接或打开恶意文档，从而直接获取办公终端权限的攻击方法，通常结合木马免杀进行[5]。攻击方人员收集防守方人员的联系方式等信息，精心准备相应话术，诱导内部人员点击，从而进入内部网络进行横向攻击，获取大量数据。目前，已出现针对特定防守方人员进行的钓鱼攻击，也称为鱼叉攻击，此类攻击目标性更强、话术更具有迷惑性，故目标上钩的可能性更大。

2.1.3 供应链攻击

供应链攻击是指针对开发人员和供应商开展的攻击，一个信息系统从开发到交付运行过程中，每个被忽视的安全细节都可能成为风险点。由于供应商给防守方进行软件开发和系统运营维护等行为时均存在直接连通网络的情况，攻击者可从供应商入手，获得源码或挖掘零日漏洞，从而进行入侵，甚至可通过供应商直接连接至防守方的内部网络。

2.1.4 内存马攻击

内存马是无文件攻击常用的一种方法[6]。传统WebShell连接方式是通过某种漏洞，将恶意的脚本木马文件上传后，通过工具连接。近几年防火墙、入侵检测系统（IDS，Intrusion Detection System）、入侵防御系统（IPS，Intrusion Prevention System）、高级持续性威胁（APT，Advanced Persistent Threat）检测、终端检测和响应（EDR，Endpoint Detection and Response）系统等专业安全设备、系统被广泛应用，传统方式下的上传WebShell或以文件形式驻留的后门易被专业安全防护设备捕获、拦截，也易被杀毒软件查杀。内存马是无文件WebShell，在运行的服务中直接插入并执行WebShell，不存在实体文件，故给防守方检测、拦截带来巨大的难度。

2.1.5 零日漏洞攻击

零日漏洞是指仅被某个机构或个人掌握、官方尚未发布修复措施的安全漏洞。因防守方尚未得知此漏洞的存在，未建立相应的防守规则和策略，利用零日漏洞攻击通常具有较大的突发性、破坏性、致命性，成功率极高，且防守方不易监测，甚至直至漏洞公布之后才能发现被攻击。当前，零日漏洞攻击变得越来越频繁。

2.2 主要防御方法

2.2.1 安全态势感知

通过部署态势感知系统，综合全网流量数据、重要系统日志、各系统报警数据，开展全天候的网络安全态势监控，对内/外部安全态势进行全局性的集中监测及分析[7]，及时感知、发现各种攻击威胁与异常，进而对威胁相关的影响范围、攻击路径、目的、手段进行快速判断。

2.2.2 IPS监测和网络流量监测

IPS监测是一种主动防御手段，对网络攻击行为进行实时入侵检测，并实时进行监测策略优化。监控范围通常覆盖防守方互联网、办公网、生产网等重要网络区域。

网络流量监测指通过部署流量安全分析系统，利用镜像将互联网、办公网、生产网等重要网络区域的流量接入流量安全分析系统，并通过升级规则库、本地策略优化等手段，有针对性地提升防守方对网络攻击行为的发现和预警能力。

2.2.3 流量拦截

流量拦截指安全设备在对网络流量进行检测时，发现流量中有攻击行为后[8]，对攻击行为进行的阻断操作。一般的阻断方式包括在网络层发送传输控制协议传输控制协议（TCP，Transmission Control Protocol）的reset报文，在应用层发送HTTP的403/405状态码等。

2.2.4 主动防御

主动防御主要指防守方利用蜜罐诱捕攻击方。蜜罐是一种在互联网上精心布置的特定信息系统，以网络服务或信息作为诱饵，诱使攻击者开展攻击。所有对蜜罐尝试的行为都被视为可疑行为。防守方可提前预警、尽早处置并追踪溯源。蜜罐主要包括仿真Web蜜罐、通用Web蜜罐、系统服务蜜罐和伪装缺陷蜜罐等。

3 攻防演练经验

在攻防演练的过程中，国铁集团不断优化防守方案、建立防守模型、总结实战经验。主要包括以下几类重要的经验。

3.1 加强员工网络安全意识

在网络实战演练中，通过弱口令、钓鱼攻击、社会工程学、Wi-Fi入侵等攻击成功的例子较多。为提高铁路网络安全防护能力，必须加强员工的网络安全意识。日常工作中，员工须定期更新自己的终端设备密码，增强密码强度，杜绝弱口令[9]；使用邮件时，不轻易点开陌生邮件中的链接，不使用公共场所的网络设备进行敏感操作，邮件中重要文件要做好防护；不轻易连接、使用免费Wi-Fi，及时关闭手机和电脑的无线局域网功能；对办公区域的陌生面孔进行询问，不随意使用出现在自己身边的陌生物品等[10]。

3.2 建立网络资产台账并开展问题排查

铁路系统网络资产庞大，信息系统、设备数量巨大，面对复杂的网络安全形式，建立网络资产台账、针对不同资产逐步精细化管理非常必要。（1）在互联网侧对操作系统、应用、数据库、虚拟专用网络（VPN，Virtual Private Network）等资产要进行全面排查和安全评估，安全评估不达标的主机和应用须立即整改；（2）在铁路内部网络，针对信息系统、工控系统，以及托管在外的资产系统进行排查工作，明确资产归属和责任人；（3）对废弃、无主、高危风险系统进行严格整改处理，对线上系统进行漏洞扫描，并及时修复高危漏洞；（4）有针对性地引入外部威胁情报库，逐步实现威胁的定向清除。

3.3 构建联防联控机制

国铁集团下属单位众多，攻击者往往从铁路站段、下属公司等分支机构寻找突破口，进而层层突破，开展对国铁集团的网络攻击。国铁集团各单位和下属机构间建立了高效的信息共享机制，建设专用沟通工具，实现一点发现、各单位快速反应的联防联控格局；在各层级的安全设备间共享威胁源，实现对威胁源的快速封禁。

3.4 收敛互联网出口

对于火车站、货运营业部等面向公众的场所，须严格控制信息系统的部署范围，切断和铁路生产业务无关的设备与铁路内部网络的连接。加强对售票机、取票机等面向公众提供服务的设备设施的防护，杜绝网线、信号线无防护暴露在外的情况。对第三方机构的网络接入，要部署防火墙、网闸、光闸等安全隔离措施，同时做好IP地址白名单的控制策略。加强供应链网络安全管理，细致筛查为供应商、运营维护厂商开启的VPN、远程桌面、安全外壳协议（SSH，Secure Shell ）服务、系统特权账号口令，全面清理远程接入服务和账号。

4 结束语

本文介绍了攻防演练定义、常见攻击手段和防御手段，并对国铁集团参与攻防演练的实战经验进行了梳理。经过网络攻防实战化演练，铁路企业建立了联防联控机制，采取了主动防御措施，提升了铁路网络安全防护能力。未来，铁路企业须继续组织、参加攻防演练，持续完善铁路网络安全防御体系建设，提升铁路网络安全全方位防御能力。