信息系統(tǒng)安全、穩(wěn)定運行是保障云南電網(wǎng)公司核心業(yè)務(wù)正常進(jìn)行的重要基礎(chǔ)工作，然而信息安全面臨的形勢日趨嚴(yán)峻，外部面臨不同組織及勢力的持續(xù)攻擊、系統(tǒng)漏洞層出不窮等威脅，內(nèi)部存在人員信息安全意識不強，信息安全隊伍及技術(shù)力量不足等短板。加強信息化專業(yè)及管理人員對制度的理解，提高現(xiàn)場處置、應(yīng)急能力迫在眉睫。為此，公司信息中心組織了一次“不打招呼”的ITSM系統(tǒng)信息安全攻防應(yīng)急演練。
“馬主任您好，我是信息運維監(jiān)控中心值班人員，剛才ITSM系統(tǒng)異常，已經(jīng)通知運檢人員處理了，但是現(xiàn)在ITSM系統(tǒng)還是不能使用……”17點25分，公司信息運維監(jiān)控中心值班人員向部門負(fù)責(zé)人發(fā)出了一個緊急的信息系統(tǒng)故障報告。此時，他并不知道這是一起“有預(yù)謀”的黑客攻擊事件。
真實模仿黑客攻擊
原來這是公司信息中心聯(lián)合云電同方公司對ITSM系統(tǒng)進(jìn)行的模擬攻擊演練，是一次沒有劇本的實戰(zhàn)演練，真實地模仿黑客攻擊ITSM系統(tǒng)，觸發(fā)安全事件。演練負(fù)責(zé)人信息中心安全測評部主任周靖介紹：“此次演練對有關(guān)部門不事先通知攻擊內(nèi)容，不事先通知演練預(yù)案，是按照實戰(zhàn)的方式，檢驗監(jiān)控中心、系統(tǒng)運維人員對信息安全事件的實際處理能力和應(yīng)急處理人員對南網(wǎng)安全事件、應(yīng)急處理等制度的掌握情況。”
16：55分，監(jiān)控中心值班員發(fā)現(xiàn)ITSM系統(tǒng)異常：“開始是發(fā)現(xiàn)ITSM系統(tǒng)彈窗告警，然后就讀不出數(shù)據(jù)了，系統(tǒng)一會兒能用一會兒又不能用，時斷時續(xù)，響應(yīng)速度很慢。”立即通知運維人員進(jìn)行處理。經(jīng)過測試，17：15分，運維人員初步判斷ITSM系統(tǒng)可能遭到攻擊。監(jiān)控中心迅速啟動了生產(chǎn)、應(yīng)急兩條線的管理流程，聯(lián)系客戶服務(wù)部發(fā)布系統(tǒng)異常公告，通知運維責(zé)任部門及時處理，并向部門領(lǐng)導(dǎo)匯報信息，由部門領(lǐng)導(dǎo)預(yù)判并啟動應(yīng)急匯報流程。“我們申請緊急運維碼登錄檢查，在數(shù)據(jù)中心ACE上發(fā)現(xiàn)異常連接，IP問題來源是云電同方公司二期的用戶，我們覺得事情可能不簡單就趕快向上     報。”運維人員呂垚說道。
為了讓演練更加真實，信息中心成立了演練攻擊組，和其它小組玩起了對抗賽。“我們研究了網(wǎng)絡(luò)拓?fù)浼軜?gòu)情況，發(fā)現(xiàn)ITSM系統(tǒng)服務(wù)器均在服務(wù)器區(qū)域，邊界處有防火墻和IPS防護(hù)，登錄操作系統(tǒng)，必須通過堡壘機，遠(yuǎn)程登錄的端口被封死，如果這時有黑客采用DOS和應(yīng)用口令暴力破解進(jìn)行攻擊的話，成功概率較高。”攻擊組組長任云翔說，信息中心編制了攻擊技術(shù)方案，并確保不中斷系統(tǒng)應(yīng)用的情況下進(jìn)行攻擊。設(shè)計了3種攻擊方式：一是DOS攻擊，掃描ITSM端口，找到薄弱點進(jìn)行DOS攻擊，在持續(xù)開展10分鐘的攻擊后逐步加壓，在不影響系統(tǒng)業(yè)務(wù)正常開展的情況下，直到系統(tǒng)響應(yīng)速度稍微緩慢。二是暴力破解應(yīng)用用戶，掃描ITSM應(yīng)用系統(tǒng)漏洞，找出登錄點，用專業(yè)工具分析登錄過程數(shù)據(jù)，并加載密碼字典進(jìn)行暴力破解，找到帳號和密碼登錄。三是滲透測試，對ITSM應(yīng)用系統(tǒng)進(jìn)行web掃描，找出寫入點并上傳木馬病毒，獲取系統(tǒng)權(quán)限及其他敏感信息。攻擊組還采取了變換攻擊特征的方式，避免被運行監(jiān)控組發(fā)現(xiàn)，可謂是費盡心思。
4個現(xiàn)場的實戰(zhàn)演練
“請馬上到應(yīng)急指揮中心集合，ITSM系統(tǒng)遭到攻擊……”17點35分，信息中心安評、客服、運行、設(shè)備等部門和云電同方公司的有關(guān)人員在收到信息中心應(yīng)急辦發(fā)來的短信后，迅速集合開展故障預(yù)判后，指揮組副組長信息中心總工程師趙凌宣布啟動Ⅲ級應(yīng)急響應(yīng)，成立了運行監(jiān)控組和現(xiàn)場處置組，開展處置工作。
公司信息中心針對此次演練編制了《云南電網(wǎng)公司ITSM系統(tǒng)信息安全應(yīng)急演練方案》，設(shè)置了演練指揮組、攻擊組、運行監(jiān)控組、現(xiàn)場處置組4個小組，分別在信息中心應(yīng)急指揮中心、云電同方辦公樓、信息運維監(jiān)控中心和信息機房4個現(xiàn)場。為了體現(xiàn)演練的真實性，運行監(jiān)控組和現(xiàn)場處置組不事先成立，運行監(jiān)控組按日常值班要求監(jiān)控系統(tǒng)運行狀況，及時發(fā)現(xiàn)攻擊事件，并按照生產(chǎn)運行、應(yīng)急響應(yīng)兩條線，起到調(diào)度指揮運維責(zé)任部門的作用；現(xiàn)場處置組是待接到通知后及時調(diào)配人員，負(fù)責(zé)攻擊事件現(xiàn)場處置具體技術(shù)操作，按照監(jiān)控中心、應(yīng)急指揮組要求開展工作。
“我們中斷了問題IP的網(wǎng)絡(luò)訪問權(quán)限，在準(zhǔn)入系統(tǒng)上禁用了該用戶，并報監(jiān)控中心停止應(yīng)用服務(wù)器，防止二次攻擊。” 現(xiàn)場處置組人員陳何雄說道：“重啟服務(wù)器和應(yīng)用后，ITSM系統(tǒng)業(yè)務(wù)恢復(fù)正常。我們剛松了口氣，又發(fā)現(xiàn)有個IP可疑連接。”網(wǎng)絡(luò)監(jiān)控到版納供電局和景洪供電公司有2個帳號異常登錄。緊急禁用帳號，修改原帳號密碼后，運維組再次發(fā)現(xiàn)可疑文件。“我有點頭皮發(fā)麻，不知道那天是怎么了，會有那么多問題，還好最后都解決了。”現(xiàn)場處置組人員彭秋霞回憶道。
在整個演練過程中，指揮組職責(zé)清楚、任務(wù)明確，及時、快速有效地指揮調(diào)度各演練小組在最短的時間內(nèi)投入分析攻擊原因，開展現(xiàn)場處置，在演練中不斷積累經(jīng)驗，對演練指揮調(diào)度中發(fā)現(xiàn)的問題不斷調(diào)整和完善，使得指揮調(diào)度程序更加趨于清晰化、合理化、實效化。攻擊組設(shè)身處地，認(rèn)真研究ITSM系統(tǒng)設(shè)計、網(wǎng)絡(luò)安全防護(hù)上存在的薄弱點，為后續(xù)進(jìn)一步強化ITSM系統(tǒng)的安全性，加固操作系統(tǒng)，提升系統(tǒng)可靠性和安全防護(hù)能力等方面起到了重要作用。各演練小組快速反應(yīng)，分任務(wù)實施，采取了邊處置邊防范的措施，把影響范圍降到最小，演練的職責(zé)和程序更加熟悉，配合更加密切。演練各環(huán)節(jié)指令傳達(dá)、執(zhí)行、演練操作結(jié)果反饋均達(dá)到了預(yù)定的目標(biāo)。下一步，公司信息中心還將從完善應(yīng)急預(yù)案、提高應(yīng)急響應(yīng)速度和現(xiàn)場處置能力、提升信息安全防護(hù)等方面下功夫，確保各業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運行。