信息系統(tǒng)安全、穩(wěn)定運(yùn)行是保障云南電網(wǎng)公司核心業(yè)務(wù)正常進(jìn)行的重要基礎(chǔ)工作，然而信息安全面臨的形勢(shì)日趨嚴(yán)峻，外部面臨不同組織及勢(shì)力的持續(xù)攻擊、系統(tǒng)漏洞層出不窮等威脅，內(nèi)部存在人員信息安全意識(shí)不強(qiáng)，信息安全隊(duì)伍及技術(shù)力量不足等短板。加強(qiáng)信息化專業(yè)及管理人員對(duì)制度的理解，提高現(xiàn)場(chǎng)處置、應(yīng)急能力迫在眉睫。為此，公司信息中心組織了一次“不打招呼”的ITSM系統(tǒng)信息安全攻防應(yīng)急演練。
“馬主任您好，我是信息運(yùn)維監(jiān)控中心值班人員，剛才ITSM系統(tǒng)異常，已經(jīng)通知運(yùn)檢人員處理了，但是現(xiàn)在ITSM系統(tǒng)還是不能使用……”17點(diǎn)25分，公司信息運(yùn)維監(jiān)控中心值班人員向部門負(fù)責(zé)人發(fā)出了一個(gè)緊急的信息系統(tǒng)故障報(bào)告。此時(shí)，他并不知道這是一起“有預(yù)謀”的黑客攻擊事件。
真實(shí)模仿黑客攻擊
原來這是公司信息中心聯(lián)合云電同方公司對(duì)ITSM系統(tǒng)進(jìn)行的模擬攻擊演練，是一次沒有劇本的實(shí)戰(zhàn)演練，真實(shí)地模仿黑客攻擊ITSM系統(tǒng)，觸發(fā)安全事件。演練負(fù)責(zé)人信息中心安全測(cè)評(píng)部主任周靖介紹：“此次演練對(duì)有關(guān)部門不事先通知攻擊內(nèi)容，不事先通知演練預(yù)案，是按照實(shí)戰(zhàn)的方式，檢驗(yàn)監(jiān)控中心、系統(tǒng)運(yùn)維人員對(duì)信息安全事件的實(shí)際處理能力和應(yīng)急處理人員對(duì)南網(wǎng)安全事件、應(yīng)急處理等制度的掌握情況。”
16：55分，監(jiān)控中心值班員發(fā)現(xiàn)ITSM系統(tǒng)異常：“開始是發(fā)現(xiàn)ITSM系統(tǒng)彈窗告警，然后就讀不出數(shù)據(jù)了，系統(tǒng)一會(huì)兒能用一會(huì)兒又不能用，時(shí)斷時(shí)續(xù)，響應(yīng)速度很慢。”立即通知運(yùn)維人員進(jìn)行處理。經(jīng)過測(cè)試，17：15分，運(yùn)維人員初步判斷ITSM系統(tǒng)可能遭到攻擊。監(jiān)控中心迅速啟動(dòng)了生產(chǎn)、應(yīng)急兩條線的管理流程，聯(lián)系客戶服務(wù)部發(fā)布系統(tǒng)異常公告，通知運(yùn)維責(zé)任部門及時(shí)處理，并向部門領(lǐng)導(dǎo)匯報(bào)信息，由部門領(lǐng)導(dǎo)預(yù)判并啟動(dòng)應(yīng)急匯報(bào)流程。“我們申請(qǐng)緊急運(yùn)維碼登錄檢查，在數(shù)據(jù)中心ACE上發(fā)現(xiàn)異常連接，IP問題來源是云電同方公司二期的用戶，我們覺得事情可能不簡(jiǎn)單就趕快向上     報(bào)。”運(yùn)維人員呂垚說道。
為了讓演練更加真實(shí)，信息中心成立了演練攻擊組，和其它小組玩起了對(duì)抗賽。“我們研究了網(wǎng)絡(luò)拓?fù)浼軜?gòu)情況，發(fā)現(xiàn)ITSM系統(tǒng)服務(wù)器均在服務(wù)器區(qū)域，邊界處有防火墻和IPS防護(hù)，登錄操作系統(tǒng)，必須通過堡壘機(jī)，遠(yuǎn)程登錄的端口被封死，如果這時(shí)有黑客采用DOS和應(yīng)用口令暴力破解進(jìn)行攻擊的話，成功概率較高。”攻擊組組長(zhǎng)任云翔說，信息中心編制了攻擊技術(shù)方案，并確保不中斷系統(tǒng)應(yīng)用的情況下進(jìn)行攻擊。設(shè)計(jì)了3種攻擊方式：一是DOS攻擊，掃描ITSM端口，找到薄弱點(diǎn)進(jìn)行DOS攻擊，在持續(xù)開展10分鐘的攻擊后逐步加壓，在不影響系統(tǒng)業(yè)務(wù)正常開展的情況下，直到系統(tǒng)響應(yīng)速度稍微緩慢。二是暴力破解應(yīng)用用戶，掃描ITSM應(yīng)用系統(tǒng)漏洞，找出登錄點(diǎn)，用專業(yè)工具分析登錄過程數(shù)據(jù)，并加載密碼字典進(jìn)行暴力破解，找到帳號(hào)和密碼登錄。三是滲透測(cè)試，對(duì)ITSM應(yīng)用系統(tǒng)進(jìn)行web掃描，找出寫入點(diǎn)并上傳木馬病毒，獲取系統(tǒng)權(quán)限及其他敏感信息。攻擊組還采取了變換攻擊特征的方式，避免被運(yùn)行監(jiān)控組發(fā)現(xiàn)，可謂是費(fèi)盡心思。
4個(gè)現(xiàn)場(chǎng)的實(shí)戰(zhàn)演練
“請(qǐng)馬上到應(yīng)急指揮中心集合，ITSM系統(tǒng)遭到攻擊……”17點(diǎn)35分，信息中心安評(píng)、客服、運(yùn)行、設(shè)備等部門和云電同方公司的有關(guān)人員在收到信息中心應(yīng)急辦發(fā)來的短信后，迅速集合開展故障預(yù)判后，指揮組副組長(zhǎng)信息中心總工程師趙凌宣布啟動(dòng)Ⅲ級(jí)應(yīng)急響應(yīng)，成立了運(yùn)行監(jiān)控組和現(xiàn)場(chǎng)處置組，開展處置工作。
公司信息中心針對(duì)此次演練編制了《云南電網(wǎng)公司ITSM系統(tǒng)信息安全應(yīng)急演練方案》，設(shè)置了演練指揮組、攻擊組、運(yùn)行監(jiān)控組、現(xiàn)場(chǎng)處置組4個(gè)小組，分別在信息中心應(yīng)急指揮中心、云電同方辦公樓、信息運(yùn)維監(jiān)控中心和信息機(jī)房4個(gè)現(xiàn)場(chǎng)。為了體現(xiàn)演練的真實(shí)性，運(yùn)行監(jiān)控組和現(xiàn)場(chǎng)處置組不事先成立，運(yùn)行監(jiān)控組按日常值班要求監(jiān)控系統(tǒng)運(yùn)行狀況，及時(shí)發(fā)現(xiàn)攻擊事件，并按照生產(chǎn)運(yùn)行、應(yīng)急響應(yīng)兩條線，起到調(diào)度指揮運(yùn)維責(zé)任部門的作用；現(xiàn)場(chǎng)處置組是待接到通知后及時(shí)調(diào)配人員，負(fù)責(zé)攻擊事件現(xiàn)場(chǎng)處置具體技術(shù)操作，按照監(jiān)控中心、應(yīng)急指揮組要求開展工作。
“我們中斷了問題IP的網(wǎng)絡(luò)訪問權(quán)限，在準(zhǔn)入系統(tǒng)上禁用了該用戶，并報(bào)監(jiān)控中心停止應(yīng)用服務(wù)器，防止二次攻擊。” 現(xiàn)場(chǎng)處置組人員陳何雄說道：“重啟服務(wù)器和應(yīng)用后，ITSM系統(tǒng)業(yè)務(wù)恢復(fù)正常。我們剛松了口氣，又發(fā)現(xiàn)有個(gè)IP可疑連接。”網(wǎng)絡(luò)監(jiān)控到版納供電局和景洪供電公司有2個(gè)帳號(hào)異常登錄。緊急禁用帳號(hào)，修改原帳號(hào)密碼后，運(yùn)維組再次發(fā)現(xiàn)可疑文件。“我有點(diǎn)頭皮發(fā)麻，不知道那天是怎么了，會(huì)有那么多問題，還好最后都解決了。”現(xiàn)場(chǎng)處置組人員彭秋霞回憶道。
在整個(gè)演練過程中，指揮組職責(zé)清楚、任務(wù)明確，及時(shí)、快速有效地指揮調(diào)度各演練小組在最短的時(shí)間內(nèi)投入分析攻擊原因，開展現(xiàn)場(chǎng)處置，在演練中不斷積累經(jīng)驗(yàn)，對(duì)演練指揮調(diào)度中發(fā)現(xiàn)的問題不斷調(diào)整和完善，使得指揮調(diào)度程序更加趨于清晰化、合理化、實(shí)效化。攻擊組設(shè)身處地，認(rèn)真研究ITSM系統(tǒng)設(shè)計(jì)、網(wǎng)絡(luò)安全防護(hù)上存在的薄弱點(diǎn)，為后續(xù)進(jìn)一步強(qiáng)化ITSM系統(tǒng)的安全性，加固操作系統(tǒng)，提升系統(tǒng)可靠性和安全防護(hù)能力等方面起到了重要作用。各演練小組快速反應(yīng)，分任務(wù)實(shí)施，采取了邊處置邊防范的措施，把影響范圍降到最小，演練的職責(zé)和程序更加熟悉，配合更加密切。演練各環(huán)節(jié)指令傳達(dá)、執(zhí)行、演練操作結(jié)果反饋均達(dá)到了預(yù)定的目標(biāo)。下一步，公司信息中心還將從完善應(yīng)急預(yù)案、提高應(yīng)急響應(yīng)速度和現(xiàn)場(chǎng)處置能力、提升信息安全防護(hù)等方面下功夫，確保各業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運(yùn)行。