摘 要：工業(yè)生產(chǎn)控制網(wǎng)絡(luò)大量采用通用協(xié)議、硬件和軟件，傳統(tǒng)信息安全威脅也嚴(yán)重影響到工業(yè)控制網(wǎng)絡(luò)的安全。本文結(jié)合等級(jí)保護(hù)要求和《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》要求，設(shè)計(jì)高職院校信息安全與管理專業(yè)工控安全實(shí)訓(xùn)室建設(shè)方案，滿足信息安全與管理專業(yè)學(xué)生在工控安全技術(shù)領(lǐng)域的教學(xué)實(shí)訓(xùn)需求。

關(guān)鍵詞：工業(yè)；控制；安全；實(shí)訓(xùn)室；設(shè)計(jì)

1 工業(yè)控制系統(tǒng)的安全現(xiàn)狀

在工業(yè)4.0、工業(yè)互聯(lián)網(wǎng)、中國(guó)制造2025的大背景下，工業(yè)化與信息化不斷的融合，涉及國(guó)計(jì)民生的國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施越來(lái)越多地依靠工業(yè)控制系統(tǒng)實(shí)現(xiàn)全面自動(dòng)化作業(yè)，工業(yè)生產(chǎn)控制網(wǎng)絡(luò)會(huì)大量采用通用協(xié)議、硬件和軟件，傳統(tǒng)信息安全威脅也嚴(yán)重影響到工業(yè)控制網(wǎng)絡(luò)的安全，其信息安全風(fēng)險(xiǎn)將隨時(shí)發(fā)生，嚴(yán)重威脅著工業(yè)企業(yè)的生命財(cái)產(chǎn)安全。

近年來(lái)，我國(guó)政府空前關(guān)注國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)工作，《國(guó)家網(wǎng)絡(luò)安全法》明確把工業(yè)控制系統(tǒng)作為重點(diǎn)保護(hù)對(duì)象，要求定期進(jìn)行關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查。工信部在2016年11月3日又發(fā)布《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》，從工業(yè)控制系統(tǒng)設(shè)計(jì)、選型、建設(shè)、測(cè)試、運(yùn)行、檢修、廢棄各階段防護(hù)工作要求，從安全軟件選型、訪問(wèn)控制策略構(gòu)建、數(shù)據(jù)安全保護(hù)、資產(chǎn)配置管理等方面提出了具體實(shí)施細(xì)則。

重慶電子工程職業(yè)學(xué)院為滿足企業(yè)對(duì)工業(yè)控制領(lǐng)域信息安全才的需求，提高信息安全與管理專業(yè)學(xué)生實(shí)踐能力，在原有信息安全設(shè)備、網(wǎng)絡(luò)攻防、工業(yè)機(jī)器人、嵌入式技術(shù)等實(shí)訓(xùn)室的基礎(chǔ)上，融合信息安全與管理、工業(yè)機(jī)器人專業(yè)的師資力量，自2016年起開(kāi)始工控實(shí)訓(xùn)室建設(shè)方案的設(shè)計(jì)研究，滿足信息安全與管理、工業(yè)機(jī)器人專業(yè)學(xué)生在工控安全技術(shù)領(lǐng)域的教學(xué)、環(huán)境體驗(yàn)、工業(yè)控制系統(tǒng)漏洞掃描與網(wǎng)絡(luò)攻防、工控安全設(shè)備配置與管理等實(shí)訓(xùn)需求，工控安全實(shí)訓(xùn)室需滿足如下功能要求：工業(yè)控制系統(tǒng)控制過(guò)程模擬實(shí)訓(xùn)；工業(yè)控制系統(tǒng)操作安全管理實(shí)訓(xùn)；工業(yè)控制系統(tǒng)網(wǎng)絡(luò)攻防演練實(shí)訓(xùn)；工業(yè)控制系統(tǒng)控制策略設(shè)計(jì)實(shí)訓(xùn)；工業(yè)控制系統(tǒng)安全設(shè)備部署實(shí)訓(xùn)。

2 工控安全實(shí)訓(xùn)室設(shè)計(jì)總體技術(shù)框架

按照等級(jí)保護(hù)要求和工控系統(tǒng)的層級(jí)防護(hù)，結(jié)合等級(jí)保護(hù)要求和《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》要求，重慶電子工程職業(yè)學(xué)院工控安全實(shí)訓(xùn)室從安全防護(hù)、攻擊滲透、漏洞掃描等技術(shù)領(lǐng)域進(jìn)行設(shè)計(jì)，實(shí)訓(xùn)室設(shè)計(jì)總體技術(shù)框架如圖1所示。

3 工業(yè)控制安全實(shí)訓(xùn)室的安全功能模塊

3.1 效果展示系統(tǒng)模塊

效果展示系統(tǒng)模塊通過(guò)豐富的圖形化展示方式呈現(xiàn)全網(wǎng)工控設(shè)備安全監(jiān)控、安全設(shè)備統(tǒng)一調(diào)度、系統(tǒng)運(yùn)維、知識(shí)庫(kù)管理等，提供有效的違規(guī)操作報(bào)警、安全報(bào)警，具備以豐富的報(bào)表展現(xiàn)手段對(duì)各類數(shù)據(jù)進(jìn)行直觀顯示，輔助以網(wǎng)絡(luò)拓?fù)洹⒌乩砦恢枚喾N圖形化功能為系統(tǒng)用戶提供方便快捷的信息獲取途徑。

效果展示系統(tǒng)模塊展示四個(gè)層次的展示界面。

（1）工控網(wǎng)絡(luò)設(shè)備拓?fù)鋱D，設(shè)備通斷情況展示、設(shè)備重大安全事件報(bào)警顯示。

（2）工控設(shè)備拓?fù)鋱D、流量情況、通斷情況、安全事件詳情和統(tǒng)計(jì)圖表等。

（3）工控系統(tǒng)的安全日志信息、信息安全事件分布、風(fēng)險(xiǎn)統(tǒng)計(jì)和趨勢(shì)、設(shè)備漏洞和配置問(wèn)題、入侵流量情況等。

（4）展示實(shí)訓(xùn)室工控安全狀態(tài)，包括信息安全事件分布、風(fēng)險(xiǎn)統(tǒng)計(jì)和趨勢(shì)、安全事件處理分析等。

3.2 安全防護(hù)系統(tǒng)模塊

系統(tǒng)安全防護(hù)模塊包括統(tǒng)一安全管理、工控防火墻、主機(jī)安全、監(jiān)測(cè)與審計(jì)等功能模塊。

統(tǒng)一安全管理模塊實(shí)現(xiàn)操作站、服務(wù)器、網(wǎng)絡(luò)設(shè)備、信息安全設(shè)備、現(xiàn)場(chǎng)控制設(shè)備等的安全監(jiān)控，支持設(shè)備自動(dòng)拓?fù)浒l(fā)現(xiàn)，能夠?qū)⒈还芾碓O(shè)備進(jìn)行分組、分域的統(tǒng)一維護(hù)，可查看設(shè)備的性能、發(fā)生的安全事件、告警、漏洞、風(fēng)險(xiǎn)、配置基線核查結(jié)果、接口狀態(tài)等信息。

監(jiān)測(cè)與審計(jì)模塊實(shí)現(xiàn)工控網(wǎng)絡(luò)業(yè)務(wù)流量分析、安全事件管理、安全風(fēng)險(xiǎn)管理。業(yè)務(wù)流量分析的違規(guī)事件分析通過(guò)事件的訪問(wèn)關(guān)系，梳理出當(dāng)前網(wǎng)絡(luò)中的工控設(shè)備訪問(wèn)行為狀況，對(duì)違反訪問(wèn)控制規(guī)則的事件生成告警信息，并匯總到違規(guī)行為事件中作對(duì)應(yīng)統(tǒng)計(jì)。流量行為分析基于業(yè)務(wù)行為規(guī)則的白名單式的精準(zhǔn)檢測(cè)、基于業(yè)務(wù)流量行為入侵分析的預(yù)警、通過(guò)防火墻策略控制達(dá)到智能、柔性的防御，通過(guò)與系統(tǒng)其他功能的結(jié)合，可以實(shí)現(xiàn)對(duì)業(yè)務(wù)健康度指標(biāo)分析，實(shí)現(xiàn)一般日志與業(yè)務(wù)流量檢測(cè)結(jié)果的精確關(guān)聯(lián)分析。

防火墻模塊實(shí)現(xiàn)基于地址、端口、時(shí)間、物理端口、服務(wù)的狀態(tài)包過(guò)濾；支持包括OPC、Modbus和IEC104在內(nèi)的6種以上的基于工業(yè)協(xié)議深度異常檢測(cè)，實(shí)現(xiàn)工業(yè)通信協(xié)議動(dòng)態(tài)端口解析、完整性檢查、合法性檢查等。

3.3 攻擊滲透系統(tǒng)模塊

實(shí)訓(xùn)室根據(jù)實(shí)際需要，自主制定滲透測(cè)試實(shí)訓(xùn)方案，如高仿真攻防演練、在線異常監(jiān)測(cè)、抵御保護(hù)驗(yàn)證等，可實(shí)現(xiàn)關(guān)鍵控制器的安全防護(hù)、工控主機(jī)安全加固，攻防演練實(shí)訓(xùn)，包括遠(yuǎn)程滲透攻擊、內(nèi)部攻擊、病毒攻擊、WI-FI攻擊，執(zhí)行預(yù)定的網(wǎng)絡(luò)探測(cè)，包括對(duì)網(wǎng)絡(luò)通信服務(wù)、操作系統(tǒng)、路由器、電子郵件、Web服務(wù)器、防火墻和應(yīng)用程序的檢測(cè)。

3.4 漏洞挖掘系統(tǒng)模塊

漏洞挖掘系統(tǒng)模塊實(shí)現(xiàn)對(duì)TCP/IP通信協(xié)議、工業(yè)控制協(xié)議（如Modbus TCP、OPC、Siemens S7等）的通信報(bào)文進(jìn)行深度解析（DPI，Deep Packet Inspection），可對(duì)工業(yè)控制系統(tǒng)中的控制設(shè)備、操作站、工程師站、服務(wù)器、數(shù)據(jù)庫(kù)、中間件等多種系統(tǒng)進(jìn)行掃描、識(shí)別，為工業(yè)控制系統(tǒng)提供完善的漏洞分析檢測(cè)，系統(tǒng)可針對(duì)Windows、Linux、Unix、Solaris等操作系統(tǒng)中工控應(yīng)用軟件進(jìn)行漏洞挖掘，發(fā)現(xiàn)多種數(shù)據(jù)庫(kù)、中間件、工業(yè)控制系統(tǒng)的漏洞信息。

4 工業(yè)控制安全實(shí)訓(xùn)室的實(shí)施

4.1 工控設(shè)備的安裝調(diào)試

根據(jù)實(shí)訓(xùn)室的總體設(shè)計(jì)方案確定工控設(shè)備擺放位置表，每臺(tái)設(shè)備均按照設(shè)備編號(hào)貼好標(biāo)簽，設(shè)計(jì)與安裝電源線，電源線容量滿足要求，電源線布線做到安全整潔，對(duì)所有工控設(shè)備、交換機(jī)、服務(wù)器等設(shè)備進(jìn)行加電測(cè)試。

4.2 工控實(shí)訓(xùn)室的網(wǎng)絡(luò)布線

按照實(shí)訓(xùn)室走線圖及設(shè)備端口連線圖將所有設(shè)備間的連線按布線規(guī)范進(jìn)行布線并連接好，每條網(wǎng)線按設(shè)計(jì)方案做好標(biāo)簽，并繪制設(shè)備端口連線圖。

4.3 工控安全設(shè)備配置

根據(jù)實(shí)訓(xùn)室設(shè)計(jì)方案中每臺(tái)工控安全設(shè)備IP地址、掩網(wǎng)子碼等網(wǎng)絡(luò)參數(shù)的要求對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進(jìn)行配置，配置設(shè)備的安全策略。

參考文獻(xiàn)

[1]王志強(qiáng)，王紅凱，張旭東，沈?yàn)t軍.工業(yè)控制系統(tǒng)安全隱患及應(yīng)對(duì)措施研究.信息網(wǎng)絡(luò)安全，2014（9）：203-206

[2]孫易安，胡仁豪.工業(yè)控制系統(tǒng)漏洞掃描與挖掘技術(shù)研究.網(wǎng)絡(luò)空間安全， 2017（01）：75-77

[2]夏飛.智能電網(wǎng)智能終端工控安全風(fēng)險(xiǎn)分析及防護(hù)方案.無(wú)線互聯(lián)科技，2016（22）：117-119

作者簡(jiǎn)介

何歡（1973-），男，漢放，四川南江人，碩士，副教授，研究方面為計(jì)算機(jī)、算法研究、通信安全、電子電路、信息安全、風(fēng)險(xiǎn)評(píng)估等。