2019电力行业网络安全应用攻防演练活动火热进行中｜成都赛区专场报道

当前互联网时代，随着云计算、大数据、移动互联网、物联网等新技术的发展与落地，网络安全漏洞层出不穷，影响范围越来越大，国家将网络安全问题提升到了战略层面，为贯彻国家网络安全有关要求，进一步提升电力行业基层网络安全人员安全意识和技能水平，中国电力企业联合会科技开发服务中心、中国电力科学研究院有限公司联合组织开展了电力行业网络安全应用攻防演练活动，活动包括线上赛、线下分区赛和决赛三个阶段。

现阶段已完成线上赛组织工作，线下赛在南京、杭州、深圳和成都分别举行，其中南京赛区和杭州赛区已完成线下分区赛活动。
2019年11月29日，电力行业网络安全应用攻防演练活动成都分区赛在国网四川省电力公司电力科学研究院火热举行。

专题演讲

11月29日上午，大赛平台支持方北京启明星辰信息安全技术有限公司庄志诚担任主持人，全球能源互联网研究院有限公司网络安全实验室冯谷、国网四川省电力公司刘萧进行了专题演讲。  

会上，冯谷以《网络与信息安全攻防介绍》为题，介绍了项目渗透流程和存在的安全漏洞，并针对日益增加的网络安全问题重点分析了信息安全泄露的典型案例。

全球能源互联网研究院有限公司网络安全实验室冯谷

国网四川省电力信通公司蓝队队长刘萧分享在国网公司“三型两网、世界一流”的战略目标形势下，四川电力公司云平台、数据中台、物联网平台建设情况。并以国际上的安全事件为例强调了当前信息网络安全问题已成为安全专业人员工作重中之重。

国网四川省电力公司信通公司刘萧

大赛平台方北京启明星辰信息安全技术有限公司庄志诚对此次比赛规则和理论比赛、CTF比赛的比赛界面进行了详细介绍，让选手充分了解比赛特点。

北京启明星辰信息安全技术有限公司庄志诚

专业比赛

11月29日下午，为聚焦网络安全技能，突出安全攻防实战要求，比赛内容分为理论比赛和CTF大赛两个阶段。此次比赛赛况十分焦灼，选手之间你来我往，前三名相争不下。每个队伍之间分工明确，各司其职。最终由国网湖南省电力有限公司剁椒鱼头队拿下成都赛区头名，成都赛区第2~5排名团队分别为：安徽安正测评技术有限公司安正1队、国网四川省电力公司sgcc-sc、国网喀什供电公司团结队、内蒙古电力集团蒙电信息通信产业有限责任公司草原韩商言队。

采访环节

采访全球能源互联网研究院有限公司网络安全实验室冯谷：

Q：信息安全行业发展非常快，现在国家对工控安全比较重视，谈谈您对工控安全的理解？

A：工控安全主要是工业控制系统网络安全，电力行业是其中比较重要的一块，电力关键信息基础设施网络安全直接影响金融、能源、通信、交通等其他国家关键基础设施安全，关系国家安全、经济发展和国计民生，历来都是网络战和网络攻击的首选目标。近年来，针对电力的网络安全攻击事件频发，电力工控安全已成为网络安全的主战场。网络安全攻击会影响电力安全，导致停电。工控安全在网络安全中越来越重要，国家现在也对工控安全非常重视。

Q：业务逻辑安全现在被关注的越来越多，由于业务逻辑安全直接和业务相关，通过什么方法学习了解业务逻辑安全知识？

A：业务逻辑安全，对于公司和企业来说，业务逻辑漏洞往往利用成本低，但是危害却不容小觑，逻辑漏洞挖掘一直是安全测试中“经久不衰”的话题。相比SQL注入、XSS漏洞等传统安全漏洞，现在的攻击者更倾向于利用业务逻辑层的应用安全问题，这类问题往往危害巨大，并且传统的安全防御设备和措施收效甚微。

学习业务逻辑安全知识，首发要了解业务系统流程，主要登陆请求，密码修改，手机短信验证码、返回请求cookie中包含验证码，用户之间越权操作、订单支付验证等业务流程，这些业务流程在开发时，如果不考虑安全因素，用户可能绕过限制，对业务系统造成严重影响。

采访全球能源互联网研究院有限公司网络安全实验室冯谷

采访深圳奥联信息安全技术有限公司孔勇：

Q：现在大家对网络安全都非常重视，网络安全大赛举办的非常多。请问您对举办网络安全攻防大赛有些什么感想？

A：举办网络安全大赛实际上是一个很好的方式，通过网络安全大赛，能够普及大家对整个网络安全的这种形式的认知，以及相应的基础知识的提升。而且随着现在国家对整个网络安全行业十分重视，从发布网络安全法，到密码法等一系列的举措，真正地让我们电力行业和其他的关键信息基础设施行业，能够重视网络安全工作。

Q：现在网络安全事件频发，进行网络攻防的人员经常需要面对各种复杂的网络系统，请问您对他们在工作或者学习中有些什么建议？

A：现在全国举办了很多网络安全攻防演练大赛，我想跟这些参加大赛的选手们，包括参与这个活动的相关人员，提出来很重要的一点，在我们平时做练习、做演练的时候，切记一定要在一个可控的范围内，也就是说一定不要在互联网上或者是相应的真正的实际应用系统当中去做演练。这是网络安全法明确规定的，在新的在网络安全法当中是不允许针对任何一个应用系统去做相应的攻击行为的。

采访深圳奥联信息安全技术有限公司孔勇

采访北京启明星辰信息安全技术有限公司庄志诚：

Q：今天比赛由贵单位提供竞赛平台支撑，请问贵单位的平台具有怎样的优势和特点呢？

A：知白系统平台包含在线学习平台与竞赛支撑平台，真正实现理论与实践相结合。知白竞赛系统在经历了天津"第五空间"、上海"启航杯"、杭州"工信部预选赛"等大赛的洗礼下，让以赛代练，以练代战付诸实践。知白系统命名源自于知白守黑，寓意为希望学员通过平台内容掌握网络安全技能，平台名称来劝诫学员要坚定初心，遵纪守法，为国家的网络安全事业奉献自己的一份力量。

Q：请问您是怎么看待未来的网络安全人才培养的问题的？

A：习主席曾说过：“没有网络安全就没有国家安全”，“网络空间的竞争，归根结底是人才竞争”。因此网络安全人才培养也就成为当务之急。而人才的培养需依托于网络安全演练平台，针对信息安全领域开展不同知识梯度的安全培训，深度结合业务与信息安全，设计开发面向各专业领域的信息安全课程体系，持续地、梯度地、可考核地开展面向实战和实用的安全能力培训。启明星辰网络空间安全学院通过二十余年来自应用与实践的深度技术积累及沉淀，针对网络安全人才培养已形成安全运维、安全开发、安全管理、前沿技术等八大课程体系，为国家网络安全人才培养而不懈努力。

采访北京启明星辰信息安全技术有限公司庄志诚

采访成都赛区排名第一的国网湖南省电力有限公司剁椒鱼头队：

Q：三位作为这次比赛的优秀选手，有些什么感受？ 

A：首先非常感谢主办方和中电联为我们各位队员提供了一个很好的公开公平的网络安全技术交流竞赛的机会。我和我的队员也算是比较幸运地从初赛、海选一直走到了区域赛。在之前我们进行一些练习培训，所以可能今天就取得了一个还算不错的成绩。希望我们能够在接下来的决赛里面能够取得更好的成绩。

Q：本次比赛分为理论比赛和项目，对这个模式还有题目的难易程度有什么建议？

A：首先从理论题目来说，理论题很契合目前严峻的网络安全形势，包含了很多等保2.0等新政策的题目，而CTF实操的部分题目具有一定的挑战性，难度有梯度性，题目类型也比较全面。建议是题目更加体现一些电力行业特征。

采访成都赛区排名第一的国网湖南省电力有限公司剁椒鱼头队

本次攻防演练既考验了参演队伍的知识理论水平，又考验了参演队伍的实战对抗与团队协作能力，可谓是一场针对信息安全的全方位能力检验。此次比赛通过各电力单位参赛队伍之间的技术交锋和思维碰撞，有效提升运维人员安全意识和安全突发事件处置能力,提升信息系统安全保障能力，促进网络安全产业发展和网络安全人才培养和集聚，感谢平台方和国网四川电科院的大力支持。